Разоблачение хакера: взлом сайта и установка ссылочной биржи LinkfeedИтак, один из моих сайтов взломан((( А точнее, взломали сайт диджея DJ Slava HitRay. Взломали, видимо, давно, но хакер найден только сейчас. На некоторых страницах сайта были обнаружены продажные ссылки адалт-тематики, что не могло не повлиять на индексацию. С большим трудом был найден сильно замаскированный код ссылочной биржи Linkfeed. Сразу же было решено написать в службу поддержки Линкфида. Как было дальше, будет понятно из переписки с администрацией:
> > > > > Здравствуйте!
> > > > > Я работаю диджеем и у меня есть свой сайт http://djslava.ru - в прошлом году начались серьезные проблемы с индексацией в Яндексе, обнаружил дорвеи. Пароли от хостинга поменял, суппорт проверил на подозрительные коды - вроде все чисто. Проблемы не прекратились и по сей день, решил искать дальше. Обнаружил на некоторых страницах сайта ссылки, которые я не ставил и физически они не могли быть постовыми. Тематика - адалт, то есть фигурировало слово "пopнo". Порыскал в коде и нашел установленный без моего ведома Линкфид. Доступов никому не давал, сайт создавал и администрировал лично, так что грешить не на кого. Могу я с Вашей помощью узнать кто меня взломал по этой строчке??? - define("LINKFEED_USER", "96ae77345f694b6a20629938b6e2456bdef42349");
> > > > >
> > > > > Заранее спасибо.
> > > > > С Вашего разрешения, позже опубликую переписку в своем блоге...
> > > > >
> > > > > С уваженем, Вячеслав.
> > > >
> > > > Добрый день.
> > > >
> > > > Создайте файл linkfeed.txt на своем сайте, в нем укажите свой логин в системе. После чего сообщите нам полный урл на созданный файл.
> > > >
> > > > ---
> > > > С уважением,
> > > > администрация Linkfeed.ru
> > >
> > > http://djslava.ru/linkfeed.txt
> >
> > Здравствуйте.
> > Вы хотите чтобы мы перевели площадку на ваш аккаунт или заблокировали?
> > ---
> > С уважением, Администрация LinkFeed.ru
>
> Естественно, заблокировали! Я не планировал продавать ссылки! Вообще я просил информацию о взломщике под номером 96ae77345f694b6a20629938b6e2456bdef42349, чтобы понимать, кто этим промышляет. Вдруг это проделки хостера? Сдадите мне этого хакера?
Площадку заблокировали, она зарегистрирована на :
Логин:: nikonovstasi
E-mail: nikonov-stasi@yandex.ru
Номер кошелька WMR: R219584055859
N Время логина Времы выхода Проведенное время (сек) IP адрес
145 06:12:2010 14:37 06:12:2010 14:57 1196.0 78.53.113.66
146 26:12:2010 16:10 26:12:2010 16:10 0.0 90.219.60.175
147 10:01:2011 22:44 10:01:2011 22:44 0.0 190.55.178.178
148 12:01:2011 20:28 12:01:2011 20:28 0.0 79.136.50.108
149 18:01:2011 23:34 18:01:2011 23:44 635.0 77.254.78.220
150 03:02:2011 22:41 03:02:2011 23:11 1765.0 108.15.42.10
151 03:02:2011 23:12 03:02:2011 23:12 0.0 108.15.42.10
152 09:02:2011 13:21 09:02:2011 13:21 0.0 194.136.8.126
153 28:02:2011 12:20 28:02:2011 12:20 0.0 79.138.71.25
Айпишники оказались поддельными((( Каждый заход был из других стран, так что хакер знал, что его возможно будут искать, и действовал через анонимные прокси-сервера. Но в итоге я спас свой сайт от непрошенной монетизации, чего и Вам желаю. Если столкнулись с аналогичной проблемой, пишите на slava@grosov.ru - будем спасать Ваши площадки вместе!
|
