Pull to refresh

Очень странный взлом сайта

Reading time1 min
Views1.1K
Я админ достаточно крупного тематического украинского сайта некоммерческой тематики, никому нафиг не нужной. Вчера, 26 числа заметил, что Сапа не приносит денег. Но ссылки стоят корректно. Начали копать — накопали клоакинг, модицифирующий результирующий html код страницы после всех его генераций. В результате ссылки роботу Сапы, а также роботам Гугла и Яндекса передавались с nofollow. И увидеть это можно только роботам с соответствующим юзер агентом и айпишником — люди видят нормальный код.

Взлом осуществлен профессионалом. Данные для базы клоакинга (юзерагенты и айпи) забираются с левого сайта (тоже взломан судя по всему). Вредоносные файлы залиты не по ftp, а кусками кода, внедренного в существующие скрипты и в последствии затертого. Даты файлов при этом заменены на старые. Характерно, что злоумышленник неплохо разобрался в коде и вставил код (очень тщательно замаскировав) и в самописный движок сайта и в форум phpbb.

Расследование еще ведем, но главные вопросы топика. Кому и зачем это было нужно (тупо закрыть все исходящие ссылки на сайте)? Сталкивался ли кто-то с таким?
Tags:
Hubs:
Total votes 38: ↑18 and ↓20-2
Comments16

Articles