Уязвимостью является как раз таки НАОБОРОТ ВОЗМОЖНОСТЬ жестко и бесповоротно указать ДРУГОЕ главное зеркало и владелец сайта ничего с этим НЕ сможет сделать.
Если нормально следить за проектами. Не пускать кого попало в управление. То и менять Вам никто ничего не будет.
А на счет «бесповоротно» я бы еще поспорил. Все вполне возвращается на свои места, если не тупить и действовать, а не бежать писать статьи «ОЙ как же так вышло, нужно об этом рассказать всем»
Может быть кто то писал уже (комментов много, все не успел прочитать).
Заголовок гремит о том, что угнать сайт можно только через вебмастер Яндекса, а сама статья же рассказывает о совсем иной ситуации.
Поставить сайт не основным зеркалом и угнать, извините, но не одно и тоже. Перевести трафик, выражайтесь точнее.
То что Вы назвали уязвимостью, таковой не является. И со стороны Яндекса, абсолютно ясна позиция. Объясню почему:
Чтобы отправить запрос на изменение зеркала, на переезд сайта и так далее, необходимо иметь доступ к аккаунту вебмастера, к которому привязан данный сайт. Либо загрузить на сам сайт файл с верификацией доступа (либо мета-тег прописать).
Для проведения этих действий, у злоумышленника должен быть доступ к сайту (админка, FTP, SSH — неважно), к аккаунту вебмастера (Вашего, иначе права делегировать можно только подтвердив владением сайта — возвращаемся к варианту доступа к самому сайту).
Как злоумышленник может получить доступ к сайту и вебмастеру? Вы сами предоставили его! Никто силой не заставлял Вас этого делать.
Почему злоумышленник подал запрос на смену зеркала? Снова Ваша вина (в данном случае владельца сайта). Вы не удосужились сменить доступы или удалить временные аккаунты, которые предоставляли например для аудита.
Смена зеркала происходит не менее 1 недели. Получается Вы целую неделю просто не проверяли данные, хотя должны были бы, доступы то предоставляли.
Теперь к Яндексу. Что видит тот же менеджер «Платона»? Вы предоставили доступ, человек заходил в аккаунт. На сайте появился файл или мета-тег, значит человек действительно имеет право на смену информации (значит он доверенное лицо). Был запрос на изменение зеркала, никаких попыток на отмену в течении недели, а то и больше не было. Все легально, все по Вашему согласию.
Дополнительно хотел бы уделить внимание моменту с указанием главного зеркала на самом сайте. Есть файл robots.txt и в нем должна быть указана директива host: указывающая на главное зеркало. По этому правилу поисковики знают, что именно считать главным зеркалом и остальные копии сайта заносить в дополнения.
Так же есть тег canonical, который указывает, какая именно страница является каноничной.
Да если злоумышленник имел непосредственный доступ к файлам, он мог заменить эту директиву. Но тут снова вопрос о Вашей бдительности.
Никакой уязвимости нет, есть только невнимательность со стороны владельца сайта.
По этому поводу у одной из подобных компаний описано так:
как известно, системы контекстной рекламы основаны на аукционе, в котором первые места занимают в лютой борьбе самые богатые и крупные компании, завышающие цену клика в «Яндекс.Директе» более той, которая реальна для других, закладывая туда в том числе и возможные склики. Такой аукцион включает в себя также возможность подставок, когда один конкурент специально увеличивает стоимость клика у другого в силу того, что реальная стоимость клика составляет не величину Вашей ставки, а ставку конкурента на позицию ниже плюс 1 цент!
Система в автоматизированном режиме во много раз умножает конечную цену клика конкурента, разбавляя реальные клики целевой аудитории симулированными кликами (click fraud), обходя все системы защиты, и делая тем самым обладателя такой системы вне конкуренции на аукционах контекстной рекламы в своей области бизнеса. Таким образом, система не наносит непосредственный материальный ущерб конкуренту, но побеждает его в «Яндекс.Директе» в рамках заложенного им бюджета. Яндекс утверждает, что цена клика в «Директе» от 1 цента, поэтому, если клиент вынужден делать ставку 20 у.е., то, получается, что 1 цент уходит за клик, а 19.99 у.е. за вытеснение конкурентов при каждом клике. Но в настоящее время во многих компаниях происходит переоценка контекстной рекламы, и теперь возможно оставить конкурентов далеко позади, делая ставку на систему (0.11 у.е./склик без всякого аукциона)! Это тоже ставка. Наш робот перераспределяет рекламный бюджет между «Яндекс.Директом» и системой, освобождая излишки бюджета, которые вынуждены расходовать участники контекстной рекламы, для посильной борьбы между собой, поэтому система является инструментом успешной борьбы на аукционах контекстной рекламы и не присваивает чужих средств!
Начну по порядку.
1. Связаться он не мог не с другом, а с теми ребятами которые делали сайт.
2. Узнал он о том что сайта якобы нет, уже после того как пришел к нам, и позвонил своему товарищу.
3. Адреса хранились в отдельной таблице, не имеющей отношения к WP и сайту вообще. Насторожить должно было то, что таблицы не имели префиксов как минимум и содержали только email адреса.
4. Если вы считаете, что в статье про реальный случай взлома, обязательно должен быть код или скриншоты того как это все произошло, то Вам на форумы тех кто этим промышляет.
Для тех кто считает статью плохой и ставит минусы: пишите пожалуйста в комментарии почему вы так решили. Потому как по времени, максимум что Вы прочитать успели, был заголовок и пара строк текста ниже.
Запятых возможно да, не хватает. Не все сотрудники пишут без ошибок. А то что все одним предложением — Вы попробуйте написать в форму обратной свзи на каком нибудь сайте, а потом посмотрите, что придет в ответ по Email, все как раз таки и будет одно предложение. Тут уже вина сайта которые обрезал переносы строк.
Согласен, возможно с рекомендациями перебрал немного. Но суть смены CMS в моем случае была такой, что старый хостинг, как бы странно не звучало, был оформлен не на клиента а на первого разработчика и восстановить доступ он мог по щелчку мышки. Поэтому и сменил хостера и перенес все и вся, а тот аккаунт перестал оплачиваться и был якобы заблокирован.
Блокировка ip конечно сразу же была настроена. Но запросы то поступать не перестали. Логи то пишутся по запросам даже с BanIP. Вот и пришлось написать тикет
Дыра в том, что даже если аккаунт заблокирован, соответственно он не должен функционировать, то к нему все равно можно подключиться по FTP и SSH и выполнить какие то манипуляции. Плюс на неактивном ноде активно работал Cron и слал Wget.
Разработчиков было 3. Я тот самый третий. Недоговариваю только то, что предыдущие разрабы взяли деньги (неплохие) и не выполнив около 30% работы слились кинув клиента.
А я на всякий случай решил перенести сайт на новый хост, так как от старого были доступы у предыдущих разрабов (первый вообще оформил хост на себя а не клиента), ну а дольше случилось что случилось.
Если нормально следить за проектами. Не пускать кого попало в управление. То и менять Вам никто ничего не будет.
А на счет «бесповоротно» я бы еще поспорил. Все вполне возвращается на свои места, если не тупить и действовать, а не бежать писать статьи «ОЙ как же так вышло, нужно об этом рассказать всем»
Дополнительно хотел бы уделить внимание моменту с указанием главного зеркала на самом сайте. Есть файл robots.txt и в нем должна быть указана директива host: указывающая на главное зеркало. По этому правилу поисковики знают, что именно считать главным зеркалом и остальные копии сайта заносить в дополнения.
Так же есть тег canonical, который указывает, какая именно страница является каноничной.
Да если злоумышленник имел непосредственный доступ к файлам, он мог заменить эту директиву. Но тут снова вопрос о Вашей бдительности.
Никакой уязвимости нет, есть только невнимательность со стороны владельца сайта.
как известно, системы контекстной рекламы основаны на аукционе, в котором первые места занимают в лютой борьбе самые богатые и крупные компании, завышающие цену клика в «Яндекс.Директе» более той, которая реальна для других, закладывая туда в том числе и возможные склики. Такой аукцион включает в себя также возможность подставок, когда один конкурент специально увеличивает стоимость клика у другого в силу того, что реальная стоимость клика составляет не величину Вашей ставки, а ставку конкурента на позицию ниже плюс 1 цент!
Система в автоматизированном режиме во много раз умножает конечную цену клика конкурента, разбавляя реальные клики целевой аудитории симулированными кликами (click fraud), обходя все системы защиты, и делая тем самым обладателя такой системы вне конкуренции на аукционах контекстной рекламы в своей области бизнеса. Таким образом, система не наносит непосредственный материальный ущерб конкуренту, но побеждает его в «Яндекс.Директе» в рамках заложенного им бюджета. Яндекс утверждает, что цена клика в «Директе» от 1 цента, поэтому, если клиент вынужден делать ставку 20 у.е., то, получается, что 1 цент уходит за клик, а 19.99 у.е. за вытеснение конкурентов при каждом клике. Но в настоящее время во многих компаниях происходит переоценка контекстной рекламы, и теперь возможно оставить конкурентов далеко позади, делая ставку на систему (0.11 у.е./склик без всякого аукциона)! Это тоже ставка. Наш робот перераспределяет рекламный бюджет между «Яндекс.Директом» и системой, освобождая излишки бюджета, которые вынуждены расходовать участники контекстной рекламы, для посильной борьбы между собой, поэтому система является инструментом успешной борьбы на аукционах контекстной рекламы и не присваивает чужих средств!
1. Связаться он не мог не с другом, а с теми ребятами которые делали сайт.
2. Узнал он о том что сайта якобы нет, уже после того как пришел к нам, и позвонил своему товарищу.
3. Адреса хранились в отдельной таблице, не имеющей отношения к WP и сайту вообще. Насторожить должно было то, что таблицы не имели префиксов как минимум и содержали только email адреса.
4. Если вы считаете, что в статье про реальный случай взлома, обязательно должен быть код или скриншоты того как это все произошло, то Вам на форумы тех кто этим промышляет.
А я на всякий случай решил перенести сайт на новый хост, так как от старого были доступы у предыдущих разрабов (первый вообще оформил хост на себя а не клиента), ну а дольше случилось что случилось.