Вроде все проверил, в /language и /administrator/language чисто.
Мой сайт был в выдаче яндекса по ключевикам "гороскоп, составить гороском" чуть ли не в первой десятке. Вредоносные странички были сверстаны по всем сеоправилам, с адекватным HTML и дизайном. Я понимаю, что ботнет из зомби-сайтов (кстати в поисковике нашел кучу с такой же заразой), довольно быстро может поднять сам себя в выдаче. Но зачем?
Порыскал по таким сайтам, они перессылаются только на друг друга, и то не все, с некоторых даже нет внешних ссылок. Есть ссылка, которая с помощью javascript подсовывается пользователю, решившему таки составить себе гороскоп:
<script language="JavaScript" type="text/javascript">
var _auth = false;
var SITE_URL = "http://_ссылка_на_сайт_злоумышленника_сломавшего_мой_сайт_/goroskop.html";
$("div.circle a.znak").click(function (){
$('#next_button').click(function(){
window.location.replace(SITE_URL+'?sid=7&tds-zodiak='+$(this).attr('zid'));
});
});
</script>
<a class="znak z12" id="z12" href="javascript:void(0);"><span>Козерог<small>(22.12—20.01)</small></span></a>
Перешел по предложенной ссылке, думал, что попаду на какой-нибудь дорвей. Ан нет, попал на сайт со всякими тестами, который действительно предлагал составить гороскоп за SMS. Конец немного предсказуем. Человек отправляет SMS, теряет ощутимую сумму, а владелец сайта получает деньги. Цитата с сайта (темными буквами на черном фоне, font-size: 10px, в HTML коде буквы заменены мнемониками):
Для получения доступа к сайту абонентам необходимо отправить ответное SMS сообщение на номер ... Стоимость SMS на номер... Стоимость подписки для абонентов Билайн: 20 руб. с НДС раз в день. Для остановки подписки необходимо отправить смс-сообщение с текстом STOP на номер...
Ок, теперь все кристально ясно. Злоумышленник взламывает сайт и размещает на нем данные страницы, в случае надобности организует ссылки на соседей, для того, что бы поднять их выше в выдаче поисковиков. Запрос по гороскопам не такой уж и редкий.
Доверчивый человек попадает на такую страницу (довольно презентабельную кстати). Жмет кнопку, его переадресует на сайт некоторой биржи, назовем ее так, где фиксируется кому именно зачислить деньги за этот переход (в ссылке есть айдишник). И сразу переадресуется на сайт с гороскопом. Причем для пользователя это выглядит как простой переход. Там-то уже, если он фатально доверчив, получает подписку на ненужный сервис, предупреждение о которой запрятано как только можно. И теряет раз в сутки по 20 рублей.
Вот ссылки на злоумышленников:
биржа - _grom2_ru_
сайт, который получает непосредственную прибыль - _luboidomen_ru _
Я не думал, что люди до сих пор ведутся на подобные разводы с SMS. Но, черт побери, мой сайт до сих пор бомбардируют запросы этих страниц из поисковиков. Бот яндекса пересканировал эти страницы уже дважды судя по логам. Кроме того, безумно много запросов, которые пытаются нашарить Wordpress:
GET /wp-includes/js/swfupload/plugins/
GET /wp-includes/js/tinymce/plugins/paste/
GET /wp-includes/js/tinymce/plugins/media/
Вот такая история.
31.03.2024, 16:14:32