Два проникновения на сайт с обновленной Joomla 3.4.8

  • 31 Ответов
  • 2861 Просмотров

0 Пользователей и 1 Гость просматривают эту тему.

*

zanoza5

  • Захожу иногда
  • **
  • 17
  • 1
Пишу подробно, чтобы лишних вопросов не было.

Дано:
  • Сайту около 2 лет
  • Joomla обновила сразу, как узнала про уязвимость
  • Шаблон - самопис
  • Из сторонних компонентов стоят PhocaGallery и Xmap - оба скачаны с официальных сайтов, своевременно обновляются
  • Сторонних модулей и плагинов нет вообще ни одного. Мелочи вроде кнопки "вверх", замены генератора и т. п. делались своими силами - пару лет назад пыталась освоить php и JavaScript, так и не выучила, но на мелочи моего базового набора навыков вполне хватило.
  • До декабря взломов не замечала, было несколько попыток брута безуспешных
  • Пароли и хостинга и сайта с БД сложные, с буквами разного регистра и спецсимволами, массово меняю примерно раз в месяц
  • На сайте нет рекламы,  сапы и прочего - проект по истории, некоммерческий
  • Админка дополнительно запаролена средствами хостинга
  • Доступ по ftp отключен года полтора назад под влиянием паранойи.


Через несколько дней после обновления Joomla (28 декабря) заметила, что сайт стал адски долго загружаться. При том, что он полностью оптимизирован для быстрой загрузки - сжаты скрипты, своя сборка мотулз, оптимизированы изображения, HTML без ошибок, в htaccess прописан кэш контроль, гзип и т. п. В общем, обычно сайт просто летает, а тут на загрузку страницы уходило около минуты. Написала хостеру, думала, что хостинг тупит. Хостер ответил, что у меня взлом.
Взлом был один в один как описывалось на хакер.ру в статье про уязвимость Joomla. Я так и поняла, что ею успели воспользоваться до того, как обновила движок.
Что было сделано: прогнала ай-болитом, удалила все, что он нашел. Вручную проверила набор файлов Joomla, который был указан в качестве приоритетных при использовании этой уязвимости - удалила из них вражеский код, дополнительно прошлась поиском по файлам на предмет нахождения бейз64 и прочих радостей, выпилила все найденное. Дополнительно хостер прогнал каким-то своим софтом на предмет уязвимостей и левых кодов - все чисто было. Сменила все до единого пароли, сделала бэкап и успокоилась.

И вот сутки назад мне пришло письмо от гугла:
"Мы обнаружили, что Ваш сайт был взломан и на нем разместили вредоносный контент. Посетители перенаправляются на страницы с нерелевантным или опасным содержанием, что приводит к ухудшению результатов поиска. В связи с этим были вручную приняты определенные меры. Пользователи видят предупреждение о наличии взломанного контента на сайте."

Полезла в cpanel, а там помимо моих обычных файлов и папок оказалось 400 мб хтмл-страниц левых.


Их удалила, была еще папка левая с такой же начинкой - ее тоже выпилила, удалила все левые скрипты, какие нашла. В логах просмотрела ошибки и пост-запросы. Обнаружила, что обращения пост были к стандартным компонентам - баннерс и веблинкс. Снесла их немедленно. Плюс в папках Joomla были размещены скрипты с вражеской начинкой. Там бейз64 поиском не находился, но присутствовал в таком виде "ibiaisie6i4i_dieicoide". Их тоже снесла. Перепроверила и роботом Google - не находит ничего. Опять сменила пароли полностью, сделала бэкап (его дополнительно проверила антивирем и XSS и SQL Injection сканером - ничего не нашлось).

Собственно, после этого пока не было ни левых модификаций файлов, ни появления незапланированной начинки в цпанели, но мне неспокойно. В error log сегодня пачка строк такого вида "Trying to get property of non-object in /home/....../public_html/components/com_search/controller.php on line 89". Это опять лезут?

Кто-то сталкивался с подобным? Где еще может быть спрятана зараза? Первый взлом и второй связаны? - То есть, я после первого взлома что-то недочистила или это два разных и по разным причинам произошедших?
Буду очень признательна, если кто-то сможет подсказать что-то дельное.

*

voland

  • Профи
  • ********
  • 9378
  • 421
  • СКАЙП утерян! Пишите в телеграм @volandku
Удивительно хорошо написанный пост.
По сабжу - скорее всего недочистили.

А бэкапы до заражения имеются?
Если да - то можно сравнить на наличие файлов, которых не было (ftp в первую очередь).
Сайт на учетке один?

*

zanoza5

  • Захожу иногда
  • **
  • 17
  • 1
Удивительно хорошо написанный пост.
По сабжу - скорее всего недочистили.

А бэкапы до заражения имеются?
Если да - то можно сравнить на наличие файлов, которых не было (ftp в первую очередь).
Сайт на учетке один?
Сайт на учетке один, да.
Бэкапы старые храню около полугода, но думала, что они не сгодятся для сравнений, так как версии Joomla там более ранние.
Сейчас попробую сравнить с ними, благодарю.

*

zanoza5

  • Захожу иногда
  • **
  • 17
  • 1
Сравнением со старым бэкапом нашлись еще вражеские файлы. Список вот - мало ли кому-то пригодится:

/components/com_users/models/license.php
/libraries/fof/template/test.php
/media/plg_quickicon_joomlaupdate/js/general.php
/plugins/authentication/user.php
/plugins/finder/view.php

Все они содержали eval.


*

zanoza5

  • Захожу иногда
  • **
  • 17
  • 1
Не дочистили. Надо искать еще, что осталось.

Что нашла после первого поста темы - расписала выше. Остальные файлы идентичны чистым - ни лишних, ни измененных больше не нашлось. Сравнивала со старым бэкапом и с чистой Joomla программой winmerge. Пока не вижу, куда дальше копать, и надо ли. Сменила пароли, сделала бэкап, посмотрим.

*

zanoza5

  • Захожу иногда
  • **
  • 17
  • 1
Явился, видимо, взломщик - в последних посетителях с одного айпи планомерные обходы страниц вражеских (ныне удаленных).
Лезет кроме этого в кэш файлы - это опасно? У папки с кэшем права 755


*

vipiusss

  • Профи
  • ********
  • 5517
  • 318
  • JoomlaNet
видимо что-то ещё не удалили.
обычно робот ищет свои уязвимые места, то что сделал ранее и ими манипулирует.
а обнова тут совершенно не при чём.
видно "***коду" время пришло.
Миграция, установка, обновление версий Joomla  |  Создание сайтов "под ключ"  |  Эксклюзивные заглушки "offline"  |  Работа с "напильником" над шаблонами и расширениями

*

draff

  • Практически профи
  • *******
  • 2739
  • 169
  • step by step
В папку /cache, /tmp, /images , /administrator/cache
.htaccess с запретом на выполнение скриптов

*

vipiusss

  • Профи
  • ********
  • 5517
  • 318
  • JoomlaNet
В папку /cache, /tmp, /images , /administrator/cache
.htaccess с запретом на выполнение скриптов
значит не скрипты исполняются, а как вы вверху указали,php файлы, а в них уже-что угодно.
и заметьте: раз у вас уже кешом ***код правит, вам нужно реально этим вопросом заняться.
на форуме есть много толковых людей по "чистке".Советую обратиться.
Миграция, установка, обновление версий Joomla  |  Создание сайтов "под ключ"  |  Эксклюзивные заглушки "offline"  |  Работа с "напильником" над шаблонами и расширениями

*

zanoza5

  • Захожу иногда
  • **
  • 17
  • 1
В папку /cache, /tmp, /images , /administrator/cache
.htaccess с запретом на выполнение скриптов

Спасибо, в папки с кэшем закинула, а в остальных ранее ставила .htaccess. Код этот, я правильно понимаю?

Код
RemoveHandler .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
AddType application/x-httpd-php-source .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml

*

zanoza5

  • Захожу иногда
  • **
  • 17
  • 1
Может больше нет ничего? Он 4 раза по кругу протыкался. Сначала GET запросы к своим файлам - везде 404 получил, потом POST запросы всякие - тоже чисто там, куда совался.

*

winstrool

  • Завсегдатай
  • *****
  • 758
  • 39
  • Свободен для работы
Спасибо, в папки с кэшем закинула, а в остальных ранее ставила .htaccess. Код этот, я правильно понимаю?

Код
RemoveHandler .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
AddType application/x-httpd-php-source .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml
Рекомендую запреты выстовлять из корневого .htaccess'a на каждую папку и немного в другой форме, затем все htaccess и index.* заменить на права 0444, если нет необходимости править шаблоны то там тоже все файлы на 0444, на тот случай если будет доступ в админку не смогли перезалиться, затем в корневой папки выставить права на 0555, open_base_dir настроить вплоть до public_html, пройдитесь поиском mtime и ctime, к примеру за последние два месяца, также можно сделать хешь суммы той версии (с офф источника) и вашей, и сравнить, айболитом нужно сканить в пороноидальном режиме по всем файлам, также можно пройтись по БД, на наличие сторонних скриптов.

Может больше нет ничего? Он 4 раза по кругу протыкался. Сначала GET запросы к своим файлам - везде 404 получил, потом POST запросы всякие - тоже чисто там, куда совался.
Ответам хидеров, не стоит доверять, можно бегдор так сделать, что вы будите видеть в логах 404 или другую ошибку, а по факту будет выполняться бегдор.
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

zanoza5

  • Захожу иногда
  • **
  • 17
  • 1
Рекомендую запреты выстовлять ....
Ответам хидеров, не стоит доверять, можно бегдор так сделать, что вы будите видеть в логах 404 или другую ошибку, а по факту будет выполняться бегдор.


Спасибо Вам огромное. Большую часть рекомендаций мне сделать не по силам (не умею) - попросила хостера помочь, скопировала Ваш пост - вот разбирается.
По хидерам - я вручную проверила файлы, к которым он обращался. Выкидывало на 404 страницу меня тоже. Поэтому здесь пока не знаю.

*

winstrool

  • Завсегдатай
  • *****
  • 758
  • 39
  • Свободен для работы
Спасибо Вам огромное. Большую часть рекомендаций мне сделать не по силам (не умею) - попросила хостера помочь, скопировала Ваш пост - вот разбирается.
По хидерам - я вручную проверила файлы, к которым он обращался. Выкидывало на 404 страницу меня тоже. Поэтому здесь пока не знаю.
вы смотрите по наличию файла, а через веб, я вам могу пример показать как это устроено, но заморачиваться надо...

P.s: простейший пример

Цитировать
<?php
header("HTTP/1.0 404 Not Found");

if(isset($_COOKIES['id']='info')){
phpinfo();
}

?>
« Последнее редактирование: 10.01.2016, 15:00:37 от winstrool »
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

zanoza5

  • Захожу иногда
  • **
  • 17
  • 1
вы смотрите по наличию файла
Ну вот он такое в логах оставил

Код
61.100.180.31 - - [10/Jan/2016:09:38:16 +0300] "POST /plugins/content/pagebreak/javascript.php HTTP/1.0" 404 1594 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0"
61.100.180.31 - - [10/Jan/2016:09:38:17 +0300] "POST /modules/mod_languages/config.php HTTP/1.0" 404 1594 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0"
61.100.180.31 - - [10/Jan/2016:09:38:19 +0300] "POST /modules/mod_footer/xml.php HTTP/1.0" 404 1594

Правда, это лишь кусок, на деле к большему количеству файлов обращался. Я прошлась по путям из лога - файлов нет, к которым он стремился.

Ай-болит в параноидальном режиме вражескими пометил только htaccessы, которые я сама насоздавала и в начинке которых уверена.

*

vipiusss

  • Профи
  • ********
  • 5517
  • 318
  • JoomlaNet
/plugins/content/pagebreak/javascript.php
это у вас.
/modules/mod_languages/config.php
а от сюда идёт.

//

это не движка вообще файлы.

///
дайте код спойлелом, всем удобнее будет
Миграция, установка, обновление версий Joomla  |  Создание сайтов "под ключ"  |  Эксклюзивные заглушки "offline"  |  Работа с "напильником" над шаблонами и расширениями

*

zanoza5

  • Захожу иногда
  • **
  • 17
  • 1

это не движка вообще файлы.

дайте код спойлелом, всем удобнее будет

Я знаю, что это не файлы движка, а зараза - поэтому и удалила их, о чем писала выше. В полном коде не вижу смысла, потому что все файлы, которые там фигурируют, были удалены ДО сегодняшнего прихода взломщика (по ним всем 404). Остальной код - страницы моего сайта реальные. Ну и главная причина, полный код - это 12 мб текста.

Взломщик наоставлял ссылок на свои подвиги в рамках моего сайта на других сайтах (судя по всему, тоже взломанных). В Google торчит катастрофа эта. Я волнуюсь очень. Сайт до взлома был в топах по своим запросам, а сейчас неизвестно, чего ждать...

Пока новых попыток внедрения не было и фалы не изменялись. Хостер тоже ничего не нашел - говорит, что сайт чистый.

*

winstrool

  • Завсегдатай
  • *****
  • 758
  • 39
  • Свободен для работы
Если уверены что сайт чист, сделайте md5hash суммы файлов и переодически сверяйте их, там уже точно будет видно в каких файлах происходили изменения, и не придется все потом перелопачивать
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

zanoza5

  • Захожу иногда
  • **
  • 17
  • 1
Если уверены что сайт чист, сделайте md5hash суммы файлов и переодически сверяйте их
Для этих целей установила Eyesite. Спасибо.

*

Old

  • Новичок
  • *
  • 5
  • 0
Абсолютно тоже самое, и дата примерно та же, компонентов которые установлены у вас нет, но вот обнова была установлена спустя дней 10 после нахождения 0-дей, сайт был заражен до этого, за 2-3 дня. Я бы проверил на вашем месте еще почту, т.к. у меня идет спам, по мимо точно тех же страниц, и точно такого-же заражения. Спам идет через php скрипты, в которые встроен код, если ssh есть к серверу, то можно посмотреть очередь сообщений, и если есть подозрительные, в теле письма будет указано, какой из скриптов инициирует отправку.

Касаемо того, как искать файлы, большая часть из тех, в которые код добавлен, находятся через фар или тотал командер, если вбить в поиск по маске *.*php и в самом поиске вбить просто без всего, пробелов 15-20. Т.к. сам код искусственно смещается сильно вправо, для того, чтобы при открытии в текстовом редакторе вы его визуально не увидели, если бы не стали скролить вправо. Текст там в бейс64, как верно замечено, и по нему искать не получится - он разный, но вот такой способ позволяет большую часть найти, из-за характерного смещения. В моем случае было порядка 45-50 файлов со встроенным кодом, не считая добавленных, которых в движке нет.

Самих же страничек у меня нагенерило 30 тысяч за примерно сутки-полутора, все на китайском, на момент их нахождения и удаления. Еще был залит скрипт в корень, в котором заботливо была встроена функция загрузки файла в ручном режиме, т.е. поле обзора и кнопочка "ОК".

Теперь о плохом - первое заражение, как у вас, но без загрузки файлов, у меня было в тех же числах. Я все почистил, как я думал, но через 10 дней, накрыло второй волной, и к спаму уже добавились те же файлы. Значит что-то было не удалено, и где-то куски остались. Файлы генерятся рандомно, и пихает он их в разные места, поэтому указывать их тут бессмысленно.

Еще момент, который может чем-то помочь, 2 шелла php-шных у меня нашло просто антивирусом виндовым, когда перекинул все файлы на локалку, проверял comodo, он среагировал.

*

zanoza5

  • Захожу иногда
  • **
  • 17
  • 1
Я бы проверил на вашем месте еще почту....

Касаемо того, как искать файлы, большая часть из тех, в которые код добавлен, находятся через фар или тотал командер, если вбить в поиск по маске *.*php и в самом поиске вбить просто без всего, пробелов 15-20.........
Текст там в бейс64, как верно замечено, и по нему искать не получится - он разный...........

Спасибо за подсказки. С поиском по маске я не додумалась - это бы сэкономило кучу времени. Проверила один из больных бэкапов - находит заразу эту, на живом сайте в данный момент таких файлов не найдено.

По бейс64 - я у себя находила вот такие его вариации:

Код
dtce6os_ba4p
d4esboa_tcp6
abs_6pc4odte
t4sdapb6oce_

С почтой сложнее. Не могу посмотреть, так как с хостером не нашли взаимопонимания - он просто вырубил почту мне после взлома, не предупредив, логи за день взлома, к сожалению, тоже недоступны, как и почтовые. Шаред хостинг. Готовлюсь из-за этого к переезду на VDS.

До сих пор вижу в логах, что пытается попасть к своим файлам удаленным взломщик. Ничего пока больше не нахожу, установленный eyesite тоже измененных файлов не находит (протестировала его - заливала, удаляла и меняла текст в файлах, чтобы проверить, заметит ли - он замечал).

Ну и из приятного - сегодня получила письмо от Google такое. Надеюсь, что эта беда позади, но пока неспокойно - проверяю несколько раз в день.




*

draff

  • Практически профи
  • *******
  • 2739
  • 169
  • step by step
Цитировать
сам код искусственно смещается сильно вправо, для того, чтобы при открытии в текстовом редакторе вы его визуально не увидели, если бы не стали скролить вправо.
NotePad++ Вкладка Вид-Перенос строк. И все строки будут переноситься и код весь будет видно
И советую проверять, к выше написанному, установленные плагины. И новых супер-админов.
p.s.
sitemap.xml в корне сайта хакер оставляет свой
Цитировать
Самих же страничек у меня нагенерило 30 тысяч за примерно сутки-полутора, все на китайском, на момент их нахождения и удаления.
И проверить в поисковиках свой сайт site:http://site.ru
« Последнее редактирование: 13.01.2016, 11:50:33 от draff »

*

zanoza5

  • Захожу иногда
  • **
  • 17
  • 1
Напрягли меня вот такого плана запросы

Код
[12/Jan/2016:07:58:14 +0300] "GET / HTTP/1.0" 200 20087 "-" "GuzzleHttp/6.1.0 curl/7.29.0 PHP/5.6.14"
178.154.243.98
[12/Jan/2016:20:31:14 +0300] "GET / HTTP/1.0" 200 20226 "-" "GuzzleHttp/6.1.0 curl/7.29.0 PHP/5.6.14"
66.249.69.103
[13/Jan/2016:07:53:14 +0300] "GET / HTTP/1.0" 200 20262 "-" "GuzzleHttp/6.1.0 curl/7.29.0 PHP/5.6.14"
66.249.75.86

Запросы выдрала поиском по аксеслогу. Может паранойя уже.


*

Old

  • Новичок
  • *
  • 5
  • 0
Код
dtce6os_ba4p
d4esboa_tcp6
abs_6pc4odte
t4sdapb6oce_

У меня по этому ничего не находит на зараженном бэкапе, оно генерится рандомно, как и добавляемые файлы, как и места, куда они добавляются. Метод с пробелами, кстати, тоже не сто процентный, у меня было 2-3 файла, у которых код были выстроен лесенкой, чтобы нормально не искаться таким образом. Но 95% так находит точно.

Касаемо проверки гуглом, он на самом деле ничего толком не проверяет, у меня ни Яндекс, ни Google, ни любой другой онлайн антивирус ничего не нашли, хотя уже было 50+ зараженных файлов и шел спам. Все, на что среагировал Google у вас, это левые странички в огромном кол-ве, которые попали в индекс похоже, кроме этого толку от него нет, так что не особо полагайтесь.

А какой у вас шаредхостинг? У меня просто впс-ка, и была мысль, что возможно через какую-то дырку там, хотя другие сайты не заражены были, на других движках, а тут вот оно как. Название можете не говорить, если не хотите, просто интересует крупный или мелкий хостер, чтобы для себя понять.

sitemap.xml в корне сайта хакер оставляет свойИ проверить в поисковиках свой сайт site:http://site.ru

Интересное замечание, спасибо, посмотрел, но в моем случае не было его

P.S. - За название компонента спасибо, поставим, посмотрим, как оно
« Последнее редактирование: 13.01.2016, 17:39:11 от Old »

*

winstrool

  • Завсегдатай
  • *****
  • 758
  • 39
  • Свободен для работы
У меня по этому ничего не находит на зараженном бэкапе, оно генерится рандомно, как и добавляемые файлы, как и места, куда они добавляются. Метод с пробелами, кстати, тоже не сто процентный, у меня было 2-3 файла, у которых код были выстроен лесенкой, чтобы нормально не искаться таким образом. Но 95% так находит точно.
В таком случае ищите бегдоры по ctime и mtime, также сравнивайте хешь суммы вашей версии движка с оригинальной.

Касаемо проверки гуглом, он на самом деле ничего толком не проверяет, у меня ни Яндекс, ни Google, ни любой другой онлайн антивирус ничего не нашли, хотя уже было 50+ зараженных файлов и шел спам. Все, на что среагировал Google у вас, это левые странички в огромном кол-ве, которые попали в индекс похоже, кроме этого толку от него нет, так что не особо полагайтесь.

А с чего вы взяли что ПС имеет доступ к исходным кодам вашего сайта?, они могут анализировать только по доступным им критериям, это HTML, JS, CSS.
« Последнее редактирование: 13.01.2016, 21:35:44 от winstrool »
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

zanoza5

  • Захожу иногда
  • **
  • 17
  • 1
У меня по этому ничего не находит на зараженном бэкапе....

А какой у вас шаредхостинг?



А Вы с чистым дистрибутивом и со своими старыми чистыми бэкапами пробовали сравнивать? Я конечно не уверена, что вычистила все, но после сверки и последних находок с ее помощью пока вроде бы тихо все.

У меня не было вирусов на сайте - только левого напихивали. Антивирусы ничего не находили.
По размерам хостинга ничего не скажу - не разбираюсь в этом. 6 лет им пользовалась - все устраивало. Складировала там на разные аккаунты сапосайты раньше. Не занимаюсь больше ***сайтами, а хостинг остался по привычке. Сайты там ломали у меня и раньше пару раз, но в целом я бы не сказала, что взломы много хлопот доставляли.

У меня кроме японских были и русские страницы левые, и англоязычные. Забыла добавить - взломщик удалял трижды мой robots.txt

*

Old

  • Новичок
  • *
  • 5
  • 0
Мы будем ставить все на чистую, и просто накатывать поверх бэкапы баз данных, вычищать не будем больше, старым добрым способом - удали все, поставь заново. Это не вирусы, в чистом виде, просто так детектил антивирус, как раз это "то самое" левое и было. Про robots.txt спасибо, но у нас вроде такой проблемы не было. А права стояли 644 на него (только чтение)?
По поводу страничек, возможно были на других языках, все 30к конечно я не смотрел, но те, что подались, были иероглифы.

*

winstrool

  • Завсегдатай
  • *****
  • 758
  • 39
  • Свободен для работы
А права стояли 644 на него (только чтение)?
только чтение 0444 и то исправить можно средствами PHP, надо в дисаблед функции добавлять chmod, для исключения этой проблемы и то есть хитрости обойти это, по этому также нужен комплексный подход к политике прав...
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям