Ходим на работу в интернет

Сколько раз маленький ребенок делает попытку встать и пойти, пока не научится ходить?

Подкидыши на вашем сайте…

Автор: Игорь

Для затравки выношу сюда один из комментариев, с которого все началось.

Что это?
Сегодня проверила свой строит блог

в сервисе http://pr-cy.ru/ на предмет индексации страниц Яндексом.
От открывшейся картины упала со стула
Проиндексировано 262 стр (два дня назад было 63)
большинство названий вообще не моих (про НЛО, про БАД, бардовские песни, группу Ранетки ит ) Попробовала пооткрывать- эти страницы все пустые.
Так и хочется Яндексу задать вопрос из фильма Брат2-»Болеете,да?»

Для начала, принимаем как данность что автор комментария не мог забыть о том, что это он сам делал с блогом некие манипуляции.

Вот от этой печки и танцуем.

В исходном комментарии была ссылка на блог и на проиндксированные Яндексом страницы.

На них и идем смотреть. Если пробовать открывать из обычным образом — они пустые. Но под каждой ссылкой на страницу, находящуюся в индексе яндекса есть кнопочка «Сохраненная копия». И вот если нажать именно ее — откроется чудная картина.

Ссылка ведет на статью (об НЛО, например), в которой стоит полдюжины ссылок на некий сайт.

И таких статей — немало.

Теперь смотрим — что у них общего (не у статей, у ссылок на такие статьи)? А общее у них есть. Все они начинаются похожим образом:

имя-домена.ru/6530.php?aid=тут некий id

При этом статьи, которые вы размещали сами, выглядят, с точки зрения адреса, совсем иначе.
имя-домена.ru/2009/02/22/название статьи/

Иначе говоря, у всех чужих статей присутсвует вот эта красота: 6530.php

Я зашел на ваш блог по фтп и обнаружил в корне блога файл 6530.php, который поселися там, судя по дате, 16.02.2009.

А живет там классический скрипт каталога статей, который и размещает на вашем сайте посторонние статьи…

Короче говоря, если вы не вступали ни в какие сервисы обмена статьями — значит вам кто-то данный скрипт подселил.

Зачем это делается — объяснять, думаю, не надо. Кто-то просто-напросто продвигает свои ресурсы за ваш счет. Злоумышленник вступил в один из сервисов обмена статьями, предоставил в качестве рекламной площадки ваш блог, а в обмен на это получил возможность размещать свои статьи на сотнях других площадок.
Причем, сервис обмена — из числа самых поганеньких. Серьезные сервисы просто не примут в обмен сайты, у которых не стоит с главной страницы ссылка на этот самый каталог статей. У вас такой ссылки, разумеется, нету.

Что из всего этого следует. Прежде всего — кто-то получил доступ к вашему серверу по фтп. Поэтому — немедленно, прямо сейчас идите и меняйте пароли фтп.
Но перед этим проверьте свой компьютер на наличие троянов — именно они воруют пароли от фтп.

Что делать с подкидышем — файлом 6530.php обяснять, думаю, не надо, к ногтю его.

------------------------------------------------------------
PS: Получатели нашей приватной рассылки узнают первыми обо всем. И всегда получают чуть больше других.
Приватная рассылка, подписаться!
------------------------------------------------------------


  1. sdg7 сказал,

    Я честно говоря в шоке.. первый раз такое слышу. За информацию спасиба :)

    Ответ. Мне тоже не доводилось прежде о таком слышать. Умнеет народ, раньше все больше просто тупо ломали и ставили ридирект. А здесь — готов поспорить, что 99% владельцев сайтов такого вообще не заметят.

  2. sunie сказал,

    Грешна! Вспомнила, это я сама его туда….
    Попыталась пообмениваться статьями да что то мне не понравилось, с сайта код удалила а с каталога нет, ворона!
    Игорь а как вы зашли в мое фтп,я же пароль меняла?

    Ответ. Ну, видимо вот так меняли…

  3. sunie сказал,

    в догонку 6530.php удалила

  4. sunie сказал,

    пардон что всех сбаломутила. Сколько же ошибок трудных еще наделаю прежде чем знания сложатся как пазлы в голове в каринку. Что то делать уже лишний раз боишься- не делать не добьешься результата.

Добавить комментарий


семь + 6 =