Pull to refresh
15
0

Web-разработчик

Уязвимостью является как раз таки НАОБОРОТ ВОЗМОЖНОСТЬ жестко и бесповоротно указать ДРУГОЕ главное зеркало и владелец сайта ничего с этим НЕ сможет сделать.

Если нормально следить за проектами. Не пускать кого попало в управление. То и менять Вам никто ничего не будет.
А на счет «бесповоротно» я бы еще поспорил. Все вполне возвращается на свои места, если не тупить и действовать, а не бежать писать статьи «ОЙ как же так вышло, нужно об этом рассказать всем»
Может быть кто то писал уже (комментов много, все не успел прочитать).
  1. Заголовок гремит о том, что угнать сайт можно только через вебмастер Яндекса, а сама статья же рассказывает о совсем иной ситуации.
  2. Поставить сайт не основным зеркалом и угнать, извините, но не одно и тоже. Перевести трафик, выражайтесь точнее.
  3. То что Вы назвали уязвимостью, таковой не является. И со стороны Яндекса, абсолютно ясна позиция. Объясню почему:

  • Чтобы отправить запрос на изменение зеркала, на переезд сайта и так далее, необходимо иметь доступ к аккаунту вебмастера, к которому привязан данный сайт. Либо загрузить на сам сайт файл с верификацией доступа (либо мета-тег прописать).
  • Для проведения этих действий, у злоумышленника должен быть доступ к сайту (админка, FTP, SSH — неважно), к аккаунту вебмастера (Вашего, иначе права делегировать можно только подтвердив владением сайта — возвращаемся к варианту доступа к самому сайту).
  • Как злоумышленник может получить доступ к сайту и вебмастеру? Вы сами предоставили его! Никто силой не заставлял Вас этого делать.
  • Почему злоумышленник подал запрос на смену зеркала? Снова Ваша вина (в данном случае владельца сайта). Вы не удосужились сменить доступы или удалить временные аккаунты, которые предоставляли например для аудита.
  • Смена зеркала происходит не менее 1 недели. Получается Вы целую неделю просто не проверяли данные, хотя должны были бы, доступы то предоставляли.
  • Теперь к Яндексу. Что видит тот же менеджер «Платона»? Вы предоставили доступ, человек заходил в аккаунт. На сайте появился файл или мета-тег, значит человек действительно имеет право на смену информации (значит он доверенное лицо). Был запрос на изменение зеркала, никаких попыток на отмену в течении недели, а то и больше не было. Все легально, все по Вашему согласию.

Дополнительно хотел бы уделить внимание моменту с указанием главного зеркала на самом сайте. Есть файл robots.txt и в нем должна быть указана директива host: указывающая на главное зеркало. По этому правилу поисковики знают, что именно считать главным зеркалом и остальные копии сайта заносить в дополнения.
Так же есть тег canonical, который указывает, какая именно страница является каноничной.
Да если злоумышленник имел непосредственный доступ к файлам, он мог заменить эту директиву. Но тут снова вопрос о Вашей бдительности.
Никакой уязвимости нет, есть только невнимательность со стороны владельца сайта.
А где тут критика Яндекса? Пара предложений про отнекивания от проблемы, да. Критики нет.
По этому поводу у одной из подобных компаний описано так:
как известно, системы контекстной рекламы основаны на аукционе, в котором первые места занимают в лютой борьбе самые богатые и крупные компании, завышающие цену клика в «Яндекс.Директе» более той, которая реальна для других, закладывая туда в том числе и возможные склики. Такой аукцион включает в себя также возможность подставок, когда один конкурент специально увеличивает стоимость клика у другого в силу того, что реальная стоимость клика составляет не величину Вашей ставки, а ставку конкурента на позицию ниже плюс 1 цент!

Система в автоматизированном режиме во много раз умножает конечную цену клика конкурента, разбавляя реальные клики целевой аудитории симулированными кликами (click fraud), обходя все системы защиты, и делая тем самым обладателя такой системы вне конкуренции на аукционах контекстной рекламы в своей области бизнеса. Таким образом, система не наносит непосредственный материальный ущерб конкуренту, но побеждает его в «Яндекс.Директе» в рамках заложенного им бюджета. Яндекс утверждает, что цена клика в «Директе» от 1 цента, поэтому, если клиент вынужден делать ставку 20 у.е., то, получается, что 1 цент уходит за клик, а 19.99 у.е. за вытеснение конкурентов при каждом клике. Но в настоящее время во многих компаниях происходит переоценка контекстной рекламы, и теперь возможно оставить конкурентов далеко позади, делая ставку на систему (0.11 у.е./склик без всякого аукциона)! Это тоже ставка. Наш робот перераспределяет рекламный бюджет между «Яндекс.Директом» и системой, освобождая излишки бюджета, которые вынуждены расходовать участники контекстной рекламы, для посильной борьбы между собой, поэтому система является инструментом успешной борьбы на аукционах контекстной рекламы и не присваивает чужих средств!
Начну по порядку.
1. Связаться он не мог не с другом, а с теми ребятами которые делали сайт.
2. Узнал он о том что сайта якобы нет, уже после того как пришел к нам, и позвонил своему товарищу.
3. Адреса хранились в отдельной таблице, не имеющей отношения к WP и сайту вообще. Насторожить должно было то, что таблицы не имели префиксов как минимум и содержали только email адреса.
4. Если вы считаете, что в статье про реальный случай взлома, обязательно должен быть код или скриншоты того как это все произошло, то Вам на форумы тех кто этим промышляет.
Для тех кто считает статью плохой и ставит минусы: пишите пожалуйста в комментарии почему вы так решили. Потому как по времени, максимум что Вы прочитать успели, был заголовок и пара строк текста ниже.
Запятых возможно да, не хватает. Не все сотрудники пишут без ошибок. А то что все одним предложением — Вы попробуйте написать в форму обратной свзи на каком нибудь сайте, а потом посмотрите, что придет в ответ по Email, все как раз таки и будет одно предложение. Тут уже вина сайта которые обрезал переносы строк.
Тут ситуация как раз в том, что это и был VPS. Его отключили за неуплату, но доступ к нему по FTP и SSH все равно был открыт.
Это скриншот письма, которое пришло в ответ на обращение из формы обратной связи, разумеется все намешено в кучу.
Как раз есть история по поводу зарегистрируйте на Васю он мой друг, а потом Вас пропадает а аккаунт блокируют за спам.
Это просто совпадение. Притом это совершенно разные провайдеры.
Согласен, возможно с рекомендациями перебрал немного. Но суть смены CMS в моем случае была такой, что старый хостинг, как бы странно не звучало, был оформлен не на клиента а на первого разработчика и восстановить доступ он мог по щелчку мышки. Поэтому и сменил хостера и перенес все и вся, а тот аккаунт перестал оплачиваться и был якобы заблокирован.
Блокировка ip конечно сразу же была настроена. Но запросы то поступать не перестали. Логи то пишутся по запросам даже с BanIP. Вот и пришлось написать тикет
Дыра в том, что даже если аккаунт заблокирован, соответственно он не должен функционировать, то к нему все равно можно подключиться по FTP и SSH и выполнить какие то манипуляции. Плюс на неактивном ноде активно работал Cron и слал Wget.
Разработчиков было 3. Я тот самый третий. Недоговариваю только то, что предыдущие разрабы взяли деньги (неплохие) и не выполнив около 30% работы слились кинув клиента.
А я на всякий случай решил перенести сайт на новый хост, так как от старого были доступы у предыдущих разрабов (первый вообще оформил хост на себя а не клиента), ну а дольше случилось что случилось.
Все верно, сайт был перенесен, и была смена CMS сайта. Ддоса не вышло, хоть и лог файлы плодились на протяжении суток.
Да, крон отключили. Правда аж через 14 часов и кучу лог файлов с ошибками

Information

Rating
Does not participate
Location
Россия
Registered
Activity