Внутри взломанной сети обратных ссылок SEO

1. Анализ взлома
2. Основные ошибки хакера
3. Принесено вам частично: trackback spam
4. Мотивация для этого взлома
5. Информирование других взломанных сайтов
6. Похожие сообщения

Во вторник на прошлой неделе мы получили уведомление от Google, в котором говорится, что сайт клиента был взломан. В то время я не осознавал, что это был один из самых безумных SEO-взломов, которые я видел за очень долгое время.

Эти типы взломов очень распространены в межсетевых сетях, особенно на сайтах WordPress. Хаки обычно разыгрывают что-то вроде этого:

Злоумышленники будут сканировать открытую сеть на наличие IP-адресов, которые содержат определенные рамки. В этом случае они искали сайты WordPress, однако я также нашел сайты Magento, пользовательские сайты и несколько других фреймворков. Одним из наиболее впечатляющих аспектов этих хаков было то, что я нашел множество различных фреймворков, которые только что были взломаны, не только WordPress (или Joomla, и т. Д.).

Оттуда хакеры массово сканировали целевые сайты на те, которые имели устаревшие фреймворки и плагины. Затем они ищут на каждом сайте известные эксплойты и используют их для получения доступа к системе. В большинстве случаев это инъекции SQL.

Взломанная сеть ссылок выглядит примерно так:

Масштабная версия взломанной сети ссылок SEO, которую мы обнаружили

Чтобы продемонстрировать, насколько легко это можно сделать, приведем пошаговое видео атакующего на YouTube. получение доступа к WordPress сайт примерно за 3 минуты. Сумасшедший, верно?

Получив доступ, злоумышленники часто ставят перед собой разные цели в отношении того, что делать со взломанным сайтом. Иногда они политически мотивированы и выкладывают и целевую страницу для своих хакерских групп. В других случаях вы даже не заметите ничего плохого, они хотят расширить свой ботнет, чтобы использовать ваш сервер в качестве узла в своей системе атак.

В других случаях, и в этом случае они очень бдительны, поэтому SEO хотят использовать ваш сайт в качестве гигантского источника сока ссылок для продажи ссылок или для повышения собственных партнерских сайтов. Вторым мотивом этого взлома могло быть получение номеров кредитных карт от потенциальных клиентов, но у меня нет никаких доказательств этого.

Анализ взлома

Для начала, злоумышленник загрузил 14 000 файлов на сервер, который оказался сервером Godaddy. 95% этих файлов были HTML-файлами, которые содержали полуфункциональную страницу, похожую на электронную коммерцию.

Большая часть контента была на азиатском языке, который я определил как японский с помощью Google Translate:

Использование Google translate для определения языка взломанной сети.

Здесь вы можете увидеть домашнюю страницу другого взломанного сайта в этой же сети, на котором работает Magento (с серьезными проблемами).

Злоумышленники много раз (не в этом случае) оставляли переднюю часть сайта в такте

Злоумышленник загрузил HTML-файлы на внутренние страницы взломанных сайтов. Если веб-мастер не просматривает внутренние каталоги сервера, они, вероятно, даже не заметят, что их взломали.

Между тем, бэкэнд сайта содержит тысячи взломанных страниц

Благодаря некоторому тщательному взлому Linux, я собрал список файлов и пересчитал их в список имен файлов.

Использование командной строки Linux для массового редактирования имен файлов

Получив этот список, я загрузил все файлы в дезинфицированный и изолированный VPS, на котором я мог поиграть. Этот сервер еще работает в данный момент:

Зеркало взломанного сервера: http://107.170.172.107 (по состоянию на 2017 год, больше не отражается)

Это позволило мне свободно просматривать файлы в Интернете, не рискуя беспокоиться о целостности сервера.

Оттуда я загрузил моего верного старого друга Scrapebox 2.0 и использовал аддон «экстрактор ссылок». 64-битная версия этого инструмента в 2.0 сгорела в этом списке всего за несколько секунд.

Scrapebox 2.0 извлек все ссылки с живого сервера

Я загрузил список из экстрактора ссылок, обрезал до корня, удалил дубликаты, и у меня остался хороший список из 239 сайтов, на которые ссылались наши взломанные сайты.

Только с нашего сервера мы обнаружили почти 300 других потенциально взломанных сайтов

В этот момент я пришел к выводу: это был не просто взломанный сайт моего клиента, это была своего рода умная сеть ссылок. По умолчанию я полагал, что все взломанные сайты просто указывали на какой-то сайт с деньгами, но я пришел к выводу, что мой взломанный сайт указывал на другие взломанные сайты, и эти взломанные сайты указывали даже на другие взломанные сайты.

Просмотрите исходный код на любой из взломанных HTML-страниц, и вы увидите все виды исходящих ссылок на все виды различных сайтов с одинаковым размером:

Например, посмотрите на источник просмотра области содержимого этого сайта:

Просмотр исходного кода выявил тонны исходящих ссылок на другие взломанные сайты, которые ссылались на основной сайт денег.

Я обнаружил сотни других взломанных сайтов в этой «сети», все с сотнями или тысячами HTML-файлов, загруженных на их сервер. С каждым зараженным сервером я обнаруживал все больше и больше сайтов с деньгами.

На каждый взломанный веб-сайт было загружено от 100 до 2000 HTML-файлов.

Я провел несколько случайных «выборочных проверок» на некоторых из этих доменов, некоторые из них были взломаны с середины 2014 года, но многие из них были взломаны недавно.

В какой-то момент я подумал, что, возможно, стоило бы сделать длинный WHOIS и посмотреть, могу ли я сопоставить какие-либо подробности владельца регистрации с привязкой к владельцу (не то, чтобы я их исключил или что-то в этом роде), но, конечно, сайты с реальными деньгами. были все частные WHOIS.

Поиск информации о взломанных сайтах для владельца сайта WHOIS, чтобы сообщить им, что их сайты были взломаны.

Одна из замечательных особенностей этой «сети связи» заключается в том, что она является взаимозависимой и независимой одновременно. Все сайты полагаются друг на друга, чтобы помочь увеличить свой портфель ссылок, но в то же время, если один из них произвел сканирование вредоносных программ и удалил файлы, это не повлияет на другие сайты в сети.

Вот один из примеров того, как выглядел один из взломанных URL. На первый взгляд это полностью функционирующий веб-сайт электронной коммерции, но на самом деле это просто визуализированная HTML-страница со всеми ссылками, указывающими на «денежный сайт». Любая попытка добавить товар в корзину и т. Д. Просто приведет вас к деньгам. сайт.

Загрузил взломанные файлы на карантинный сервер для дальнейшего анализа

Большинство сайтов с деньгами имели практически одинаковый стек:

• ZenCart
• Nginix
• Cloudflare
• так далее

Сайт денег выглядит идентично взломанному сайту

Опять же, около 90% сайтов с деньгами были на японском языке на японских хостах.

В конце концов, я определил эти 6 доменов в качестве основных «денежных сайтов» и действительно ответственных за эту широко распространенную атаку:

http://www.menfashion.top/ http://www.ladyshoeskan.com http://www.fashionboots.site http://www.rock-music.top/ http://www.gagatokei.top/ http://www.pen-kan.website/

(черт, нет, они не получают ссылку)

Большинство из этих доменов имеют очень низкий авторитет домена, за исключением нескольких из них.

Основные ошибки хакера

Хотя меня несколько впечатлило, что этот злоумышленник был достаточно мотивирован, чтобы проникнуть во все эти системы, они допустили массу ошибок и огромный след.

Уважаемый хакер, проверьте ваш robots.txt и в следующий раз выберите каталог, который Google может сканировать.

В следующий раз проверьте файлы robots.txt, чтобы Google мог на самом деле сканировать каталог, на который указывают ваши ссылки.

Хакеры забыли проверить файл robots.txt - извините, сока ссылок нет для вас!

Принесено вам частично: trackback spam

Это верно, trackbacks один из самых старых и самых грязных методов быстрого спама.

У некоторых сайтов с деньгами были «нормальные» полномочия, у большинства - нет.

Мотивация для этого взлома

Когда я впервые столкнулся с этим нарушением, я подумал наверняка, что мотивация заключается в фишинге номеров кредитных карт. В течение нескольких минут я обнаружил, сколько других зараженных сайтов, и понял, что это была сеть ссылок, чтобы увеличить деньги.

Потратив около часа на анализ вовлеченных сайтов, я теперь полагаю, что эта сеть - не только способ повысить доход сайта злоумышленников, но они также могут использовать эту «сеть» как способ продажи ссылок.

В конце концов меня по-настоящему озадачило то, что эти сайты на самом деле не так уж хороши Похоже, они не получают такой большой трафик, они не очень хорошо ранжируются, многие их ссылки не отображаются (возможно, из-за robots.txt).

Информирование других взломанных сайтов

Послушайте, я не из тех, кто стоит на пути кого-то, кто занимается SEO. Если это ваша игра, хорошо. Однако у меня есть проблема со взломом сайтов, особенно тех, которые принадлежат владельцам малого бизнеса, пытающимся заработать на жизнь.

В этом случае я собираюсь сделать одну попытку уведомить эти сайты, что они взломаны через их общедоступную электронную почту. Если они ответят, я буду рассматривать это как руководство для нашего бизнеса, или укажу им правильное направление. Если они этого не сделают, это все, что я могу сделать.

Патрик Кумб - основатель и генеральный директор Elite Strategies Llc. Патрик берет на себя практический подход к управлению Elite Strategies и любит участвовать в технических проектах, связанных с потребностями входящего маркетинга клиентов.

Похожие сообщения

• 8 наиболее часто используемых SEO изображений

  SEO Стоковое Изображение Стена позора Прежде всего позвольте мне быть ясным - мы определенно виновны в использовании притворных изображений запаса. Мы хотели бы объявить, что мы находимся «в процессе восстановления» для ужасных изображений SEO и пообещали прекратить их использование любой ценой. Когда-нибудь…

• Выбор местного SEO-консультанта против SEO-компании

  До запуска Elite Strategies я несколько лет был SEO-консультантом, но официально только около 1 года. За это время я обслужил много клиентов. Я смог извлечь из этого большой опыт, а также многое узнать о консалтинге…

• Наследование штрафа SEO от другой компании SEO

  Указывая пальцем Нет, мы не были теми, кто создавал обратные ссылки или занимался SEO, но мы можем быть виноватыми. Наша бухгалтерия очень хорошо обучена SEO, и все они знают, как искать плохой портфель обратных ссылок…

Похожие

Комментарии