«Безупречная репутация — первое, что необходимо мошеннику.»
Агата Кристи
Эта история про взлом хорошего сайта, поиске взломщика и отмороженной парнтерке Shakes.im, которая всех прикрыла, которая замела все следы и которая показала свое истинное лицо.
Первый раз — случайность, второй — совпадение, третий — закономерность. Именно эту фразу можно смело вставить в статью, ведь так на самом деле и получилось. Мой сайт был третьим, а может и больше, по взлому и установке жесткого редиректа вышеупомянутой ПП. Партнерка довольно молодая и возможно не все еще заметили их вредоносный код на своем сайте, но я уже обнаружил два известных в интернете случая, в которых была интересная проблема, идентичная моей — взлом сайта и код Шакес.им
Взлом сайта
В конце августа 2015 года, мы с партнером заметили одну интересную вещь — был утрачен доступ к нашему root сервера, на котором были все сайты. На протяжении четырех лет сайтостроительства, нас взламывали не один раз, но чтобы потерять доступ к ISP менеджеру сервера — было первый раз. Я не знаю как взломщик получил доступ, но проверив все сайты, мы увидели, что ничего опасного нет, сайты работают, базы пользователей в интернете на продаже не нашлись. Подумали, может глюк, может еще что-то. Мы полностью переустановили ISP и еще раз проверили сайты на вирусы. Ничего.
В середине сентября сайт фильтрует Яндекс, упали все позиции на 20-25 пунктов. После нескольких часов поиска по сайту, ничего не обнаружили, подумали что это глюки у Яндекса. Отправили пару писем Платону, но нормального ответа так и не дождались. Забили на Яндекс.
Все шло хорошо, трафик на сайте игровой тематики был на уровне 40000-45000 в сутки и в основном мобильный трафик. Сайт полностью белый, все новости и статьи на сайте писались лично нами, никаких черных и серых партнерок, все по белому. Всю душу вкладывали в него.
Но в конце октября что-то пошло не так. 27 октября наш сайт полностью выпал из индекса Google. Ни позиций, ни индексации, даже весь кеш сайта из Гугла не возможно было достать. Спустя сутки пришло сообщение в панель вебмастеров Google:
«На сайте обнаружена маскировка или скрытая переадресация»
И тут начались поиски кода редиректа. Заходя через wi-fi соединение с мобильных телефонов, планшетов и тому подобное — ничего не происходило. Проверка всех файлов всеми возможными антивирусами, тоже не дали результатов. Нашумевший сканер вирусов на сайтах AI-Bolit, так же ничего не показал. Или Гугл издевается, или действительно что-то не так.
Спустя некоторое время, я проанализировал сайт на загрузку всех элементов кода с помощью инспектора сайта от Google Chrome и вот что удалось найти:
Загружался скрипт из скрипта. Скинув все файлы сайта на ПК я проверил их на наличие этого кода. Вот что удалось найти:
Что скрывает Shakes.im?
Естественно после обнаружения этого вредоносного кода, я начал искать, что же это такое. Первое что попалось на глаза, это мобильная партнерка shakes.im. Думал, да не, не может этого быть. Зарегистрировался в ней и проверил, какие же урлы они выдают своим вебмастерам. И вот:
Потом я обнаружил, что коды с поддоменом js — это JavaScript редирект, который больше похож на тот, который был на моем сайте:
Вредоносный код, который был на моем сайте имеет струкруту:
Домен TF, указывает на офферы по Играм. Все сходится.
Дальше начал искать как бороться с этим вирус и взломом. Нашел еще два сайта:
Эпидемия взломов от партнерки Shakes.im? Ну конечно нет. Взламывают же плохие вебмастера, чтобы заработать деньги. Подумал я.
А что делает партнерка, чтобы таких взломов не было? Как она обеспечивает себе безупречную репутацию?
На их сайте прямо указано:
4 пункт — Запрещен трафик со взломанных сайтов. Ну этот пункт можно понять, от куда модераторы знают, взломан сайт или нет, от куда идет траф или нет? Или же все таки должен знать и как то проверять источники если слив идет напрямую, без шифрования урла, без особых ухищрений как скрыть код?
А вот же, 5 пункт — с сайтов без наличия письма согласия. Естественно на моем сайте никаких таких писем и правил не было. Такс, смотрим правила по письмам (клик по картинке, чтобы прочитать полностью):
А что же ждет партнерку, которая нарушает это правило?
«Нарушение правил оператора, как правило влечет за собой блокировку потока и штраф 200 000 руб»
Какие могут быть добавлены источники в ПП? Смотрим скрин из ПП:
Что происходит после добавления сайта? Правильно, модерация. Как мог взломанный сайт пройти модерацию, если не было ни письма согласия оператора, и ничего другого на сервере, а только вредоносный код редиректа? Чья тут вина?
UPD. 4.11.2015
Вот скриншот, как добавляются сайты в партнерку (клик по картинке):
Ничего из вышеперечисленного не было выполнено. Как модераторы пропустили сайт? Тут уже прямая вина ПП.
Общение с Shakes.im
Обратился я в саппорт ПП с просьбой дать информацию по их пользователю, который имеет id pFGw, с какого числа он начал лить трафик с моего сайта, и всю остальную информацию для дальнейшего заявления в Полицию. В зависимости от суммы заработка зависел пункт из 272 статьи УКРФ. Первое обращение в саппорт было 28 октября. Запомните это число и дальнейшие слова.
Первым делом саппорт Шакесим сказал, что всю информацию они с радостью предоставят. Потом написали, что в данный момент трафик по этому потоку не поступает и якобы они в шоке, ведь на сайте должно быть письмо правил оператора. Якобы такого не может быть. Затем они согласились и сказали, что да, трафик начал литься в августе. Я настаивал на том, чтобы они предоставили информацию, но в ответ было только — подождите, подождите, проверяем.
Через пять часов, они ответили, что «давно заблокировали этого пользователя, и как показывает практика такие люди придумывают всевозможны ухищрения чтобы не палиться перед партнеркой». «Вообщем конкретно по вебмастеру информации дать не можем, т.к не имеем на это право.»
Т.е. дать информацию, которая у них есть нет права, а не проверять источники трафика и письма согласия для операторов — у них есть права?
В поисках правды
Почему мы не могли обнаружить код?
Скрипт ПП очень интересен тем, что в принципе на сайте ничего не происходит, когда он стоит. Антивирусы его не могли определить, потому что он ничего и не делал. Ну скрипт как скрипт, таких десятки на сайте. А суть этого редиректа в том, что он активировался только по определенным IP и определенным операторам связи. Т.е. можно было обнаружить редирект только тогда, когда заходишь через GPRS на сайт с мобильного телефона определенного оператора сотовой связи. Затем происходил редирект на какую-то страницу ПП, где была автоматическая подписка абонента стоимостью от 10 рублей (по моей тематике, но я думаю что это 24 рубля). И каждый день были ребилы (повторное списание средств с телефона) на протяжении нескольких суток, а то и дольше. Т.е. кол-во заработанных денег может перевалить за 5-ти значное число.
Сколько времени висел код на сайте?
По совету одного друга, я проверил статистику сайта по операторам связи. Он сказал, где падает трафик с определенного оператора, там и начал работать редирект. И вот что удалось найти:
Оператор Мегафон, резко просел трафик с 23 августа. 21 октября все наладилось. Выходит, что код партнерки shakes.im перенаправлял трафик с моего сайта на подписки Мегафона с 23 августа по 21 октября, а это 61 день. За это количество дней было 1 501 392 уникальных пользователей на сайте среди которого 94% это мобильный трафик.
Когда был забанен профиль в партнерке?
Теперь вспоминаем разговор с саппортом. Действительно 28 октября поток был выключен, а вот забанен он был максимум 21 октября. Т.е. все 61 день партнерка принимала трафик и получала заработок, и не важно, был забанен пользователь или нет, но поток работал, а они должны были его в первую очередь забанить. Он перестал работать лишь 21 октября, а про код мы узнали только 28 октября. В итоге имеем, что партнерка шакесим, возможно и была в курсе взлома сайта (да конечно была, ведь правила не были соблюдены полностью), но абсолютно ничего не предпринимала до 21 октября 2015 года и продолжала зарабатывать.
Почему партнерка Шакес.им так долго отвечала?
Мое предположение то, что партнерка Шекесим напрямую связаны с этим взломом, или хотя-бы с этим пользователем. Ведь по сути сама ПП нарушила же свои пункты, и по крайней мере 61 день не удосужилась все перепроверить. Больше 5 часов отвечать на элементарные вопросы, зачем так долго, и в итоге ничего не ответить. За это время можно все данные аккаунта потереть. Также, чтобы избежать штрафов от операторов, они начали заметать следы. Все возможные попытки связаться и разобраться по этому вопросу игнорировались и сопровождались отмороженными ответами.
Как проверить свой сайт на заражение кодом от Shakes.im?
Все очень просто, чтобы немного обезопасить себя, проверьте все файлы вашего сайта на наличие текстовых связок:
- shakes
- shakes.tf
- shakes-im.biz
- shakes-im.net
- shakes-im.org
- shakes-im.com
- 212.224.118.120
Поставьте какой нибудь мониторщик на сайт, который сможет проверять изменение в коде и в js скриптах. Да и это может вас и не спасти, всегда в плюсе из этой ситуации выходит Оператор, Партнерка и сам мошенник, которые все вместе зарабатывают на вашем горе. А на белых вебмастеров всем остальным наплевать. Как показала эта история.
Я хотел решить эту проблему нормально, не вынося ее за пределы личных разговоров, но мои просьбы были проигнорированы, и практически ничего мне не предоставив Шакесим начали жать на тормоза, делая вид, что ничего страшного не произошло. Они сказали мне только имейл этого мошенника, но я думаю, что он выдуманный.
Почему «партнерка которая убивает»? Потому, что эта партнерка убила сайт своим кодом, партнерка убила надежду на справедливость, не предоставив требуемых данных и фактов, партнерка убила в себе саму себя, не соблюдая свои же правила, партнерка убила хорошее слово о своей репутации.
Спасибо, не уважаемой партнерке Shakes.im, спасибо мошеннику и взломщику сайтов, которого прикрыла шакесим, спасибо всем, кто участвовал в этой истории. Это еще не конец.
to be continued…