Сегодня мы хотим поделиться историей, которую прислал нам один знакомый вебмастер. Описанная ситуация научит нас задумываться над безопасностью даже небольших сайтов или прокладок, сделанных на скорую руку.
Льете трафик и хотели бы попасть в топовую арбитражную команду? Приглашаем в раздел Вакансии.
Это была ничем не примечательная пятница. Я был в дороге и решил немного доделать свой сайт. Уже изрядно помучившись, я застопорился на одном компоненте для отправки заявок с сайта. Это landing page и их было несколько на одной странице. При отправке заявки на почту приходило оповещение сразу со всех форм, а не с одной. Так как я в php вообще не соображаю, то сделал как обычно – начал гуглить по названию компонента инфу. Мне в поиске выпал один сайт вообще не относящийся к теме:
Интересно, что это явно не партнерский лендинг. Хотя мало ли, кто-то продает протеин, ничего особенного. CMS оказалась "что надо", очень старая версия, автор явно не заморачивался. И тут меня посетила одна мысль – а что если получить доступ админа :).
Изначально это был просто спортивный интерес. Написал своему знакомому (спец по патчингу софта). Как у него дела с сайтами - не знаю, но до этого он часто меня выручал. Скинул ссылку и забыл. Утром у меня висело сообщение, а там всего одна строчка – «admin12345-admin12345» Как? Естественно я его начал расспрашивать.
Как он это сделал – он мне так и не сказал. Написал только то, что я все равно не разберусь и мне бы тоже стоило провести аудит, а лучше – написать свой лендинг без всяких CMS.
Дальше еще интересней. Вошел в админку, посмотрел как и куда отправляются заявки с сайта, поменял почту на свою и всё. Какая посещаемость у сайта и направляют ли на него трафик – неизвестно. Спустя полтора дня у меня на почте висело 6 заявок!
Осталось только отправить их в нужное место. Иду в ApiShops, за пару минут делаю лендинг, ставлю цену как на исходном сайте – 900 руб. (мой доход в этом случае составит 400 руб.).
Начинаю лить трафик с попандера, чтобы подмешать в него полученные лиды. Конверт вышел, примерно, 1000 к 1. По времени у меня это заняло 2 часа. Все лиды были подтверждены.
Если делаете сайт (даже небольшой), следите за тем чтобы вас вот так не обокрали. Я пользовался их трафиком всего полтора дня, потом всё вернул на место, они даже не заметили.
Выкладывать ссылку на сайт я не буду, и какой движок там был писать тоже не стану. Главная мысль изложена, для кого-то это будет полезным, а возможно – сам владелец сайта читает этот пост и кусает локти.
Тоже самое что угнать авто соседа, погонять полдня по городу, а затем вернуть и сказать, слышь, ты это, поменяй сигнализацию, а то вона у тебя не надежная.