Сегодня мы хотим поделиться историей, которую прислал нам один знакомый вебмастер. Описанная ситуация научит нас задумываться над безопасностью даже небольших сайтов или прокладок, сделанных на скорую руку.
Это была ничем не примечательная пятница. Я был в дороге и решил немного доделать свой сайт. Уже изрядно помучившись, я застопорился на одном компоненте для отправки заявок с сайта. Это landing page и их было несколько на одной странице. При отправке заявки на почту приходило оповещение сразу со всех форм, а не с одной. Так как я в php вообще не соображаю, то сделал как обычно – начал гуглить по названию компонента инфу. Мне в поиске выпал один сайт вообще не относящийся к теме:
Интересно, что это явно не партнерский лендинг. Хотя мало ли, кто-то продает протеин, ничего особенного. CMS оказалась "что надо", очень старая версия, автор явно не заморачивался. И тут меня посетила одна мысль – а что если получить доступ админа :).
Изначально это был просто спортивный интерес. Написал своему знакомому (спец по патчингу софта). Как у него дела с сайтами - не знаю, но до этого он часто меня выручал. Скинул ссылку и забыл. Утром у меня висело сообщение, а там всего одна строчка – «admin12345-admin12345» Как? Естественно я его начал расспрашивать.
Как он это сделал – он мне так и не сказал. Написал только то, что я все равно не разберусь и мне бы тоже стоило провести аудит, а лучше – написать свой лендинг без всяких CMS.
Дальше еще интересней. Вошел в админку, посмотрел как и куда отправляются заявки с сайта, поменял почту на свою и всё. Какая посещаемость у сайта и направляют ли на него трафик – неизвестно. Спустя полтора дня у меня на почте висело 6 заявок!
Осталось только отправить их в нужное место. Иду в ApiShops, за пару минут делаю лендинг, ставлю цену как на исходном сайте – 900 руб. (мой доход в этом случае составит 400 руб.).
Начинаю лить трафик с попандера, чтобы подмешать в него полученные лиды. Конверт вышел, примерно, 1000 к 1. По времени у меня это заняло 2 часа. Все лиды были подтверждены.
Если делаете сайт (даже небольшой), следите за тем чтобы вас вот так не обокрали. Я пользовался их трафиком всего полтора дня, потом всё вернул на место, они даже не заметили.
Выкладывать ссылку на сайт я не буду, и какой движок там был писать тоже не стану. Главная мысль изложена, для кого-то это будет полезным, а возможно – сам владелец сайта читает этот пост и кусает локти.
Тоже самое что угнать авто соседа, погонять полдня по городу, а затем вернуть и сказать, слышь, ты это, поменяй сигнализацию, а то вона у тебя не надежная.