TrueStory
31.01.2018, 01:30
Как угнать любой сайт в Яндексе имея только вебмастер?
https://habrastorage.org/webt/_a/-o/bv/_a-obvnapokwpi2_a9goaoso4qg.png
Я сейчас опубликую способ угона любого сайта с помощью Яндекса за 5 минут без никаких знаний при наличии доступа к одному только Яндекс Вебмастеру. К сожалению, от этого могут пострадать владельцы сайтов, но я просто не вижу другого выхода. На данный момент техподдержка Яндекса просто закрывает глаза на проблему. Я не уверен, что о проблеме вообще известно менеджменту и идет ли информация дальше «Платонов» и потому я вынужден опубликовать эту уязвимость чтоб привлечь к ней внимание Яндекса как можно скорее и спасти как можно больше сайтов.
Да, этот способ требует определенного доступа к сайту, но давайте будем честны — аккаунт Яндекс Вебмастер довольно легко получить во время проведения любых работ или предложив владельцу сайта бесплатный аудит. Сам сервис Вебмастера воспринимается владельцами как информационный, а зачастую о нем не знают вовсе. И точно не знают, что с помощью данного сервиса можно отнять все позиции и весь трафик на сайт из поиска.
Давайте по порядку. Скажу сразу — сайт моей знакомой, не свой личный.
Захожу я посмотреть трафик из разных источников в Яндекс Метрике и вижу, что трафик из Яндекса упал до нуля чуть более, чем неделю назад. Думаю может проблема какая-то, захожу в Яндекс Вебмастер изучить проблемы и вижу, что сайт в списке находится как дочерний, являющийся не главным зеркалом какого-то стороннего домена, на котором находится не функциональная копия украденного сайта.
Смотрю список владельцев — там есть сторонний пользователь.
Пользователя удаляю, удаляю его метатег и файл подтверждения, меняю по кругу все пароли и ставлю ограничения по IP на панель и ФТП.
Ищу где указывается основное зеркало — нахожу там пункт «Отклейка зеркал» и пытаюсь отклеить. Что-то получается? Нет, оказывается, расклеить сайты нельзя пока они возвращают одинаковый контент.
https://habrastorage.org/webt/w5/yf/id/w5yfid619hdlbxnhrjb5t8ilbum.png
То есть Яндекс не признает никакого верховенства созданного ранее сайта, как только ему указали новое зеркало — вернуть назад не возможно.
Напишу, думаю, в техподдержку, эти ребята быстро разберутся в проблеме и вернут все как и было до взлома. Да? Нет.
https://habrastorage.org/webt/4f/cy/ah/4fcyahmo_ne7p-mcr47zvukkb4g.png
Обсуждение вопроса с техподдержкой свелось только к тому, что они не могут ничем помочь.
Так как угнать-то?
Добавляем любой чужой сайт себе в Яндекс Вебмастер под любым предлогом, для этого достаточно иметь или админку или FTP или получить права на доступ. Это делается массово при любых доработках и обслуживании сайта и владельцы сайтов зачастую даже не знают о существовании Яндекс Вебмастера
Разворачиваем у себя просто спаршенную копию внешнюю сайта или реальную копию, если был доступ к файлам
Отправляем заявку на перенос
После этого Яндекс выбрасывает старый сайт из поиска полностью и показывает по всем поисковым запросам новый сайт.
Еще прозрачнее?
Любой человек с любым уровнем знаний может создать аккаунт на фрилансе или топик на форуме с указанием, что он сейчас строит личный бренд и готов взять несколько заказов за отзывы и портфолио по доработке сайта, верстке, правкам, аудиту, сменить телефон в шапке и пр. И просто заливать файл либо метатег подтверждения и переклеивать сайт на новый домен.
Так десятки сайтов в день можно угонять.
Это — не нормально. В данном случае политика Яндекса и отсутствие верховенства первого домена хотя-бы в течение нескольких месяцев позволяют огромному количеству мошенников проводить подобные операции. То есть алгоритмы и политика Яндекса по смене основного зеркала являются критической уязвимостью.
Если это читают представители или работники Яндекса — пожалуйста, донесите информацию до ответственных за данный функционал людей. Я лишь хочу, чтоб данную уязвимость прикрыли. Не важно — внедрением возможности переклеить обратно, новыми инструкциями для техподдержки или хотя-бы информационным письмом везде где это возможно о переклейке домена, даже информирующего письма ведь не было. Даже уведомления.
Увидел случайно.
А если Вы, дорогой читатель, не работаете в Яндексе, но у Вас есть свои сайты — проверьте, что тут webmaster.yandex.ru (https://href.li/?https://webmaster.yandex.ru/) нет лишних людей в разделе «Пользователи, управляющие сайтом».
Представители Яндекса, пожалуйста, приймите меры по этому поводу.
Мои предложения:
1) Дать преимущество основному зеркалу перед новым
2) Подтверждение смены основного зеркала через письмо на почту
3) Уведомление о факте смены по СМС
https://habrastorage.org/webt/_a/-o/bv/_a-obvnapokwpi2_a9goaoso4qg.png
Я сейчас опубликую способ угона любого сайта с помощью Яндекса за 5 минут без никаких знаний при наличии доступа к одному только Яндекс Вебмастеру. К сожалению, от этого могут пострадать владельцы сайтов, но я просто не вижу другого выхода. На данный момент техподдержка Яндекса просто закрывает глаза на проблему. Я не уверен, что о проблеме вообще известно менеджменту и идет ли информация дальше «Платонов» и потому я вынужден опубликовать эту уязвимость чтоб привлечь к ней внимание Яндекса как можно скорее и спасти как можно больше сайтов.
Да, этот способ требует определенного доступа к сайту, но давайте будем честны — аккаунт Яндекс Вебмастер довольно легко получить во время проведения любых работ или предложив владельцу сайта бесплатный аудит. Сам сервис Вебмастера воспринимается владельцами как информационный, а зачастую о нем не знают вовсе. И точно не знают, что с помощью данного сервиса можно отнять все позиции и весь трафик на сайт из поиска.
Давайте по порядку. Скажу сразу — сайт моей знакомой, не свой личный.
Захожу я посмотреть трафик из разных источников в Яндекс Метрике и вижу, что трафик из Яндекса упал до нуля чуть более, чем неделю назад. Думаю может проблема какая-то, захожу в Яндекс Вебмастер изучить проблемы и вижу, что сайт в списке находится как дочерний, являющийся не главным зеркалом какого-то стороннего домена, на котором находится не функциональная копия украденного сайта.
Смотрю список владельцев — там есть сторонний пользователь.
Пользователя удаляю, удаляю его метатег и файл подтверждения, меняю по кругу все пароли и ставлю ограничения по IP на панель и ФТП.
Ищу где указывается основное зеркало — нахожу там пункт «Отклейка зеркал» и пытаюсь отклеить. Что-то получается? Нет, оказывается, расклеить сайты нельзя пока они возвращают одинаковый контент.
https://habrastorage.org/webt/w5/yf/id/w5yfid619hdlbxnhrjb5t8ilbum.png
То есть Яндекс не признает никакого верховенства созданного ранее сайта, как только ему указали новое зеркало — вернуть назад не возможно.
Напишу, думаю, в техподдержку, эти ребята быстро разберутся в проблеме и вернут все как и было до взлома. Да? Нет.
https://habrastorage.org/webt/4f/cy/ah/4fcyahmo_ne7p-mcr47zvukkb4g.png
Обсуждение вопроса с техподдержкой свелось только к тому, что они не могут ничем помочь.
Так как угнать-то?
Добавляем любой чужой сайт себе в Яндекс Вебмастер под любым предлогом, для этого достаточно иметь или админку или FTP или получить права на доступ. Это делается массово при любых доработках и обслуживании сайта и владельцы сайтов зачастую даже не знают о существовании Яндекс Вебмастера
Разворачиваем у себя просто спаршенную копию внешнюю сайта или реальную копию, если был доступ к файлам
Отправляем заявку на перенос
После этого Яндекс выбрасывает старый сайт из поиска полностью и показывает по всем поисковым запросам новый сайт.
Еще прозрачнее?
Любой человек с любым уровнем знаний может создать аккаунт на фрилансе или топик на форуме с указанием, что он сейчас строит личный бренд и готов взять несколько заказов за отзывы и портфолио по доработке сайта, верстке, правкам, аудиту, сменить телефон в шапке и пр. И просто заливать файл либо метатег подтверждения и переклеивать сайт на новый домен.
Так десятки сайтов в день можно угонять.
Это — не нормально. В данном случае политика Яндекса и отсутствие верховенства первого домена хотя-бы в течение нескольких месяцев позволяют огромному количеству мошенников проводить подобные операции. То есть алгоритмы и политика Яндекса по смене основного зеркала являются критической уязвимостью.
Если это читают представители или работники Яндекса — пожалуйста, донесите информацию до ответственных за данный функционал людей. Я лишь хочу, чтоб данную уязвимость прикрыли. Не важно — внедрением возможности переклеить обратно, новыми инструкциями для техподдержки или хотя-бы информационным письмом везде где это возможно о переклейке домена, даже информирующего письма ведь не было. Даже уведомления.
Увидел случайно.
А если Вы, дорогой читатель, не работаете в Яндексе, но у Вас есть свои сайты — проверьте, что тут webmaster.yandex.ru (https://href.li/?https://webmaster.yandex.ru/) нет лишних людей в разделе «Пользователи, управляющие сайтом».
Представители Яндекса, пожалуйста, приймите меры по этому поводу.
Мои предложения:
1) Дать преимущество основному зеркалу перед новым
2) Подтверждение смены основного зеркала через письмо на почту
3) Уведомление о факте смены по СМС