Как угнать любой сайт в Яндексе имея только вебмастер?

https://habrastorage.org/webt/_a/-o/...9goaoso4qg.png

Я сейчас опубликую способ угона любого сайта с помощью Яндекса за 5 минут без никаких знаний при наличии доступа к одному только Яндекс Вебмастеру. К сожалению, от этого могут пострадать владельцы сайтов, но я просто не вижу другого выхода. На данный момент техподдержка Яндекса просто закрывает глаза на проблему. Я не уверен, что о проблеме вообще известно менеджменту и идет ли информация дальше «Платонов» и потому я вынужден опубликовать эту уязвимость чтоб привлечь к ней внимание Яндекса как можно скорее и спасти как можно больше сайтов.

Да, этот способ требует определенного доступа к сайту, но давайте будем честны — аккаунт Яндекс Вебмастер довольно легко получить во время проведения любых работ или предложив владельцу сайта бесплатный аудит. Сам сервис Вебмастера воспринимается владельцами как информационный, а зачастую о нем не знают вовсе. И точно не знают, что с помощью данного сервиса можно отнять все позиции и весь трафик на сайт из поиска.

Давайте по порядку. Скажу сразу — сайт моей знакомой, не свой личный.

Захожу я посмотреть трафик из разных источников в Яндекс Метрике и вижу, что трафик из Яндекса упал до нуля чуть более, чем неделю назад. Думаю может проблема какая-то, захожу в Яндекс Вебмастер изучить проблемы и вижу, что сайт в списке находится как дочерний, являющийся не главным зеркалом какого-то стороннего домена, на котором находится не функциональная копия украденного сайта.

Смотрю список владельцев — там есть сторонний пользователь.

Пользователя удаляю, удаляю его метатег и файл подтверждения, меняю по кругу все пароли и ставлю ограничения по IP на панель и ФТП.

Ищу где указывается основное зеркало — нахожу там пункт «Отклейка зеркал» и пытаюсь отклеить. Что-то получается? Нет, оказывается, расклеить сайты нельзя пока они возвращают одинаковый контент.

https://habrastorage.org/webt/w5/yf/...jb5t8ilbum.png

То есть Яндекс не признает никакого верховенства созданного ранее сайта, как только ему указали новое зеркало — вернуть назад не возможно.

Напишу, думаю, в техподдержку, эти ребята быстро разберутся в проблеме и вернут все как и было до взлома. Да? Нет.

https://habrastorage.org/webt/4f/cy/...47zvukkb4g.png

Обсуждение вопроса с техподдержкой свелось только к тому, что они не могут ничем помочь.

Так как угнать-то?

• Добавляем любой чужой сайт себе в Яндекс Вебмастер под любым предлогом, для этого достаточно иметь или админку или FTP или получить права на доступ. Это делается массово при любых доработках и обслуживании сайта и владельцы сайтов зачастую даже не знают о существовании Яндекс Вебмастера
  
• Разворачиваем у себя просто спаршенную копию внешнюю сайта или реальную копию, если был доступ к файлам
  
• Отправляем заявку на перенос

После этого Яндекс выбрасывает старый сайт из поиска полностью и показывает по всем поисковым запросам новый сайт.

Еще прозрачнее?

Любой человек с любым уровнем знаний может создать аккаунт на фрилансе или топик на форуме с указанием, что он сейчас строит личный бренд и готов взять несколько заказов за отзывы и портфолио по доработке сайта, верстке, правкам, аудиту, сменить телефон в шапке и пр. И просто заливать файл либо метатег подтверждения и переклеивать сайт на новый домен.

Так десятки сайтов в день можно угонять.

Это — не нормально. В данном случае политика Яндекса и отсутствие верховенства первого домена хотя-бы в течение нескольких месяцев позволяют огромному количеству мошенников проводить подобные операции. То есть алгоритмы и политика Яндекса по смене основного зеркала являются критической уязвимостью.

Если это читают представители или работники Яндекса — пожалуйста, донесите информацию до ответственных за данный функционал людей. Я лишь хочу, чтоб данную уязвимость прикрыли. Не важно — внедрением возможности переклеить обратно, новыми инструкциями для техподдержки или хотя-бы информационным письмом везде где это возможно о переклейке домена, даже информирующего письма ведь не было. Даже уведомления.

Увидел случайно.

А если Вы, дорогой читатель, не работаете в Яндексе, но у Вас есть свои сайты — проверьте, что тут webmaster.yandex.ru нет лишних людей в разделе «Пользователи, управляющие сайтом».

Представители Яндекса, пожалуйста, приймите меры по этому поводу.

Мои предложения:
1) Дать преимущество основному зеркалу перед новым
2) Подтверждение смены основного зеркала через письмо на почту
3) Уведомление о факте смены по СМС

Правильно будет назвать тему как прос*** трафик с яндекса, а не угнать сайт.

Видел уже подобные темы на нескольких сайтах. Ерунда полнейшая, не раздавайте свои пароли кому попало, в крайнем случае давайте гостевой доступ - разрешить только просмотр, и все будет нормально.

Большинство владельцев, которые только запускают свой бизнес в интернет, не представляют, как что устроенно и дают любые данные. Они без проблем могут наткнуться на недобросовестных помощников... Более того для этого и нанимают людей, чтобы человек с навыками занимался конкретной работой по сайту.

В таком случае, если они будут продолжать раздавать любые данные, включая админ доступ к сайту, к FTP, к панели web-мастера ПС, к кошелькам, почтовым ящикам, и.т.п. Просто останутся с голой, ну скажем без штанов. Неплохо бы им для начала представлять как-что устроенно, после чего начинать заниматься этим бизнесом. Людям надо верить конечно, но не до такой же степени, ибо сказано в писании - не вводи во искушение ближнего своего, а то допрыгаешься.

Вы так полагаю не работали с клиентами на земле, вообще. Все выглядит так и даже хуже, в большинстве случаев они вообще не хотят ни во что вникать, почти всегда домены хостинги и прочее зареганы на компании или фрилансеров, которые типа ведут их сайты.

Ну так они и вымрут как мамонты, если не хотят ни во что вникать, и никакая СМС от Яндекса им не поможет, не поймутс, или удалят как спам... Хоть минимально надо понимать азы того бизнеса в который вкладываешься, иначе никак, нет среди фрилансеров ангелов и 100% альтруистов.

Да никто не вымрет ибо всем наср*-, у нас в канторе воз и небольшая коробочка таких историй, заказали сайт, посрались с предыдущим исолнителем в итоге остались без домена, сделали новый домен, вхерачили денег в продвижение... подумали что не звучный, изменили, и потом еще раз. Мебельщики вообще наркоманы, у них все вип все премиально, раскручивают домен, ребрендинг новый домен, старый нахер, может 301 редирект, не зачем... и так по несколько раз, салон один, просрали домен, им пишешь звонишь девушки, продляйте... сраные 500 р жопят, один раз выкупили потом, второй раз новый сделали, после очередного раза они решили сделать новый домен и новый сайт, в 17 год и его прос.... короче в итоге сказали нам не нужен сайт.. и так норм

крупный и средний бизнес все мониторит, у них там маркетосы, они за это отвечают и если сильно задрачиваются на продажах с инета то в курсе всего, мелкий это как правило владелец человек орекестр, хочет все, но не все может. я говорю просто хренова туча примеров, когда люди по году вкладывают бабки в продвижение, а потом просто выкидывают домен и начинают все заново

Тогда вообще не о чем переживать, квадратура круга. Была когда то старая сказочка о дураке и его деньгах, ничто не ново под луной

Не очень понятно, зачем давать доступ к ftp левым людям, если с ними нет договора, либо если это не контора