Тут у меня случилось странное. Если вы в курсе, то мой сервис uKeeper получает много писем от пользователей, ну просто очень много. И посылает тоже много, но сейчас речь именно о получении. Так вот, я думал о всяких разных механизмах противостояния возможным злоупотреблениям, и много там такого реализовал. Он понимает подозрительную активность, тормозит ее на всяких уровнях и при этом ведет строгий контроль и учет за такими негодяями. До этой недели, большая часть всего защитного интеллекта простаивала. Ну да, иногда приходил всякий мелкий спам, иногда умники пытались подобрать код подтверждения, но все это было на уровне “детский сад, штаны на лямках”. А вот на этой неделе произошло странное.
Я начал получать в заметных количествах письма от WordPress [email protected]. Письма странные, типа такого
Date: Wed, 12 Dec 2012 20:41:27 +0000
From: WordPress <[email protected]>
Message-ID: <[email protected]>
X-Priority: 3
X-Mailer: PHPMailer 5.2.1 (http://code.google.com/a/apache-extras.org/p/phpmailer/)
MIME-Version: 1.0
Content-Transfer-Encoding: 8bit
Content-Type: text/plain; charset="UTF-8"
Новый комментарий к записи "Три антипасты . Фото-рецепт / vsegdasvezhie.ru" ожидает вашего одобрения
http://vsegdasvezhie.ru/tri-antipastyi-foto-retsept-gotovim-ru/
Автор : Online blackjack usa legal (IP: 173.44.37.242 , 173.44.37.242)
Email : [email protected]
URL : http://axentra.net/
Whois : http://whois.arin.net/rest/ip/173.44.37.242
Комментарий:
kazpywtfhebtwf{ijf, <a href="http://axentra.net/" rel="nofollow">Online Blackjack</a>, tJbeSKS, [url=http://axentra.net/]Us online blackjack[/url], BfZlKCw, http://axentra.net/ Online Blackjack, smwbUBn.
Одобрить: http://vsegdasvezhie.ru/wp-admin/comment.php?action=approve&c=5470
В корзину: http://vsegdasvezhie.ru/wp-admin/comment.php?action=trash&c=5470
Пометить как спам: http://vsegdasvezhie.ru/wp-admin/comment.php?action=spam&c=5470
В настоящее время 5,418 комментариев для одобрения. Пожалуйста, посетите панель модерации:
http://vsegdasvezhie.ru/wp-admin/edit-comments.php?comment_status=moderated
Приходили они довольно часто, несколько штук в минуту и конечно вызвали законное беспокойство компьютерного мозга uKeeper, который поспешил принять меры и сообщил мне о подозрительной активности. Я разбирался недолго, помня, что перед тем как ругаться, надо попытаться договориться. Пошел на сайт vsegdasvezhie.ru который оказался сайтом Delivery Club. Вполне симпатичный сайт доставки продуктов. После недолгих поисков нашлась форма контактов и разные email куда писать.
Ну и я написал все, как есть:
Добрый день. С вашего адреса [email protected] приходят десятки и сотни писем каждый час, на один из моих экаунтов [email protected], с текстом “[Натуральные продукты с доставкой] пожалуйста, промодерируйте: “Три антипасты . Фото-рецепт / vsegdasvezhie.ru”. Прошу, прекратите это безобразие как можно быстрее. Я бы не хотел доводить дело до жалоб в абьюз вашего провайдера, но согласитесь - сотня таких писем любого доведет до точки кипения. Надеюсь на понимание и быстрое разрешение этой досадной проблемы.
Мне довольно быстро ответили, и ответ любезной Елены я тут цитировать не буду, она ведь писала это мне, а не для сообщества читателей, но суть там выражалась примерно так - “Спешим заверить вас, что мы не имеем никакого отношения к данному ресурсу и, соответственно, к спамерским атакам на Ваш электронный почтовый ящик.” Еще они попросили переслать подобное письмо для углубленного разбирательства, что я и сделал без промедления.
Однако, прошло 3 дня, а ситуация не почнилась. Шлет и шлет этот упорный робот. Толку от его писем никакого, вреда тоже нет, но согласитесь - непорядок. И вот тогда решил я дочитать одно из спамовых писем до конца. В процессе чтения удивлялся а когда дошел до ссылок на wp-admin удивился совсем и пошел открывать ссылку на этот самый wp-admin. Конечно, как истинный параноик, я это делал с специально поднятой, одноразовой VM. Ну пусть на моей машинке OSX, а на VM linux – осторожность не помешает и после захода в подозрительное место я эту VM уничтожаю. Короче говоря, по ссылке оказалась форма админского входа в WP. Запросив восстановление пароля на тот адрес, куда весь спам с этого wordpress приходил, я успешно получил новый пароль, зашел и оказался в wp-admin как самый настоящий администратор, со всеми возможными правами. Там действительно прописан пользователь drops, с соотв. email и в опциях стоит “Отправить письмо” на всякий чих. А точенее на “Кто-нибудь оставил комментарий” и “Комментарий ожидает модерирования”.
Я не люблю ходить по чужим системам, даже по таким странным как WP в котором email моего uKeeper прописан админом. Все, что я сделал, это убрал свой email заменив его на фиктивный. Пользователя я не стал удалять, вдруг пригодится :) Кроме меня там есть еще один админ с очень странным email, похоже ненастоящим. Я ему отписал, что мол так и так, похоже ваш WP взломан и там резвятся детишки. Перед тем, как выйти оттуда, окинул взглядом что у них происходит и содрогнулся. Вообще это похоже на фишинг сайт, но какой-то бредовый. Все его записи по заголовку выглядят как рецепты, но текст сообщений это куски какого-то побитого HTML. Например там такое есть:
div page
div header
table simpleTable" border="0
tbody
tr
td a href="http://vsegdasvezhie.ru/img http://vsegdasvezhie.ru/imgs/osen.jpg" alt="vsegdasvezhie.ru" width="140" height="145" border="0" hspace="5" vspace="5" //a a href="http://vsegdasvezhie.ru/img http://vsegdasvezhie.ru/imgs/nadpis.jpg" alt="vsegdasvezhie.ru" width="250" height="81" border="0" hspace="5" vspace="35" //a/td
td align="right
Прямо так и есть, это не ошибка форматирования. И к каждому сообщению сотни типичных спамовых комментариев, ну вы знаете как оно в WP бывает. Но вот есть кое-что, что я понять не могу. Сайт этого vsegdasvezhie WP называется “Натуральные продукты с доставкой” и, видимо, открывает честный Delivery Club в iframe. Т.е. я напрасно их озадачил своим письмом. Но я не пойму - зачем это все? Т.е. зачем такой сайт, я могу представить - может он чего вам подсадить пытается (я не проверял, просто предполагаю). Но зачем так WP вообще, если его не видать? А главное, зачем злоумышленнику надо было добавлять [email protected] в адмнины? Тут моя фантазия тормозит. Может он предполагал, что на каждое письмо из этой админки про “Новый коммнетарий” uKeeper будет в ответ ходить на спамовую ссылку в письме и накручивать какие-то счетчики? Ох, какой-то это странный способ бота накрутки сделать. Или ожидал, что ответное письмо от uKeeper пошлется не на входящий [email protected], но на какой-то другой (какой?) адрес и таким образом будем рассылать спам через мой честный сервис? Нет ответа у меня, одни вопросы.