PDA

Zobacz pełną wersję : Niechciane linki na stronie - polska sieć linków i wiele skażonych stron.



przem188
22-08-2015, 19:30
Witam.

W moim serwisie google pokazuje linki reklamowe do kredytów i pożyczek.

Witryna do 16 czerwca stała na 1.5 z RS firewall i licznymi zabezpieczeniami. Jednak już na niej następowały kolejne włamania i dorabianie kodu reklamowego. Najcześciej były to proste ataki na plik htaccess.

!6 czerwca domena została wyczyszczona ze starej Joomli i wrzucono postawiony serwis na Joomli 3.4 wraz z komercyjnymi komponentami. Zmieniono wszystkie hasła do serwera.

Od jakiegoś czasu widzę podstrony, które google bot znajduje. Blokowanie ich kolejno w DA na czas poszukiwań nie ma sensu - poblokowałem część linków do błędu 404. W kodzie domeny najprawdopodobniej jest frame do innej strony.

Otwarcie kodu źródłowego mojej strony z linkiem podanym przez google jako link podejrzany to:

<html><frameset rows="100%"><frame src="http://najlepiejkredytyonline.com/index2.html"></frameset></html>

Pobrałem całą domenę na dysk lokalny i przeszukanie pod kątem tego kodu nic nie dało, użycie encodera tego fragmentu do zakodowania jako base64 i szukanie takiego base64 także.

Skanowanie skryptem jamss.php pokazuje mnóstwo plików, jednak brak jednoznacznego wyniku.

Link do panelu admina zabezpieczony dodatkowym hasłem w tymże standardowym linku.

Zainstalowane skrypty:

JHackGuard Plugin - powiadamia na mail o atakach brute force

System - AdminExile - zabezpieczneie zaplecza

System - Marco's SQL Injection - LFI Interceptor - chroni przed atakami za pomocą SQL incjection

Eyesite - skanowanie pod względem zmian w plikach

Joomla aktulizowana. Serwer to VPS.

Używam Linuxa w komputerze.

Oto przykładowy link do strony z doklejonego kodu:

http://www.glucholazyonline.com.pl/po%C5%BCyczka-bez-bik-%C5%9Bwidnica.pdf

lub bardziej charakterystyczna strona:

http://www.glucholazyonline.com.pl/po%C5%BCyczki-bez-bik-krd-big.pdf

Dodam, że kod reklamowy pożyczek pochodzi z Wrocławskiej firmy, która za umieszczanie reklam ich klientów płaci (cos jak adsense), jak rozmawiałem z ich przedstawicielem, jeden z klientów poprzez włamania do stron i wrzucaniu tego kodu zarabia na kliknięciach. To jest wg. firmy nieuczciwe i klient ten jest przez firmę sprawdzany. Problem ten dotyczy wielu stron w polsce, które poprzez te włamania stały się siecią reklamową.

Wśród stron m. innymi strona Wojewódzkiego Funduszu Ochrony Środowiska i Gospodarki Wodenj w Warszawie ( pewnie jej admini nawet nie wiedzą o tym, że ich strona została zainfekowana - ich CMS to Drupal) - http://www.wfosigw.pl/pozyczka-got%C3%83%C2%B3wkowa-z-zajeciem-komorniczym.pdf

(http://www.wfosigw.pl/pozyczka-got%C3%83%C2%B3wkowa-z-zajeciem-komorniczym.pdf)

ale i sporo stron firmowych:

Oparta o Joomlę: http://www.cte-sa.pl/chwil%C3%83%C2%B3wka-online-za-darmo.pdf

Oparta o WP: http://haipaa.com/skok-stefczyka-kredyt-opinie.pdf

To tak na szybko.

Problem jednak dotyczy strony mojej i pewnie sposób włamania na akurat moja Joomlę 3.4 i najprawdopodobniej jest identyczny dla wszystkich Jooml 3.4. Niestety, mi nie udało się ustalić co jest zainfekowane.

Stąd prośba o pomoc która pozowli mi usunąc infekcję jak i pomoże wielu adminom stron opartych o Joomlę 3.4, którzy zapewne nawet nie wiedzą o fakcie infekcji. Człowiek ten, który stworzył system włamań zna jakąś lukę w tej Joomli.

Udało mi się ustalić że w przypadku Joomli 2.5.4 tworzy folder o dość dziwnej nazwie. To jest znaczne ułatwienie do znalezienia infekcji bo wystarczy ów folder usunąć. W wielu innych przypadkach także infekcja opiera się na stworzeniu folderu ze skrytami do linkowania - dotyczy to stron opartych także o inne CMS.

Niestety, w przypadku Joomli 3.4 tak najprawdopodobnie nie jest. Przeszukałem cały katalog swojej strony w poszukiwaniu nietypowych folderów i skryptów, sprawdzałem najważniejsze pliki Joomli (szablonu, konfiguracji Joomli i wielu innych). Poszukiwania spełzły na niczym.

Przeraża mnie natomiast to, co wypluwa jamss.php - sprawdzenie każdej podanej przez skrypt możliwości infekcji to syzyfowa praca.

Proszę zresztą sprawdzić - www.glucholazyonline.com.pl/jamss.php (http://www.glucholazyonline.com.pl/jamss.php)

Co ciekawe - wrzucona kopia wykonana akebą na inny serwer infekcjinie wskazuje - po wejściu na link, króry działa na oryginale wskazuje błąd - You are not allowed to access this file. Ale jak podejrzewam, to ze względu na zabezpieczenia serwera, gdzie kopia została umieszczona.

Proszę o pomoc w swoim imieniu i wielu adminów stron opartych o Joomlę.

Znalezienie infekcji musi zostać opublikowane do wiadomości wszystkich.

Wrocławska firma twierdzi, że złoży do prokuratury zawiadomienie o nielegalnym działaniu tego człowieka w celu zarobkowym w ich sieci afilacyjnej. Problem jest taki, że najwyraźniej u nich nie pracuje żaden informatyk - ich podpowiedzi, że na serwerze posiadam pliki pdf wrzucone przez hakera to bzdura. Nie mają pojęcia co to jest iframe, gdy im o tym mówię. Na moje pytanie to w jaki sposób stworzyli sieć affilacyjną odpowiadają, zę kupili gotowy system z Wielkiej Brytanii wraz z usługą wdrożenia na ich serwerze. Za względu na sprawy prawne nazwy firmy nie ujawniam.

Gall Anonim
22-08-2015, 21:25
1. Jeżeli faktycznie wszystko zostało zmienione (dostępy itd) - oraz wyczyszczone wszystkie katalogi to:
widzę cztery możliwości:
- albo masz coś w katalogach równoległych na serwerze i brak separacji katalogów
- albo masz coś w swoim kompie (wystarczy keylogger)
- albo hostingodawca ma jakiś syf u siebie lub nierzetelnego pracownika
- albo masz jednak jakiś trefny komponent
================================================== =======
Stwierdzenie że ktoś zna taką lukę w Joomla która pozwala mu wejść zawsze i wszędzie jest o tyle nie logiczne że by wszedł zawsze i wszędzie - a tak nie jest :-) - więc problem tkwi w czymś innym

przem188
22-08-2015, 21:38
Odp. 2 - Używam Linuxa - nie oznacza to wprawdzie, że nic nie złapię ( zawsze taka możliwość istnieje) ale ta szansa na złapanie czegoś spada do jakieś 10 procent w porównaniu do Windows - tu sam miałem przykład - złapałem coś, co doklejało kod w artykule pisanym w JCE.

Odp. 1 - właśnie tu podejrzewam serwer - ale nie jestem obeznany na tyle w tych sprawach - o co chodzi z tymi katalogami równoległymi?

Odp. 4 - chyba raczej nie wina komponentu. Używałem naprawde dobrych i sprawdzonych komponentów kupionych od znanych producentów dostępnych na JED. Jak ognia unikam niepewnych developerów.

odp 3 - hosting - chmm... tu akurat mało mam do czynienia - ząłatwiam bieżące sprawy bez pomocy admina hosta. Zresztą ten mało jest dostępny.

Co można sądzić o podanych pozostałych przykładach włamań? Dodam, że znaleźć można ich wiele więcej.

I jak widać - włamania są w także w WP, Drupalu

O włamaniu sam nie wiedziałem. Otrzymałem maila od nieznajomego najprawdopodobniej webmastera z kraju. Oto fragment:

W Państwa przypadku jest to zrobione sprytnie. Po kliknieciu w link np. po wyszukaniu tutaj:
https://www.google.pl/search?q=chwil%C3%B3wki+przez+internet&ie=utf-8&oe=utf-8&gws_rd=cr&ei=kQaIVcKuHYqPsAGi9ICQDg#q=chwil%C3%B3wki+przez+i nternet&start=30 (https://www.google.pl/search?q=chwil%C3%B3wki+przez+internet&ie=utf-8&oe=utf-8&gws_rd=cr&ei=kQaIVcKuHYqPsAGi9ICQDg#q=chwil%C3%B3wki+przez+i nternet&start=30)
ukazuje sie inna strona affilacyjna do zarabiania na pożyczkach. Firma, która generuje ten skrypt już wie, że jeden z ich klientów nadużywa go w hackowanych stronach. Jak go rozpoznają mają powiadomić organa ścigania. Tutaj Wasza współpraca byłaby wskazana - Jest to: https://convertiser.com/pl (https://convertiser.com/pl)

Może oni coś doradzą
Wasza strona jest z wielu zaatakowanych


Podałem nazwę firmy, a co tam. W końcu to ich system.

Gall Anonim
22-08-2015, 22:12
złapałem coś, co doklejało kod w artykule pisanym w JCE.
Edytor JCE - był swojego czasu przyczyną wielu udanych ataków - na chwilę obecną nie wiem jak to wygląda bo po prostu przestałem go całkowicie używać skoro autorzy skupili się na komercji nie bezpieczeństwie - standardowo edytory są szczególnie podatne na ataki ponieważ jedną z prostszych form ataku (a jednocześnie skuteczniejszych) jest "wstrzyknięcie" pliku udającego fotkę do katalogu images lub media i uruchomienie go zewnętrznie poprzez właściwą ścieżkę po adresie domeny dlatego wskazane jest między innymi zmienianie oryginalnego katalogu images i media na nietypowy - człowiek i tak się połapie ale robot już musiałby być n to przygotowany a zazwyczaj nie jest (bo i po co jak są miliony witryn standardowych). Jak się przyjrzeć logom zabezpieczeń widać że atakowane są głównie edytory nie zależnie od CMS'a. Prawdopodobnie masz "syf" właśnie tego typu - musisz sprawdzić foty na "bycie" fotami - jak nie najdziesz skryptu - to zazwyczaj mają n=one jakąś "kretyńską lub nietypową nazwę" ale zawsze możesz zrzucić na kompa i optycznie przepatrzeć - fota ok - nieotwierająca się fota - prawdopodobnie syf - najczęściej taki pliki maja format gif albo png.
To tyle na szybko.

przem188
22-08-2015, 22:23
I o tym pomyślałem. Wprawdzie główny folder z grafikami to images, ale dalej już wszystko inaczej. Foto do artykułów jest w images/content/artykuly/2015/8 - to dla tego miasiąca - czyli sierpnia 2015.

Reszta grafik także w innych folderach.

Wszystkie grafiki są grafikami - tak to fajnie jest w linuxie, że wchodząć na serwera przez ftp z systemowego managera plików Linuxa widzę że zdjęcie to zdjęcie, tekst to tekst, pdf to pdf bo linux od razu pokazuje zawartośc w ikonie jako mini podgląd. Więc na pewno zauważyłbym nieprawidłowośc. Zresztą serwis ma zaledwie 2 miesiące - mało w nim jeszcze fotografii i znam każdą wrzucaną przez dziennikarzy.

Gall Anonim
22-08-2015, 22:41
Właśnie kończę coś podobnego migrować - też było ofiarą ataków - ale - po czyszczeniu od dwóch miesięcy nie było żadnego udanego a obecnie ląduje na j343 - tylko 10805 artykułów - i około 500 000 fotek :-)
Przerzuć to jednak przez najnowszą wersję RS Firewall'a - warto - naprawdę mało co mu się opiera (nie jest to to co było dla 1.5)

przem188
22-08-2015, 22:59
Ile kosztuje rs firewall?
Piszę z fona, nie mam jak sprawdzić.

Pewnie drogi. Nie będzie mnie stać, wydałem mnóstwo pieniędzy na szablony i komponenty.

Gall Anonim
22-08-2015, 23:13
49 euro - wart tej ceny

Karol99
23-08-2015, 14:34
Podobnie jak Gall skłaniam się do opinii, że atakujący znalazł "wejście" poza samym J!.

Czy dobrze rozumiem, że te "dodatkowe linki" nie występują nigdzie na stronach j!, a widać je wyłącznie w wynikach wyszukiwania G? W takim razie radziłbym dokładnie przyjrzeć się plikowi .htaccess - swojego czasu i na naszym forum były sygnały o atakach polegających na jego podmienianiu. (Może ktoś bardziej biegły wskaże jeszcze inny sposób na to, by serwer na żądanie pliku /dowolna_nazwa.pdf wysłał plik html, w tym wypadku zawierający iframe)

Na wszelki wypadek warto też użyć skryptu wypier.php (szukaj na naszym forum jako wypier.rar). On pokaże Ci daty modyfikacji plików na serwerze, skoro strona jest na nowo niedawno zainstalowana nie będzie tego bardzo dużo (a łatwiej analizować niż efekty pracy jamms-a). Wspierając się logami serwera masz wtedy możliwość porównania zmian ze swoimi (i redakcji) pracami. Mam jednak przeczucie, że to jednak nie kwestia modyfikacji plików J!

przem188
23-08-2015, 18:42
Czyli podejrzewacie, że gdy miało miejsce włamanie na stronę jeszcze z J1.5 doszło do podmiany innych niż nowa strona plikóœ na serwerze? Gdzie takie są? Poza public_html na serwerze jest kilka folderów. Czy o nie chodzi?

To bardzo proawdopodobne bo strona skopiowana i postawiona Akeebą na serwerze firmy linux.pl nie wykazuje ataku. Jak pisąłem - po wpisaniu po adresie strony linku typu pozyczki-online.pdf pokazuje komuniukat: You are not allowed to access this file

Strona aktualana została w aktualnej domenie rozpakowana Akeebą a powstała na innej domenie jako subdomena. Tam została spakowana i przeniesiona do aktualnego katalogu domeny. Folder tejże domeny zostął usunięty i jeszcze raz utworzony więc nic co nawet jest jako plik ukryty nie pozostało z czasów Joomli 1.5.

arekmozer
24-08-2015, 09:29
Niestety wiele firm zapomina o sensie poszczególnych wątków i maszynowo dodaje linki :) Bardzo często średnio związane z tematem.
Za to że wydaje ci się iż jesteś cwany - banik na miesiąc - ogarnij się - nie dość że post od czapy to jeszcze link ukryty w słoneczku - co to ma być?

mjmartino
24-08-2015, 10:39
Znajdź serwer z 14 dniowym okresem próbnym przenieś stronę na inny serwer i sprawdź czy w ciągu 14 dni dojdzie to ataku.
Jeśli nie czyli dziurawy vps, jeśli tak wówczas komponent / plugin który używasz na stronie może być przyczyną włamań.

przem188
24-08-2015, 13:23
Tak zrobiłem - strona bez doklejonych linków siedzi tu: http://www.przem191.pro-linuxpl.com/

Po dopisaniu linku, który na oryginalnej stronie otwiera stronę kredytów, np.

http://www.przem191.pro-linuxpl.com/vonga-loans.pdf

tu wyświetla komunikat:

You are not allowed to access this file.

mjmartino
24-08-2015, 18:59
Póki co masz komunikat że konto zostało zablokowane ;)

przem188
24-08-2015, 20:44
Bo upłynął już 14-sto dniowy okres testowy.

mjmartino
24-08-2015, 22:31
To skoro nic serwisu nie zażarło przez 14dni to masz dziurawego VPS innego wniosku niema. Chyba że nie przestawiłeś domeny na ten nowy serwer.
Wówczas atakujący cały czas działał na witrynie na vps.

Karol99
25-08-2015, 11:46
Domyślam się, że kopia na linuxpl to ta, o której pisałeś wcześniej. To nie jest ten sam eksperyment, o którym pisze mjmartino: domena nie była przekierowana, atakujący operował na starym serwerze.

Ja jednak sugerowałbym dokładne przyjrzenie się plikowi .htaccess, o czym pisałem poprzednio.

przem188
27-08-2015, 19:03
Plik htaccess został przez mnie na samym początku walki podmieniony na czysty z instalki Joomli.

Gall Anonim
27-08-2015, 19:16
Przemek - propozycja - zrób pełną kopię witryny za pomocą akeeba backup - w formacie zip (ustaw w konfiguracji) i podaj na PW link do ściągnięcia - nic nie obiecuję ale puszczę na swoje skany - może znajdę jakieś cudeńka :-)

przem188
27-08-2015, 19:38
Dobrze. Już się robi. Tam jest sporo komercyjnych, płatnych komponentów, templatka SJ Perty (zmodyfikowana przez mnie), Community Polls, Community Surveys, RS Form, DJ classfield, Jooid, JCH Optimize Pro i jeszcze kilka innych. To chyba nie jest problematyczne,że niejako przeażę te dodatki w kopii?

Link do pobrania tych 600Mb podeślę na PW.

Dlaczego Zip? Przecież można na Windowsa pobrać programik ze strony Akeeby do rozpakowania .jpa. Ale ok.

przem188
27-08-2015, 20:19
Właśnie kończę coś podobnego migrować - też było ofiarą ataków - ale - po czyszczeniu od dwóch miesięcy nie było żadnego udanego a obecnie ląduje na j343 - tylko 10805 artykułów - i około 500 000 fotek :-)
Przerzuć to jednak przez najnowszą wersję RS Firewall'a - warto - naprawdę mało co mu się opiera (nie jest to to co było dla 1.5)


Po migracji pokażesz efekty? Nie sądziłem, że można tak duży serwis informacyjny na Joomli robić. Poza tym zawsze szukam inspiracji do modyfikowania u siebie layoutu.

rubiks
23-09-2015, 12:39
U mnie też pokazują się googlowskie reklamy. Irytuje mnie to jak nie wiem i w dodatku nie wiem jak się tego pozbyć.

MStraus
26-09-2015, 18:59
Proszę bardzo:

https://faraon24.pl/opinie/225-wlamania

nie ma za co.

Straus

przem188
29-09-2015, 17:17
Wielkie podziękowania za cierpliwość , poświęcenie i zawzięcie dla MStraus.

Kolega z postu powyżej mocno zaangażował się w znalezioenie problemu.

Szkodliwa wklejka siedziała w folderze bibliotek :

/libraries/

gdzie w tym folderze

w kodzie import.legacy.php znajdowała się wklejka z odnośnikiem do kolejnego pilku w folderze libraries:

(kod w pliku zip)8420

Powyżej kod zawiera odnośnik do pliku facts.php znajdującego się w libraries/spcyend/utilities/ (folder należy do bibliotek kompnentu SPupgrade, który posłużył mi do przeniesienia treści z J 1.5 do J3).

W pliku facts znajduje się natomiast kod:

(kod w pliku zip)8420



Jedynym sposobem na znalezienie wklejki było kolejne usuwanie katalogów z kopii serwisu i sprawdzanie działania niechcianych linków.

To była ciężka praca kolegi Straus. Moje wcześniejsze poszukiwania właśnie pod kątem znalezienia eval64 jak i też daty modyfikacji/zapisu plików (znałem datę uruchomienia serwisu oraz datę otrzymania informacji z Google o ataku) spezły na niczym.

Zanim do tego doszło, sprawdzana i przeszukiwana była baza SQL, testowanie strony za pomocą skanera Vegi także nic nie dało.

Karol99
30-09-2015, 13:25
Świetnie, że udało Ci się znaleźć szkodliwy kod. Istotne jest jednak ustalenie jaką drogą dostał się on na serwer - zarówno dla Ciebie (bo jeśli nie zablokujesz tej drogi, to problem najprawdopodobniej powróci), jak i dla innych.

przem188
30-09-2015, 20:01
Cracker włamał się poprzez stary serwis oparty o J.1.5. Mimo moich starań ochrony serwisu, różnych zabezpieczeń i tak doszło do włamania i dorzucenia kodów spamu. Nowy serwis powstawał w między czasie jako subdomena.

MStraus
01-10-2015, 08:12
1)
"Cracker" - marzy mi się aby świat powrócił do tej prawidłowej nomenklatury
Hacker - dobry
Cracker - zły
2)
Polecam wszystkim w pierwszej kolejności słabości swoich skryptów CMS sprawdzić narzędziem Vega od Subgraph (jest za darmo).
3)
Dostałem w Faraon24 informację o zawiadomieniu ambasady Grecji w Warszawie - rządowa www wyspy Kreta uległa temu włamaniu i wgrano tam te pożyczki internetowe.
Kto pierwszy ten lepszy - jeśli ktoś marzy o odszkodowaniu to należy wziąć pod uwagę możliwość extradycji ;)

Michael Straus

terve
02-10-2015, 13:27
Jako właściciel strony http://www.terve.pl chciałbym poinformować szanowne grono użytkowników forum.joomla.pl, że niestety nie mamy nic wspólnego z włamaniami na wasz CMS oraz injectowanymi setkami stron pdf'ów. Michael Strauss na swojej stronie oskarza niewłaściwą firmę i niszczy nasz dobry wizerunek. Oskarzenie nas o włamania na strony rządowe to już było przegięcie! Jak tak można??? On ewidetnie chce się nas pozbyć wszelkimi metodami. Sam chwali się na swoim blogu, że skutecznie podesłał wirusa właścicielowi konkurencyjnego forum pożyczkowego, później idzie i niszczy nas próbując się włamać na naszą stronę. Czy tak można? Ten człowiek kilka dni temu próbował się do nas włamać i rozwalił nam stronę. Nie możemy pracować wszędzie są jakieś dziwne kody. Jak chcemy to skasować wyskakuje błąd 414. Jeżeli komuś z konkurencji Pan Michael Strauss z Kielec groził lub włamał się czy zaspamował stronę prosimy o kontakt kontakt@terve.pl (czekamy tylko do środy). A i jeszcze jedno Panie Michale zanim spotkamy się w sądzie może Pan przestać zgłaszać naszą stronę do google ( wszystkie spam linki na bierząco są dodawane do disavow tool i jesteśmy czyści jak łza).
https://www.terve.pl/spam/m_01.png
https://www.terve.pl/spam/m_02.png
https://www.terve.pl/spam/m_2.png
https://www.terve.pl/spam/m_4.png
https://www.terve.pl/spam/m_1.png

Pozdrawiamy zespół Terve

MStraus
02-10-2015, 14:47
@terve sp. z o.o.
odnieś się dlaczego na twoich serwerach są strony z przekierowaniami do włamań
odnieś się czemu dziwnym trafem te same linki partnerskie co twoje są na stornach z włamaniami
czemu widniejecie jako spółka zoo (błąd w KRS?)
czemu na twój email została zarejestrowana strona służąca do włamań (błąd w CEIDG?)
czemu nagle o teraz znikają wszystkie strony służące do włamań - mam je zarchiwizowane wszystkie, firmy hostingowe tez mają backupy
i tak dalej

a o wirusach i twoich zgłoszeniach i innych spamach nic nie wiem - nie wmawiaj

i ostatnie:
nie napisałem, ze stoisz za włamaniami tylko, że twoj email został użyty do zarejestrowania strony służącej do włamań
i, że masz ten sam link partnerski co strony na które się włamano

MStraus
02-10-2015, 15:34
Z uwagi na pilne usuwanie efektów włamań wpis z Faraon24 został usunięty - jak zawsze.
Backupy, archiwa, logi pozostają bezpieczne do wykorzystania w razie spełnienia pogróżek sądowych.

Predator
02-10-2015, 20:11
http://forum.joomla.pl/attachment.php?attachmentid=8421&stc=1
wkleiłem obraze bo wywala błąd serwera jak linki daje

- - - Updated - - -

Ty terve... co ściemniasz? Przecież jest czarno na białym

Co robią twoje linki na tych stronach:

dafuer.at/najlepsza-chwilowka-pozabankowa.html
wisenut.com/maly-ranking-chwilowek.html
wisenut.com/
astransp.com.br/szybkie-kredyty-online.html
simpara.ro/miesieczne-chwilowki.html
vssu.in/minirankingcreditos.html
cacoatings.com/chwilowki-kontakt.html

i setki innych

drupal to nie ty?
Przecież widać: terve.pl/pozyczki i jak klikam to mam linki z twoimi ID drupal

???

a było przed chwilą jeszcze tu
gremar.net.pl/swiateczne-chwilowki-online.html
southlakessafarizoo.com/male-pozyczki-online.html
achtvanchaam.nl/promocyjna-chwilowka.html
hotelpombalense.pt/jaki-darmowy-kredyt.html

i na setkach innych

???

w archive.org/ wszystko widać lata wstecz

w google cache tez widać
tego już nie usuniesz!!!

i co się dziwisz że masz Vegę uruchomioną, Straus napisał jak sprawdzić podatność na twoje włamania to się nie dziw. Kto dołki pod kim kopie ten sam w nie wpada. Wpadłeś!

Sprawdziłem KRS – nie ma czegoś takiego jak Terve spółka z ograniczoną odpowiedzialnością!
Czemu nie potrafisz się podpisać z imienia i nazwiska skoro spółkę reprezentujesz?

Grabarczy to ty czy nie ty? A może Kamiński? Potrafisz odpowiedzieć?

MStraus – masz całą listę zgraną na mailu – przywróć wpis w Faraon24!!! wcale tego nie usunął, w ciągu dnia wyłączył i znowu teraz włączył wszystko na nowo!

MStraus
03-10-2015, 09:18
@Predator:
Faktycznie, nastąpiło tylko przepięcie domeny fchwilowki na inny hosting (zmiana adresu email w europejskim WHOIS też zarejestrowana).
Dziękuję za paczkę email - choć większość mam zarchiwizowane to reszta jest też ciekawa.
P.S. wszystko na spokojnie, nie można emocjonalnie podchodzić tak.

Aktualizacja wpisu i uzupełnienie odniesienia się do pomówienia tutaj: https://faraon24.pl/opinie/225-wlamania#2

MStraus
03-10-2015, 11:19
Dodałem jeszcze trochę o komentarzu oskarżającego za włamania tajemniczego Rosjanina, który napisała osoba podająca się za @Darek: https://faraon24.pl/opinie/225-wlamania#3

terve
03-10-2015, 17:59
MStraus przestań rejestrować się na forum pod różnymi nickami.
Ja rozumiem twoje zafascynowanie gwiezdnymi wojnami oraz, że lubisz prowadzić dialogi sam z sobą ( przed chwilą właśnie zarejestrowałeś się pod nickiem Predator). Musisz wkońcu zrozumieć, że takie numery przechodzą raz, dwa a później średnio inteligenty człowiek, wie, kto to pisze nie ważne w jakim stylu to napiszesz.

Oskarzyłeś naszą firmę o włamania i "niszczenie stron" opartych o cms joomla i próbowałeś nas wrobić o włamanie na stronę rządową. Musieliśmy to sprostować. Nie mamy czasu prowadzić z tobą słownej wojenki na forach interenetowych, ale w ramach wyjątku odpowiemy tobie na kika pytań.

Na początku wyprostujmy, nawet Rosjanin nie niszczy i nie czyta oraz nie modyfikuje danych zawartych na tych domenach. On tworzy tam nowy folder z własnymi podstronami nie ingerując w funckjonalność i dostępność tych serwisów. Jeżeli chodzi o niszczenie to ty niszczysz strony konkurencji włamując się, bugując i spamując na stronach konkurencji i na twoje nieszczęście na to już są ciężkie paragrafy.

Rankingi na stronach rządowych/CMS JOOMLA pozostawił prawdopodobnie Rosjanin a konkurujemy z nim od 2009 roku ( informacje o tym, że jest to Rosjanin mamy od managera z sieci t3leads i nie zamierzamy drążyć tematu dla twojej zachcianki - nas to nie interesuje ). W 2013 zaczał robić PL i ES wielokrotnie sprowadzając pracowników google na niszę ( masowe kary ). On nie rozróżnia .gov, .edu ( dla niego to nie problem ). Nigdy nie używa mózgu, zawsze chce wbić w top30 30 swoich stron. Czy ludzie z naszej sieci też tak robią? Analizuj! Od 2011 używa tych samych kodów, które używał na .co.uk .com z lekką modyfikacją na pdf. Znalazłeś chociaż jedną stronę na joomli prowadzącą do naszej sieci, chociaż jeden PDF? Czy na stronie rządowej były linki prowadzące do naszej sieci? Nie, Nie, Nie.

Strony, które tutaj wklejasz, są to zagraniczne strony, żadna z nich nie jest oparta o cms joomla i nie dotyczy użytkowników tego forum. Jako właściciele sieci affilacyjnej mamy prawo do współpracy z każdym kto przestrzega naszego regulaminu.

Dlaczego linki mają taki sam aid? Dlatego, że jesteśmy właścicielami sieci afilacyjnej i nasze leady z częścią wydawców rozliczamy przez reffa a nie przez ID. To my robimy im przysługę a nie oni nam. Nie mogą zarejestrować się w innych konkurencyjnych sieciach ze względu na kraj pochodzenia.

Dlaczego domena kredytpol.eu była zarejestrowana na wskazany przez Ciebie email? To prawda, że została przejęta na ten adres. Od 2011 email został odstąpiony i nie jest używany przez wskazaną przez Ciebie osobę! Jak się czujesz teraz podając dane personalne złej osoby? Od razu odpowiemy Ci, dlaczego konto odstąpiliśmy. Ze względu na konto adsense i brak płatności przelewem dla ludzi z Indii. Co ty na to? Klamstwo pewno powiesz, mów sobie. Nowy właściciel ma na imię Invitay. Wynajmujemy mu też serwery. Reszte sobie szukaj sam, wkońcu jesteś detektywem internetowym.

Wczoraj pisałeś do nas emaila z nowo założonej skrzynki ( brak ci odwagi od samego poczatku, żeby się z nami skontaktować normalnie ). Dziwne, że miałeś odwadę atakować naszą stronę bez proxy. Odpowiemy tobie na pytanie publicznie czyli w takim stylu jak lubisz. Nie wiem co to znaczy, że ktoś odpalił tobie Vengę, wiem jedno tam jest IP twojego komputera i zbugowałeś nam stronę. Od tygodnia nie dodaliśmy przez to żadnej treści. Sprawą w środę zajmie się nasz prawnik i poniesiesz tego konsekwencje prawne. To już będzie twój problem, bo co innego podrzucić komuś na stronę ranking a co innego niszczyć i uniemożliwiać pracę oraz dostęp do strony.

Z naprawą czekamy, gdyż szukamy wyjątkowo drogiej i porządnej firmy, która zrobi analizę jak to uczyniłeś i naprawi nam stronę. Co do strat moralnych mógłbyś wskazać naszemu prawnikowi paragraf, bo nie może tego biedny chłopaczyna znaleźć.

Sprawę na pewno zgłosimy choćby nawet miało się to skończyć tylko zawiasem - musisz zrozumieć, że jeżeli tobie się wydaje, że ktoś podrzuce te rankingi nie uprawnia Ciebie do niszczenia strony z tej samej sieci affilacyjnej.

- - - Updated - - -

A i jeszcze ostatnia rzecz bo zarzucałeś nam, że jesteśmy konfidentami. Absolutnie nie, ten człowiek nie ma prawa używać naszych treści i robi na nas negative seo a my próbojemy się bronić. Jeżeli my tworzymy treść na stronie ( setki podstron) a ktoś przychodzi i z całej strony ściąga treść, a później ładuje to na swoje strony "rządowe", które mają większą reputację od naszej dochodzi do abstrakcyjnej sytuacji, że nasza strona jest karana za zduplikowaną treść. Rozumiem robić BHS, dla każdego jest miejsce w serpach, ale debilowi nie da się wytłumaczyć, żeby brał sobie treści z generatora, bo to uderza w naszą stronę - dlatego musieliśmy to zgłosić. Więcej nie zamierzamy dyskutować z konfidentem pełną gębą zachęcającym do reportowania stron, które nic mu nie zrobiły i promują się przez kanały na które go nie stać.

Gall Anonim
04-10-2015, 00:19
Panowie => dość tych przepychanek => bawcie się między sobą - zamykam wątek.