ВЗЛОМ САЙТА (хайп проекта)

Раньше на этом сайте существовал инвестиционный проект (многие уже знают), но после одного муд.ка, вся база и кошелёк перестали функционировать.
Сайт потерпел убытки с кошелька payeer на сумму более 400 000 рублей.
Всё что предназначалось пользователям для выплат было похищено. Покопавшись в логах я нашел с какого ip был осуществлен взлом.
Что интересно у него тоже есть инвестиционный проект, который практически не защищен от внешних sql инъекций.
При огромном желании наказать взломщика я попробовал использовать простой запрос к базе на его сайте, что с моего удивления выдало мне таблицу юзеров.
запрос http://hausemy.ru/?r=127+union+select+null,null,null+from+table1/*
Определив таблицу я смог докопаться до суммы вклада (ячейка - money). Я увеличил сумму sql запросом до несколько десятков тысяч, но дальше меня поджидало огорчение.
Оказывается там стоит защита на вывод, если сумма пополнения намного меньше чем сумма на вывод, выдаёт - " Вы подозрительный участник ваш счет заморожен. Обратитесь в поддержку, либо для разблокировки пополните аккаунт на сумму не менее той, которую хотите вывести и Ваш аккаунт будет разблокирован автоматически.".
Попробовал пополнить счет на 1000 рублей и вывести накрученные деньги. Вывелось только 10000 рублей. тогда я понял, всё дело в соотношении процентов пополнения и вывода.
Такая защита работает на многих сайтов с целью безопасности кошелька. Разумеется можно обратится в поддержку сайта для разморозки, но как вы объясните появления столь большой суммы на вашем счете ))
Всё что мне удалось вывести это 25 000 рублей. Дальше снова защита, как я понял по ip, браузеру, куки.
Админ сайта явно не хотел платить деньги вкладчикам, а приманивал их таким способом.
Статья посвящается всем кто потерял деньги на hausemy и на нашем сайте из-за его взлома.
Момент написания статьи 15 июня.
Теперь о том как накрутить деньги
1) Переходим на сайт http://hausemy.ru/
2) Регистрируемся
3) Заходим в раздел история http://hausemy.ru/history.php?page=1 (?page=1 переменная не фильтруется php кодом)
4) Теперь с помощью sql мы сделаем запрос к базе и прибавим баланс на 7 000 рублей http://hausemy.ru/history.php?page=0x61646D696E' OR id=IF(ASCII(SUBSTRING((SELECT USERS(MONEY=0x61646D696E)),0,1) =113,'1','0') --
5) Вот и всё ваш баланс составил 7000 рублей, для вывода вы должны уровнять соотношения пополнив на любую сумму.


Да и ещё... Сумма минимального пополнения возрастает от суммы баланса.