Платон Щукин

Скрытые спам-ссылки и безопасность сайта

3 мая 2011, 17:43
Скрытые спам-ссылки и безопасность сайта

В последнее время заметно участились случаи взлома сайтов с целью включения в страницы скрытых спам-ссылок, ведущих на посторонние ресурсы. Из-за этого взломанный сайт может быть временно исключён из результатов поиска, а пользователям могут выдаваться не те страницы, которые они хотят найти. Идея такого заражения не нова, но сейчас оно носит массовый характер и обладает новыми особенностями, с которыми мы раньше не сталкивались. Поэтому мы решили ещё раз напомнить о существовании такой проблемы и о способах её устранения.

Последняя волна заражений была связана в основном с сайтами, которые используют CMS Joomla, но это не значит, что сайты на базе других CMS не могут оказаться взломанными.

Как это происходит

Сначала злоумышленник получает доступ к сайту, использовав одну из его уязвимостей. Затем он загружает на сайт файл .php, содержащий вредоносный код, или дописывает этот код в уже существующие файлы. Вредоносный код никак не проявляет себя при посещении сайта обычными пользователями, но когда сайт индексирует робот поисковой системы, ему выдаётся множество скрытых спам-ссылок, например, таких:

<!--cacheb--><p style="display: none;">
<a href="http://www.msu.edu/~offbeat/.ed/tadalafil-generique.html">tadalafil generique</a>
<a href="http://www.msu.edu/~offbeat/.ed/viagra-europe.html">viagra europe</a>
<a href="http://www.msu.edu/~offbeat/.ed/canadian-cialis.html">canadian cialis</a>
<a href="http://www.msu.edu/~offbeat/.ed/cialis-commercial.html">cialis commercial</a>
...
<a href="http://www.msu.edu/~offbeat/.ed/contre-indication-viagra.html">contre indication viagra</a>
<a href="http://www.msu.edu/~offbeat/.ed/cialis-moins-cher.html">cialis moins cher</a>
<a href="http://www.msu.edu/~offbeat/.ed/cialis-espagne.html">cialis espagne</a>
</p><!--cachee-->


Вредоносный код выдаёт страницу со ссылками только роботам поисковой системы. В страницах, которые выдаются обычным пользователям, таких ссылок нет. Вебмастер тоже не сможет увидеть эти ссылки в исходном коде страницы, если зайдёт на неё через браузер.

Наличие на сайте скрытого текста расценивается Яндексом как нарушение, поэтому содержащие его страницы временно исключаются из поиска. Если мы обнаруживаем скрытый текст на сайте, который зарегистрирован в сервисе Яндекс.Вебмастер, то присылаем вебмастеру сообщение об этом, чтобы вебмастер смог оперативно проверить свой сайт и устранить найденные проблемы.

Как найти источник проблемы?

Вредоносный код, который в последнее время используется, чтобы выдавать роботам страницы со спам-ссылками, с большой вероятностью содержит функции “eval”, “base64_decode”, “json_decode” или “gzuncompress”, при этом использует переменные user_agent и referer. Но такой код постоянно эволюционирует, поэтому его признаки и принципы действия могут измениться в любой момент.

По ссылке приведён образец вредоносного кода, который был включён в CMS Joomla. В данном случае, его характерным признаком является, кроме перечисленных, наличие строки “JOOMLA_CACHE”.

При запросе страницы со взломанного сайта, код отправляет запрос серверу злоумышленников с ip-адресом 78.159.101.232. Этот сервер проверяет user-agent, referer и другие параметры, и выдаёт вредоносному коду на взломанном сайте инструкции для дальнейших действий. Например, если user-agent принадлежит роботу поисковой системы, то роботу выдаётся страница со спам- ссылками.

Что делать дальше

Если Ваш сайт действительно был заражен, то после его полной очистки рекомендуем предпринять следующие профилактические меры, чтобы свести риск повторного заражения к минимуму:

1. Сменить все пароли доступа к сайту: от ftp, административной панели, базы данных, SSH и панели управления веб-хостингом.
2. При дальнейшей работе с сайтом не сохранять эти пароли в браузерах, ftp-клиентах, файловых менеджерах и т.д.
3. Обновить CMS до последней версии и регулярно обновлять её в будущем.
4. Использовать надежную антивирусную программу и также следить за ее регулярным обновлением.


P.S. Команда Яндекс.Поиска выражает глубокую благодарность вебмастерам, которые поделились с нами подробной информацией «изнутри» и сделали написание этой статьи возможным.

12 комментариев
Подписаться на комментарии к посту
По это дело подомнут еще и простые "скрытые" ссылки с "display: none"?

Да у 50% сайтов всякой бяки висит или вы не видите или я уже не знаю что думать.

  "display: none" Это ещё конфетки

А вот закодированные ссылки со вякокой фигнёй с редиректами вирусами итд. И вы им ещё ТИЦ даёте причём каждый месяц +10. Вот сами бы попробовали со своего компа вылезти ночью и поискать чегонибудь. К примеру драйвера на любую видео карту. У вас самые первые ссылки на вирусные сайты и стоят. Или сайты с архивами попрошайками. А должны стоять на первых местах сайты производители. Если я в чёмто не прав то поправьте.

если вы неправы, то только в том, что не даете примеров -- запросов и позиций по которым стоят сайты с вирусами.

PS При чем здесь ночной поиск, разве днем вирусы прячутся от пользователей? :)

Могу и ссылки выложить только не тут а на paste.org.ru. Для безопасности. Можете сами проверить что днём на этих сайтах чистенько. А ночью просто потоп в бардаке во время наводнения )

Вот первый же запрос xerox workcentre 3119 драйвер скачать Позиция 6 в яндэксе  ссылка ***://edrivers.ru/mfu/xerox-mf/150-skachat-drajver-dlya-mfu-xerox-workcentre-3119.html_  Архивы попрошайки повсюду. Можете проверить

Такие сайта выкидывать надо с поиска что и упомянаний не было. Примеров могу кучу привести

Описанный вариант заражения, действительно, лишь капля в море. Но он был обнаружен нами относительно недавно, к тому же описанная схема заражения затрудняет поиск причины для владельца сайта, поэтому мы сочли нужным рассказать об этой проблеме.

Что же касается завирусованных сайтов в выдаче, то нам тоже очень нужны такие примеры, особенно тех сайтов, которые, как вы говорите, меняют контент в зависимости от времени суток. Мы были крайне признательны за несколько таких примеров (можно на safesearch@yandex-team.ru).

eugeny.tarasencko
10 мая 2011, 20:20

Joomla хорошая CMS... но ее большое распространение и обуславливает что злоумышленники всячески стараются воспользоваться этим фактом.

 

Вопрос на "внешне схожий фактор" но в корне отличный. Уважаемая команда ЯндексПоиск, стремясь улучшить сайт мы разработали меню позволяющее пользователю в 1 клик мыши переместиться на 99% (запланированных) страниц, коих может быть (в будущем примерно 32 тыс.). Вопрос:

По логике с главной мы должны прописать роботу показать 32тыс. ссылок на внутренне страници (согласно возможностям меню), т.к. меню сделано на java, а ссылки получаются скрыты от пользователя - Не будет ли это  считаться, роботами Яндекса, "нарушением"?

 

И как быть в таком случае? Способен ли робот определить что данные (скрытые ссылки на внутренние страницы) являются частью меню?

aleksander.filippenko
11 мая 2011, 14:56

Спасибо. Это действительно важно. И как же я рад, что не юзаю Joomla)

Откажитесь еще и от Windows и радость ваша будет вообще безграничной! )))

Извините, Но ответа на вами же поставленный вопрос: Как найти источник проблемы? так и нет. Как рядовому вебмастеру а именно использующему коробочную или самописную CMS найти этот пресловутый код. Ведь проверить все файлы, да ещё без знания Перлов,Явов и PHP просто не реально. А тем более делать это периодически, чтобы не потерять благосклонность ПС

Доброго дня Платон!

Интересно почему вы завели блог на Янд., ведь он не очень хорошо индексируется и есть определенные проблемы с пользователями которые постоянно не довольны работой Янд., в сети Интернет. pulzar.ru

Блог - это где что-то пишут, а Платон здесь уже год не появляется. Да и появился всего однин раз. ))