Платон Щукин

Скрытые ссылки

27 сентября 2012, 19:22

Сегодня я расскажу о скрытых ссылках – одном из методов поискового спама, который может появиться на страницах сайта без Вашего ведома.

Отличительными чертами такого содержимого является появление невидимых тегов div или a, со стилями hidden, display:none, overflow:hidden. Анкоры ссылок представляют из себя поисковые запросы, соответствующие сайтам злоумышленников. Обычно они посвящены продаже фармакологической продукции, гаджетов, одежды или, например, реплик дорогих часов. Выглядит это примерно так:

Размещая на хороших ресурсах ссылки на свой домен, злоумышленники надеются повысить доверие поисковой системы. Данный метод спама рассчитан исключительно на индексирующих роботов, злоумышленники не заинтересованы в том, чтобы вебмастер или посетители скомпрометированного сайта заметили скрытый контент. Существует разновидность реализации данного метода спама, при котором код скрытого текста вообще не отображается на странице и виден только роботам.

 

Механизм размещения скрытых ссылок.
В скрипты скомпрометированной CMS дописывается вредоносный код, который (опционально) детектирует юзер-агент посетителя. При загрузке страницы скрипт отправляет запрос на удаленный сервер и получает в ответ набор ссылок для размещения. Ссылки отображаются на странице сайта в виде скрытого текста.

Узнать о подобной проблеме Вы можете, получив автоматическое уведомление с примерами страниц в сервисе Яндекс.Вебмастере. Страницы, содержащие скрытый текст, временно исключаются из поиска.

Если скрытый текст отображается непосредственно в коде страниц, недостаточно просто удалить его. Нужно решать проблему на стороне сервера.

Если Вы проверили код страниц и не обнаружили скрытого текста, к сожалению, это еще не значит, что проблема решилась сама собой. Возможны две причины подобной ситуации:

  • вредоносный скрипт осуществляет проверку юзер-агента и дописывает скрытый текст только для роботов поисковых систем;
  • на момент загрузки Вами проблемных страниц удаленный сервер злоумышленников не ответил или ссылки на данный момент с сервера злоумышленников не раздаются.


В любом случае, при получении уведомления следует воспользоваться нашей инструкцией по удалению вредоносного кода на серверной стороне.


После удаления вебмастером скрытого текста робот перепроверит проблемные страницы, отследит положительные изменения и страницы восстановятся в поиске автоматически.


В заключение отмечу, что по данным команды Безопасного поиска Яндекса прямо сейчас в базе находится более 25 000 сайтов и более 430 000 страниц, которые содержат скрытые ссылки.


Пожалуйста, уделяйте внимание безопасности Вашего ресурса.

49 комментариев
Подписаться на комментарии к посту

У меня так один сайт из США поломали=)

 

Спасибо за пост!

 

У меня как-раз ситуация наоборот. Т.е. появляются скрытые ссылки, причем при переходе на донора ,ссылки не видно, в коде также нет. Она отдается, как и писалось выше, по юзер агенту.

 

Скажите, пожалуйста, получит ли мой сайт санкций за тот факт, что ссылки на донорах скрытые?

Не волнуйтесь, подобные ссылки наши алгоритмы не учитывают.

Не знаю... не знаю. Мне на сайт затолкали вирус, который создал папку, в ней было 2000 страниц, на каждой десятка два ссылок.
Судя по логам, потом начали накручивать поведенческие факторы, через неделю все было в индексе!
Заметил по количеству проиндексированных (втч и в выдаче) страниц, было 140, стало 2000 с лишним.
Удалять через форму? Сами понимаете..
Не суть, с проблемой я справился, страницы ушли.. но... Ребята, проследите за ПФ. Это не дело, что вирус моментально вгоняет 2000 страниц в индекс.
С того же сайта в честную меняюсь ссылками, страница не индексируется месяц, типа спам, хотя на ней 4 ссылки. Что-то не совсем так...
Правильно ли я понимаю, что ссылки вставляются в код динамически? Если так, то насколько хорошо Яндекс умеет индексировать подгружаемый контекст:
1. Генерируемый js
2. Ajax
3. Websockets

Скрытые ссылки не являются динамическим контентом, так как формируются на стороне сервера и отдаются роботу уже в виде html. Динамический же контент, сгенерированный перечисленными способами, робот не индексирует, так как работу скриптов он не эмулирует.

На моем блоге о заработке в интернете поначалу было нечто подобно, но потом нашел код и обезвредил! Спасибо за статью!

Добрый день! Скажите, пожалуйста, почему наш сайт http://secondstreet.ru  уже три года не может попасть в Яндекс каталог сайтов о моде?  Тиц 80

 Посещаемость в районе 10 000 уников в день держится, сайт некоммерческий, о нем уже снято много тв- программ и интервью - самый необычный сайт о моде в россии. В выдаче по запросу "модный сайт" мы в Яндексе стоим 5-ыми все это время. У нас крутится реклама Яндекс Директа, иногда запускаем свои рекламные кампании через контекстную рекламу Яндекса. Так почему, несмотря на все это, нас не вносят в каталог?

Хотя там в каталоге "Мода и модельеры" есть такие замусоренные порно-тизерами сайты как http://fashiony.ru   и много давно умерших: некоторые  даже не открывающиеся как http://www.moda.ru/  , или последний раз обновлявшиеся в 2010 как http://www.sarafan.ru   и много-много других весьма спорных. Куча сайтов с цитируемостью в 30-40 упоминаний и даже мелких сообществ жж: http://yaca.yandex.ru/yca/cat/Private_Life/Beauty/Fashion/8.html

Разве Вы не должны поддерживать молодые сайты? Что именно мы три года делаем не так, что пользователи, и выдача  нас - любят, а Вы - нет?

Вы незаплатили 15 тысяч :)

Это противоречит самой идее развития интернета и Яндекс-каталога). Мы за три года доказали свою необычность и интересность:-) - а такое колличество мертвых и мусорных сайтов в модном разделе каталога - доказывает нежизнеспособность теории "плати деньги - назовем интересным". Мы некомерческий проект, на рекламе не зарабатываем - яндекс директ и адсенс только сервера покрывают. Поэтому не платим, за то что на нас в сотни раз ссылаются больше чем на добрую половину сайтов в каталоге - тоже о чем-то должно говорить%)

 

А что с сайтом, на котором такие ссылки. Он получает санкции за спам или такие ссылки просто игнорируются?

 

Страницы, на которых были проиндексированы скрытые ссылки, временно исключаются из поиска. 

Какие CMS чаще заражены и кто замечен в раздаче вредоносного кода?

Халявные :-D

Ознакомьтесь с данными этого эксперимента http://www.topexpert.pro/3.html, а также в блоге яндекс есть статья с диаграммами о том, какая CMS больше подвержена взломам

Вот нашла тут можно прочесть http://platon.ya.ru/replies.xml?item_no=1940 

Хочу добавить немного от себя, как от пострадавшего от подобных вещей. В статье ничего не сказано ничего о том, как злоумышленник добавляет свой код на ваш сайт. Я обнаруживал такие ссылки на своем сайте, и удалял их, но они появлялись снова. В конце-концов я понял причину. Изначально на сайте был стандартный пользователь по-умолчанию, и я ему назначил простой пароль. Каким-то образом (ниже скажу каким, на тот момент я не знал) пользователь/пароль были подобраны, и злоумышленник получил права на вход в CMS сайта. После того, как я обнаружил вредоносный код и удалил его, я поменял ВСЕ пароли: пользователя CMS, пароль на хостинге, на FTP. Несмотря на это, через месяц код вновь появился на сайте. Я его снова удалил, и никак не мог понять, как он смог появиться снова. В третий раз, злоумышленник, кроме добавления кода на сайт ещё и написал в .htaccess о том, что я такой-сякой, и если еще раз удалю код, он снесет мой сайт вообще. В конце-концов, после моего истеричного письма в службу поддержки хостинга, они обнаружили среди файлов CMS, загруженные файлы так назваемых Шеллов. При открытии в бразере адреса http://мой.сайт/файл.шелла, злоумышленнику предоставлялся полный доступ на хостинг. При этом смена паролей CMS, хостинга и FTP уже не имела никакого значения, до тех пор, пока файл находится на хостинге. После удаления файлов (а их было несколько, видимо, на всякий случай) повторных взломов не было, с тех пор прошло уже больше года.

Добавлю ещё насчет процеса взлома. Я-то думал, как так - почему именно мой сайт, и сколько же это надо мучаться, чтобы подобрать пароль. Оказывется, дело поставлено на поток. У меня есть несколько десятков сайтов на одном хостинге и одной CMS, и однажды я обнаружил, что они превышают лимиты выделенные мне мои хостером. Сайты молодые, и у них не должно быть такой посещаемости, чтобы выйти за выделенные мне пределы ресурсов. Я стал анализировать журналы посещений сайта, и обнаружил, что периодически возникает следующая активность: на протяжении 5-10 минут сотни раз идут обращения к странице логина на сайт (я использую распространенную CMS, адрес страницы логина известен). Более того, такая активность возникает практически каждый день, на разных сайтах. Вывод: попытки подбора пароля автоматизированы, и практически все сайты в сети попадают в базы взломщиков. Хочу сказать ВСЕМ владельцам сайтов: не надейтесь на то, что ваш сайт "обойдет стороной", практически все сайты подвергаются попыткам взлома, поэтому СРАЗУ устанавливайте трудноподбираемый пароль.

И еще, мне непонятно, почему до сих пор наши правоохранительные органы не заинтересовались этими злоумышленниками? В Сети миллионы сайтов, и тысячи их владельцев уже заметили такую активность, а полиция тем не менее дремлет. Мне кажется, что если серьезно заняться этим вопросом, со всеми ресурсами, доступными власти, до поймать взломщиков - дело нескольких дней. Спецслужбы уже вкладывают финансы на разработку систем борьбы с возможными кибер-атаками извне. защищаются от "третьей мировой", которая "может быть, когда-нибудь", а та война кибер-против рядового человека, которая УЖЕ СЕЙЧАС ведется, почему-то никого не интересует.

А-А-А! Ну напугал, так напугал. А что делать, кроме пароля? И как вы договорились с хостером о проверке?

Мы писали об атаке с использованием слабых паролей в июне.

Кроме сложности пароля, нужно обеспечивать безопасность рабочей станции, т.к. если она заражена, malware может перехватывать пароль при вводе.

Вы пишете: "я использую распространенную CMS, адрес страницы логина известен".

В любой CMS можно поменять URL страницы логина. Это азбука безопасности сайта на популярных CMS.

Делайте это всегда для своих сайов.

Ага!!!  Вот и ответ на мой вопрос!

В прошлом году мой хороший блог СДЛ на ВордПресс совершенно внезапно выпал из индекса Яндекса (при этом сохранив и даже нарастив ТИЦ).

Писала в саппорт Яндекса тысячу раз, проверяла у хостера наличие вредоносных кодов, убрала все возможные ссылки, плагины, виджеты, гаджеты и пр. прибамбасы - ничего не помогло.

Яндекс на все мои письма отвечал стандартной отпиской "ваш сайт не соответствует нашим требованиям, читайте правила" - ага, два года соответствовал, а тут вдруг перестал? Причем я писала, что я заметила - это случилось после резкого всплеска активности (ежедневно получаю от хостера отчет о  нагрузке на сервер). Активность в те дни подскочила очень резко - наверное, где-то в 500 раз.

Жаль, что на Яндексе за целый год так ни разу и не удосужились прочитать мои письма и разобраться в проблеме - в итоге этот сайт пришлось банально ликвидировать и перенести материалы на другой адрес. Теперь приходится раскручивать новый блог. Три года работы - Яндексу коту под хвост...

А все потому, что не хочется набирать дополнительный квалифицированный персонал, который адекватно реагировал бы на письма клиентов. В результате - загубленные годы работы. Годы, а не пара часов!

Яндексу, конечно, все равно. А у меня все планы порушились...

Если сайт сталкивается с проблемой скрытых ссылок мы всегда стараемся явно указать вебмастеру на это. Если в Вашем случае подобных указаний не последовало, проблема заключалась не в скрытых ссылках. 

- Удаляем подборку пароля: закройте доступ в .htaccess к странице логина на сайте, разрешаем только для своего IP
- Удаляем доступ для шеллов на сайт: Закрываем доступ  в админские папки, разрешаем только для своего IP
- удаляем разрешения на запись в файл .htaccess
- Политику прав на папки и файлы тоже никто не отменял

Распространитель скрытых ссылок в шаблонах и плагинах для Joomla: http://joomla-master.org/

Ссылки появляются после установки продуктов скаченных с данного сайта и визуально не отображаются, а только присутствуют в коде, как и пишет Платон. Это не только мое мнение, вот тема на форуме: http://www.seocafe.info/joomla/20941-ssylka-joomla-master-org-4.html

и еще один пост: http://www.workwebsite.ru/seo/prodvijeniye-saita/kak-ubrat-ssylki.html. Есть и другие обсуждения и инструкции по удалению данных ссылок.

Вопрос к Платону: Если Яндекс не одобряет действия такого рода, то может данный сайтик в бан?

Спасибо за информацию, передал ее нашим специалистам. При необходимости примем меры.

На этом сайте http://wordpresse.ru/ есть шаблоны со скрытыми ссылками. Забаньте и его тоже.

Передали специалистам)) и они подкрутили выдачу чтоб он стал еще выше ранжироваться??

Что-то меры никаких мер против этого "говносайта": http://joomla-master.org/ не принято никаких. Как распространяли ссылки, так и распространяют. На своем сайте я также обнаружил скрытые ссылки  этого спамера, удалил, после этого, написал в личку админу сайта очень "теплое" письмо, как я к нему отношусь.

Согласен! Забаньте этого главного распространителя спамных ссылок в Рунете!

Joomla-master.org не должен быть в поиске вообще

У меня даже на самописном сайте подобная проблема была. Причем подозреваю что сам хостер грешил подобными выходками.

Не следует винить хостера, проблема скорее всего (как верно отмечено выше) - в подборе пароля администратора.

Наблюдал аналогичную проблему на своем сайте.

Делайте более-менее сложный пароль и всё будет о.к. (разумеется после удаления файла-шелла с хостинга) :-)

Благодарен за новость-опубликовал у себя на ресурсе http://staiki.net/index.php

А учитываются ли ссылки у которых размер текста 0.01px по своей сути они тоже являются скрытыми, но не помещены в display:none.

Данный метод спама не имеет никакого отношения к рассматриваемым скрытым ссылкам.

Нужно покончить со скрытыми ссылками раз и навсегда, чтобы у нех, кто их размещает не было мотивации назмещать их снова.

Будут тогда размещать блоки ссылок с 0.01 px текстом и на сайте они будут выглядеть точкой.

Я считаю, что проблема со скрытыми ссылками не решена.

А если я закрыл таким образом только одну ссылку на странице? Эта страница тоже выпадет из поиска?

Вы пишете о другом методе спама, как правило, ссылки, которые добавляются описанным мной способом, многочисленны.

Сегодня заметил, что на мой сайт ведет ссылка с другого сайта. Решил посмотреть, кто это поставил на меня ссылку. Но на странице ее не нашел, а в коде она есть (вместе с кучей других) и закрыто "dispaly: none"

Замучал вопрос: зачем кому-то ставить ссылку на меня, если ее не видно? Понятно, если бы ссылка была платной, но я такую ссылку не оплачивал.

В данной ситуации повода для беспокойства нет: подобные внешние факторы не влияют на отношение наших алгоритмов к сайту.

 Тема интересная и главное не исчерпывающая себя полностью. Так видится что яндекс пользуется услугами оптемизаторов и програмистов бесплатно и они вольно или невольно закладывают других в угоду своих интересов.

Подскажите, пожалуйста, если я скрываю описанным образом счетчики, сайт может выпасть из выдачи? Интернет-магазин женской одежды: http://www.amichetta-spb.ru/

Вопрос все еще акутальный! 

В статье идет речь о скрытых ссылках, а не скрытых счетчиках. Поэтому на Вашем сайте это никак не отразится.

Некоторые сервисы проверки сайта пишут, что наличие скрытых блоков в коде плохо влияет на ранжирование, но Вы мне теперь все разъяснили!

Большое спасибо!

 

платон это же реклама :-)

 

 оцените мой блог

 

 

Комментарий удалён

Интересно, кто это спамит под моей личиной? Наглый какой гаденыш! Думаешь под бан меня загнать? ;-)А женилка выросла для таких затей?

Для поиска ссылок (в том числе скрытых), рекомендую бесплатный Ai-Bolit: http://revisium.com/ai/

 

 

 

 

а если сайт проверил, нашел страницы(левые), которые затолкнули на сайт, их проиндексировал яндекс, я их удалил, Но теперь при переходе из поиска яндекса по этим ссылка отображается главная страница моего сайта и имеет вид www.мой_сайт.ru/левая ссылка.html, а хочется нормально, да и яндекс чтоб не обиделся....строго не пинайте...ибо не профи

Здравствуйте, скажите будет ли это являтся "скрытой ссылкой" и повредит ли это моему сайту? если я :

загружу картину на яндекс фото

возьму её код

в коде заменю ссылку на фото на ссылку на свою страницу в соц сети

чтоб таким образом при нажатии на картинку человек попадал на мою старницу