В последнее время заметно участились случаи взлома сайтов с целью включения в страницы скрытых спам-ссылок, ведущих на посторонние ресурсы. Из-за этого взломанный сайт может быть временно исключён из результатов поиска, а пользователям могут выдаваться не те страницы, которые они хотят найти. Идея такого заражения не нова, но сейчас оно носит массовый характер и обладает новыми особенностями, с которыми мы раньше не сталкивались. Поэтому мы решили ещё раз напомнить о существовании такой проблемы и о способах её устранения.
Последняя волна заражений была связана в основном с сайтами, которые используют CMS Joomla, но это не значит, что сайты на базе других CMS не могут оказаться взломанными.
Как это происходит
Сначала злоумышленник получает доступ к сайту, использовав одну из его уязвимостей. Затем он загружает на сайт файл .php, содержащий вредоносный код, или дописывает этот код в уже существующие файлы. Вредоносный код никак не проявляет себя при посещении сайта обычными пользователями, но когда сайт индексирует робот поисковой системы, ему выдаётся множество скрытых спам-ссылок, например, таких:<!--cacheb--><p style="display: none;">
<a href="http://www.msu.edu/~offbeat/.ed/tadalafil-generiqu ">tadalafil generique</a>e.html
<a href="http://www.msu.edu/~offbeat/.ed/viagra-europe.html ">viagra europe</a>
<a href="http://www.msu.edu/~offbeat/.ed/canadian-cialis.ht ">canadian cialis</a>ml
<a href="http://www.msu.edu/~offbeat/.ed/cialis-commercial. ">cialis commercial</a>html
...
<a href="http://www.msu.edu/~offbeat/.ed/contre-indication- ">contre indication viagra</a>viagra.html
<a href="http://www.msu.edu/~offbeat/.ed/cialis-moins-cher. ">cialis moins cher</a>html
<a href="http://www.msu.edu/~offbeat/.ed/cialis-espagne.htm ">cialis espagne</a>l
</p><!--cachee-->
Вредоносный код выдаёт страницу со ссылками только роботам поисковой системы. В страницах, которые выдаются обычным пользователям, таких ссылок нет. Вебмастер тоже не сможет увидеть эти ссылки в исходном коде страницы, если зайдёт на неё через браузер.
Наличие на сайте скрытого текста расценивается Яндексом как нарушение, поэтому содержащие его страницы временно исключаются из поиска. Если мы обнаруживаем скрытый текст на сайте, который зарегистрирован в сервисе Яндекс.Вебмастер, то присылаем вебмастеру сообщение об этом, чтобы вебмастер смог оперативно проверить свой сайт и устранить найденные проблемы.
Как найти источник проблемы?
Вредоносный код, который в последнее время используется, чтобы выдавать роботам страницы со спам-ссылками, с большой вероятностью содержит функции “eval”, “base64_decode”, “json_decode” или “gzuncompress”, при этом использует переменные user_agent и referer. Но такой код постоянно эволюционирует, поэтому его признаки и принципы действия могут измениться в любой момент.
По ссылке приведён образец вредоносного кода, который был включён в CMS Joomla. В данном случае, его характерным признаком является, кроме перечисленных, наличие строки “JOOMLA_CACHE”.
При запросе страницы со взломанного сайта, код отправляет запрос серверу злоумышленников с ip-адресом 78.159.101.232. Этот сервер проверяет user-agent, referer и другие параметры, и выдаёт вредоносному коду на взломанном сайте инструкции для дальнейших действий. Например, если user-agent принадлежит роботу поисковой системы, то роботу выдаётся страница со спам- ссылками.
Что делать дальше
Если Ваш сайт действительно был заражен, то после его полной очистки рекомендуем предпринять следующие профилактические меры, чтобы свести риск повторного заражения к минимуму:
1. Сменить все пароли доступа к сайту: от ftp, административной панели, базы данных, SSH и панели управления веб-хостингом.
2. При дальнейшей работе с сайтом не сохранять эти пароли в браузерах, ftp-клиентах, файловых менеджерах и т.д.
3. Обновить CMS до последней версии и регулярно обновлять её в будущем.
4. Использовать надежную антивирусную программу и также следить за ее регулярным обновлением.
P.S. Команда Яндекс.Поиска выражает глубокую благодарность вебмастерам, которые поделились с нами подробной информацией «изнутри» и сделали написание этой статьи возможным.
май 2011
3 мая 2011, 17:43
Скрытые спам-ссылки и безопасность сайта
23 мая 2011, 16:26
- В "Рекомендациях Яндекса по созданию сайтов" появился новый раздел - "Смена структуры сайта". Вы нас спрашивали - мы постарались максимально подробно ответить.
- Наш робот теперь поддерживает атрибут rel=”canonical”. Подробности в блоге Яндекс.Поиска.
Одним словом, работаем изо всех сил, несмотря на солнце и лето за окном. Даже в блог писать некогда!
23 мая 2011, 22:24
Об одном из некорректных способов поискового продвижения и его последствиях
Яндекс уже высказывал своё отношение к поисковой оптимизации — единственно правильным способом мы считаем улучшение качества сайта в интересах пользователей. Влияние на параметры ранжирования с помощью различных манипуляций мы рассматриваем как стремление обмануть поисковую систему и пользователей.
В последнее время мы видим попытки повлиять на поисковую систему путем эмуляции действий пользователей. Чаще всего это происходит с помощью программ, которые задают запросы в поисковую систему и потом переходят на определенные сайты, но известны и другие способы. Все они — обман, не имеющий ничего общего с настоящей оптимизацией сайта. Кроме того, создание подобных систем накрутки способствует развитию бот-сетей, которые могут быть использованы для DDoS-атак, распространения вредоносного ПО, рассылки спама.
Мы уверены, что такие методы вредны для развития интернета. Мы считаем их поисковым спамом и предпринимаем соответствующие меры в отношении использующих их сайтов.
Яндекс настоятельно рекомендует владельцам сайтов, веб-мастерам и компаниям, предоставляющим услуги в области SEO, воздержаться от использования этого и других методов псевдооптимизации. Они бесперспективны и могут привести к потере вашим сайтом репутации и позиций в результатах поиска.
Команда поиска Яндекса