Блог о безопасности

Блог о безопасности

Скрытые ссылки на страницах скомпрометированных сайтов

Злоумышленники могут монетизировать взлом сайтов и распространение заражённых CMS как заражая компьютеры посетителей, так и за счёт black hat SEO. Например, на страницах сайта могут размещаться скрытые ссылки, что приводит к временному исключению таких страниц из поиска. Соблюдение простых правил и использование CMS из доверенных источников существенно снижает риск того, что ваш сайт будет скомпрометирован.
Скрытые ссылки

Сегодня я расскажу о скрытых ссылках – одном из методов поискового спама, который может появиться на страницах сайта без Вашего ведома.

Отличительными чертами такого содержимого является появление невидимых тегов div или a, со стилями hidden, display:none, overflow:hidden. Анкоры ссылок представляют из себя поисковые запросы, соответствующие сайтам злоумышленников. Обычно они посвящены продаже фармакологической продукции, гаджетов, одежды или, например, реплик дорогих часов. Выглядит это примерно так:

Размещая на хороших ресурсах ссылки на свой домен, злоумышленники надеются повысить доверие поисковой системы. Данный метод спама рассчитан исключительно на индексирующих роботов, злоумышленники не заинтересованы в том, чтобы вебмастер или посетители скомпрометированного сайта заметили скрытый контент. Существует разновидность реализации данного метода спама, при котором код скрытого текста вообще не отображается на странице и виден только роботам.

 

Механизм размещения скрытых ссылок.
В скрипты скомпрометированной CMS дописывается вредоносный код, который (опционально) детектирует юзер-агент посетителя. При загрузке страницы скрипт отправляет запрос на удаленный сервер и получает в ответ набор ссылок для размещения. Ссылки отображаются на странице сайта в виде скрытого текста.

Узнать о подобной проблеме Вы можете, получив автоматическое уведомление с примерами страниц в сервисе Яндекс.Вебмастере. Страницы, содержащие скрытый текст, временно исключаются из поиска.

Если скрытый текст отображается непосредственно в коде страниц, недостаточно просто удалить его. Нужно решать проблему на стороне сервера.

Если Вы проверили код страниц и не обнаружили скрытого текста, к сожалению, это еще не значит, что проблема решилась сама собой. Возможны две причины подобной ситуации:

  • вредоносный скрипт осуществляет проверку юзер-агента и дописывает скрытый текст только для роботов поисковых систем;
  • на момент загрузки Вами проблемных страниц удаленный сервер злоумышленников не ответил или ссылки на данный момент с сервера злоумышленников не раздаются.


В любом случае, при получении уведомления следует воспользоваться нашей инструкцией по удалению вредоносного кода на серверной стороне.


После удаления вебмастером скрытого текста робот перепроверит проблемные страницы, отследит положительные изменения и страницы восстановятся в поиске автоматически.


В заключение отмечу, что по данным команды Безопасного поиска Яндекса прямо сейчас в базе находится более 25 000 сайтов и более 430 000 страниц, которые содержат скрытые ссылки.


Пожалуйста, уделяйте внимание безопасности Вашего ресурса.