Блог Яндекса для вебмастеров

Скрытые спам-ссылки и безопасность сайта

Пост в архиве.

В последнее время заметно участились случаи взлома сайтов с целью включения в страницы скрытых спам-ссылок, ведущих на посторонние ресурсы. Из-за этого взломанный сайт может быть временно исключён из результатов поиска, а пользователям могут выдаваться не те страницы, которые они хотят найти. Идея такого заражения не нова, но сейчас оно носит массовый характер и обладает новыми особенностями, с которыми мы раньше не сталкивались. Поэтому мы решили ещё раз напомнить о существовании такой проблемы и о способах её устранения.

Последняя волна заражений была связана в основном с сайтами, которые используют CMS Joomla, но это не значит, что сайты на базе других CMS не могут оказаться взломанными.

Как это происходит

Сначала злоумышленник получает доступ к сайту, использовав одну из его уязвимостей. Затем он загружает на сайт файл .php, содержащий вредоносный код, или дописывает этот код в уже существующие файлы. Вредоносный код никак не проявляет себя при посещении сайта обычными пользователями, но когда сайт индексирует робот поисковой системы, ему выдаётся множество скрытых спам-ссылок, например, таких:
 

<!--cacheb--><p style="display: none;">
<a href="http://www.msu.edu/~offbeat/.ed/tadalafil-generique.html">tadalafil generique</a>
<a href="http://www.msu.edu/~offbeat/.ed/viagra-europe.html">viagra europe</a>
<a href="http://www.msu.edu/~offbeat/.ed/canadian-cialis.html">canadian cialis</a>
<a href="http://www.msu.edu/~offbeat/.ed/cialis-commercial.html">cialis commercial</a>
...
<a href="http://www.msu.edu/~offbeat/.ed/contre-indication-viagra.html">contre indication viagra</a>
<a href="http://www.msu.edu/~offbeat/.ed/cialis-moins-cher.html">cialis moins cher</a>
<a href="http://www.msu.edu/~offbeat/.ed/cialis-espagne.html">cialis espagne</a>
</p><!--cachee-->


Вредоносный код выдаёт страницу со ссылками только роботам поисковой системы. В страницах, которые выдаются обычным пользователям, таких ссылок нет. Вебмастер тоже не сможет увидеть эти ссылки в исходном коде страницы, если зайдёт на неё через браузер.

Наличие на сайте скрытого текста расценивается Яндексом как нарушение, поэтому содержащие его страницы временно исключаются из поиска. Если мы обнаруживаем скрытый текст на сайте, который зарегистрирован в сервисе Яндекс.Вебмастер, то присылаем вебмастеру сообщение об этом, чтобы вебмастер смог оперативно проверить свой сайт и устранить найденные проблемы.

Как найти источник проблемы?

Вредоносный код, который в последнее время используется, чтобы выдавать роботам страницы со спам-ссылками, с большой вероятностью содержит функции “eval”, “base64_decode”, “json_decode” или “gzuncompress”, при этом использует переменные user_agent и referer. Но такой код постоянно эволюционирует, поэтому его признаки и принципы действия могут измениться в любой момент.

При запросе страницы со взломанного сайта, код отправляет запрос серверу злоумышленников с ip-адресом 78.159.101.232. Этот сервер проверяет user-agent, referer и другие параметры, и выдаёт вредоносному коду на взломанном сайте инструкции для дальнейших действий. Например, если user-agent принадлежит роботу поисковой системы, то роботу выдаётся страница со спам- ссылками.

Что делать дальше

Если Ваш сайт действительно был заражен, то после его полной очистки рекомендуем предпринять следующие профилактические меры, чтобы свести риск повторного заражения к минимуму:

1. Сменить все пароли доступа к сайту: от ftp, административной панели, базы данных, SSH и панели управления веб-хостингом.
2. При дальнейшей работе с сайтом не сохранять эти пароли в браузерах, ftp-клиентах, файловых менеджерах и т.д.
3. Обновить CMS до последней версии и регулярно обновлять её в будущем.
4. Использовать надежную антивирусную программу и также следить за ее регулярным обновлением.


P.S. Команда Яндекс.Поиска выражает глубокую благодарность вебмастерам, которые поделились с нами подробной информацией «изнутри» и сделали написание этой статьи возможным.

43 комментария

 

Наличие на сайте скрытого текста расценивается Яндексом как нарушение

 

а как расценивает Яндекс наличие, скажем, формы отправки сообщения, которая раскрывается при клике на иконку и оформлена в том числе с помощью ?

 

или - часть текста, скрытая для удобства пользователя (видны 2 абзаца, остальные открываются при клике на ссылку "Далее" или "Весь текст")?

тоже интересует данный вопрос - многие многоуровневые меню построенны через display:none

 

правда он обычно во внешнем css файле - паук адекватно сопоставляет теги в html и соответствующие им селекторы CSS?

Суть не в теге (сам по себе тег - нормален), а в его содержимом.

http://help.yandex.ru/webmaster/?id=995298 - вот здесь написано про сайты с невидимым или слабовидимым текстом, а также про отличия качественного сайта от некачественного.

Форма, которая раскрывается по клику или многоуровневые пункты меню к данному виду манипуляций не относятся.

слабовидимый текст может быть разный и при автоматической оценке это вызовет осложнения

 

может быть банальный инлайновый html

 

наши шкафы самые лучшие шкафы

 

 

 или простой CSS (который может быть на самом деле сложно наследуемым)

.white {
background: white;
color: white;
font-size: 1px;
}

 

и html с классами

наши шкафы самые лучшие шкафы

 

Не то, чтобы я черно сеошничал, на например бывает необходимость сделать белый текст на белом фоне с картинкой - ради красиво закругленных уголков

 

За разъяснение по форме и меню спасибо, вот только мне кажется без человеческой оценки (ассесоры?) тут не обходится - тогда все мои доводы выше не принципиальны

 а вот ещё один вид афёры или спама на сайтах ЯНДЕКС www.samsung-priz2011.narod2.ru  а ковсему я писал чтобы закрыли этот сайт так нефига не убирают..... а людей дурят

Это ведь только один из примеров подобного "вскрытия" уязвимостей.

Вы планируете их все озвучивать? В чём-то это рекомендация для желающих поюзать, как же вскрыть движок  Jomla, вы ведь рассказали, что это возможно.

B-)

Озвучивать все рецепты взлома мы, конечно, не собираемся. Их действительно много, и каждый день появляются новые, но делиться известной информацией все равно необходимо.

"Скрытые спам-ссылки и безопасность сайта". Спасибо за полезный совет, но подскажите как етот код обнаружить, весь сайт пересматривать?

Да, самый лучший способ - это произвести поиск по функциям, которые мы привели в посте, после чего проанализировать весь найденный код.

А не проще ли будет, предоставить в панели вебмастера возможность просматривать все внешние ссылки сайта?

Ведь не всегда механизм заражения ссылками одинаковый, плюс вебмастеру гораздо проще обнаружить будет появление неадекватную ссылку, чем лазить и разбираться в хитросплетениях CMS.

Да было бы не плохо видеть внешние ссылки. Мне казалось, что это уже есть, разве нет?

Мы подумаем над этим предложением. Спасибо!

Мне кажется это вполне очевидно. К тому же это гораздо лигитимней, чем внешние ссылки к примеру.

К тому же это будет уникальным предложением среди существующих панелей поисковиков. Яндексу + в копилку инновационности.

идея здравая - поддерживаю

 

только не забудьте, что бывают сильнопосещаемые форумы где люди общаются и выкладывают ссылки на другие сайты.

 

возможно имеет смысл постараться их как-то различать - аналогично спам-детекторам или по черному списку сайтов, на которые ссылаются. но как тогда его обновлять?

 

Тоже поддерживаю! Знать обо всех исходящих ссылках сайта нужно. И если Яндекс о них знает, то почему бы не поделиться этой информацией с владельцем сайта? 

Я например только спустя год обнаружил, что администратор моего сайта втихую продавал  около 500 ссылок, которые были хитро спрятаны и не видны посетителям.

 

Хм, а не проще ли Яндексу просто не учитывать такие ссылки совсем, как будто их нет?


Гладишь после такого введения и отпадет само основание для подобного вредительства.

Мы не учитываем такие ссылки, но спамеров это, к сожалению, не останавливает.

Разработка сайтов "ВебЭстет"
19 января 2016, 11:28

Ничего не понятно. А если у меня разделы сайта лежат на разных поддоменах или доменах, а ссылки находятся в display: none, потому что этого требует дизайн? Тогда все страницы вылетят из индекса?

Обратите внимание на комментарий от Тири выше. Дело не в теге как таковом, речь идет о конкретном варианте заражения сайта, в котором, помимо прочего, используется и этот тег.

Еще одна мера защиты для CMS Joomla - поставить пароль на папку administrator

Проверил свой сайт, все в порядке. Молодцы что поднимаете эту тему.  Хотелось бы уточнить для сайтов на простом html без движков есть угроза заражения ( кроме взлома паролей ).

Возможно заражение на стороне хостера.

А как исправить зараженные файлы html, их ведь сотни, вручную долго. Есть ли какая-нибудь программа чистки?

Такие возможности есть у ряда текстовых редакторов (например, Notepad++). Также можно использовать для этих целей конвейеры Unix.

взломы сайтов это конечно плохо, но обеспечение безопастности это дело лично каждого вебмастера, а вот то что Яндекс индексирует подобные ресурсы

 mabadi-coedu.ru

 madeb-atxuj.ru

 ilaebutak.ru

gxfihypokoxmy.ru

это полный бред, я не говорю о наглом плагиате - это просто банальный спам (куча скрытых ссылок внешних и внутренних)

к тому же забанить подобные сайты достаточно просто - есть куча вариантов, от использования УЖЕ ИМЕЮЩИЙСЯ информации в самом яндексе, а именно плагиатчики скопировали не только контент, но и скрипты (яндекс.метрику с чужим ID) или просто по маске принодлежности к поддомену jino.ru откуда и подгружаются все служебные файлы

P.S. давно пора банить сайты использующие ID служб яндекса и при этом не подтверждённые в панели вебмастера

 

Прошу ответить на вопрос, робот обнавился в феврале-марте, и вдруг пропал мой сайт из поисковой выдачи, никогда не занимавшийся ни какими делами не одобряемыми Яндексом, на нем просто авторские статьи по организации праздников и иллюстрированные отзывы о моих путешествиях. Более ничего. Нет сайта t255.narod.ru в поисковой выдаче уже четвёртый месяц. Служба поддержки этот факт объяснить не может, пишут мы не поймем что не нравится поисковому роботу и не могут указать причину бана сайта. Вот и вопрос: может в этом новом обновлении робота что-то не всё в порядке, или просто конкуренты по знакомству попросили работников Яндекса  снять его с выдачи, без объяснения причин. Обидно, на написание статей ушло почти пять лет, и всё это время всё было нормально. Я даже специально удалял все статьи, что выложил за два последних года, оставил только проверенные трёхлетней давности. Никакого эффекта, сайт под запретом. Есть ли хоть один работник, который сможет мне ответить на простой вопрос - За что я наказан?!!! и что надо сделать чтобы снять наказание?!!! Тут работники пишут, что если какая-то вредоносная программа взломала сайт, встроилась и начала портачить, и то владельцу сайта отправляют письмо с просьбой в кратчайшие сроки разобраться с проблемой. У меня всё многократно перепроверено! Что делать я не знаю, служба поддержки мне либо не может помочь, либо не хочет. Как же быть, помогите! Юрьев Андрей a2550768@mail.ru

что-то я рекламного блока Яндекса не заметил на вашем сайте или вы его отключали на платной основе (раньше это стоило 5$), да  и в коде его он вроде не встроен

может именно в этом причина? :)
зато вот этот сайт хорошо ищется: http://a25.by.ru/
копия полная? кто-то скопировал?

Рекомендую почаще просматривать access_log

ну вот и я попал под расдачу... позно заметил взлом, в раздел загружено роботом попало 1203 спама... удалил их, но в поиске теперь только главная страница.. что делать?

странно, не замечал эту тему, в свое время написал скриптик для вычистки (остальное он не отменяет)

Оленегорск Шатеневская Инна Владимировна
19 января 2016, 11:28

А для Wordpress такого скриптика нет? Вчера и я попалась

 

Если мы нашли и почистили сайт, следует ли сообщить Яндексу?

У нас в последний АП упал ТИЦ

Кажется из-за этого(((

Ссылка "по ссылке" не работает.

5

Мой сайт на CMS WordPress недавно взломали. Первый сигнал был, как не обидно, не от Яндекс Вебмастера, а от позиций.

Около 300 собранных запросов. Из них около 90% было в ТОП-10 и около 80% в ТОП-3. Сайт информационный - рыболовный. После очередного апдейта Яндекса в ТОП-10 осталось 3% запросов!!!!

В итоге я потратил день и ночь на выяснение причины. Хорошо добрые люди помогли выяснить, что оказывается у меня на сайте вредоносный код после взлома!

Вопрос: Почему же Яндекс понизил сайт в рейтинге, но меня через вебмастер даже не предупредил об этом?

Я отдал кучу денег программисту и он за 2 дня полностью почистил сайт, поставил защиту и дал полные рекомендации, чтобы подобного не повторилось.

Но до сих пор обидно, что Яндекс просто бросил меня с проблемой сам на сам. Все позиции, которые набивались годами бессонных ночей (я сам писал каждую статью после работы, потому что рыбалка - это моё хобби). Я обогнал все сайты с огромным количеством ссылок и большим ТИЦ, хотя сам не купил ни одной ссылки - всё за счёт качественного контента.

И тут на Новый Год такой подарок. И просто сиди и думай - ЗА ЧТО??? )

Всё почистил, жду когда позиции начнут возвращаться. Но очень бы хотелось, чтобы Яндекс предупреждал о том, что сайт стал ранжироваться с ограничениями... Некрасиво так без предупреждения обрубывать позиции... Просто крик души, извините. Спасибо!

Елена Першина
19 января 2016, 11:28

Добрый день!

А можно вас попросить продублировать ваше сообщение в службу поддержки Вебмастера с точным указанием сайта и дат 1) заражения, 2) понижения позиций? Проверим, почему не сработало оповещение о заражении и с ним ли были связаны изменении в ранжировании.

Писал через форму вебмастера. Дублирую:

 Адрес сайта: rybkolov.ru
 Пример запроса: как привязать поводок к основной леске
 Позиция сайта до изменений: 1
 Позиция сайта после изменений: 20
 Пример запроса: ловля раков раколовками
 Позиция сайта до изменений: 1
 Позиция сайта после изменений: 19
 Пример запроса: ловля плотвы зимой
 Позиция сайта до изменений: 1
 Позиция сайта после изменений: 21

 Наполняю сайт только качественным контентом, потому что пишу его сам. Рыбалка моё хобби. Посетителям нравился мой сайт, поэтому все мои запросы были в ТОПе.

 Сейчас не осталось практически ни одной позиции в ТОП-10. За что? Я был в ТОПе исключительно за счёт качественного контента, ни о каких ссылках и речи быть не может, никогда их не покупал!

 Вот что сейчас с позициями моего сайта - http://allpositions.ru/reports/guest/index/336769/52f8d8fd32372b812316d1013176bc68

 



Дата заражения точно неизвестна, но программист назвал предположительную дату атаки 2-3 ноября 2015 года. Этот же вирус был обнаружен и на других рыболовных сайтах. Редиректил пользователей на страницу, где продавался усилитель клёва "Fish Hungry". Но только на других сайтах в реальном времени редиректил, а на моём сайте этот редирект можно было найти только через сохранённые копии страниц в Яндексе. В реальном времени ничего не происходило, в чём и была сложность обнаружения того, что мой сайт заражён.

Обвал позиций произошёл 16.12.2015 после апдейта.

__________________________________________

Буду очень благодарен, если поможете разобраться с проблемой. Хотя бы скажите с чем связаны изменения в ранжировании и точно ли я решил проблему с ранжированием в Яндексе убрав вредоносный код со своего сайта?

Или Вы считаете, что причина могла быть вовсе не во вредоносном коде?

Спасибо!

Елена Першина
19 января 2016, 11:28

Спасибо, разбираемся через службу поддержки. 

Выражаю огромную благодарность «Яндексу» за строгое отношение к быдлу, которое ничего не умеет создавать кроме как обманывать поисковую систему. Это замечательно, что есть грамотные ребята, которые пресекают нечестное продвижение. Если кто-то недоволен, подумайте о тех людях которые тратят драгоценное время на рассмотрение результатов поиска и их негодовании. Интернет ‒ это оплот свободы, а не помойка! Вы не гадите в своём доме, но идёте к другим. За что? Почему должно быть оправдание безнравственным действиям богатых организаций, которые ничем не лучше бедных ребят, но тех, которые честно работают над своим электронным детищем. Огромный респект за факторы ранжирования, которые фильтруют всё нечестное в результатах поиска. Это смелый шаг.
Желаю счастья и благополучия всем сотрудникам «Яндекса» и их семьям!
С уважением автор/владелец Проекта «Счастье в свободе»
сэр Валентин А. Токарев (Игорь А. Фёдоров) ‒ маленький ребёнок-арий.
Украина/Россия (РаСиЯ), Крым, город-курорт Ялта.
Юрий Алексеевич Бернакевич
14 января 2019, 20:14
Пользователь 1948569. Бернакевич Ю.А. Я открывал пост Василеостровского  и Петроградского районов, давал текст (даю примерный, точный не помню): дайте ребёнку решить лёгкую задачу Детской ДОНЬКИ. Давал одной строчкой правила заполнения таблицы. А потом хотел дать фотографию самой таблицы. Но она получалась маленькой, почти невидимой. Я убирал эти посты. Увеличивал на компьютере таблицу и снова открывал посты. И снова получал маленькую таблицу. И снова убирал посты. Так сделал раза 4. Но посты всегда убирал. Один раз текст пошёл без фото. И всё. Я ничего не нарушал Разрешите мне пользоваться Вашими рекламами. У меня очень интересный материал: числовая игра ДОНИ- российский аналог Судоку.
Гамлиэль Фишкин
30 марта 2020, 09:17
> 1. Сменить все пароли доступа к сайту: от ftp, административной панели, базы данных, SSH и панели управления веб-хостингом.


SSH должен быть только по ключу.


> 3. Обновить CMS до последней версии и регулярно обновлять её в будущем.


Лучше использовать мозг, а не CMS.


> 4. Использовать надежную антивирусную программу и также следить за ее регулярным обновлением.


Лучше не использовать винду.
Таня Хеция
19 августа, 23:11
Нефор