Отправляет email-рассылки с помощью сервиса Sendsay

Курсы SEO

  Все выпуски  

Курсы SEO яндекс о взломе сайтов о спам-ссылках


Вчера (3.05.2011) Команда Яндекс.Поиска опубликовала в своем блоге на webmaster.ya.ru информацию об участившихся взломах сайтов. После взлома сайта злоумышленники включают в страницы сайта спам-ссылки, которые ведут на посторонние ресурсы (зачастую адалат-тематику, или же на сайты зараженные вирусом).
Как пишет команда Яндекс.Поиска, из-за взлома сайт может быть на некоторое время полностью исключен из результатов поиска, а пользователям сайта будут выдаваться нецелевые страницы при переходе на сайт из поиска. Следует отметить, что способ да и сама идея не новая – просто на сегодняшний день она носит массовый характер.

Последняя волна заражений, как сообщает Яндекс, пришлась на сайты, которые установлены на CMS Joomla, но лично я находил такие ссылки и на других CMS (нечего грешить на Joomla). Я сам столкнулся с данной проблемой и, если честно, сразу подумал на разработчиков, что это их рук дело. Что самое печальное – ссылки считаются внутренними, поэтому при поверхностном анализе не удалось их выявить. Показались они лишь при анализе исходного кода, практически на всех страницах сайта, который я только получил на продвижение:

 

Вредоносный код после взлома сайта


Как взламывают сайт?
Прежде всего, злоумышленник должен получить доступ к сайту (ftp, админка, логин от хостинга и проч.). Затем на сайт либо заливается php файл с вредоносным кодом, либо дописываются файлы, которые уже существуют на сервере и дело сделано.
Что самое прискорбное – визуально код не виден и ни пользователь, ни владелец сайта сразу не могут заметить факта взлома сайта. Вредоносный код и спам ссылки видны только поисковому роботу, который расценивает скрытый текст как попытку обмана (читать спамдексинг в SEO словаре). Иногда ссылки даже не видны в исходном коде страницы при просмотре через браузер.
Цитата: "Наличие на сайте скрытого текста расценивается Яндексом как нарушение, поэтому содержащие его страницы временно исключаются из поиска. Если мы обнаруживаем скрытый текст на сайте, который зарегистрирован в сервисе Яндекс.Вебмастер, то присылаем вебмастеру сообщение об этом, чтобы вебмастер смог оперативно проверить свой сайт и устранить найденные проблемы."

Как найти источник взлома сайта?
Цитата: "Вредоносный код, который в последнее время используется, чтобы выдавать роботам страницы со спам-ссылками, с большой вероятностью содержит функции “eval”, “base64_decode”, “json_decode” или “gzuncompress”, при этом использует переменные user_agent и referer. Но такой код постоянно эволюционирует, поэтому его признаки и принципы действия могут измениться в любой момент… При запросе страницы со взломанного сайта, код отправляет запрос серверу злоумышленников с ip-адресом 78.159.101.232. Этот сервер проверяет user-agent, referer и другие параметры, и выдаёт вредоносному коду на взломанном сайте инструкции для дальнейших действий. Например, если user-agent принадлежит роботу поисковой системы, то роботу выдаётся страница со спам- ссылками."

Что делать, если сайт взломали?
Если вы обнаружили в исходном коде страницы спам-ссылки, любой скрытый текст или еще что-либо подозрительное и не похоже на то, что писали в коде вы следует полностью почистить код. Если страницы со спам-ссылками и другим «чужим контентом» находятся на вашем сервере – удалите эти файлы или почистите их от чужого кода. В дальнейшем, чтобы как-то предупредить попытки взлома вашего сайта вам нужно:
- обновить свою CMS до последней версии
- сменить пароли от сайта, хостинга, биллинг-панели, ftp, личного кабинета и все остальные пароли, через которые можно добраться к сайту. Очень желательно, чтобы эти пароли не совпадали. Меняйте пароли 1-2 раза в месяц в дальнейшем.
- в дальнейшем при работе с сайтом не сохраняйте пароли в браузерах, ftp-клиентах, файловых менеджерах и прочих локальных программах, в которых работаете с сайтом

В избранное