Каждый современный человек владеет ноутбуком, но как самому убрать возникающие...
![Пропал звук на ноутбуке — что делать?](https://i0.wp.com/sovets.net/photos/uploads/120/8110495-2razrabotanyi-spetsialnyie-programmyi-kotoryie-testiruyut-audio-drayveryi-soundcheck.jpg)
Продолжаем знакомить читателей с виджетами, которые угрожают безопасности сайта или посетителей. Сегодня речь пойдет о сервисе обратного звонка Chaser.ru . Сервис предлагает вебмастеру установить виджет на коммерческий ресурс для повышения конверсии.
Пару дней назад к нам обратился клиент с жалобой на скрытый мобильный редирект. По его словам, на сайте происходило перенаправление посетителей, приходящих с мобильных устройств, на сервис платных подписок (коротко — wapclick-редирект ). Как это обычно бывает, перенаправление происходит один раз для мобильного устройства в сутки. И только, если посетитель зашел через мобильный интернет, не через WIFI.
UPD 27 Марта 18:30 — разработчик сервиса обнаружил взлом сервиса и устранил проблему:
Сканирование файлов сайта не выявило вредоносных скриптов, которые могли бы вызывать редиректы, поэтому следующим шагом мы выполнили анализ трафика в момент загрузки страницы сайта.
По результатам анализа был обнаружен wapclick-редирект, происходящий по следующей цепочке:
chaser.ru » mc.yaship.ru » mobempire.ru » watchland.space » moipodpiski.ssl.mts.ruОказалось, что при заходе с разных браузеров, виджет Chaser.ru подгружает различные версии javascript-файла http://chaser.ru/widget/1.1/js/chaser.js. Версия для мобильных устройств содержит динамический инжект скрипта с домена mc.yaship.ru (фишинговый домен, маскирующийся под Яндекс.Метрику). Данный скрипт, в случае загрузки из 3G/LTE сети оператора сотовой связи выполняет редирект на вапклик-партнерку mobempire, а затем перенаправляет посетителей на платные смс-подписки, про которые мы уже не раз писали.
Детально сессия HTTP выглядит следующим образом:
Если открыть сайт в обычном браузере, то инжекта mc.yaship.ru в файле не будет. При загрузке файла с мобильного устройства в коде статического файла появляется фрагмент, который выделен на скриншоте:
Это не первый случай, когда, казалось бы, легитимные виджеты доставляют проблемы веб-мастерам и владельцам коммерческих сайтов. Причем, источником редиректа по сути становится сам веб-мастер, который добровольно размещает опасный виджет на страницах сайта. Проблемы, на которые вебмастер обрекает свой сайт в первую очередь касаются санкций со стороны поисковых систем: поисковые системы умеют отлично обнаруживать «вапклики» и другие виды скрытых редиректов, в результате чего наказывают владельцев сайта, исключая сайты из мобильной поисковой выдачи или пессимизируя в результатах поиска.
Дополнительно хотелось бы обратить внимание, что сейчас набирают популярность виджеты обратного звонка, использующие «кликджекинг» для распознавания профиля посетителя в соцсетях. За это «читтерство» поисковая система также жестоко банит сайт. Будьте осторожны!
А для проверки благонадежности сервиса можно использовать наш веб-сканер или обратиться к нам в
«Руководитель проектов команды "Бизнес-Мотор", вебмастер, копирайтер.
Безопасность сайта - одно из необходимых условий успешного пользовательского опыта. Рассказываем о неочевидных угрозах для пользователей. Чем опасен мобильный редирект и как сказывается на пользовательском опыте»
Взлом сайта – опасность, с которой приходится иметь дело каждому вебмастеру. Впрочем, результаты проникновения могут быть очень разными. Одно дело, если последствия взлома налицо: сайт перестает работать или, например, на его страницах появляется несанкционированный контент. Такие события требуют незамедлительного вмешательства, но, по крайней мере, отреагировать на происшествие можно предельно оперативно, ведь проблемы очевидны каждому посетителю.
К сожалению, зачастую события развиваются и по другому сценарию. После получения доступа к сайту злоумышленники могут добавить на него вредоносный код, действие которого неочевидно с первого взгляда. Такая активность может остаться незамеченной и приводит к тому, что в средне- и долгосрочной перспективе сайт пессимизируется поисковыми системами или даже попадает под санкции, теряет позиции, клиентов и продажи.
В сегодняшней нашей статье мы рассмотрим одну из наиболее распространенных угроз такого рода – мобильный редирект, из-за которого коммерческий сайт может терять 25-40% посетителей. А значит – потенциальные и вполне реальные продажи. Узнайте больше о том, как это работает и как вовремя устранить вредоносный код до того, как последствия его присутствия станут критическими.
Коварство данной угрозы заключается в том, что на стационарных компьютерах и ноутбуках вмешательство в код сайта никак себя не проявляет. Инъекция срабатывает только в том случае, если пользователь заходит на веб-страницу с мобильного телефона (моментально или после выполнения какого-либо действия – например, клика на любой ссылке).
Выполнение вредоносного кода приводит к тому, что пользователю предлагается скачать и установить приложение – для оптимизации памяти смартфона или, например, антивирус. Возможны и другие варианты: предложение обновить программное обеспечение, установить игру и прочее. Чаще всего под этой обложкой скрываются средства мобильного фишинга, способные украсть у пользователя персональные данные и/или деньги со счета.
Опасность мобильного редиректа заключается и в том, что для неопытного пользователя предложение установить полезное приложение или обновить его звучит достаточно адекватно. Последствия такого действия, как мы упомянули выше, могут быть очень серьезными.
По данным проекта SiteSecure , около 52% владельцев сайтов, зараженных мобильным редиректом, не подозревают о существовании проблемы. Это связано с тем, что в обычной практике они не посещают ресурс с мобильного устройства, используя исключительно стационарный компьютер или ноутбук.
Со временем заражение сайта диагностируют поисковые системы – Google и Яндекс. Соответствующее предупреждение начинает появляться в кабинетах вебмастеров поисковых систем.
В кабинете Яндекс.Вебмастер результаты проверки выглядят следующим образом (в поле вердикт будет указан «Мобильный редирект»):
Аналогичное сообщение появляется и в Google Search Console. Детали можно увидеть, например, в разделе «Меры, принятые к сайту»:
К сожалению для владельца сайта и к счастью для пользователей, предупреждения о заражении сайта появляются и в выдаче поисковиков. В Яндексе это может выглядеть, например, так:
Таким образом, после выявления угрозы со стороны поисковика на сайт накладываются дополнительные ограничения, способные резко снизить число переходов. Примечательно, что предупредительные меры могут касаться не только мобильной выдачи, а и пользователей стационарных компьютеров. Иначе говоря, на определенном этапе мобильный редирект приводит к пессимизации сайта в целом с многократным снижением его посещаемости.
Есть и еще одна важная деталь: поисковые системы не обнаруживают угрозу моментально – в реальном времени. А в некоторых случаях не обнаруживают вовсе. С одной стороны, это может привести к более масштабным потерям проекта в долгосрочном периоде. Но если вебмастеру удалось выявить мобильный редирект раньше – до наложения санкций поисковиков, – то в этом есть свои преимущества. По крайней мере, можно обойтись без потери трафика из Google и Яндекс, как и от необходимости в дальнейшем эти санкции снимать.
Иначе говоря, намного лучше самостоятельно обнаружить проблему, чем решать ее уже тогда, когда посещаемость сайта упадет для минимума. А сделать это можно несколькими способами:
Периодически проверять сайт с помощью онлайн-сервиса , который позволяют выполнить эмуляцию открытия веб-страницы с разных систем.
Каждый «движок» сайта и каждый вредоносный код имеет свои особенности, поэтому универсального решения попросту нет. Общие рекомендации по поводу устранения проблемы приведены в хелпе Яндекса . Для обнаружения источника угрозы и зараженных файлов очень полезным также может быть сервис AI-Bolit , базовый функционал которого доступен для бесплатного пользования.
Далеко не всегда взлом и/или инфицирование сайта проявляется явно. В некоторых случаях вредоносная активность неочевидна, но оттого еще более опасна для продвижения проекта.
Одним из видов заражения, который может остаться незамеченным, является мобильный редирект – перенаправление пользователя, открывшего веб-страницу со смартфона. В этом случае посетителю обычно предлагается скачать шпионское ПО, замаскированное под обновление браузера, полезное приложение или другой продукт.
При обнаружении мобильного редиректа поисковики помечают сайт как нежелательный для посещения. Уже в краткосрочной перспективе это приводит к резкому снижению посещаемости и пессимизации позиций в выдаче.
Обнаружить мобильный редирект лучше самостоятельно. В этом помогут специальные онлайн-сервисы и скрипты для сайта.
Однажды утром, проверяя почту я обнаружил «письмо счастья» от Яндекса, в котором меня уведомляли, что один из сайтов создает угрозу для пользователей и помечен в результатах поиска как вредоносный. Посещение личного кабинета вебмастера подтвердило наличие проблемы.
Захожу на сайт со смартфона через Яндекс. И получаю вот такую картинку на экране.
Начал изучать проблему в инете. Получалось, что если файл. htaccess не изменен, то проблема на стороне хостера. А т.к. все мои файлы на сервере закрыты от перезаписи и внесение изменений без моего ведома невозможно, то пишем в саппорт хостинга.
Ваше сообщение (11.11.2013 11:32:00)Последние дни при входе с мобильных устройств перекидывает вот сюда getpdainfo.com и предлагает обновить flv плеер. Причем если заходишь второй раз с одного ай-пи то больше не переадресовывает. Заходишь с другого опять перекидывает. .htaccess чистый. Все файлы сайта проверены несколькими антивирусами. Онлайн проверка DrWEB и др. говорит что все чисто. На сайте стоит антивирусный плагин Wordfence — он тоже пишет, что все чисто. Подозрение, что этот редирект прикрепляется к странице на лету на веб-сервере. Посмотрите пожалуйста!
Получаем ответ.
Сообщение поддержки (11.11.2013 16:11:49)
Здравствуйте.
На сайте sayga12.ru в файле «.htaccess» у вас довольно много редиректов, вероятно, причина перенаправления мобильного трафика в одном из них.Со стороны веб-сервера никакие перенаправления не осуществляются.
Ну что ж, ожидаемо… Файлы сайта были скачаны на компьютер и проверены антивирусами. Все чисто. Также были проверены вручную критические файлы темы сайта и админки. Тоже без изменений. Сайт проверен несколькими онлан сканерами в т.ч. DrWeb. Никаких намеков на проблемы с файлами сайта. На всякий случай положил чистый. htaccess. Но при заходе со смартфона получаем снова редирект на вирусный сайт.
Снова пишем хостеру.
Ваше сообщение (11.11.2013 16:40:02)
Такие же редиректы прописаны еще на трех сайтах и там нет этой проблемы.
Там прописан блэклист сайтов. Я попробую поставить чистый htaccess но более чем уверен что проблема останется. Этот файл стоит полгода уже, а проблема вот только появилась.
Ну и опять отписка хостера.
Сообщение поддержки (11.11.2013 19:37:02)
Проверьте, пожалуйста, код вашего сайта на наличие уязвимостей, судя по всему он был взломан, и злоумышленники прописали код редиректов в.htaccess
Продолжаем долбить хостера, т.к. все по нескольку раз перепроверено. Проблема явно на сервере хостера. Вопрос — как в этом их убедить…
Ваше сообщение (11.11.2013 19:42:42)
Htaccess поставил \»голый\». Проблема, как я и предполагал, осталась. Ребята — у вас кажется вирус на веб-сервере. Посмотрите на каком сервере стоит сайт sayga12.ru и остальные мои сайты. Проблема только с sayga12.ru.
Ваше сообщение (11.11.2013 19:48:58)
По поводу взлома — это нереально. Полгода стоит запрет на изменение всех файлов. Любое изменение мне присылается на эл.почту. Редирект цепляется на лету при обращении к сайту, код его не в файлах сайта. Проблема с этим редиректом известна — она на хостинге. С лета 2013 она долбит всех хостеров начиная с RU-center. Что бы я сейчас не делал с файлами сайта — это бесполезно, т.к. они чистые.
Наконец хостер сдается. С момента первого обращения прошло 11 часов.
Сообщение поддержки (11.11.2013 22:04:45)
Хорошо, мы проверим ПО сервера.
К концу дня начал с ужасом смотреть на понижение позиций сайта по всем графикам LI. Пометка Яндекса сбила суточный трафик в 3 раза! Переходы с Яндекса со среднесуточных за последнюю неделю 84 человек упали до 4-х!
Однако, утром я получаю вот такое письмо от хостера.
Сообщение поддержки (12.11.2013 01:38:11)
Здравствуйте,
1) спасибо вам за обращение
2) сегодня на основании вашей жалобы мы произвели тщательный анализ ситуации,
благодаря вашему обращению мы нашли скомпрометированный модуль для веб сервера,
в текущий момент модуль уже отключен и никаких редиректов нет, как это произошло и
по какой причине такое вообще могло произойти — мы разбираемся
по нашим данным это произошло в «Nov 9 21:48». Так же мы провели полный анализ
всех остальных машин — скомпрометирована была только ftp303) в течение ближайших суток (а точнее в ближайшие 12 часов) все программное
обеспечение на данном серверt будет обновлено (ядро и системный софт),
а конфигурационные файлы буду перезалиты из репозитория4) я приношу вам свои глубочайшие извинения за доставленные неудобства —
и повторяюсь мы приложим все усилия что бы расследовать данный факт5) в качестве компенсации я зачислил вам полгода обслуживания бесплатно
6) если вы переживаете за содержимое ваших сайтов
вы можете воспользоваться услугой бекап в панели управления и заказать
восстановление бекапа за 9 ноября в этом архиве никакого чужеродного контента быть
не должно
так же я бы порекомендовал бы вам сvенить пароли на mysql в панели управления
(а так же в конфигурационных файлах)7) если вы желаете — мы можем перенести ваш аккаунт на другой сервер
Еще раз спасибо за обращение
Всего доброго!
Также пришло второе письмо о начислении мне на счет бонусов.
Заявка в Яндекс на повторную проверку сайта была отправлена еще накануне. Ждем результатов. И через полдня получаем. Сразу пошел трафик.
Последняя проверка сайта 13 Ноября 2013 не выявила страниц, содержащих вредоносный код. В результатах поиска сайт выводится без пометок.
—
С уважением,
Яндекс.Вебмастер
Проблема решена в течение суток. Хорошо, что в саппорте хостинга все-таки нашлись адекватные люди и правильно оценили ситуацию и, что самое главное, не побоялись признать свою проблему. А я в начале переписки уже начал подумывать о смене хостера, ибо в сайты вложены куча средств и сил и вот такие казусы сводят на нет все что делалось годами.
Надеюсь моя статья поможет решать вам ваши проблемы с мобильным редиректом, если вы с ним столкнетесь на своих сайтах.
Привет, Хабр! Все мы любим, когда сайт отлично работает на любом устройстве, вне зависимости от размеров экрана, способов управления и взаимодействия. Нередко контент приходится незначительно адаптировать к устройству, на котором его просматривает пользователь: например, оптимизация для небольшого экрана смартфона предполагает изменение изображений и других элементов содержания. Чтобы мобильным посетителям было удобнее, разработчики нередко используют всплывающую панель навигации . Если такие модификации реализованы должным образом и их цель - повысить удобство, мы не рассматриваем их как нарушение правил Google.
То же самое относится к переадресации на сайты для мобильных устройств. Пользователям смартфонов будет удобнее работать не с обычной версией сайта, а с мобильной. Поэтому переадресация, например, с example.com/url1 на m.example.com/url1 оправдана. Однако скрытая переадресация мобильных пользователей на посторонние страницы мешает работе и нарушает рекомендации Google для веб-мастеров .
Пример нарушения: страница с результатами поиска на компьютере и мобильном устройстве телефоне показывает один и тот же URL. Нажав на эту ссылку, пользователь компьютера попадет на целевую страницу, а пользователь смартфона будет перенаправлен на другой URL.
Проблемная обработка мобильных устройств
Иногда веб-мастера сами настраивают переадресацию мобильных посетителей, как правило, с нарушением наших рекомендаций . Если это вредит пользователям, мы вручную принимаем меры для решения проблемы (подробнее об этом читайте в конце статьи). Однако нам также известны случаи, когда скрытая переадресация выполняется без ведома владельца сайта
.
Умышленное перенаправление в рекламных целях
Скрипт или элемент, размещенные на сайте для показа рекламы или монетизации контента, могут перенаправлять мобильных пользователей на сайт другой тематики без ведома веб-мастера. Причём неважно, вы сами разместили «проблемный» скрипт или ваш сайт взломали: если не понимать исходный код подключаемых модулей, получить троянского коня проще простого.
Переадресация мобильных пользователей в результате взлома сайта
Если ваш сайт взломан, он может перенаправлять мобильных пользователей в домены, которые распространяют спам, незаконно собирают личные данные или воруют деньги с банковских карт. Что делать, если вы стали жертвой подобных переадресаций?
Общая программа действий проста, как раз-два-три: определить, изолировать, предотвратить. За дело!
Сообщения от посетителей могут нести мало полезной информации и нагонять панику: «Я открыл ваш сайт, а он меня А-а-а-а-а-а, У-у-у-у-у-у, Ы-ы-ы-ы и предлагает тухлые фрукты по оптовым ценам» . Ни проблемной страницы, ни информации об устройстве или браузере.
Итак, шаг первый: найти проблему. Советы могут выглядеть очевидными, но как показала практика, когда дело доходит до реальных проблем, многие пользователи и веб-мастера теряются и не знают, с чего начать. Начать следует с самого простого:
Чтобы сразу же узнавать о значительных изменениях в поведении мобильных пользователей, можно настроить специальные оповещения в Google Analytics .
Попробуйте создать оповещение о резком снижении времени, проведенного мобильными посетителями на сайте, или уменьшении их количества. При этом следует помнить, что значительные изменения этих показателей не всегда являются непосредственным следствием скрытой переадресации, но снижение посещаемости всё равно стоит изучить. Вы же сайт не просто так делали?
В первом случае кто-то получил доступ к вашему сайту (уязвимости для популярных движков регулярно находятся и не всегда оперативно закрываются). Во втором вы, сами того не желая, заложили «бомбу замедленного действия», вставив какой-нибудь скрипт, не проверив его содержимое. Опционально, движок сайта мог самостоятельно обновить элементы с какого-нибудь репозитория, который был взломан. В любом случае, для устранения подобных проблем алгоритм одинаковый.
Не стоит исключать и человеческий фактор. Если взлома не было и вы не размещали скрипты / библиотеки / элементы, а они появились - посмотрите на историю доступов к сайту, возможно, инициативные модераторы или администраторы контента могли умышленно или неумышленно занести заразу на сайт.
Проверьте разрешения на чтение / запись в определённые папки, если запись не требуется - поставьте атрибут read only, он помешает злоумышленникам и вредоносам, попавшим через узкую лазейку, прописаться в рабочих папках и повысить уровень привилегий.
Команда Google по оценке качества поиска может принять меры в отношении таких сайтов, например удалить URL из нашего индекса. Если подобное случится, вы, как владелец сайта увидите в Search Console соответствующие оповещения. Это лишь одна из причин, по которой мы рекомендуем вам зарегистрировать аккаунт в Search Console. Сам сервис крайне гибок и позволяет не только получать своевременные уведомления о проблемах, но и анализировать текущее состояние сайта, а также направлять в Google запросы на повторную проверку. Быстро, удобно, а главное - в одном месте.
Существует много способов монетизации контента для мобильных устройств, обеспечивающих высокий уровень удобства для пользователей и не приводящих к удалению вашего сайта из поисковой выдачи. Используйте их.