0 Пользователей и 1 Гость просматривают эту тему.
  • 194 Ответов
  • 18133 Просмотров
*

ChaosHead

  • Гуру
  • 5229
  • 450 / 13
Предыстория такая:

- Пару недель назад на одном моём сайте полностью пропал трафик с Яндекса, все позиции в Яндексе упали в -20 -30.

- Техподдержка Яндекса сообщила, что произошло это по причине "На Вашем сайте нашими алгоритмами были зафиксированы перенаправления пользователей на сайты, связанные с смс-мошенничеством. Вероятнее всего источником подобных перенаправлений послужили реклама или ссылки, установленные на Вашем сайте. Возможно, страницы-дорвеи с подобными элементами были размещены на сайте без Вашего ведома."

- Сайт чист, вирусов нет, дорвеев нет, странных ссылок нет, проверено 10 раз! Уж я на этом деньги зарабатывал, фрилансив.

- Однако в Метрике в отчете Содержимое - Внешние ссылки есть непонятные переходы на всякие разводиловки вроде покера, cityadspix.com, gobongo. Проверьте у себя, и у вас они будут ;)



- Далее выясняется, что сайты вылетают с позиций в Яндексе и теряют посещаемость у многих: searchengines.guru/showthread.php?t=866823. Вылетают сайты с высокой посещаемостью, с рекламой и без, но чаще с рекламой. Все сайты чистые, ссылок этих (по которым переходят) на сайтах нет!

- Откуда же тогда берутся эти переходы, если на сайтах нет вирусов и нет ссылок? А переходы эти берутся с зараженных троянами и псевдо-дополнениями к браузерам компьютеров посетителей. Например ставит себе человек какой-нибудь vk-saver или Magic Player и вместо рекламы adsense и РСЯ он начинает видеть на всех сайтах голых женщин и покер, а если рекламы нет, то встраивается их ***-реклама прямо в футер или верхушку сайта. Примерно вот так:


И кто-то на этом зарабатывает миллионы...

Ходят эти зараженные посетители по вашему сайту, им троян подменяет вашу рекламу или срипты на тизеры, а эти товарищи кликают на них. А ваш сайт по новому алгоритму Яндекса http://webmaster.ya.ru/replies.xml?item_no=19327 улетает в бан до того времени пока клики и переходы не исчезнут. Ну то есть вы поняли - до навсегда.

Почему нужно с этим бороться?
1) Ваш сайт рискует получить санкции от Яндекса
2) Подменяя ваши блоки Adsense и РСЯ они крадут ваши деньги, которые вы не получаете с рекламы. А для многих - это единственных доход с сайта.

Как бороться с этим? Решение нашлось. Нужно указать в заголовке страницы, что ваш сайт должен грузить все скрипты с вашего домена и ниоткуда более. Для этого поможет директива Content-Security-Policy, к счастью она уже поддерживается всеми современными браузерами, а для WP и Drupal я даже нашел плагины, включающие ее на сайте. Эту директиву уже начали использовать всякие Facebook и Twitter, так чем мы хуже?

Плагин для Joomla от внедрения вредоносных скриптов в код страницы Content Security Policy для Joomla 2.5
http://www.joomla15.ru/files/plugins/item/plugins-for-joomla15/consecpolicy-joomla.html

Второй способ вручную через .htaccess:

Пример. Мы хотим запретить браузерам на нашем сайте загружать скрипты со сторонних сайтов, картинки разрешить с любых, frame и object - ни с каких.
Код
Content-Security-Policy allow 'self'; img-src * ; script-src AJAX.googleapis.com 'self'; frame-src 'none'; object-src 'none'

Вот генератор директивы: http://cspisawesome.com

Код для .htaccess:
Код
# Security improvements
<ifModule mod_headers.c>
Header set Content-Security-Policy "allow 'self'; img-src * ; script-src AJAX.googleapis.com 'self'; frame-src 'none'; object-src 'none'"
</IfModule>

В техподдержке хостинга узнавайте есть ли у них mod_headers, иначе может не работать.

Строку нужно модифицировать под себя, иначе сразу отрубаются всякие виджеты вконтакте, счетчики посещаемости и скорее всего CAPTCHA. Например, чтобы разрешить inline скрипты, нужно прописать script-src 'self' 'unsafe-inline', но это снижает безопасность.

p.s. это пока написано на скорую руку, будет дорабатываться.
« Последнее редактирование: 12.10.2014, 10:28:59 от ChaosHead »
*

voland

  • Легенда
  • 11012
  • 585 / 112
  • Эта строка съедает место на вашем мониторе
Интересная тема. Можно через php добавить. Пока с мобилки, сложно гуглить
*

ChaosHead

  • Гуру
  • 5229
  • 450 / 13
Ага, нашел поиском ссылку: http://php.net/manual/ru/function.header.php

Вот ещё нашлась полезная статья. http://habrahabr.ru/company/yandex/blog/206508/ Оказывается нюансов там очень много. Со всякими inline-скриптами и собственным пониманием как это работает у некоторых браузеров
« Последнее редактирование: 25.09.2014, 02:21:55 от ChaosHead »
*

deadproof

  • Осваиваюсь на форуме
  • 43
  • 0 / 0
Спасибо большое за статью. А как сделать, чтобы мою рекламу показывали? Также соц.сети, закладки? Я в этом вообще ничего не понимаю( Может платная консультация есть по отдельных сайтах?
*

voland

  • Легенда
  • 11012
  • 585 / 112
  • Эта строка съедает место на вашем мониторе
*

daddy

  • Захожу иногда
  • 141
  • 2 / 0
Плагин - это было бы просто отлично! Потому что не все понимают как все это работает. А защититься от этой дряни хотелось бы.
*

ChaosHead

  • Гуру
  • 5229
  • 450 / 13
Вот хорошая статья http://habrahabr.ru/company/yandex/blog/206508/, там разбираются некоторые нюансы работы этой штуки.
*

daddy

  • Захожу иногда
  • 141
  • 2 / 0
Еще лучше было бы разработчикам браузеров заранее предусматривать защиту от таких манипуляций злоумышленников. Возможно скоро выпустят обновления, в которых это станет невозможно делать. Главное чтобы все пользователи интернета своевременно обновились после выхода заплаток.

А эту тему закрепить не мешало бы на самом видном месте форума.
*

fsv

  • Живу я здесь
  • 2669
  • 384 / 2
http://romka.eu/blog/vvedenie-v-content-security-policy
Цитировать
Однако, белые списки источников не защищают от инлайн скриптов — важнейшей угрозы от XSS-атак. Если атакующему удается внедрить в страницу тэг script со зловредным содержимым (<script>sendMyDataToEvilDotCom();</script>), то у браузера не будет механизма чтобы отличить его от легитимного тэга script. CSP решает эту проблему полным запретом inline-скриптов, это единственный надежный способ решить проблему.
......
Если вам действительно нужны инлайновые скрипты и стили, то вы можете разрешить их использование добавив 'unsafe-inline' в список разрешенных источников в директивы script-src и style-src. Но, пожалуйста, не делайте этого. Запрет инлайн скриптов это важнейшая мера защиты, предоставляемая CSP. Запрет инлайн стилей также делает ваше приложение более надежным. Потребуется немного усилий для избавления от инлайн скриптов, но эффект будет значительным.
J3.3 проверил тоталом вхождение «addScriptDeclaration» - 81 вхождение, из них:
сторонние – 28
дефолтные – 53 !

Joomla переписывать всю надо. Или забить на инлайн-скрипты, как Яндекс:

http://habrahabr.ru/company/yandex/blog/206508/
Цитировать
К сожалению, нам пока не удалось отказаться от unsafe-inline….Хоть такое правило и позволяет исполнять любой инлайн javascript на странице, мы можем обезопасить себя тем, что разрешаем соединение только с проверенными ресурсами.
Что-то как-то сомневаюсь насчет "можем обезопасить".
Веб-разработка: заказ. Только сложная и объемная разработка. Дорого.
*

annushka

  • Захожу иногда
  • 147
  • 2 / 0
  • Joomla!
Плагин - это было бы просто отлично! Потому что не все понимают как все это работает. А защититься от этой дряни хотелось бы.
Присоединяюсь и замерла в скорбном ожидании.
Мою красу и гордость, кормильца, поильца  масла на дарницкий хлеб намазывателя из поиска вообще выкинули, а раньше в топ 5 по ключевым ниже четвертой позиции не опускался. На остальных, не столь хлебно-масленых сайтах, переходы на гобонго тоже имеются, только Яндекс до них еще не добрался. Но это, скорее всего, вопрос времени.
Общение же с Яндексом, как и всегда, сводится к получению стандартных отмазок от робота-копипастера.
*

ChaosHead

  • Гуру
  • 5229
  • 450 / 13
Мне удалось поговорить там с человеком. Он говорит, что этот алгоритм работает автоматически, чтобы алгоритм пересмотрел позиции необходимо до двух недель, но возможно быстрее. Он говорит, что вручную они не могут ускорить этот процесс.
*

Rival

  • Захожу иногда
  • 188
  • 16 / 0

Можно подробнее что куда писать.
Добавил в .htaccess
<ifModule mod_headers.c>
   Content-Security-Policy: "default-src 'none'"
</IfModule>

Но все работает, соц кнопки и CAPTCHA, что еще надо править?
*

annushka

  • Захожу иногда
  • 147
  • 2 / 0
  • Joomla!
Мне удалось поговорить там с человеком. Он говорит, что этот алгоритм работает автоматически, чтобы алгоритм пересмотрел позиции необходимо до двух недель, но возможно быстрее. Он говорит, что вручную они не могут ускорить этот процесс.

Ну они хоть проблему осознали? Поняли, что напортачили? Мне, правда, после нескольких дней копи-паста ответили, что проанализируют мой сайт и, если надо, внесут изменения в алгоритм. Жду вот.  :(
*

ChaosHead

  • Гуру
  • 5229
  • 450 / 13
Генерируй вот этим: http://cspisawesome.com
Эту директиву, как всегда, для разных браузеров по разному нужно прописывать. Этот генератор генерирует для всех возможных. Но я уже читал отзывы, что в Opera не работает.

В Default нужно разрешить Self и можно туда сразу писать все разрешенные хосты, чтобы слишком не мудрить, прописывая скрипты в одно, я стили в другое. Разрешенным - я решил разрешить всё. Google Api, виджеты контакта и счетчики посещаемости мне не будут ничего лишено встраивать, мне с ним бороться не надо.
Картинки - либо self если они только со своего сайта, либо all если с любого.
Скрипты, для Joomla нужно разрешить Inline, иначе половина не работает к сожалению :( А это сразу снижает эффективность решения, но у меня нет возможности оценить на сколько.
Для стилей, зависит от шаблона. Если там стили прописаны в коде, то тоже нужно разрешить Inline.
Дальше зависит от сайта. Если вставляете что-то с YouTube, то и YouTube нужно разрешать.

Потом нужно посмотреть в FireBug заработало ли оно


Потому как на хостинге в Apache может быть не подключен mod_headers, который это решение использует.

Ну они хоть проблему осознали? Поняли, что напортачили? Мне, правда, после нескольких дней копи-паста ответили, что проанализируют мой сайт и, если надо, внесут изменения в алгоритм. Жду вот.  :(

Даже если осознали, то их политика не позволяет разглашать им подобные вещи. Мне тоже такое писали, спецы по SEO говорят, что это хороший знак, но с этим апом результата пока нет, буду ждать и встраивать вот попутно всякие директивы)
« Последнее редактирование: 25.09.2014, 18:13:14 от ChaosHead »
*

daddy

  • Захожу иногда
  • 141
  • 2 / 0
Камрады, есть какие-нибудь подвижки в поиске противоядия от этой дряни? На серче вон уж за 100 рублей скрипт какой-то продают. Думаете туфта? Или может что-то стоящее? Может списаться с автором? И узнать, что он там придумал.
*

wishlight

  • Живу я здесь
  • 4872
  • 285 / 1
  • 300 руб очень быстрый хостинг в ЕС
А Яндекс тупит однако... Так и не научился отличать виновных от не виновных.
*

zikkuratvk

  • Глобальный модератор
  • 4791
  • 338 / 2
  • Обслуживаем проекты - дорого.
Свистните, если серега плагин не напишет... )) через htaccess хорошо конечно, но не всегда возможно
Хочется уникальное расширение? ===>>>> JoomLine - Разрабатываем расширения под заказ.
Использую хостинг TimeWeb и Reg
*

voland

  • Легенда
  • 11012
  • 585 / 112
  • Эта строка съедает место на вашем мониторе
*

shurakana

  • Давно я тут
  • 792
  • 50 / 6
А по идее, я это уже давно замечал, приходишь к кому нибудь, а у него в конторе голые телки и покер.. Я говорю меняй браузер мол реклама неправильная.. ответ: это ты Неправильный - всегда такая была..))))

Как вы думаете, на всех сайтах работает? или смогли сделать только на популярные сайты и шаблоны? Ведь по сути, это скрипт, которому надо указать где появиться, а не просто "там" или "тут"..
Эта подпись отображается внизу каждого Моего сообщения. Я также могу использовать BB код и смайлы.
*

voland

  • Легенда
  • 11012
  • 585 / 112
  • Эта строка съедает место на вашем мониторе
*

arma

  • Завсегдатай
  • 1685
  • 77 / 2
Not Found
поправьте...
Если пойдёт на пользу и donate, и восславим ;)
*

zikkuratvk

  • Глобальный модератор
  • 4791
  • 338 / 2
  • Обслуживаем проекты - дорого.
Хочется уникальное расширение? ===>>>> JoomLine - Разрабатываем расширения под заказ.
Использую хостинг TimeWeb и Reg
*

int-sam

  • Осваиваюсь на форуме
  • 10
  • 0 / 0
voland, скажите данный плагин будет работать на Joomla 1.5.
*

zikkuratvk

  • Глобальный модератор
  • 4791
  • 338 / 2
  • Обслуживаем проекты - дорого.
стоит по дефоту добавить сразу:
Яндекс (сам Яндекс, и хостинг библиотек яндекс)
Google
YouTube
Вконтакте
Твиттер
Facebook
одноклассники
еще что-то что общеупотребительно для внешних подключаемых скриптов.
Хочется уникальное расширение? ===>>>> JoomLine - Разрабатываем расширения под заказ.
Использую хостинг TimeWeb и Reg
*

voland

  • Легенда
  • 11012
  • 585 / 112
  • Эта строка съедает место на вашем мониторе
Not Found
поправьте...
Если пойдёт на пользу и donate, и восславим ;)
А что именно не найдено?
*

voland

  • Легенда
  • 11012
  • 585 / 112
  • Эта строка съедает место на вашем мониторе
voland, скажите данный плагин будет работать на Joomla 1.5.
Нет, попозже сделаю для 3,0 и 1,5 если будет прок от плагина (и донаты ).
*

voland

  • Легенда
  • 11012
  • 585 / 112
  • Эта строка съедает место на вашем мониторе
правильная ссылка: http://www.joomla15.ru/files/plugins/plg_consecpolicy_102.zip
Уже нет, кавычка не там стояла.. актуальная версия уже 1,0,3, кто установил - обновляйтесь стандартным механизмом
*

voland

  • Легенда
  • 11012
  • 585 / 112
  • Эта строка съедает место на вашем мониторе
Отпишите список разрешенных доменов для скриптов, кто уже настраивал - включу в дефолт в след версию
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Joomla 1.5 и 2.5 на одном хостинге

Автор andreU

Ответов: 3
Просмотров: 36
Последний ответ Сегодня в 21:46:03
от voland
Заражены файлы картинок движка Joomla 3

Автор krog

Ответов: 5
Просмотров: 196
Последний ответ 16.04.2021, 08:16:45
от Taatshi
7 советов по оптимизации безопасности Joomla!

Автор Sulpher

Ответов: 96
Просмотров: 87084
Последний ответ 30.03.2021, 12:10:51
от well
Всплывающее спам-сообщение+редирект на Joomla 2.5.14

Автор bonusfree

Ответов: 21
Просмотров: 383
Последний ответ 02.12.2020, 21:56:30
от bonusfree
Antivirus Security Suite для Joomla

Автор 12mv

Ответов: 19
Просмотров: 4498
Последний ответ 06.09.2020, 01:45:05
от cntrl