0 Пользователей и 1 Гость просматривают эту тему.
  • 194 Ответов
  • 13471 Просмотров
*

ChaosHead

  • Профи
  • 4747
  • 398
Предыстория такая:

- Пару недель назад на одном моём сайте полностью пропал трафик с Яндекса, все позиции в Яндексе упали в -20 -30.

- Техподдержка Яндекса сообщила, что произошло это по причине "На Вашем сайте нашими алгоритмами были зафиксированы перенаправления пользователей на сайты, связанные с смс-мошенничеством. Вероятнее всего источником подобных перенаправлений послужили реклама или ссылки, установленные на Вашем сайте. Возможно, страницы-дорвеи с подобными элементами были размещены на сайте без Вашего ведома."

- Сайт чист, вирусов нет, дорвеев нет, странных ссылок нет, проверено 10 раз! Уж я на этом деньги зарабатывал, фрилансив.

- Однако в Метрике в отчете Содержимое - Внешние ссылки есть непонятные переходы на всякие разводиловки вроде покера, cityadspix.com, gobongo. Проверьте у себя, и у вас они будут ;)



- Далее выясняется, что сайты вылетают с позиций в Яндексе и теряют посещаемость у многих: searchengines.guru/showthread.php?t=866823. Вылетают сайты с высокой посещаемостью, с рекламой и без, но чаще с рекламой. Все сайты чистые, ссылок этих (по которым переходят) на сайтах нет!

- Откуда же тогда берутся эти переходы, если на сайтах нет вирусов и нет ссылок? А переходы эти берутся с зараженных троянами и псевдо-дополнениями к браузерам компьютеров посетителей. Например ставит себе человек какой-нибудь vk-saver или Magic Player и вместо рекламы adsense и РСЯ он начинает видеть на всех сайтах голых женщин и покер, а если рекламы нет, то встраивается их ***-реклама прямо в футер или верхушку сайта. Примерно вот так:


И кто-то на этом зарабатывает миллионы...

Ходят эти зараженные посетители по вашему сайту, им троян подменяет вашу рекламу или срипты на тизеры, а эти товарищи кликают на них. А ваш сайт по новому алгоритму Яндекса http://webmaster.ya.ru/replies.xml?item_no=19327 улетает в бан до того времени пока клики и переходы не исчезнут. Ну то есть вы поняли - до навсегда.

Почему нужно с этим бороться?
1) Ваш сайт рискует получить санкции от Яндекса
2) Подменяя ваши блоки Adsense и РСЯ они крадут ваши деньги, которые вы не получаете с рекламы. А для многих - это единственных доход с сайта.

Как бороться с этим? Решение нашлось. Нужно указать в заголовке страницы, что ваш сайт должен грузить все скрипты с вашего домена и ниоткуда более. Для этого поможет директива Content-Security-Policy, к счастью она уже поддерживается всеми современными браузерами, а для WP и Drupal я даже нашел плагины, включающие ее на сайте. Эту директиву уже начали использовать всякие Facebook и Twitter, так чем мы хуже?

Плагин для Joomla от внедрения вредоносных скриптов в код страницы Content Security Policy для Joomla 2.5
http://www.joomla15.ru/files/plugins/item/plugins-for-joomla15/consecpolicy-joomla.html

Второй способ вручную через .htaccess:

Пример. Мы хотим запретить браузерам на нашем сайте загружать скрипты со сторонних сайтов, картинки разрешить с любых, frame и object - ни с каких.
Код
Content-Security-Policy allow 'self'; img-src * ; script-src AJAX.googleapis.com 'self'; frame-src 'none'; object-src 'none'

Вот генератор директивы: http://cspisawesome.com

Код для .htaccess:
Код
# Security improvements
<ifModule mod_headers.c>
Header set Content-Security-Policy "allow 'self'; img-src * ; script-src AJAX.googleapis.com 'self'; frame-src 'none'; object-src 'none'"
</IfModule>

В техподдержке хостинга узнавайте есть ли у них mod_headers, иначе может не работать.

Строку нужно модифицировать под себя, иначе сразу отрубаются всякие виджеты вконтакте, счетчики посещаемости и скорее всего CAPTCHA. Например, чтобы разрешить inline скрипты, нужно прописать script-src 'self' 'unsafe-inline', но это снижает безопасность.

p.s. это пока написано на скорую руку, будет дорабатываться.
« Последнее редактирование: 12.10.2014, 10:28:59 от ChaosHead »
*

voland

  • Профи
  • 9513
  • 422
  • Эта строка съедает место на вашем мониторе
Интересная тема. Можно через php добавить. Пока с мобилки, сложно гуглить
*

ChaosHead

  • Профи
  • 4747
  • 398
Ага, нашел поиском ссылку: http://php.net/manual/ru/function.header.php

Вот ещё нашлась полезная статья. http://habrahabr.ru/company/yandex/blog/206508/ Оказывается нюансов там очень много. Со всякими inline-скриптами и собственным пониманием как это работает у некоторых браузеров
« Последнее редактирование: 25.09.2014, 02:21:55 от ChaosHead »
*

deadproof

  • Осваиваюсь на форуме
  • 43
  • 0
Спасибо большое за статью. А как сделать, чтобы мою рекламу показывали? Также соц.сети, закладки? Я в этом вообще ничего не понимаю( Может платная консультация есть по отдельных сайтах?
*

voland

  • Профи
  • 9513
  • 422
  • Эта строка съедает место на вашем мониторе
*

daddy

  • Осваиваюсь на форуме
  • 117
  • 2
Плагин - это было бы просто отлично! Потому что не все понимают как все это работает. А защититься от этой дряни хотелось бы.
*

ChaosHead

  • Профи
  • 4747
  • 398
Вот хорошая статья http://habrahabr.ru/company/yandex/blog/206508/, там разбираются некоторые нюансы работы этой штуки.
*

daddy

  • Осваиваюсь на форуме
  • 117
  • 2
Еще лучше было бы разработчикам браузеров заранее предусматривать защиту от таких манипуляций злоумышленников. Возможно скоро выпустят обновления, в которых это станет невозможно делать. Главное чтобы все пользователи интернета своевременно обновились после выхода заплаток.

А эту тему закрепить не мешало бы на самом видном месте форума.
*

fsv

  • Практически профи
  • 2525
  • 367
http://romka.eu/blog/vvedenie-v-content-security-policy
Цитировать
Однако, белые списки источников не защищают от инлайн скриптов — важнейшей угрозы от XSS-атак. Если атакующему удается внедрить в страницу тэг script со зловредным содержимым (<script>sendMyDataToEvilDotCom();</script>), то у браузера не будет механизма чтобы отличить его от легитимного тэга script. CSP решает эту проблему полным запретом inline-скриптов, это единственный надежный способ решить проблему.
......
Если вам действительно нужны инлайновые скрипты и стили, то вы можете разрешить их использование добавив 'unsafe-inline' в список разрешенных источников в директивы script-src и style-src. Но, пожалуйста, не делайте этого. Запрет инлайн скриптов это важнейшая мера защиты, предоставляемая CSP. Запрет инлайн стилей также делает ваше приложение более надежным. Потребуется немного усилий для избавления от инлайн скриптов, но эффект будет значительным.
J3.3 проверил тоталом вхождение «addScriptDeclaration» - 81 вхождение, из них:
сторонние – 28
дефолтные – 53 !

Joomla переписывать всю надо. Или забить на инлайн-скрипты, как Яндекс:

http://habrahabr.ru/company/yandex/blog/206508/
Цитировать
К сожалению, нам пока не удалось отказаться от unsafe-inline….Хоть такое правило и позволяет исполнять любой инлайн javascript на странице, мы можем обезопасить себя тем, что разрешаем соединение только с проверенными ресурсами.
Что-то как-то сомневаюсь насчет "можем обезопасить".
Заказать разработку:    расширения Joomla  |   интерфейсы на javascript(jQuery)  |  мобильные приложения
*

annushka

  • Осваиваюсь на форуме
  • 128
  • 2
  • Joomla!
Плагин - это было бы просто отлично! Потому что не все понимают как все это работает. А защититься от этой дряни хотелось бы.
Присоединяюсь и замерла в скорбном ожидании.
Мою красу и гордость, кормильца, поильца  масла на дарницкий хлеб намазывателя из поиска вообще выкинули, а раньше в топ 5 по ключевым ниже четвертой позиции не опускался. На остальных, не столь хлебно-масленых сайтах, переходы на гобонго тоже имеются, только Яндекс до них еще не добрался. Но это, скорее всего, вопрос времени.
Общение же с Яндексом, как и всегда, сводится к получению стандартных отмазок от робота-копипастера.
*

ChaosHead

  • Профи
  • 4747
  • 398
Мне удалось поговорить там с человеком. Он говорит, что этот алгоритм работает автоматически, чтобы алгоритм пересмотрел позиции необходимо до двух недель, но возможно быстрее. Он говорит, что вручную они не могут ускорить этот процесс.
*

Rival

  • Осваиваюсь на форуме
  • 189
  • 16

Можно подробнее что куда писать.
Добавил в .htaccess
<ifModule mod_headers.c>
   Content-Security-Policy: "default-src 'none'"
</IfModule>

Но все работает, соц кнопки и CAPTCHA, что еще надо править?
*

annushka

  • Осваиваюсь на форуме
  • 128
  • 2
  • Joomla!
Мне удалось поговорить там с человеком. Он говорит, что этот алгоритм работает автоматически, чтобы алгоритм пересмотрел позиции необходимо до двух недель, но возможно быстрее. Он говорит, что вручную они не могут ускорить этот процесс.

Ну они хоть проблему осознали? Поняли, что напортачили? Мне, правда, после нескольких дней копи-паста ответили, что проанализируют мой сайт и, если надо, внесут изменения в алгоритм. Жду вот.  :(
*

ChaosHead

  • Профи
  • 4747
  • 398
Генерируй вот этим: http://cspisawesome.com
Эту директиву, как всегда, для разных браузеров по разному нужно прописывать. Этот генератор генерирует для всех возможных. Но я уже читал отзывы, что в Opera не работает.

В Default нужно разрешить Self и можно туда сразу писать все разрешенные хосты, чтобы слишком не мудрить, прописывая скрипты в одно, я стили в другое. Разрешенным - я решил разрешить всё. Google Api, виджеты контакта и счетчики посещаемости мне не будут ничего лишено встраивать, мне с ним бороться не надо.
Картинки - либо self если они только со своего сайта, либо all если с любого.
Скрипты, для Joomla нужно разрешить Inline, иначе половина не работает к сожалению :( А это сразу снижает эффективность решения, но у меня нет возможности оценить на сколько.
Для стилей, зависит от шаблона. Если там стили прописаны в коде, то тоже нужно разрешить Inline.
Дальше зависит от сайта. Если вставляете что-то с YouTube, то и YouTube нужно разрешать.

Потом нужно посмотреть в FireBug заработало ли оно


Потому как на хостинге в Apache может быть не подключен mod_headers, который это решение использует.

Ну они хоть проблему осознали? Поняли, что напортачили? Мне, правда, после нескольких дней копи-паста ответили, что проанализируют мой сайт и, если надо, внесут изменения в алгоритм. Жду вот.  :(

Даже если осознали, то их политика не позволяет разглашать им подобные вещи. Мне тоже такое писали, спецы по SEO говорят, что это хороший знак, но с этим апом результата пока нет, буду ждать и встраивать вот попутно всякие директивы)
« Последнее редактирование: 25.09.2014, 18:13:14 от ChaosHead »
*

daddy

  • Осваиваюсь на форуме
  • 117
  • 2
Камрады, есть какие-нибудь подвижки в поиске противоядия от этой дряни? На серче вон уж за 100 рублей скрипт какой-то продают. Думаете туфта? Или может что-то стоящее? Может списаться с автором? И узнать, что он там придумал.
*

zikkuratvk

  • Профи
  • 4178
  • 281
  • Разрабатываем для Joomla
Свистните, если серега плагин не напишет... )) через htaccess хорошо конечно, но не всегда возможно
Хочется уникальное расширение? ===>>>> JoomLine - Разрабатываем расширения под заказ.
Использую хостинг TimeWeb и Reg
*

voland

  • Профи
  • 9513
  • 422
  • Эта строка съедает место на вашем мониторе
*

shurakana

  • Завсегдатай
  • 793
  • 43
А по идее, я это уже давно замечал, приходишь к кому нибудь, а у него в конторе голые телки и покер.. Я говорю меняй браузер мол реклама неправильная.. ответ: это ты Неправильный - всегда такая была..))))

Как вы думаете, на всех сайтах работает? или смогли сделать только на популярные сайты и шаблоны? Ведь по сути, это скрипт, которому надо указать где появиться, а не просто "там" или "тут"..
Эта подпись отображается внизу каждого Моего сообщения. Я также могу использовать BB код и смайлы.
*

voland

  • Профи
  • 9513
  • 422
  • Эта строка съедает место на вашем мониторе
Такс, статья недописана, нужны комментарии, тут или там...
Ссылка на загрузку - эх, надеюсь форум дорос до donateware
*

arma

  • Живу я здесь
  • 1328
  • 64
Not Found
поправьте...
Если пойдёт на пользу и donate, и восславим ;)
*

zikkuratvk

  • Профи
  • 4178
  • 281
  • Разрабатываем для Joomla
Хочется уникальное расширение? ===>>>> JoomLine - Разрабатываем расширения под заказ.
Использую хостинг TimeWeb и Reg
*

int-sam

  • Захожу иногда
  • 10
  • 0
voland, скажите данный плагин будет работать на Joomla 1.5.
*

zikkuratvk

  • Профи
  • 4178
  • 281
  • Разрабатываем для Joomla
стоит по дефоту добавить сразу:
Яндекс (сам Яндекс, и хостинг библиотек яндекс)
Google
YouTube
Вконтакте
Твиттер
Facebook
одноклассники
еще что-то что общеупотребительно для внешних подключаемых скриптов.
Хочется уникальное расширение? ===>>>> JoomLine - Разрабатываем расширения под заказ.
Использую хостинг TimeWeb и Reg
*

voland

  • Профи
  • 9513
  • 422
  • Эта строка съедает место на вашем мониторе
Not Found
поправьте...
Если пойдёт на пользу и donate, и восславим ;)
А что именно не найдено?
*

voland

  • Профи
  • 9513
  • 422
  • Эта строка съедает место на вашем мониторе
voland, скажите данный плагин будет работать на Joomla 1.5.
Нет, попозже сделаю для 3,0 и 1,5 если будет прок от плагина (и донаты ).
*

voland

  • Профи
  • 9513
  • 422
  • Эта строка съедает место на вашем мониторе
правильная ссылка: http://www.joomla15.ru/files/plugins/plg_consecpolicy_102.zip
Уже нет, кавычка не там стояла.. актуальная версия уже 1,0,3, кто установил - обновляйтесь стандартным механизмом
*

voland

  • Профи
  • 9513
  • 422
  • Эта строка съедает место на вашем мониторе
Отпишите список разрешенных доменов для скриптов, кто уже настраивал - включу в дефолт в след версию
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Как исправить уязвимость в Joomla 1.5.26 - libraries/phpmailer/phpmailer.php - RCE : CVE-2016-10045,?

Автор Elimelech

Ответов: 4
Просмотров: 508
Последний ответ 03.09.2017, 16:24:17
от Sorbon
sql injection for Joomla 3.7

Автор winstrool

Ответов: 5
Просмотров: 312
Последний ответ 22.05.2017, 21:49:11
от Septdir
Взлом Joomla 3

Автор tiberian

Ответов: 1
Просмотров: 270
Последний ответ 31.03.2017, 16:16:50
от SeBun
Совет по Joomla 3.6.5

Автор blackenvy

Ответов: 14
Просмотров: 282
Последний ответ 28.03.2017, 13:53:07
от dmitry_stas
Взлом или Joomla должна штатно такое делать?

Автор alpeichik

Ответов: 19
Просмотров: 876
Последний ответ 04.02.2017, 19:48:38
от flyingspook