Veszélyes kulcsszavak – vírusok VS. SEO

Érdekes összeállítást közölt a HVG.hu – a McAfee nemrégiben közölt tanulmányára hívta fel a figyelmet, melyben azokat a kulcsszavakat listázzák, amelyekre a feljövő oldalak jórésze bizony vírust is telepíthet a gépre.

A hackerek, vírusok terjeszteni kívánó bűnözők bizony sokkal korábban felfedezték a SEO-ban megnyilvánuló értékeket, és igyekeznek az organikus kereső forgalmat is vírusterjesztésbe átkonvertálni – úgy tűnik, hatékonyabban teszik ezt, mint bármely komolyabb cég.

Screensavers, free games, iphone, Barack Obama – izgalmas a kínálat a top10 listáról.

Ezzel kapcsolatban azonban van egy komoly probléma: méghozzá az, hogy ez a jéghegy, avagy a longtail csúcsa. A vírusok ugyanis képesek a TE organikus keresőforgalmadat is kihasználni, amelyet ki kell valahogy védened.

Az elmúlt hónapokban több kétségbeesett segítségkérésre is válaszolnom kellett – az történt, hogy a weblap bár ott volt valamely kulcsszavakra a Google.hu-n, de a találat alatt egy figyelmeztetést lehetett olvasni. Eszerint az adott lapra való kattintás veszélyes lehet a felhasználó számítógépére, ezért ne kattintson. Firefoxban rákattintva a linkre a böngésző be sem töltötte az oldalt, hanem egy teljes képernyős figyelmeztetést rakott ki, mely szerint vírusos lehet az adott oldal.

Az azonnali effekt természetesen az, hogy alaposan leredukálódik a keresőből érkező forgalmad, a másodlagos hatás pedig az oldalad / céged / terméked iránti bizalom rombolása. A számítástechnikához kevéssé értő látogatód csak azt látja, hogy “basszus, ez az oldal vírust akar telepíteni a gépemre!”. Marketing szempontból nem túl jó üzenet, ugye?

De mi történhetett, hogyan kerülhetett vírus a honlapodra?

Egyfelől, feltörhették a szervert is, de manapság ez talán a kevésbé valószínű. Szerver feltörés ellen a jobb tárhely szolgáltatóknál van olyan opció, hogy bizonyos IP címekre / tartományokra tudod korlátozni az FTP hozzáférést – ha dinamikus is az IP címed, akkor is egy minimális védelmet kapsz az adott tartományra való szűkítéssel, és akkor legalább a török / ukrán / kínai IP címekről nyomulú hackerek nem fognak tudni hozzáférni az FTP-hez. Ha egy online üzleted múlik a dolgon, akkor lehet, hogy érdemesebb költeni egy statikus IP cím fenntartására.

A jellemző vírusterjesztési módszer azonban nem a szerver direkt feltörése, hanem a szerver védelmének megkerülése. A ma terjedő vírusok jó százaléka ugyanis nem feltétlenül (csak) a bankkártya adataidat akarja megszerezni, hanem bizony az FTP eléréseket is szívesen átnyálazzák a hátad mögött. És nem csak elküldik a vírusgazdának, de egyéb aljasságokat is csinálnak: a TE gépedről fellépnek a TE FTP-szerveredre, és betelepítenek mindenféle csúnyaságot a TE honlapodra. Ez ellen pedig az FTP IP-cím korlátozása sem véd, hiszen Tőled megy fel a vírus a szerverre. Így a Te honlapodat is egy vírusterjesztővé alakítják.

Amit később jó eséllyel abból vehetsz észre, hogy a Google a Te honlapod mellé is rak egy csinos figyelmeztetést: ne kattints ide.

De pont a minap hallottam egy másik finom esetről: egy site iframe-ben húzott be tartalmat egy partneroldalról, a partneroldal viszont vírusos volt: a Google viszont a vétlen sitera is kiírta a figyelmeztetést emiatt.

Van még két olyan kár, amit okozhatnak Neked a hackerek, és amit ki kell védened: pár éve megnéztem egy honlap forráskódját, és láthatatlan linkeket fedeztem fel rajta. A támadók a phpNuke biztonsági hibáit kihasználva pornó és warez siteokra mutató kulcsszavas linkeket helyeztek el az oldalon, és ha nem veszem észre, ma is ott lennének ezek a linkek. Kell részleteznem, mi a hosszútávú hatás? Bizalomvesztés a Google részéről, visszaeső helyezések, csökkenő organikus forgalom, és totális értetlenség, hogy akkor most mi van.

Egy másik sokkal direktebb kár az az AdWords accountod megszerzése: most már az AdWords jelszavakat is lopják ugyanis, így a Te pénzedből finanszírozva made for adsense oldalakat, vagy terjesztve vírusokat.

A tanulság tehát:

– legyél biztonságos szerveren, ha van IP korlátozásra lehetőség, használd ki

– ne sajnáld a licenszdíjat egy jó vírusirtóra / tűzfalra: egyetlen nap több pénzt bukhatsz, mint annak az ára

– felejtsd el az iframe-et.

Mi a teendő akkor, ha a Te oldalad is áldozatául esett egy vírusnak?

1. Totális vírusirtás a gépeden

2. Víruskeresés az FTP szerveren, korábbi, vírusmentes állapot felrakása a szerverre generic sildalis

3. Google Webmaster Toolsban látni fogod szintén a figyelmeztetést, itt kérheted néhány kattintással a figyelmeztetés eltörlését. Ha mázlid van, pár nap alatt átfut – volt, akinek nem volt mázlija, és hetekig tartott.

KIEGÉSZÍTÉS:

Pont előkerült a téma a SEO fórumon is, a tagok két, témába vágó linket is ajánlottak:

Webpage Security Report – megnézi az oldaladat, hogy van-e rajta bármi gyanús. Sőt, kiírja azt is, ha véletlen valaki olyanra linkelnél, akinek az oldalával nincs valami rendben.

Egy apró trükk a Total Commander biztonságosabbá tételéhez – hogy a TC-ből, amelyet valószínűleg a legtöbben használnak FTP hozzáférésre, ne tudják a vírusok megszerezni az FTP jelszavakat.

Valamint Mosquito hívta fel a figyelmet a Google Safebrowsingra is, amivel szintén csekkolhatod a honlapod állapotát, THX!

  1. mosquito szerint:

    es hat van ez a nagyon hasznos eszkoz a google-tol, a safebrowsing – http://www.seoblog.hu/keresooptimalizalas-seo/serpguard – amivel ellenorizni is tudod a weboldalad allapotat

  2. Miyazaki Jun szerint:

    Köszi, bele is raktam a postba.

  3. Brod szerint:

    Azert van mas is. A nagy webkettes mamorban bizony a legtobben eszeveszettul pakolnak be alkalmazasokat es mas nyalanksagokat az oldalukba. Nem kell a te oldaladat megkerulni vagy feltorni – ahacker okos es szeret keves munkaval nagy eredmenyt elerni – hanem azokat az oldalakat veszik celba, amelyeket mindenfele alkalmazasokon keresztul nagy tomegek becsatolnak a sajat oldalukra. Merras, en mar beszeltem neked errol, de elkuldtel a fenebe ezzel 🙂

    Szoval a Web2 kivaloan alkalmas arra, hogy egyszerre, nagy tomegben fertozzon, elso lepcsoben azokat a johiszemu oldalakat, akik sajat tartalmukba idegen (es ellenorizetlen) tartalmakat olvasztanak be, aztan onnan pedig mar szabad az ut 🙂

  4. Miyazaki Jun szerint:

    @Brod: egen, mert sikerült a lehető legparanoidabb módon előadnod, amely szerint már a jobb oldali sidebarba betett facebook és google friend connect dolgok is valami hihetetlen életveszélyt jelentenek biztonsági szempontból. 🙂 Illetve emlegettél valamit, hogy a wikipedia.org mekkora veszélyes cucc.

  5. Brod szerint:

    Jun: olyan is volt 🙂 mivel sajnos a wikinek nemigazan jol van megirva a vedelme, szamos fertozest a wiki oldalakba beszurt kodok kovetnek el. Ugyanigy a twsitter, facebook alkalmazasok altal elkovetett fertozesekkel is tele van a net, szoval en nem csipazom a dolgokat 🙂 a web2 ellen igen is vedekezni kell – vallalati szinten legalabbis 🙂

  6. Miyazaki Jun szerint:

    Brod, a jobb oldalon található friendconnect és facebook beszúrások miben veszélyeztetik a blogomat / a látogatóim gépét?

  7. Brod szerint:

    Jun: azert pl te is hallottal mar a kepekbe helyezheto malware kodokrol, nem? Szal feltoltok egy fertozott kepet a profilomba, te meg jol kipakolod, es mindjart fertozo forrassa valik a sajat oldalad. Ez persze csak egy pelda, de a facebookos fertozesekkel tele a sec. sajto 🙂

  8. Miyazaki Jun szerint:

    És akkor ennek mi a megoldása, minden blogger kapja le azonnal a FB / Google Friend Connect cuccokat a blogjából? 🙂

  9. Brod szerint:

    Jun: ebben az esetben es megkozelitesben nem az szamit, hogy a tartalom honnan jon – hiszen a te url-ed pl elvileg megbizhato LENNE – ha nem rangatnal bele kulso tartalmakat, amelyek URL szempontjabol a te oldaladrol szarmazonak tunnek. A web2 tulleptette az enterprise security url alapu osztalyozasat, hiszen pl egy seo-s kolleganak kincs a te honlapod, annak blokkolasa a munkavegzesre akar karosan is hathatna. Szoval url alapon nem lehet ma mar vedelmet adni, csak es kizarolag tartalmi vizsgalati alapon. Tehat magat az oldaltartalmadat kell a rendszereknek elemeznie.

    igazabol a megoldas az lenne, ha a web2-es oldalak/rendszerek figyelnenek oda a biztonsagra. De nem teszik. Nagyon jol elhatarolodik mindenki a rendszerukre fejlesztett alkalmazasoktol – mondvan, hogy nem ok keszitettek, csak az api-t adtak hozza. Kod szinten ezek az alkalmazasok nincsenek ellenorizve, es bosegesen lehetoseget adnak a tamadasokra. Mivel a web2 kozossegi rendszerek nem figyelnek oda a biztonsagra, ezert ezt masnak kell megtennie. Maganoldalrol en persze leszarom, hogy kinek hogy fertozodik a gepe, vagy, hogy ki mit csinal, viszont enterprise security oldalrol nezve azert ez nem ilyen egyszeru.

    De mondok mas valamit. Itt volt a tmobil-vodafon botrany. Marmint hogy a vodas marketinges egy olyan uzenetet nyomott a twitterbe, amit nem hagyatott jova es utolag a voda el is hatarolodott tole. Maganvelemenyem persze az, hogy a voda vezetosege huje fasz volt, de ez most mindegy.

    Enterprise security oldalrol a twitter egy ellenorizetlen csatorna. Ha a vodanak van megfelelo rendszere, akkor engedelyezheti a twitter OLVASASAT, viszont az IRASAT tilthatja. Jelen esetben szabalyozhatta volna, hogy a kollega nem irhatott volna a twitterre (persze a pelda santit, hiszen elvileg neki volt jogosultsaga erre) – mindenesetre a peldabol az latszik, hogy a web2-es tartalmakat kitiltani nem kell – pl url alapon a twitter blokkolasa meglehetosen durva megoldas lenne – viszont megfelelo rendszerrel lehet szabalyozni, hogy mely alkalmazasat, alkalmazasokat ki es hogyan hasznalhatja a vallalaton belulrol.

    en nem arrol beszeltem, hogy a web2-t fullba tiltani kell, viszont kurva nagy szukseg van arra, hogy a tartalmakat ellenorizzek.

  10. […] footer.php filet. Sajnos akkor is képes erre, ha amúgy a template fileokra nincsen írási jog. Erről egyébként már írtam korábban is, a módszer azóta sem változott. Amellett, hogy érdemes rendszeresen utánaolvasgatni annak, […]

line
footer
Powered by WordPress | Designed by Elegant Themes