Xakep #305. Многошаговые SQL-инъекции
Специалисты компании Sucuri, занимающейся защитой сайтов от вторжений и DDoS-атак, обнаружили необычную разновидность спама, появляющегося на взломанных сайтах. Чтобы скрыться от фильтров, он возрождает полузабытые трюки, которые были в ходу у поисковых оптимизаторов двадцать лет назад.
Специалист Sucuri Питер Грамантик рассказывает в блоге компании про найденный на взломанном сайте фрагмент HTML, который выглядит как поисковый спам с призывом покупать виагру в Канаде.
На первый взгляд в этом объявлении нет ничего необычного. После взлома спам про виагру появляется на сайтах с WordPress или Joomla так часто, что для него даже придумали специальный термин: pharma hack. Как правило, смысл такого спама заключается в том, чтобы окольными путями повлиять на позиции, которые торгующий виагрой магазин занимает в результатах Google.
Внимание Грамантика привлекла одна странность: программное обеспечение Sucuri почему-то не засекло добавленное спамером объявление, хотя оно сверху донизу набито подозрительными словами. Фильтры не должны были пропустить «виагру», но это произошло.
Ларчик открывался просто. Чтобы увидеть, что не так с этим спамом, достаточно выделить его текст. Буквы, которые видят посетители сайта, со всех сторон окружены невидимой бессмыслицей.
Писать белыми буквами по белому фону — это старейший трюк в арсенале поисковых оптимизаторов. Во времена, когда главной поисковой системой считалась Altavista, только ленивый не прятал в подвале сайта невидимый список популярных запросов. Этого было достаточно для того, чтобы обмануть и поисковик, и посетителей.
Времена изменились, и довольно давно. Google и «Яндекс» провести гораздо сложнее, чем Altavista. Сегодня попытка спрятать на странице невидимый текст может закончиться исключением провинившегося сайта из результатов поиска.
С точки зрения поисковой оптимизации объявление про виагру, которое нашёл Грамантик, в лучшем случае бессмысленно, в худшем — опасно. Выходит, что оно рассчитано не на поисковики, а на людей, хотя и распространяется типичным для поискового спама методом.
Что касается доисторических фокусов с невидимым текстом, то их адресат тоже иной. Они призваны обманывать не поисковики, которые видали и не такое, а бесхитростные противоспамовые фильтры — такие, например, как у Sucuri. «Древность трюка вовсе не значит, что он устарел», — заключает Грамантик.