Я сейчас опубликую способ угона всего поискового трафика и всех клиентов любого сайта с помощью Яндекса за 5 минут без никаких знаний при наличии доступа к одному ТОЛЬКО Яндекс Вебмастеру. К сожалению, от этого могут пострадать владельцы сайтов, но я просто не вижу другого выхода. На данный момент техподдержка Яндекса просто закрывает глаза на проблему. Я не уверен, что о проблеме вообще известно менеджменту и идет ли информация дальше «Платонов» и потому я вынужден опубликовать эту уязвимость чтоб привлечь к ней внимание Яндекса как можно скорее и спасти как можно больше сайтов.
Давайте будем честны — аккаунт Яндекс Вебмастер довольно легко получить во время проведения любых работ или предложив владельцу сайта бесплатный аудит. Сам сервис Вебмастера воспринимается владельцами как информационный, а зачастую о нем не знают вовсе. И точно не знают, что с помощью данного сервиса можно отнять все позиции и весь трафик на сайт из поиска.
Это как ключи от квартиры. Когда я их даю то я рассчитываю, что вы можете туда зайти и что-то там сломать, ок, я к этому готов. Но текущий баг позволяет переписать квартиру на себя и к такому уже мало кто готов, когда дает другому человеку ключи.
Давайте по порядку. Скажу сразу — сайт моей знакомой, не свой личный.
Захожу я посмотреть трафик из разных источников в Яндекс Метрике и вижу, что трафик из Яндекса упал до нуля чуть более, чем неделю назад. Думаю может проблема какая-то, захожу в Яндекс Вебмастер изучить проблемы и вижу, что сайт в списке находится как дочерний, являющийся не главным зеркалом какого-то стороннего домена, на котором находится не функциональная копия украденного сайта.
Смотрю список доступов в Яндекс Вебмастере — там есть сторонний пользователь. Пользователя удаляю, удаляю его метатег и файл подтверждения, меняю по кругу все пароли.
Ищу где указывается основное зеркало — нахожу там пункт «Отклейка зеркал» и пытаюсь отклеить. Оказывается, расклеить сайты нельзя пока они возвращают одинаковый контент.
То есть Яндекс не признает никакого верховенства созданного ранее сайта, как только ему указали новое зеркало — вернуть назад не возможно.
Обсуждение вопроса с техподдержкой свелось только к тому, что они не могут ничем помочь.
Так как угнать-то?
- Просим открыть Яндекс Вебмастер посмотреть статистику или добавляем сами через файл подтверждения, если Вам дали доступ чтоб Вы сменили телефон в шапке (утрирую)
- Разворачиваем у себя просто спаршенную копию внешнюю сайта или реальную копию, если был доступ к файлам
- Отправляем заявку на перенос через Яндекс Вебмастер
После этого Яндекс выбрасывает старый сайт из поиска полностью и показывает по всем поисковым запросам новый сайт.
Еще прозрачнее?
Любой человек с любым уровнем знаний может создать аккаунт на фрилансе или топик на форуме с указанием, что он сейчас строит личный бренд и готов взять несколько заказов за отзывы и портфолио по доработке сайта, верстке, правкам, аудиту, сменить телефон в шапке и пр. И просто заливать файл либо метатег подтверждения и переклеивать сайт на новый домен.
Так десятки сайтов в день можно угонять.
Это — не нормально. В данном случае политика Яндекса и отсутствие верховенства первого домена хотя-бы в течение нескольких месяцев позволяют огромному количеству мошенников проводить подобные операции. То есть алгоритмы и политика Яндекса по смене основного зеркала являются критической уязвимостью.
Если это читают представители или работники Яндекса — пожалуйста, донесите информацию до ответственных за данный функционал людей. Я лишь хочу, чтоб данную уязвимость прикрыли. Не важно — внедрением возможности переклеить обратно, новыми инструкциями для техподдержки или хотя-бы информационным письмом везде где это возможно о переклейке домена, даже информирующего письма ведь не было. Даже уведомления.
Увидел случайно.
А если Вы, дорогой читатель, не работаете в Яндексе, но у Вас есть свои сайты — проверьте, что тут webmaster.yandex.ru нет лишних людей в разделе «Пользователи, управляющие сайтом».
Представители Яндекса, пожалуйста, приймите меры по этому поводу.
Мои предложения:
1) Дать преимущество основному зеркалу перед новым
2) Подтверждение смены основного зеркала через письмо на почту
3) Уведомление о факте смены по СМС
Комментарии (131)
overmind88
30.01.2018 17:54+8> как угнать любой сайт в Яндексе
Я уж думал, можно домен переделегировать на себя, а тут какие-то сеошные заморочки.
> для этого достаточно иметь или админку или FTP или уговорить владельца делегировать права.
А ещё можно себе яйца дверью прищемить, а потом жаловаться, что двери неправильные. ©
Lici Автор
30.01.2018 17:57-13Если Вы не разбираетесь в вопросе то можно не писать просто ничего. Если бы разбирались то понимали почему смена главного зеркала равнозначна делегированию.
Lici Автор
31.01.2018 01:29Ок, поясняю. У многих сайтов главная ценность это именно поисковый трафик. Если это сайт стоматологии то люди находят их в поиске и идут делать зубы, если это сайт студии дизайна то люди находят их в поиске и делают заказ, если это интернет-магазин — люди находят их опять же через поиск и заказывают товары.
На то, чтоб люди в поиске находили именно Ваш сайт крупные магазины тратят тысячи долларов ежемесячно. Сюда входит в том числе о подготовка нового авторского контента и оформление сайта и проработка внешнего вида и а/б тестирование и много чего еще.
Когда мы указываем сайту другое главное зеркало, то Яндекс:
1) Удаляет из своего индекса старый сайт и показывает новый
2) Весь трафик из поиска вместо старого сайта сразу попадает на новый
3) Признает за новым доменом авторство всего созданного контента
Таким образом потеря главенства зеркала = потеря сайта.
Вы больше не можете рассчитывать на трафик из поиска на созданный за все годы контент так как он теперь — дубль и не заслуживает индексации. Продажи через интернет за один день падают до нуля.
Вот что такое указание главного зеркала.
Deosis
31.01.2018 07:25Если это дубль, то для заключения договора всё равно будут связываться с компанией-владельцем оригинального сайта.
Spunreal
31.01.2018 09:25Кто мешает поставить свои телефоны и реквизиты? Например, предоплата переводом на киви.
Вбиваете в поиск — купить ноутбук. Попадаете на какой-то ранее зарекомендовавший себя сайт, но только у него другой домен. Большинство пользователей не будут это проверять. Оплачиваете покупку и вуаля, денег нет, товара тоже. Репутация реального сайта страдает, а мошенники наживаются. Это продлится недолго, но мошенники получат своё вдоволь.
mayorovp
30.01.2018 18:29+1«Какие-то сеошные заморочки» — это когда скидывают на несколько мест вниз. А тут вообще из поиска выкидывают.
Akuma
30.01.2018 19:07+2Да, предварительно «уговорив владельца делегировать права» :)
Lici Автор
30.01.2018 19:34Вы в курсе про существование рынка фриланс-услуг, где доступы на сайты летают туда-сюда и не меняются годами потому, что сломанный сайт чинится из бэкапа? Я не про Вас, Вы, конечно, соблюдаете правила безопасности, но Вы рассуждаете о вымышленном мире, а я говорю о реальном.
Так вот теперь уровень угрозы не сломанный сайт, а угнанный для поиска домен со всем трафиком.Akuma
30.01.2018 20:40Это не правила безопасности. Это правила здравого смысла. Вам все комментаторы пытаются это сказать :)
Правила безопасности — это, например, использовать авторизацию по ключу вместо пароля.Lici Автор
30.01.2018 20:45+1Яндекс Вебмастер воспринимается большинством владельцев сайтов как средство по изучению статистики скорее, мало кто знает, что с его помощью можно отнять весь трафик из поиска на сайт.
Akuma
30.01.2018 20:46С его помощью и нельзя этого сделать. Это можно сделать украв доступы к сайту. Вебмастер в вашем случае — лишь косвенный инструмент.
Lici Автор
30.01.2018 21:01+1НЕТ, это делается при наличии ТОЛЬКО доступа к Яндекс Вебмастеру. Без ФТП, без админки, без компьютера вообще. Только доступ в вебмастер.
Масса предложений в интернете по улучшению сайта строится как «Мы Вам делаем бесплатный аудит и затем Вы решаете заказывать нашу услугу или нет».
Для такого аудита элементарно дают доступ на вебмастер для более глубокого изучения статистики сайта так как это воспринимается как исключительно инструмент для работы со статистикой и отчетами.
Никто не подозревает, что так можно отнять весь трафик из поиска.
sshmakov
30.01.2018 22:25Вы как-то поправьте статью, что ли. Что нужен только доступ в вебмастер, в ней не написано.
lamo4ok
31.01.2018 00:46Доступ можно дать не как админу, а как простому пользователю. Это во-первых.
Во-вторых, со стороны Яндекса тут можно помочь только одним способом — зафигачив здоровенные мигающие баннеры с предупреждениями в админке Вебмастера, условно говоря.
В-третьих, тот факт, что кто-то там воспринимает инструмент Вебмастер (равно как и любой другой подобный у других поисковиков) как некую игрушку, совершенно не обозначает, что надо менять логику работу таких инструментов, она на самом деле совершенно верная — так как сайт может продаться, например, и совершенно очевидно, что основным зеркалом должно в этом случае быть не первое, а последнее.
В-четвертых, обучение людей компьютерной грамотности — это по большей части их собственная задача, их представление о вебе как у пятилетнего ребенка, готового отдать ключи от квартиры любому, говорит только об одном — будучи пятилетними детьми, они решили сыграть во взрослые игры. Со стороны Яндекса и прочих сервисов тут разумно делать предупреждения в различных местах интерфейса, но не закладывать двери кирпичом, если вернуться к нашей аналогии про детей — иначе терпеть в итоге будет из-за их неразумности большинство разумных.Lici Автор
31.01.2018 01:14Верно, отдать ключи от квартиры. Когда вы отдаете ключи от квартиры то рассчитываете, что к Вам могут прийти, забрать все имущество и исписать стены нецензурной бранью. Но в данном случае ключи от квартиры дают возможность переписать квартиру на себя, а это уже не нормально.
AndreyUA
31.01.2018 11:40Когда я нанимаю уборщицу, то даю ей ключи от квартиры, чтобы она прибралась. Прихожу домой — а там квартира без мебели и ценных вещей и ее сын у меня на кухне с другом бухает. Вызываю полицию — а они говорят, что по документам квартира ваша, а то что все имущество вынесли, так не надо было ключи отдавать.
mayorovp
31.01.2018 12:32+5… вызываю полицию, а они говорят: так квартира-то ей принадлежит, вот она утром заявление об утере документов подавала, в доказательство показала ключи. Ну и что что у вас тоже документы есть? Ее документы в реестре отмечены более важными, и оснований менять эту пометку нет!
AndreyUA
31.01.2018 13:11+2Вопрос ведь в том, что назад ничего не вернуть. В случае воровства паролей, уязвимости в самом Яндексе или еще чего-либо, вопрос нерешаем. И виноват ли я, что ключи я отдал уборщице сам или вытащили их в автобусе, я потерял все. А так не должно быть. Должен быть какой-либо механизм, который исключает подобное. Не должно быть оснований переписывать квартиру на уборщицу по основании показанных ключей.
mrkaban
31.01.2018 09:18Заголовок действительно некорректен, так как воруют не сайт, а трафик. Телефон поменял и звонят не тебе.
Это конечно опасно, но прежде чем кому-то давать доступ, надо хорошенько подумать. И менять пароли часто, и ставить нормальные пароли.
Kabdim
30.01.2018 17:54+2Без доступа к корню сервера же ничего нельзя сделать. Так что круг подозреваемых либо хакеры, либо админы. Если админы, то ясно кто они и их можно привлечь за копирование. Где я ошибаюсь?
Lici Автор
30.01.2018 17:55-4Можно без доступа к корню, в админке половины движков есть возможность прописать метатег.
foxin
30.01.2018 17:59После проведения всей процедуры можно же залить себе уже свой контент. И вуаля — у вас на сайте вся аудитория прошлого сайта.
neenik
30.01.2018 18:30+2Владельцы сайтов в опасности! Ведь любой человек может добавить им на сайт любой контент!
nikolayv81
30.01.2018 23:25Скорее тут вопрос в том что делать если уже попали, как я понял из описанного вернуть трафик от яндекса на место уже не выходит.
WildZero
30.01.2018 18:57+2Так может не стоит давать админку, фтп и т.д кому ни поподя?
Он ведь могу вообще добавить какой-нибудь чернухи и жалоба в ркн?zemavo
30.01.2018 23:30Если я правильно понял статью, то админки и доступов к ФТП не нужно — нужно просто в Яндексе переназначить зеркало.
А скопировать чужой сайт легко, некоторые конструкторы сайтов имеют такую опцию из коробки.Lici Автор
31.01.2018 01:33Верно, никакой ни админки ни ФТП не нужно, достаточно просто указать свое зеркало как основное через Яндекс Вебмастер
zemavo
31.01.2018 07:04Учитывая, что недавно еще была дыра (кажется, про нее тут и писали), которая позволяла получить доступ к чужому ЯВебмастеру, многие в свое время могли это испытать на себе…
Akuma
30.01.2018 19:11+5Шок! Сенсация! Если дать ключи от машины бомжу, он может ее угнать!
Шок! Сенсация! Если дать ключи от квартиры прохожему, из квартиры испаряются деньги!
Шок! Сенсация! Если дать FTP хакеру, сайт угонят!
Вы серьезно?
Когда два сайта отдают одинаковый контент, они являются зеркалами. Что тут не так? Вы можете создать зеркало гугла, проблема только в отдаче того же контента.
Выкиньте чужой сайт из вебмастера, поменяйте доступы и почистите шаблон. Через некоторое время второй сайт выпадет из индекса как обычный дубль.Lici Автор
30.01.2018 19:53Попробуйте добавить в Яндекс Вебмастер несколько зеркал, указать основное, снять с себя права на основное зеркало, а потом попробуйте удалить его из Яндекс Вебмастера.
Akuma
30.01.2018 20:41-2Вам Яндекс ответил «сайты перестанут считаться зеркалами, если они перестанут отдавать одинаковый контент». Что здесь не так?
Lici Автор
30.01.2018 20:56Основным зеркалом признан другой сайт и весь трафик теперь идет туда. Старый сайт не в индексе вообще.
Яндекс предлагает изменить контент на старом сайте так, чтоб он отличался от нового и тогда они расклеятся.
Тогда новый сайт будет все так же иметь весь этот трафик и все заявки от клиентов, а старый сайт может отклеиться и начать пусть заново с нуля с новым контентом.
Вы не видите в этом проблемы?
Не говоря уже о том, что сайт злоумышленника легко может просто копировать весь контент, который появляется на старом сайте.WildZero
30.01.2018 22:34Проблема есть, но в возникновении её виноваты владельцы сайта. Яндекс здесь не причем.
Lici Автор
31.01.2018 01:16Как Вам такой расклад — я забираю у Вас из кармана ключи от машины, иду в ГАИ, показываю ключи и на меня переписывают машину, объявляют ее в розыск, отнимают у Вас и отдают мне без права апелляции. А я говорю — ГАИ здесь не при чем.
Akuma
01.02.2018 11:10-1Все, я вас понял наконец. Правда, перечитав комментарии, а не статью. Сама статья написана в стиле «я проегорил доступы и сайт угнали» и именно поэтому на вас вылилось столько негатива.
В целом по проблеме:
В первую очередь виноват все же владелец сайта, т.к. раздает доступы к вебмастеру.
Но в то же время это действительно какое-то нелогичное поведение со стороны Яндекса. Могли бы пойти на встречу без ожиданий «когда контент начнет различаться».
mayorovp
30.01.2018 20:16+2Больше похоже на "Строители научились не только обносить квартиры во время ремонта, но и переписывать их на себя!"
Lici Автор
31.01.2018 01:34Точно, все именно так.
firk
31.01.2018 12:50-2Заносить в телефонный справочник от своего имени.
Смените жёлтый дезинформирующий заголовок, сайт никто не уводит, уводят только ссылки с яндекса на него. Если кому-то это главное — их дело, но это никак не повод приравнивать.Lici Автор
31.01.2018 18:31«Квартиру не крадут, просто переписывают на себя»
firk
31.01.2018 20:03-1Сервер с сайтом (физический) тоже не крадут. И даже не переписывают, если вы до сих пор этого не поняли. Яндекс — не реестр прав собственности на доменные имена и никогда им не был. Единственное, что делают злоумышленники тут — перенаправляют потоки посетителей методом замены ссылок. Так что, повторю, не надо жёлтых заголовков.
dedmazzay
30.01.2018 21:39Ну на самом деле много людей реально заморачиваются на отслеживание поисковых позицией, «улучшением» текстов, статей. Даже по ключевым словам видео на ютубе выкладывают (кстати, помогает) и в соцсетях стараются (кстати, тоже помогает). И как бы ни было большинству разработчиков пофигу на эти СЕОШные пляски, будь они неладны, проблема, соглашусь, существует.
Но она не только в плоскости Яндекса. Я неоднократно давал доступ для статистики [барабанная дробь] к статистике, т. е. к Метрике. Причём, когда всё сделали, закрывал, хоть и понимал, что могут у меня и подсмотреть, что не нужно, но не критично, ибо будь я крупной компанией, закрылся бы соглашениями, и не лазил бы на фриланс, а будь небольшой (кем и являюсь), всё равно работаю с доверенными людьми, студиями и т. д. В любом случае до сих пор многие не закрывают свои счётчики и ничего страшного в этом не вижу. Ну научится кто-то на вашем опыте, ну и молодец, коли так. Ни трафик, ни деньги у вас он не украдет.
В общем, для статистики оптимизаторам доступ в Вебмастер не нужен. Метрика — возможно, но и то больше для того, чтобы рассказать заказчику как ее правильно смотреть. Для контроля позиций у них должно быть полно своих инструментов, не говоря уже об FTP или админке.
И если тот, кто даёт доступ куда не следует, тому, кому не следует, то, может, не своим делом он занимается?
vanxant
31.01.2018 00:07В вебмастере много инфы про проблемы сайта ( типа битых ссылок и тп). Вытащить из метрики большинство из этого можно, но с бубном
dedmazzay
01.02.2018 13:50Согласен. Но это можно и без доступа сделать.
Кстати, вот сейчас зашёл в параметры и обнаружил действительно сильный косяк, который значительно важнее, имхо, чем то, что описал ТС:
У меня ко многим сайтам прописан доступ тоже мне, но для другой учётной записи в Яндексе. Просто чтобы не переключать пользователей, ибо так нередко быстрее. И вот делегированной учётной записью я, оказывается, тоже права могу выдавать. Вот это — проблема. Права другим должен давать только овеликийодмин, но никак не тот, кому доступ был делегирован.vanxant
01.02.2018 14:291. Без доступа можно. Но в вебмастере это удобно, потому что позволяет выявлять проблемы сильно заранее, а не когда вы запустите какую-нибудь рекламную акцию, которая ведёт на страницу с битыми ссылками.
2. Ненене, там при делегировании доступа можно выдать полные права или только гостевые (по крайней мере раньше так было). Вторые, соответственно, не дают права переделегирования. Тут вы просто не стали себя обделять.
vanxant
01.02.2018 19:49Насчёт 2 я вас обманул в предыдущем комменте, в вебмастере уровень доступа не настраивается.
uberpwnr
31.01.2018 01:34А директива «Host:» была прописана в robots.txt оригинального сайта?
Lici Автор
31.01.2018 01:34Конечно, она яндексом игнорируется при наличии прямого указания о переезде через вебмастер.
paules
31.01.2018 17:54Чушь собачья! Где доказательства того, что директива Host игнорируется? А?
Сайты не склеются по КОНТЕНТУ если директива host дочернего домена не будет указывать на главный домен, это проверено миллион раз и известно уже давно. Кнопка в вебмастере яндекса это лишь сигнал роботу-зеркальщику яндекса о том, что нужно бы оба сайта переиндексировать в приоритетном порядке на предмет их идентичности. Директива host обязательное условие для склейки по ИДЕНТИЧНОМУ контенту, как для яндекса так и для гугла.
Существует второй способ склейки доменов более академический — возврат вебсервером дочернего домена кода 301 с заголовком Location на главный домен, в этом случае наличие файла robots.txt с директивой host у дочернего домена не нужна.
Все это проверялось неоднократно и давно известно опытным путем всем кто этим занимался.
Лично имею большой опыт склейки доменов и все эти нюансы имел возможность лично наблюдать.
Оба способа склейки требуют доступа к хостингу сайта либо управлению dns дочернего домена. Имея лишь один доступ к хоть и подтвердженному домену на сервисе вебмастер яндекса, переклеить домен на произвольный не получится!
Пост — мусор и истерические сопли школьника который мало чего понимает, но не боится строчить посты на хабр. Честно говоря хабр огорчает таким контентом.Lici Автор
01.02.2018 22:44Факт склейки сайта из примера является доказательством. Директива Host носит рекомендательный характер и мало на что влияет, на новом домене ее, к слову, нет вообще как и файла robots.txt. Не будьте так радикальны в своих суждениях, особенно в вещах, в которых вы не разобрали всех тонкостей. Тогда, возможно, ваши комментарии не будут просто загрязнением сайта.
zemavo
31.01.2018 07:15По поводу предложений автора:
2) Подтверждение смены основного зеркала через письмо на почту
Кстати, теперь ведь Яндекс рассылает (не помню, по умолчанию ли) письма «Обновление поисковой базы. Изменения на сайте» ежедневно и «Сводка по сайту» еженедельно на каждый сайт — думаю, в эти рассылки было бы уместно включить оповещения о зеркале.
Кстати Google, ЕМНИП, при таких манипуляциях шлет отдельное оповещение.Lici Автор
31.01.2018 07:18Нет, оповещение должно быть отдельным и важным, регулярный пустоспам это лучший способ сделать чтоб точно не читали ничего.
Andrei_ra
31.01.2018 07:16Большинству комментирующих что Заратустру что черные дыры обсуждать — во всем «эксперты»
Anton_Zh
31.01.2018 08:50+1Вопрос очень серьезный. В Вебмастере должна быть принудительная возможность отклейки, либо разграничение прав, чтобы эту функцию можно было сделать недоступной при делегировании.
ArgentMind
31.01.2018 09:48+1Хочется поддержать автора, ибо, в данном случае, черт еще страшнее, чем его малюют: у среднестатистического интернет-маркетолога любой масти десятки доступов к Метрикам и Веб-мастерам, потому что дают их достаточно легко (на рабочее мыло доступ и все) под любой аудит, а отнимать обратно забывают — русское «авось» во всей красе. Так что советую прислушаться в первую очередь малому и среднему бизнесу и любителям аутсорса да и проверить доступы.
С другой стороны, данный метод прекрасная возможность жёстко покарать в одну минуту нечестного клиента: не заплатили за seo или контекст? обидели админа или контентника? НА-КА! Вайп ;)
Durimar123
31.01.2018 13:48+3А чего яндексы молчат?
Они тут так яростно постят статьи о своей мега крутизне и ноухау.Lici Автор
31.01.2018 18:34Видимо, пока не дошло до них. Статья не дала резонанса, набежали мамины специалисты с комментариями типа «смотрите кому давали доступ, это не уязвимость» и заслали статью в минус.
TimsTims
01.02.2018 09:15Просто не всем в таких больших компаниях разрешено вступать в публичный спор, выступая от имени компании, чтобы не навредить её репутации.
Zivaka
31.01.2018 15:57Мне кажется в статье не указан один важный нюанс — все эти действия происходят далеко не мгновенно, а в случае большого количества контента и вовсе занимают много месяцев.
Lici Автор
31.01.2018 18:34У меня произошло за 2 дня
Zivaka
01.02.2018 00:08Это странно, но возможно сайт совсем маленький? Кстати, еще не факт что страницы все полностью перенесутся на новое зеркало, так как в такие моменты наблюдается просадка по трафику.
У меня смена зеркала в свое время заняла около полугода, но количество страниц там под 100 тысяч.
shasoft
31.01.2018 16:01-1Если уж исходить из «квартирного подхода», то квартиру никто не ворует. Вы даете кому-то ключи чтобы кто-то что-то там сделал, а этот человек сдает вашу квартиру третьим лицам. Квартира вроде ваша, её никто не отнимал, но доход с неё получает другой.
henadzi
31.01.2018 19:42+1Квартира вроде ваша, её никто не отнимал, но доход с неё получает другой.
Навсегда сдали вашу квартиру и будут получать деньги. Но все, конечно, в порядке. Квартира осталась ваша!
php7
31.01.2018 19:43+1Тот случай, когда автор статьи доказывает тугодумам правоту.
Обычно наоборот.php7
31.01.2018 22:58А в google такого нет? :)
А также страна должна знать героев (тридварасов сеошников, которые таким промышляют).
П.С.
Первая мысль в начале чтения статьи:
Нефиг давать кому попало доступ.
Но если потом проблематично «вернуть» сайт, то косяк есть.
Удаление чучела из доступов должно лишать его всех прав.
П.П.С.
А попросить по хорошему отвязать зеркало у злоумышленника никак?
То есть виноваты все же трое:
- тот, кто давал доступ кому-попало
- тот, кто получал доступ
- Яндекс
psbspb
31.01.2018 19:56Это скажем так, ещё одна хитренькая штучка, которая поможет наказать владельца сайта в случае невыполнения обязательств.
Вообще Вебмастер маркетологу не очень то и нужен. Метрика куда важнее. Вебмастер в помощь тому кто сайт делал и хозяину. Маркетолог может указать на ошибки и посоветовать посмотреть вебмастер.
Конечно, мошенники могут попросить и вебмастер для совершения деяния. Но это уже проблема хозяина сайта. Который не подписав никаких бумаг отдаёт доступы. И всё сводится к старому как мир. Любая, даже самая маленькая сделка связанная с паролями и доступом к чему либо, должна фиксироваться на бумаге. Если вы попросите у мошенника паспорт и сообщите, что будете заключать договор с ним, он сразу откажется и пойдёт искать других доверчивых.
По сути, должно работать одно правило. Если не понимаешь, что хотят делать — заключай договор. Ну а если понимаешь, то ты и сам не дашь пароли и доступы к тому, что не нужно.
И проблема тут не в Яндексе, а именно в владельцах сайтов. Вероятность того, что сайтоделатель сделает вам сайт, а потом угонит трафик на свой, через вебмастер очень мала, если только вы его не кинете. Опять же, вы же заключили договор с сайтоделателем?
Lici Автор
31.01.2018 19:57Каких еще обязательств? Какой наказать? Это вообще не достойное специалиста поведение. Если Вы сделали работу не взяв вперед никакой оплаты то это Ваш выбор просто.
verydima
01.02.2018 02:44Кидать с постоплатой, по-Вашему, нормально?
Касательно темы — за много лет работы у меня тоже есть множество доступов. Многие из них не меняются годами. И люди часто вообще не знают что это за панели вебмастеров.
Но какой смысл исполнителю делать клиенту сайт, брать деньги и потом делать зеркало я не понимаю. Ведь обе стороны знают ху из ху и могут без проблем найти друг друга.
Другой вопрос если исполнителя кидают в любой форме (что крайне распространено в СНГ) и он ищет варианты как наказать.
McDermott
31.01.2018 19:58Яндекс предлагает изменить контент на старом сайте так, чтоб он отличался от нового и тогда они расклеятся.
Интересный момент: насколько нужно изменить контент на сайте? Переписать все тексты? Перерисовать весь сайт? Добавить крохотную пустую страницу? Lici, не исследовали этот вопрос?
Кстати, «Весь трафик из поиска вместо старого сайта сразу попадает на новый» — имеется в виду редирект при нажатии на ссылку originalsite.ru из поисковой выдачи Яндекса?
Zalina
31.01.2018 20:10-1Здравствуйте! Через Вебмастер, поиск или любой другой поисковый сервис Яндекса нельзя ни получить, ни передать права на домен или хостинг. То есть «угнать» сайт нельзя. Человек, у которого есть доступ к сайту через Вебмастер, может повлиять на его отображение в результатах поиска, так как это основная задача, которую решают через этот сервис. Поэтому важно следить за тем, кому и для чего выдаются доступы к нему. Но с доступом к сайту или его домену Вебмастер никак не связан.
По поводу зеркал. По умолчанию считать основным всегда наиболее старый сайт (домен), по нашему опыту, некорректно. Часто владельцы хотят поменять домен на другой, поэтому мы учитываем при переезде не только этот фактор, но и множество других.
Вернуть старое зеркало и расклеить сайты можно. Как – служба поддержки всегда рассказывает, это также есть в нашей Помощи. Ручных операций с зеркалами у нас нет.Ingref
31.01.2018 21:10+1Через Вебмастер, поиск или любой другой поисковый сервис Яндекса нельзя ни получить, ни передать права на домен или хостинг. То есть «угнать» сайт нельзя.
Если сайт получает весь трафик только из поиска, то потеря этого трафика равносильна потере сайта. Это примерно тоже самое, если бы у сайта yandex.ru отобрали бы домен и сказали: «Ваш сайт всё-равно принадлежит вам и без проблем открывается по IP-адресу».
По поводу зеркал. По умолчанию считать основным всегда наиболее старый сайт (домен), по нашему опыту, некорректно. Часто владельцы хотят поменять домен на другой, поэтому мы учитываем при переезде не только этот фактор, но и множество других.
Вернуть старое зеркало и расклеить сайты можно. Как – служба поддержки всегда рассказывает, это также есть в нашей Помощи. Ручных операций с зеркалами у нас нет.
Проблема в том, что нет защиты от случайной смены зеркала. Или, как в данном случае — намеренных действий злоумышленников. Это как с платными SMS на короткие номера, когда люди, сами того не подозревая, подписывались на платные услуги из-за того, что оператор связи не запрашивал подтверждения.
Ну и плюс более широкая проблема, не имеющая отношения к зеркалам — это то, что поддержка Яндекса не заинтересована в том, чтобы помочь человеку. Вместо того, чтобы разобраться, просто присылают в ответ стандартную отписку. Даже если он сам виноват, даже если бы не было никакого злоумышленника, а он бы своими руками напортачил — разве надо его «посылать»? Не заметно, чтобы Яндекс в данном случае как-то стремился помочь. И таких ситуаций масса.firk
01.02.2018 01:33Если сайт получает весь трафик только из поиска, то потеря этого трафика равносильна потере сайта. Это примерно тоже самое, если бы у сайта yandex.ru отобрали бы домен и сказали: «Ваш сайт всё-равно принадлежит вам и без проблем открывается по IP-адресу».
Нет, тогда сайт бы принадлежал, а домен (тоже собственность) кто-то отнял. А вот "трафик из поиска" сайту никогда не принадлежал даже близко — это просто внешнее по отношению к нему явление, под которое от подстроился.
Ingref
01.02.2018 12:25Я с этим абсолютно согласен. Я также согласен, что Яндекс никому ничего не должен и т. д. и т. п. Просто тогда какой смысл в поддержке вебмастеров? Ну написали бы — мы делаем с поиском, что хотим, а проблемы вебмастеров нам до лампочки. Тогда бы и вопросов не возникало. Но Яндекс же себя позиционирует, как «корпорация добра» и всё в таком духе. Немного лицемерно получается.
Даже если бы техподдержка просто отвечала прямо — «это не наши проблемы», то это было бы лучше, чем получать отписки в стиле «но вы держитесь».
bro-dev
31.01.2018 21:47С точки зрения Яндекса проблемы нету, пользователь просит стоматологию он её получает. Яндекс не давал никаких гарантий что ваша ссылка будет на какой то позиции, так что не хотите не пользуйтесь их поисковиком.
Я себе не вижу вообще решения этой «проблемы», ну просто как вообще определить где реальный сайт, а где фишинговое зеркало? Это требует разборок, а денег выделять смысла нету за отсутствием профита.NNikolay
01.02.2018 04:16-1Конечно, какая разница Яндексу, что он показывает на топовых позициях — сайт нормального интернет магазина или сайт мошенников. Контент-то одинаковый, юзер не заметит, значит трафик не упадёт.
bro-dev
01.02.2018 11:48-2Почему мошенника то? скорее всего будут просто сливать лиды куда то, и мб в лучше чем в ваш магаз.
NNikolay
01.02.2018 12:02+2Вы серьёзно?
Если магазин использует такие методы продвижения (тырить трафик взломав конкурента), то есть серьёзные подозрения, что на этом дело не закончится.
Bel0g0r
01.02.2018 01:48Может быть кто то писал уже (комментов много, все не успел прочитать).
- Заголовок гремит о том, что угнать сайт можно только через вебмастер Яндекса, а сама статья же рассказывает о совсем иной ситуации.
- Поставить сайт не основным зеркалом и угнать, извините, но не одно и тоже. Перевести трафик, выражайтесь точнее.
- То что Вы назвали уязвимостью, таковой не является. И со стороны Яндекса, абсолютно ясна позиция. Объясню почему:
- Чтобы отправить запрос на изменение зеркала, на переезд сайта и так далее, необходимо иметь доступ к аккаунту вебмастера, к которому привязан данный сайт. Либо загрузить на сам сайт файл с верификацией доступа (либо мета-тег прописать).
- Для проведения этих действий, у злоумышленника должен быть доступ к сайту (админка, FTP, SSH — неважно), к аккаунту вебмастера (Вашего, иначе права делегировать можно только подтвердив владением сайта — возвращаемся к варианту доступа к самому сайту).
- Как злоумышленник может получить доступ к сайту и вебмастеру? Вы сами предоставили его! Никто силой не заставлял Вас этого делать.
- Почему злоумышленник подал запрос на смену зеркала? Снова Ваша вина (в данном случае владельца сайта). Вы не удосужились сменить доступы или удалить временные аккаунты, которые предоставляли например для аудита.
- Смена зеркала происходит не менее 1 недели. Получается Вы целую неделю просто не проверяли данные, хотя должны были бы, доступы то предоставляли.
- Теперь к Яндексу. Что видит тот же менеджер «Платона»? Вы предоставили доступ, человек заходил в аккаунт. На сайте появился файл или мета-тег, значит человек действительно имеет право на смену информации (значит он доверенное лицо). Был запрос на изменение зеркала, никаких попыток на отмену в течении недели, а то и больше не было. Все легально, все по Вашему согласию.
Дополнительно хотел бы уделить внимание моменту с указанием главного зеркала на самом сайте. Есть файл robots.txt и в нем должна быть указана директива host: указывающая на главное зеркало. По этому правилу поисковики знают, что именно считать главным зеркалом и остальные копии сайта заносить в дополнения.
Так же есть тег canonical, который указывает, какая именно страница является каноничной.
Да если злоумышленник имел непосредственный доступ к файлам, он мог заменить эту директиву. Но тут снова вопрос о Вашей бдительности.
Никакой уязвимости нет, есть только невнимательность со стороны владельца сайта.verydima
01.02.2018 02:50-1Автор считает «уязвимостью» невозможность жёстко задать или изменить главное зеркало. При этом не понимает, что если подобный функционал будет, то количество мошенников, продающих сайты, а потом меняющих зеркала на новые домены будет просто зашкаливать.
Lici Автор
01.02.2018 03:45Я не понимаю откуда на этом сайте такое количество совершенно некомпетентных комментаторов. Тут что, без инвайта теперь пускают?
Уязвимостью является как раз таки НАОБОРОТ ВОЗМОЖНОСТЬ жестко и бесповоротно указать ДРУГОЕ главное зеркало и владелец сайта ничего с этим НЕ сможет сделать.
Именно сейчас навалом может быть мошенников, которые могут себе переклеить сайты, только их что-то нет так как никому не интересно ждать годами роста сайта — угоняют уже раскрученные в основном.Bel0g0r
01.02.2018 06:13-3Уязвимостью является как раз таки НАОБОРОТ ВОЗМОЖНОСТЬ жестко и бесповоротно указать ДРУГОЕ главное зеркало и владелец сайта ничего с этим НЕ сможет сделать.
Если нормально следить за проектами. Не пускать кого попало в управление. То и менять Вам никто ничего не будет.
А на счет «бесповоротно» я бы еще поспорил. Все вполне возвращается на свои места, если не тупить и действовать, а не бежать писать статьи «ОЙ как же так вышло, нужно об этом рассказать всем»
mayorovp
01.02.2018 11:27Тут что, без инвайта теперь пускают?
Вообще-то да, давно уже.
Lici Автор
02.02.2018 05:39Грустно и зря. Когда гугл+ был по инвайтам всем было интересно, как только стал открытым всем стало плевать.
php7
02.02.2018 11:01Просто хабр стал загнивать.
Не было пополнения рядов элиты.
А та что была, превратилась в небыдло.
Разрешение комментировать без приглашения не так давно.
Но тупорылых комментариев, да и статей со временем ставало все больше и больше.
Помню времене, 2010 год где-то, и статьи и комменты были адекватными, критика и другое мнение воспринималось.
Думал, ого, какие умные мысли у людей.
Сейчас же думаю, капец, сколько дураков сюда налезло.
Сейчас все принимается в штыки.
Мейнстрим захватил хабр.
Neadekvaten
01.02.2018 12:33+2Такого количества нелепых комментариев от недогонящих айтишников я давно не читал.
Суть статьи проста: не имея прямого доступа к сайту или домену, можно весь органический трафик с яндекса перенаправить на новое «зеркало», что принадлежит злоумышленнику. Безвозвратно.
Учитывая объемы денег, которые вливаются в SEO крупными площадками (а это десятки тысяч у.е. в месяц), уязвимость действительно очень серьезна. И сделать доппроверку именно на эту функцию вообще труда не должно составлять.firk
01.02.2018 14:28-2Нелепые комментарии тут не от них, а от тех кто seo-вложения приравнял к сайту. Пусть у вас угнали seo-бюджет сайта в размере миллиарда рублей, но НЕ угнали сам сайт, на разработку которого был потрачен миллион. Несмотря на финансовый аспект, это никак не повод подменять понятия. Сайт это то, что показывается по своему урлу.
Ingref
01.02.2018 15:40Вот вы представьте, если завтра по запросу «вконтакте» в Яндексе будет не vk.com, а фишинговый сайт. Даже если не фишинговый, а просто клон ВКонтакте. Сам сайт ВК при этом останется на месте, но он нихрена не стоит без той аудитории, которая на него заходит.
firk
01.02.2018 22:38И? Часть аудитории увели. Сайт — нет. Я понимаю, что для кого-то уведённая аудитория может быть трагедией, но, повторю, это не повод подменять понятия. Сайт — это что-то в браузере по заданному урлу, и не более того. Даже если его ни один посетитель за год не посетит, но сервер (физический), его обслуживающий — работает, программное обеспечение на нём в порядке, подключение к интернету в порядке, доменное имя работает и указывает на айпи-адрес сервера — сайт работает. Если при этом у вас есть вся полнота возможностей по манипуляции содержимым отдаваемого по http контента — сайт ваш и никто его не уводил. Даже если у него нулевая аудитория.
Повторюсь, я понимаю, что кто-то, возможно. все силы и средства вложил в аудиторию, а её увели и это вложившего очень расстроило. Но это называется не сайтом.
AHTOH
01.02.2018 17:24В августе 2016 года у меня так угнали сайт.
Вдруг появилось неизвестное мне главное зеркало на совершенно левом скопированном «в лоб» сайте и весь трафик ушел туда.
При этом никаких лишних доступов в вебмастере не было, доступа к сайту тоже не было ни у кого, директива Host была прописана в robots.txt и вообще все было сделано формально правильно.
После недельной переписки с Платоном, он передал данные разработчиком и еще через неделю главное зеркало вернулось на место, но примерно 40-50% трафика так и не вернулось.
Совершенно реальная история, произошедшая лично со мной. Подтверждаю.
Сайт весьма известный, но не скажу, какой :) Было проиндексировано более 300 тыс страниц, из которых около 200 тыс были в поиске (по информации Я.вебмастера).
Потом трафик медленно вернулся в течение примерно полугода. Но было очень неприятно.AHTOH
01.02.2018 17:30Кстати, дополнение (поднял переписку): тогда я изучил скопированный сайт и их хостинг. Так вот, они так скопировали более 7000 сайтов и получили их трафик. Возможно, был какой-то баг в изменении главного зеркала у Яндекса.
Lici Автор
01.02.2018 19:55От меня техподдержка только отмахивается. Подскажите, что предпринять для того, чтоб проблема была решена с их стороны?
Izulle
01.02.2018 19:54«спаршивленая» копия приклеиться не должна (конечно смотря какой сайт и какая копия, но все ж). Доступ к файлам — это уже немного больше, чем доступ к панели вебмастера.
Lici Автор
01.02.2018 19:54Достаточно доступа к вебмастеру.
Спаршенная копия по HTML коду не отличается от оригинала, а бэкенд поиск не волнует.
DjOnline
02.02.2018 00:35Без hosts в robots.txt или без 301 редиректа это не работает, это знает любой кто пробовал. А для этого одного доступа в вебмастер мало.
Lici Автор
02.02.2018 05:46В этом и новость — работает с доступом к одному только Вебмастеру. А hosts это файл в системе на компьютере, в robots.txt директива Host: без буквы S в конце, будете знать на будущее и меньше делать поспешных заявлений.
DjOnline
02.02.2018 13:22Да какая это новость, голое заявление.
>>Отправляем заявку на перенос через Яндекс Вебмастер
Тебе уже 10 человек в комментариях написали, что все кто пробовали, знают, что без hosts в robots.txt это не прокатит, в вебмастере спустя сутки вылезет ошибка о том что hosts не указан. Необходим доступ к файловой системе или ftp, чтобы поправить robots.txt или настроить редирект. Этот момент особенно проговаривался с менеджерами Яндекса в курилке на конференцииpaules
02.02.2018 14:48-2А автору пофиг на контраргументы. Я ему конкретно привожу доказанный опытом тезис: без директивы host в файле robots.txt по одному лишь контенту домены не склеятся.
Он вместо того, чтобы опровергнуть этот тезис конкретными доказательствами тупо срет в карму и минусует комменты.
Такой уровень дискуссии нынче на хабре.
Впечатление такое, что технари которые тусовались на хабре лет десять назад явно мигрировали отсюда. И тут все заполонили школьники и малограмотные ит-мажоры да контенщики разных мастей.firk
02.02.2018 15:37по одному лишь контенту домены не склеятся.
Как я понял, там речь не про склеивание "по контенту", а про склеивание с помощью каких-то настроек в яндекс-вебмастере (так это или нет, не знаю — не пробовал). Однако вести дискуссию он и правда не умеет, путает "увели сайт" с "увели поисковый трафик" и упирается.
mayorovp
02.02.2018 15:45Да тут никто не умеет дискуссию вести. Казалось бы, прочитав все комментарии можно было давно понять что имеет автор в виду… Так нет, каждый считает своим долгом донести до автора что он неправильно выразил мысль — и в итоге вместо спора по содержанию идет спор об определениях с веерными минусами с обоих сторон. А тем временем основная проблема — как же все-таки теперь расклеить эти сайты — уже забылась.
Lici Автор
03.02.2018 05:18Не путаю, а обращаю внимание на то, что очень многие сайты без своей поисковой истории не стоят ничего.
Есть сервисы, которые угнать нельзя таким образом (какой-то сложный функциональный инструмент, где вся суть в технических возможностях). А есть интернет-магазины, у которых огромный поисковый трафик, огромные продажи и оборот, но сам магазин технически ничего из себя не представляет — карточка товара да скрипт заказа.
И вот когда речь идет о таком сайте, то угон всей поисковой истории = угону сайта.
Как бы Вам объяснить вообще наглядно.
У Вас крадут личность.
Оказывается, что у другого человека теперь Ваш паспорт с его фотографией. Ваши дипломы. Ваши друзья принимают его за своего друга, Ваша жена рада его видеть и занимается с ним сексом. С Вашим дипломом и резюме он устраивается на работу, по вашим билетам летит в Тайланд и там развлекается с Вашими знакомыми. И постит от Вашего аккаунта в Инстаграме фоточки со своим лицом и ваши фоловеры его узнают и пишут мол загорел, раньше такой бледный был, отдых тебе на пользу, бро.
Это — кража вашей жизни.
А вы сейчас мне доказываете мол но тело то осталось, можно же пойти в миграционную службу, получить новый паспорт, назвавшись беженцем из рабства, дожившим до 32х лет в клетке в Африке и начать жизнь сначала. Ничего такого, да?
bak
>> как угнать любой сайт
>> достаточно иметь или админку или FTP или уговорить владельца делегировать права
Lici Автор
Принципиальный момент в том, что домен регистрируется на паспортные данные человека, не переносится без подтверждения и вообще жестко закреплен. Был. До этой уязвимости.
А если я дам случайному пользователю админку или FTP то пусть он хоть все удалит полностью — я бекап в панели хостера верну через 15 минут и пароль сменю. Проблемы никакой.
Не было. Пока не появилась эта уязвимость.
foxin
Заголовок, конечно, излишне громкий.
Тем не менее, бездействие техподдержки Яндекса, который (вроде как) ратует за свою репутацию — это трындец.
Lici Автор
Я думаю, что просто Платоны не знают что на это отвечать, а менеджмент не знает. Надеемся, что благодаря этому посту менеджмент узнает и уязвимость закроют.