W skutek ostatnio natężonych ataków na witryny internetowe i mnie nie ominęła niemiła niespodzianka. W związku z tym postanowiłem podzielić się swoimi osobistymi doświadczeniami. Ofiarą zainfekowania padła moja osobista strona projektlukas.pl. Artykuł zamieszczam jako przestrogę oraz kolejny argument aktualizowania własnych serwisów.

Komunikat sso.anbtr.com

Zaczynając od początku, pewnego wrześniowego dnia zauważyłem w statystykach ruchu spory spadek w stosunku do wcześniejszych dni. Początkowo pomyślałem, że domena padła ofiarą zmiany algorytmu lub testów w wyszukiwarce Google. Pierwszą rzeczą jaką uczyniłem było zweryfikowanie pozycji w monitoringu pozycji.

Jako, że najważniejsze słowa kluczowe nadal znajdowały się na wysokich miejscach, postanowiłem poszukać czegoś w internecie. Po chwili na jednej z grup FB przewinął się zachodni artykuł dotyczący zmian w Google. Uznałem, że widocznie straciłem ruch z tzw. „długiego ogona”. Jako, że nie był to ogromny spadek, weryfikację tej hipotezy odłożyłem w czasie.

Brak dogłębnej analizy trwałby pewnie dłużej, gdyby nie pewna wiadomość jednego z czytelników, który zawiadomił mnie o infekcji mojej strony podczas ładowania w przeglądarce Chrome: „Strona, którą chcesz otworzyć, zawiera złośliwe oprogramowanie. Osoby atakujące stronę, sso.anbtr.com mogą spróbować zainstalować na Twoim komputerze niebezpieczne programy, których celem jest wykradzenie lub usunięcie Twoich danych (na przykład zdjęc, haseł, wiadomości czy numerów kart kredytowych)”

sso.anbtr.com

Jako, że na co dzień korzystam z Mozilli nie ujrzałem niczego niepokojącego. Po tym zawiadomieniu wszedłem na stronę z przeglądarki Chrome i również wszystko było w porządku. Natychmiast zacząłem szukać informacji dotyczących tego sso.anbtr.com i natrafiłem na angielsko języczne dyskusje oraz artykuły, które szczerze powiedziawszy nie wzbudziły u mnie wiarygodności.

Były to jakieś pseudo artykuły nakłaniające do instalacji nieznanego mi oprogramowania (uważajcie na takie pseudo strony). W dyskusjach pojawiało się, że jest to „porywacz przeglądarki” dlatego uznałem, że wina leży po stronie osoby zgłaszającej problem. Po około dwóch tygodniach od zgłoszenia chciałem sprawdzi coś na własnej stronie z innego komputera.

Traf chciał, że tak jak rzadko korzystam z Chrome, tak wtedy uruchomiłem przeglądarkę internetową Google. Moim oczom ukazał się ten sam komunikat, co czytelnikowi. Na początku wchodziłem na stronę z 4 różnych przeglądarek (Chrome, Mozilla, Vivaldi, Explorer). Na Firefoxie oraz IE strona działała prawidłowo, jedynie problemem był Chrome oraz Vivaldi.

Jako, że komputer nie należał do mnie nawet nie przychodziło mi do głowy instalowanie obcego oprogramowania. Poprosiłem wtedy znajomych aby weszli z przeglądarki Chrome na moją stronę i okazało się, że wszyscy mieli owy problem. Postanowiłem jeszcze sprawdzić stronę z mojego osobistego komputera i okazało się, że i u mnie występuje ów komunikat. Wtedy byłem już pewien, że moja strona została zainfekowana. Dla pewności postanowiłem tym razem zbadać dogłębnie historię oraz przebieg problemu. Do diagnozy wspomagałem się Google Analytics oraz Search Console.

Ogólny ruch oraz współczynnika odrzuceń:

W pierwszej kolejności sprawdziłem główne parametry ruchu na przestrzeni września/października. Wyróżniającymi się wskaźnikami był spadek ruchu oraz wzrost współczynnika odrzuceń, które przedstawia poniższy wykres GA.

Spadek ruchu sso.anbtr.com

Ruch oraz współczynnik odrzuceń użytkowników Google Chrome:

W kolejnym ruchu postanowiłem zbadać co było powodem wzrostu współczynnika odrzuceń. Poszukując odpowiedzi wyszczególniłem ruch pochodzący z przeglądarki należącej do Google. Statystyki pokazały, że tendencja wzrostu oraz spadku była podobna do głównych statystyk.

Chrome sso.anbtr.com

Ruch oraz współczynnik odrzuceń użytkowników Mozilla Firefox:

Dla porównania postanowiłem zbadać ruch pochodzący z Mozilli Firefox i innych przeglądarek. W tym przypadku wyraźnie możemy zauważyć, że statystyki niewiele różnią się od tych sprzed ogólnego spadku. Ten wykres jedynie bardziej upewnił mnie o tym, że problem jest tylko z Chrome.

Mozilla sso.anbtr.com

Liczba wyświetleń, kliknięć oraz śr. pozycja według Search Console:

Dla potwierdzenia mojej teorii, dokonałem jeszcze weryfikacji komunikatów,  ilości wyświetleń oraz pobocznych parametrów w Search Console (dawniej Google Webmaster Tools). Tutaj już zupełnie nie widać, aby strona straciła na wyświetleniach, czy średniej pozycji w wyszukiwarce Google. Komunikatu z informacją o infekcji również nie było.

Search Console SSO

 

Biorąc wszystkie zebrane statystyki. Możemy dojść do wniosku, że ruch cały czas był taki sam i nigdy nie spadł. Powodem prowizorycznego spadku ruchu w statystykach był brak załadowania kodu Google Analytics. Strona przed załadowaniem kodu przekierowywała na czerwony ekran z komunikatem i gdyby nie to, nigdy bym nie odkrył infekcji. Po dokonaniu diagnozy szukałem punktu zaczepienia gdzie może znajdować się nieproszony fragment kodu.

Po nieudanych poszukiwaniach zalogowałem się do panelu, który krzyczał czerwonymi komunikatami nieaktualnej wersji WordPressa oraz wtyczek. W pierwszej kolejności zaktualizowałem WP (co nie przyniosło skutku), a następnie dokonałem hurtowej aktualizacji wtyczek (zwątpiłem już w sukces tego rozwiązania), ale ku mojemu zaskoczeniu problemem była właśnie jedna z nieaktualnych wtyczek.

Podsumowanie

W skutek braku czasu/chęci na aktualizację wtyczek, niespełna przez miesiąc część ruchu trafiała w nicość. Artykuł powstał jako ostrzeżenie dla webmasterów oraz osób mających duże zaplecza na popularnych CMS’ach. Jeśli ktoś miałby więcej lub inne przygody z sso.anbtr.com dzielcie się swoimi doświadczeniami w komentarzach. Jeśli chcielibyście uzupełnić artykuł o więcej informacji, czym to jest, jak technicznie go wykryć, nie krępujcie się i piszcie, a uzupełnię artykuł o waszą wypowiedź uzupełnioną podpisem i odnośnikiem do waszej strony ;)

Komunikat sso.anbtr.com w Chrome! Ostrzeżenie dla właścicieli stron!
5 (100%) 1 vote
The following two tabs change content below.

Łukasz Kaźmierczak

Internety robię w domu mediowym Pimedia
E-ntuzjasta digital marketingu oraz wszelakich metod pozwalających generować wartościowy traffic na projekty internetowe. Związany z branżą "internetów" od 2012 roku. Na co dzień prowadzący kampanie SEM m.in. dla klientów instytucjonalnych, branży motoryzacyjnej, IT oraz farmaceutyczno-medycznej.