W wyniku ostatnich intensywnych ataków na witryny internetowe, niestety i ja doświadczyłem nieprzyjemnej niespodzianki. Postanowiłem podzielić się swoimi osobistymi doświadczeniami w tej sprawie. Moja osobista strona projektlukas.pl padła ofiarą zainfekowania. Ten artykuł stanowi przestrogę i kolejny argument za regularnym aktualizowaniem naszych witryn.
Komunikat sso.anbtr.com
Zacznijmy od początku. Pewnego wrześniowego dnia zauważyłem spory spadek ruchu na stronie w porównaniu z wcześniejszymi dniami. Początkowo pomyślałem, że domena padła ofiarą zmiany algorytmu lub testów przeprowadzanych w wyszukiwarce Google. Pierwszym krokiem, który podjąłem, było zweryfikowanie pozycji w dedykowanym narzędziu do monitorowania tego wskaźnika.
Jako że najważniejsze słowa kluczowe nadal znajdowały się na wysokich pozycjach, postanowiłem poszukać informacji w Internecie. Po chwili natknąłem się na artykuł z zachodu dotyczący zmian w algorytmie wyszukiwarki Google. Zrozumiałem, że prawdopodobnie straciłem ruch ze słów kluczowych w tzw. „długim ogonie”. Mimo że spadek nie był znaczący, postanowiłem zweryfikować tę hipotezę w późniejszym czasie.
Brak dogłębnej analizy trwałby pewnie dłużej, gdyby nie pewna wiadomość od jednego z czytelników, który zawiadomił mnie o infekcji mojej strony podczas ładowania w przeglądarce Chrome. Na ekranie pojawił się komunikat mówiący o tym, że „Strona, którą chcesz otworzyć, zawiera złośliwe oprogramowanie. Osoby atakujące stronę, sso.anbtr.com mogą spróbować zainstalować na Twoim komputerze niebezpieczne programy, których celem jest wykradzenie lub usunięcie Twoich danych (na przykład zdjęć, haseł, wiadomości czy numerów kart kredytowych)”.
Jako że na co dzień korzystam z przeglądarki Mozilla, nie zauważyłem niczego niepokojącego. Po tym zawiadomieniu wszedłem na stronę z przeglądarki Chrome i również wszystko było w porządku. Natychmiast zacząłem szukać informacji dotyczących tego sso.anbtr.com i natrafiłem na angielsko języczne dyskusje oraz artykuły, które szczerze powiedziawszy nie uzyskały w moich oczach wiarygodności.
Były to jakieś pseudo artykuły nakłaniające do instalacji nieznanego mi oprogramowania (uważajcie na takie pseudo strony). W dyskusjach pojawiało się, że jest to „porywacz przeglądarki” dlatego uznałem, że wina leży po stronie osoby zgłaszającej problem. Po około dwóch tygodniach od zgłoszenia chciałem sprawdzi coś na własnej stronie z innego komputera.
Traf zechciał, że akurat tego dnia korzystałem z przeglądarki Google Chrome, którą używam rzadziej niż inne. Zauważyłem ten sam komunikat, co czytelnik. Postanowiłem przetestować stronę na innych przeglądarkach, takich jak Mozilla Firefox, Vivaldi i Internet Explorer. Okazało się, że strona działała poprawnie tylko na Firefoxie i IE, natomiast pojawiły się problemy na Chrome i Vivaldi.
Jako że komputer nie należał do mnie, nawet nie przyszło mi do głowy instalowanie obcego oprogramowania. Poprosiłem wtedy znajomych, aby sprawdzili moją stronę za pomocą przeglądarki Chrome, i okazało się, że wszyscy mieli ten sam problem. Postanowiłem także sprawdzić stronę na moim osobistym komputerze i zaskoczyło mnie występowanie tego komunikatu. Wtedy byłem już pewien, że moja strona została zainfekowana. Dla pewności postanowiłem dokładnie zbadać historię i przebieg problemu. Do diagnostyki skorzystałem z narzędzi takich jak Google Analytics i Search Console.
Ogólny ruch oraz współczynnik odrzuceń
W pierwszej kolejności sprawdziłem główne parametry ruchu na przestrzeni września/października. Wyróżniającymi się wskaźnikami był spadek ruchu oraz wzrost współczynnika odrzuceń, które przedstawia poniższy wykres GA.
Ruch oraz współczynnik odrzuceń Google Chrome
W kolejnym ruchu postanowiłem zbadać co było powodem wzrostu współczynnika odrzuceń. Poszukując odpowiedzi wyszczególniłem ruch pochodzący z przeglądarki należącej do Google. Statystyki pokazały, że tendencja wzrostu oraz spadku była podobna do głównych statystyk.
Ruch oraz współczynnik odrzuceń Mozilla Firefox
Dla porównania postanowiłem zbadać ruch pochodzący z Mozilli Firefox i innych przeglądarek. W tym przypadku wyraźnie możemy zauważyć, że statystyki niewiele różnią się od tych sprzed ogólnego spadku. Ten wykres jedynie bardziej upewnił mnie o tym, że problem jest tylko z Chrome.
Statystyki według Search Console
Dla potwierdzenia mojej teorii dokonałem dodatkowej weryfikacji komunikatów, liczby wyświetleń oraz innych parametrów w Search Console (dawniej Google Webmaster Tools). Nie było tam żadnych oznak, że strona straciła na wyświetleniach czy pozycji w wyszukiwarce Google. Brakowało również komunikatu informującego o infekcji.
Biorąc pod uwagę zebrane statystyki, można dojść do wniosku, że ruch na stronie był stały i nie zanotowano żadnego spadku. Okazało się, że prowizoryczny spadek ruchu wynikał z braku załadowania kodu Google Analytics. Przed załadowaniem kodu strona przekierowywała na czerwony ekran z komunikatem, co pozwoliło mi odkryć infekcję. Po przeprowadzeniu diagnozy, szukałem miejsca, gdzie mógł znajdować się niepożądany fragment kodu.
Po nieudanych poszukiwaniach zalogowałem się do panelu administracyjnego, który wyświetlał alarmujące komunikaty dotyczące nieaktualnej wersji WordPressa i wtyczek. W pierwszej kolejności zdecydowałem się zaktualizować WordPress (choć bezskutecznie), a następnie przeprowadziłem aktualizację wtyczek (początkowo tracąc wiarę w powodzenie tego rozwiązania). Jednakże ku mojemu zdziwieniu, okazało się, że problemem była właśnie jedna z nieaktualnych wtyczek.
Podsumowanie
W skutek braku czasu na aktualizację wtyczek, niespełna przez miesiąc część ruchu trafiała w nicość. Artykuł powstał jako ostrzeżenie dla webmasterów oraz osób mających duże zaplecza na popularnych CMS’ach. Jeśli ktoś miał podobne lub inne doświadczenia z sso.anbtr.com, proszę podzielcie się nimi w komentarzach. Jeśli chcielibyście uzupełnić artykuł o dodatkowe informacje, na przykład na temat sposobów wykrywania tego problemu, zachęcam do pisania. Uzupełnię artykuł o wasze komentarze z waszym podpisem oraz odnośnikiem do waszej strony ;)
