W skutek ostatnio natężonych ataków na witryny internetowe, niestety i mnie nie ominęła niemiła niespodzianka. W związku z tym postanowiłem podzielić się swoimi osobistymi doświadczeniami. Ofiarą zainfekowania padła moja osobista strona projektlukas.pl. Ten artykuł jest przestrogą i kolejnym argumentem na rzecz regularnej aktualizacji własnych serwisów.

Komunikat sso.anbtr.com

Zacznijmy od początku. Pewnego wrześniowego dnia zauważyłem spory spadek ruchu na stronie w porównaniu z wcześniejszymi dniami. Początkowo pomyślałem, że domena padła ofiarą zmiany algorytmu lub testów w wyszukiwarce Google. Pierwszą rzeczą, którą zrobiłem, było zweryfikowanie pozycji w narzędziu do monitorowania pozycji.

Jako że najważniejsze słowa kluczowe nadal znajdowały się na wysokich pozycjach, postanowiłem poszukać informacji w Internecie. Po chwili natknąłem się na artykuł z zachodu dotyczący zmian w algorytmie wyszukiwarki Google. Zdałem sobie sprawę, że prawdopodobnie straciłem ruch ze słów kluczowych w tzw. „długim ogonie”. Choć spadek nie był zbyt duży, to zdecydowałem się zweryfikować tę hipotezę w późniejszym czasie.

Brak dogłębnej analizy trwałby pewnie dłużej, gdyby nie pewna wiadomość od jednego z czytelników, który zawiadomił mnie o infekcji mojej strony podczas ładowania w przeglądarce Chrome. Na ekranie pojawił się komunikat mówiący o tym, że „Strona, którą chcesz otworzyć, zawiera złośliwe oprogramowanie. Osoby atakujące stronę, sso.anbtr.com mogą spróbować zainstalować na Twoim komputerze niebezpieczne programy, których celem jest wykradzenie lub usunięcie Twoich danych (na przykład zdjęć, haseł, wiadomości czy numerów kart kredytowych)”.

sso.anbtr.com

Jako że na co dzień korzystam z przeglądarki Mozilla, nie zauważyłem niczego niepokojącego. Po tym zawiadomieniu wszedłem na stronę z przeglądarki Chrome i również wszystko było w porządku. Natychmiast zacząłem szukać informacji dotyczących tego sso.anbtr.com i natrafiłem na angielsko języczne dyskusje oraz artykuły, które szczerze powiedziawszy nie wzbudziły u mnie wiarygodności.

Były to jakieś pseudo artykuły nakłaniające do instalacji nieznanego mi oprogramowania (uważajcie na takie pseudo strony). W dyskusjach pojawiało się, że jest to „porywacz przeglądarki” dlatego uznałem, że wina leży po stronie osoby zgłaszającej problem. Po około dwóch tygodniach od zgłoszenia chciałem sprawdzi coś na własnej stronie z innego komputera.

Traf chciał, że akurat tego dnia korzystałem z przeglądarki Google Chrome, którą używam rzadziej niż innych. Zauważyłem ten sam komunikat, co czytelnik. Zdecydowałem się sprawdzić stronę na innych przeglądarkach – Mozilla Firefox, Vivaldi i Internet Explorer. Strona działała prawidłowo tylko na Firefoxie i IE, a problemy pojawiły się na Chrome i Vivaldi.

Jako że komputer nie należał do mnie, nawet nie przychodziło mi do głowy, aby instalować obce oprogramowanie. Poprosiłem wtedy znajomych aby weszli z przeglądarki Chrome na moją stronę i okazało się, że wszyscy mieli owy problem. Postanowiłem jeszcze sprawdzić stronę z mojego osobistego komputera i okazało się, że i u mnie występuje ów komunikat. Wtedy byłem już pewien, że moja strona została zainfekowana. Dla pewności postanowiłem tym razem zbadać dogłębnie historię oraz przebieg problemu. Do diagnozy wspomagałem się Google Analytics oraz Search Console.

Ogólny ruch oraz współczynnika odrzuceń:

W pierwszej kolejności sprawdziłem główne parametry ruchu na przestrzeni września/października. Wyróżniającymi się wskaźnikami był spadek ruchu oraz wzrost współczynnika odrzuceń, które przedstawia poniższy wykres GA.

Spadek ruchu sso.anbtr.com

Ruch oraz współczynnik odrzuceń użytkowników Google Chrome:

W kolejnym ruchu postanowiłem zbadać co było powodem wzrostu współczynnika odrzuceń. Poszukując odpowiedzi wyszczególniłem ruch pochodzący z przeglądarki należącej do Google. Statystyki pokazały, że tendencja wzrostu oraz spadku była podobna do głównych statystyk.

Chrome sso.anbtr.com

Ruch oraz współczynnik odrzuceń użytkowników Mozilla Firefox:

Dla porównania postanowiłem zbadać ruch pochodzący z Mozilli Firefox i innych przeglądarek. W tym przypadku wyraźnie możemy zauważyć, że statystyki niewiele różnią się od tych sprzed ogólnego spadku. Ten wykres jedynie bardziej upewnił mnie o tym, że problem jest tylko z Chrome.

Mozilla sso.anbtr.com

Liczba wyświetleń, kliknięć oraz śr. pozycja według Search Console:

Dla potwierdzenia mojej teorii, dokonałem jeszcze weryfikacji komunikatów,  ilości wyświetleń oraz pobocznych parametrów w Search Console (dawniej Google Webmaster Tools). Tutaj już zupełnie nie widać, aby strona straciła na wyświetleniach, czy średniej pozycji w wyszukiwarce Google. Komunikatu z informacją o infekcji również nie było.

Search Console SSO

Biorąc pod uwagę wszystkie zebrane statystyki, możemy dojść do wniosku, że ruch na stronie był stały i nigdy nie miał miejsca spadek. Powodem prowizorycznego spadku ruchu w statystykach był brak załadowania kodu Google Analytics. Strona przed załadowaniem kodu przekierowywała na czerwony ekran z komunikatem, co pozwoliło mi odkryć infekcję. Po dokonaniu diagnozy, szukałem punktu zaczepienia, gdzie może znajdować się nieproszony fragment kodu.

Po nieudanych poszukiwaniach zalogowałem się do panelu, który krzyczał czerwonymi komunikatami nieaktualnej wersji WordPressa oraz wtyczek. W pierwszej kolejności zaktualizowałem WP (co nie przyniosło skutku), a następnie dokonałem hurtowej aktualizacji wtyczek (zacząłem już wątpić w sukces tego rozwiązania), ale ku mojemu zaskoczeniu problemem była właśnie jedna z nieaktualnych wtyczek.

Podsumowanie

W skutek braku czasu na aktualizację wtyczek, niespełna przez miesiąc część ruchu trafiała w nicość. Artykuł powstał jako ostrzeżenie dla webmasterów oraz osób mających duże zaplecza na popularnych CMS’ach. Jeśli ktoś miał podobne lub inne doświadczenia z sso.anbtr.com, proszę podzielcie się nimi w komentarzach. Jeśli chcielibyście uzupełnić artykuł o dodatkowe informacje, na przykład na temat sposobów wykrywania tego problemu, zachęcam do pisania. Uzupełnię artykuł o wasze komentarze z waszym podpisem oraz odnośnikiem do waszej strony ;)