Logo kromin web agency

Come usarono Adsense per dirottare il nostro Traffico

Di Vincenzo Ruffa giovedì, 28 luglio 2016

Il racconto di una mattinata iniziata con un “Ragazzi, ci hanno bucato” e finita con “Apriamo un Ticket su Google Adsense?”. Il giorno in cui scoprimmo che anche Google può essere fregata!

L'articolo si trova nella categoria Development e tratta di: ,

Traffico dirottato e visite in calo. Il report di una mattinata!

In Kromin curiamo decine di Siti Web, alcuni, raggiungono anche i 4 milioni di pagine viste ogni mese ed il carico per i nostri Server è notevole. Per gestire al meglio questa mole di dati, utilizziamo dei sistemi di monitoring avanzati ed ovviamente anche le statistiche in real time di Google Analytics.

Non appena si verifica un calo delle visite sospetto, riceviamo degli alert che prontamente vengono indirizzati a chi ha l’incarico di controllare.

Come ogni realtà nel mondo del Web, anche noi di Kromin siamo soggetti ad attacchi hacker. Molte volte proprio per questa casistica, subiamo dei cali di visite sospette e, almeno una volta al mese, siamo chiamati ad intervenire in causa: vuoi per un cliente poco attento alla sua piattaforma, vuoi per una nuova vulnerabilità 0-day.

Come tutti i giorni, oggi sembrava una giornata tranquilla fino a quando non abbiamo ricevuto segnalazioni di redirect impropri sul sito web di una nostra grande Community.

Abbiamo già subito, in passato, attacchi del genere, e come l’esperienza insegna, siamo corsi subito ai ripari per minimizzare l’utenza derivante dai nostri piani marketing e poter affrontare il problema con un traffico di utenza lieve.

Che cosa abbiamo fatto durante la prima fase dell’attacco?

  • Disabilitato campagne attive, per contenere le perdite;
  • Riprogrammato il piano di pubblicazione Social, spostando i post con link sl sito web di almeno 3 ore;
  • Maintenance mode ON con un warning per i possibili redirect che non potevamo gestire fino alla risoluzione del problema;
  • Ripristino dei backup ad una versione stabile.

Con i backup pronti, siamo passati al secondo step che vogliamo indicarvi sotto forma di una check list di azioni da intraprendere subito se doveste trovarvi in questa casistica:

  • Replicare, con dei test, i casi in cui avviene il redirect;
  • Appena trovata la casistica, appuntarsi ogni dettaglioN.B. in questo caso succedeva solo su Mobile e sotto copertura 3G;
  • Controllare l’.htaccess (normalmente è il primo file che si usa per redirect malevoli);
  • Controllare l’HTML elaborato nelle pagine in cui è presente il problema;
  • Aggiornare la struttura (Temi, Plugin, Librerie ecc);
  • Controllare Siti Web di Exploit Database e confrontare le ultime vulnerabilità note con le versioni attualmente in uso dei plugin/piattaforme;
  • Controllare i file modificati almeno 12 ore prima del problema alla ricerca di codice malevolo.

Perché abbiamo agito così?

Dopo una prima analisi abbiamo pensato che l’hack fosse ben organizzato e dovevamo porre particolare attenzione. Inizialmente non riuscivamo a risalire alla fonte del redirect visto che apparentemente era tutto OK: niente file modificati, niente codice fuori luogo, nulla!

La chiave di volta è arrivata grazie all’altalenanza di questa vulnerabilità. Questa casistica non si verificava sempre: bensì era variabile. A questo punto la Console di Google Chrome è diventa indispensabile ed è proprio lì che abbiamo compreso la natura dell’hack.

Partendo dall’analisi del seguente errore:

Schermata 2016-07-28 alle 13.07.00

Abbiamo ipotizzato che il problema derivasse da qualche annuncio Google DoubleClick, abbiamo, quindi, eliminato ogni annuncio dalla piattaforma e… Google… Ti sei fatta fregare!

La richiesta a Google DoubleClick (piattaforma che gestisce tutti gli strumenti pubblicitari di Google) restituiva una GIF nella quale, era stato immesso del codice malevolo. Naturalmente questa GIF non è stata facile da trovare visto che i banner di AdSense ruotano!

Da Desktop questa funzionalità veniva bloccata, dato che i nostri Browser bloccavano l’esecuzione dello script dentro la GIF, invece molti utenti da mobile (compresi i nostri dispositivi dotati di Safari) continuavano ad avere il problema.

Come abbiamo risolto il problema?

Purtroppo la rimozione di Google AdSense è l’unico vero rimedio per risolvere definitivamente il problema.

La segnalazione a Google è partita. A quanto la risposta? Lo scopriremo.

Procedura di ripristino durata 54 minuti con 3 persone. Grazie Google 😉