Брошенный DNS триггерит деиндексацию — хакеры угоняют...

Брошенный DNS триггерит деиндексацию — хакеры угоняют сабдомен YMYL-сайта

Компания из YMYL-ниши пришла к Гленну Гейбу с катастрофой: их сайт полностью вылетел из индекса Гугла.

Глобальная деиндексация.

При этом в GSC не висело никаких ручных санкций.

Сайт состоит из 20 000 урлов, стабильно рос после мартовского кор-апдейта 2026 года, и владелец не понимал, что произошло.

Первая гипотеза Гейба: ИИ-контент.

Клиент интегрировал сгенерированные блоки текста по всему сайту — это не 100% автогенерация, но куски были объемными.

Сигнал указывал на ручник за "Scaled content abuse".

Однако форензика раскрыла совершенно другой вектор.

Глубокий анализ доменного ресурса в GSC (который агрегирует все протоколы и сабдомены) выявил дикий всплеск за один день: 12 000 кликов на одну конкретную страницу, все запросы строго под гемблинг.

Этой страницей оказалась www-версия главной — неканонический сабдомен, за которым клиент вообще не следил.

Сторонние тулзы подтвердили: взломанная страница отдавала новый фавикон, тайтл и редиректила весь трафик на казино.

Корень проблемы: DNS-запись www ссылалась на старое веб-приложение Azure для редиректов.

Когда клиент отключил этот апп, Azure освободил сабдомен.

Атакующий перехватил его и направил DNS на свою гемблинг-сетку.

Поскольку весь мониторинг, редиректы и настройка GSC висели исключительно на версии без www, никто ничего не заметил.

Таймлайн: полная деиндексация произошла сразу, но ручник в GSC появился только на следующий день.

Гейб предупредил клиента, что такой лаг — это база: Гугл может снести сайт из выдачи до официального уведомления.

Клиент перекрыл DNS-запись www в течение часа.

Еще через 24 часа прилетел ручник: "Major spam problems", накрывший весь домен.

Они моментально отправили запрос на пересмотр.

На следующее утро проверка через site: показала, что страницы возвращаются в серп — это произошло еще до того, как Гугл прислал сообщение об апруве.

Запрос на пересмотр одобрили за 24 часа, ручник сняли, и сайт вернулся на позиции до взлома.

Точные операционные шаги для защиты:

— Разверни ВСЕ версии ресурса в GSC: доменный ресурс, https www, https без www, http-версии и ключевые директории. Мониторинг только канонической версии оставляет слепые зоны.

— Отслеживай DNS и производительность как www, так и non-www версий, даже если сайт жестко привязан к одной. Брошенный сабдомен — это открытая дверь для угона.

— Ожидай лаг в 24+ часа между вылетом сайта и появлением ручника. Санкции не всегда бьют синхронно с уведомлениями.

— При расследовании деиндексации режь отчеты GSC по ресурсам и страницам. Ищи аномальные всплески трафика, а не только падения. Взрыв кликов на одной странице раскрывает факт взлома еще до того, как обвал покажет масштаб ущерба.

Клиент полностью восстановился за 36 часов с момента обнаружения дыры.

Теперь сайт мониторится по всем доступным версиям.

https://www.gsqi.com/marketing-blog/deindexed-and-delayed-manual-action-case-study/

@MikeBlazerX

🚷 Закрытый канал: @MikeBlazerPRO

Источник новости https://t.me/mikeblazerx/6358...