Перехват субдоменов: SEO-риски и как их избежать

Перехват субдоменов: SEO-риски и как их избежать

Перехват субдомена происходит, когда висячая DNS-запись указывает на выведенный из эксплуатации внешний сервис (например, GitHub Pages, Heroku, Azure). Злоумышленник может заявить права на эту бесхозную запись в сервисе, чтобы получить контроль над контентом субдомена.

Эта уязвимость, часто встречающаяся в старых проектах, может привести к ручным санкциям от Google и навредить позициям сайта.

Влияние на SEO

Google рассматривает субдомены как отдельные сущности, но связывает их с основным доменом через внутренние ссылки.

Ссылка с основного сайта на перехваченный субдомен равносильна одобрению его вредоносного или спамного контента.

Это может спровоцировать ручные санкции за "взломанный контент".

Поэтому аудит внутренних ссылок на все субдомены является критически важной задачей в рамках технического SEO.

Протокол проверки субдоменов на наличие уязвимостей

1. Поиск субдоменов

Используйте такие инструменты, как ViewDNS или DNSDumpster, для обратного DNS-поиска, чтобы составить список всех субдоменов.

Большое количество субдоменов часто указывает на наличие забытых устаревших ресурсов, которые требуют проверки.

2. Определение хостинг-сервиса

Определите хостинг-платформу каждого субдомена с помощью WhatCMS или инструмента Google DIG.

Не переходите по потенциально скомпрометированным URL-адресам напрямую.

3. Проверка на уязвимые платформы

Сверьте хостинг-сервис со списком платформ, которые могут быть уязвимы для перехвата при неправильной настройке.

К уязвимым платформам относятся:

— AWS (Elastic Beanstalk, S3)

— Agile CRM

— Ghost

— GitHub Pages

— Heroku

— JetBrains

— Microsoft Azure

— Shopify

— Wordpress.com

4. Устранение уязвимостей

Если неиспользуемый субдомен указывает на уязвимый сервис, его висячую DNS-запись необходимо удалить.

SEO-специалистам следует сообщать о таких находках IT-отделу или команде, отвечающей за хостинг, подчеркивая риски для безопасности и ранжирования, чтобы обеспечить устранение уязвимостей.

Кейс: EY / Ernst & Young (17.07.2025)

Субдомен на EY.com, размещенный на Microsoft Azure, был перехвачен для распространения вредоносного контента.

Как отметил Майкл Кертис, инцидент произошел потому, что сервис Azure был удален, а соответствующая ему DNS CNAME-запись — нет.

Злоумышленник зарегистрировал новый экземпляр в Azure, используя то же имя, что и у удаленного.

Поскольку DNS-записи EY по-прежнему направляли трафик на это имя хоста в Azure, злоумышленник немедленно получил контроль над субдоменом.

Этот случай показывает, что вектор атаки — это не взлом системы, а эксплуатация неправильно настроенных параметров DNS.

https://bethwoodcock.neocities.org/posts/subdomain-hijacking-for-dummies

@MikeBlazerX

Источник новости https://t.me/mikeblazerx/5499...