Как обнаружить и устранить паразитные зеркала и чужие поддомены

  • fastrank.ru
  • 17.06.2025
  • FAQ
Как обнаружить и устранить паразитные зеркала и чужие поддомены

Введение

Паразитные зеркала и нелегитимные поддомены — это опасное и всё чаще встречающееся явление, когда содержимое вашего сайта дублируется или транслируется через другой домен, поддомен или даже сервер, без вашего ведома.

Чаще всего такие зеркала:

  • используются для обмана пользователей (фишинг, мошенничество),

  • перехватывают органический трафик из поисковиков,

  • воруют контент и SEO-авторитет,

  • вмешиваются в работу аналитики и скриптов,

  • служат частью схем "чёрного" линкбилдинга.

Если их вовремя не обнаружить и не устранить — это может привести к санкциям поисковых систем, утечке данных пользователей, нарушению репутации и даже юридическим последствиям.

1. Кейс: сайт отображается на чужом домене

Ситуация:

Клиент заметил в логах Google Search Console неожиданные домены: site-copy123.com, xyz.proxycdn.net, cdn.scrapemirror.net. При переходе по ним отображался абсолютно идентичный сайт, включая дизайн, контент, URL и даже JS-скрипты.

Причины:

  • У злоумышленника настроен proxy или nginx с подменой Host и Origin.

  • Веб-сервер клиента не проверяет Host и обслуживает любой запрос.

  • Каноникализация (<link rel="canonical">) либо отсутствует, либо указывает на текущий домен (то есть зеркало считает себя оригиналом).

  • На уровне DNS нет защиты (например, DMARC, CAA, CT).

Последствия:

  • Снижение позиций в Google (каннибализация трафика).

  • Утечка cookie, если зеркало использует TLS.

  • Искажение аналитики (GA, Яндекс.Метрика).

  • Опасность фишинга (зеркало может внедрить вредоносный код).

2. Как такое происходит: техника атаки

Вариант 1. Открытый бэкенд (Open Proxy)

Ваш сайт обрабатывает запросы без проверки Host, и злоумышленник создаёт nginx-прокси:

server {
    listen 80;
    server_name example-evil.com;
    location / {
        proxy_pass https://yoursite.com;
        proxy_set_header Host yoursite.com;
    }
}

Результат — сайт отображается под чужим доменом.

Вариант 2. iframe-зеркало

Злоумышленник встраивает ваш сайт как iframe и накладывает обёртку с собственными стилями, формами и JS.

Вариант 3. DNS spoof + Cloudflare tunnel

С помощью поддельного DNS и tunelling-сервисов (например, ngrok, localtunnel) можно ретранслировать сайт через другой домен без физического доступа.

3. Методы защиты от паразитных зеркал

1. Жёсткая проверка Host-заголовка

Для Nginx:

server {
    listen 80 default_server;
    server_name _;
    return 444;
}

server {
    listen 443 ssl;
    server_name yoursite.com www.yoursite.com;
    # Остальная конфигурация
}

Для Apache:

<VirtualHost *:80>
    ServerName yoursite.com
    UseCanonicalName On
</VirtualHost>

Что это даёт: любой запрос с чужим Host-заголовком будет отброшен сервером.

2. Установка канонического URL

В <head> каждой страницы:

<link rel="canonical" href="https://yoursite.com/текущий-путь" />

Зачем: поисковик будет знать, какой домен считать оригиналом. Даже если зеркало скопирует HTML — каноникал укажет на ваш домен.

3. Защита от iframe (clickjacking и подмены)

X-Frame-Options: DENY
Content-Security-Policy: frame-ancestors 'none'

Результат: ваш сайт не сможет быть встроен в iframe даже на внешнем домене.

Почитайте о заголовках безопасности:

4. DMARC, DKIM, SPF — базовая e-mail-авторизация

Почему это важно: если зеркало имитирует ваш сайт, оно может рассылать фишинг-спам от имени вашего домена.
Настройка записей:

  • SPF — список серверов, разрешённых отправлять от имени домена.

  • DKIM — криптографическая подпись писем.

  • DMARC — политика обработки фейковых писем.

5. DNS CAA-запись

yourdomain.com. CAA 0 issue "letsencrypt.org"
Что это даёт: никто не сможет выпустить TLS-сертификат на ваш домен через другой CA, кроме разрешённых. Даже если он настроит зеркало — сертификат будет недействителен.

6. Certificate Transparency (CT)

Периодически проверяйте сертификаты, выпущенные на ваш домен:

Если вы увидели неожиданную выдачу TLS-сертификата — это повод для немедленного аудита.

4. Как обнаружить паразитные зеркала

1. Google Search Console → панель индексируемых доменов

  • Обратите внимание на внешние ссылки (раздел "Ссылающиеся сайты").

  • Нестандартные хосты с тем же контентом — тревожный сигнал.

2. Поиск по фрагментам текста

"уникальный заголовок вашей статьи" -site:yoursite.com

3. Использование службы анализа контента

  • Copyscape

  • Siteliner

  • Ahrefs / SEMrush → вкладка "Referring domains"

4. Механизмы мониторинга:

WAF-решения с логированием заголовков Host.

5. Что делать, если зеркало уже существует

1. Попробовать связаться с хостером / abuse-сервером

  • Используйте любой сервис WHOIS для выявыления адреса для жалоб

  • Отправьте жалобу с описанием зеркала, нарушением авторских прав и SEO-последствиями.

2. Пожаловаться в Google

3. Обновить canonical, серверную политику и TLS

  • Убедитесь, что ваш сервер не отдаёт контент для чужих Host-заголовков.

  • Отключите доступ через IP.

  • Обновите TTL, мета-заголовки и очистите кэш CDN.

Заключение

Паразитные зеркала — это не просто копия сайта. Это потенциальная угроза:

  • безопасности пользователей,

  • юридической чистоте бренда,

  • SEO-авторитету домена.

Основные принципы борьбы:

  1. Жёстко фильтровать Host.

  2. Использовать canonical.

  3. Мониторить выданные TLS-сертификаты.

  4. Настроить SPF/DKIM/DMARC.

  5. Исключить возможность отображения в iframe.

А главное — периодически проверять, как ваш сайт отображается извне. Это занимает пару минут, но может предотвратить серьёзные последствия.