Введение
Паразитные зеркала и нелегитимные поддомены — это опасное и всё чаще встречающееся явление, когда содержимое вашего сайта дублируется или транслируется через другой домен, поддомен или даже сервер, без вашего ведома.
Чаще всего такие зеркала:
-
используются для обмана пользователей (фишинг, мошенничество),
-
перехватывают органический трафик из поисковиков,
-
воруют контент и SEO-авторитет,
-
вмешиваются в работу аналитики и скриптов,
-
служат частью схем "чёрного" линкбилдинга.
Если их вовремя не обнаружить и не устранить — это может привести к санкциям поисковых систем, утечке данных пользователей, нарушению репутации и даже юридическим последствиям.
1. Кейс: сайт отображается на чужом домене
Ситуация:
Клиент заметил в логах Google Search Console неожиданные домены: site-copy123.com, xyz.proxycdn.net, cdn.scrapemirror.net. При переходе по ним отображался абсолютно идентичный сайт, включая дизайн, контент, URL и даже JS-скрипты.
Причины:
-
У злоумышленника настроен proxy или nginx с подменой
HostиOrigin. -
Веб-сервер клиента не проверяет
Hostи обслуживает любой запрос. -
Каноникализация (
<link rel="canonical">) либо отсутствует, либо указывает на текущий домен (то есть зеркало считает себя оригиналом). -
На уровне DNS нет защиты (например, DMARC, CAA, CT).
Последствия:
-
Снижение позиций в Google (каннибализация трафика).
-
Утечка cookie, если зеркало использует TLS.
-
Искажение аналитики (GA, Яндекс.Метрика).
-
Опасность фишинга (зеркало может внедрить вредоносный код).
2. Как такое происходит: техника атаки
Вариант 1. Открытый бэкенд (Open Proxy)
Ваш сайт обрабатывает запросы без проверки Host, и злоумышленник создаёт nginx-прокси:
server {
listen 80;
server_name example-evil.com;
location / {
proxy_pass https://yoursite.com;
proxy_set_header Host yoursite.com;
}
}
Результат — сайт отображается под чужим доменом.
Вариант 2. iframe-зеркало
Злоумышленник встраивает ваш сайт как iframe и накладывает обёртку с собственными стилями, формами и JS.
Вариант 3. DNS spoof + Cloudflare tunnel
С помощью поддельного DNS и tunelling-сервисов (например, ngrok, localtunnel) можно ретранслировать сайт через другой домен без физического доступа.
3. Методы защиты от паразитных зеркал
1. Жёсткая проверка Host-заголовка
Для Nginx:
server {
listen 80 default_server;
server_name _;
return 444;
}
server {
listen 443 ssl;
server_name yoursite.com www.yoursite.com;
# Остальная конфигурация
}
Для Apache:
<VirtualHost *:80>
ServerName yoursite.com
UseCanonicalName On
</VirtualHost>
Что это даёт: любой запрос с чужим Host-заголовком будет отброшен сервером.
2. Установка канонического URL
В <head> каждой страницы:
<link rel="canonical" href="https://yoursite.com/текущий-путь" />
Зачем: поисковик будет знать, какой домен считать оригиналом. Даже если зеркало скопирует HTML — каноникал укажет на ваш домен.
3. Защита от iframe (clickjacking и подмены)
X-Frame-Options: DENY
Content-Security-Policy: frame-ancestors 'none'
Результат: ваш сайт не сможет быть встроен в iframe даже на внешнем домене.
Почитайте о заголовках безопасности:
4. DMARC, DKIM, SPF — базовая e-mail-авторизация
Почему это важно: если зеркало имитирует ваш сайт, оно может рассылать фишинг-спам от имени вашего домена.
Настройка записей:
-
SPF— список серверов, разрешённых отправлять от имени домена. -
DKIM— криптографическая подпись писем. -
DMARC— политика обработки фейковых писем.