Меня атаковали конкуренты: как обнаружить негативное SEO в 2026 году и выжить / Хабр

Январь 2026 года. Рабочее утро. Открываю Ahrefs, делаю плановую проверку профиля обратных ссылок проекта steambalance.ru. Смотрю на график. Что-то не так.

За последние несколько дней появилось более 200 новых бэклинков. Открываю список: анкоры «порно», «мошенники», «обман», «развод». Все ссылки — с одного домена: printo.co.kr. Корейский сайт типографских услуг. Скорее всего взломан и используется как плацдарм. Атака одновременно пришла и на steambalance.cc.

Это было моё уже не первое живое столкновение с негативным SEO в боевых условиях. В этой статье разберу всё: как работают атаки в 2025–2026 году, как я обнаружил угрозу, и полный технический алгоритм защиты с кодом. Это не большой кейс. Как-нибудь расскажу, как мы попали на большом проекте — там была инъекция со скриптом в 100к ссылок.

Почему негативное SEO снова актуально в 2026 году

Многие SEO-специалисты живут с убеждением: «Google давно всё нейтрализует автоматически. Спам-ссылки не работают ни в плюс, ни в минус». Джон Мюллер неоднократно говорил именно это. Я сам так думал — до января 2026 года.

Да, SpamBrain — AI-система Google — справляется с большинством случаев. Но «большинство» — это не «все». Особенно уязвимы:

• Молодые домены с небольшим авторитетным ссылочным профилем

• Сайты в конкурентных нишах, где соперники мотивированы на грязные методы

• Проекты без систематического мониторинга бэклинков

AI сделал атаки дешёвыми. Раньше массированный спам требовал $300–500 на инструментарий и недели ручной работы. Сегодня за $5 на Fiverr продавцы о��крыто предлагают 100 000 спам-бэклинков. GSA Search Engine Ranker стоит $99 одноразово. ChatGPT генерирует уникальный спам-контент под каждую ссылку.

По данным GoDaddy/Sucuri (годовой отчёт 2024, 70,8 млн сканирований): 422 741 сайт пострадал от SEO-спама. Из них 73% взломанных ресурсов использовались именно для ссылочного спама — как, скорее всего, был использован printo.co.kr в моём кейсе.

Bot-трафик в 2025 году превысил человеческий: по данным Cloudflare Radar Year in Review 2025, AI-краулинг вырос более чем в 15 раз за год, а бот-трафик составляет 51% всего веб-трафика. Всё это создаёт инфраструктуру, которую злоумышленники активно используют.

Анатомия атаки: что именно произошло

Атакующий домен: printo.co.kr — корейский сайт типографских услуг. С высокой вероятностью взломан: злоумышленники получили доступ к CMS и использовали ресурс для массовой генерации страниц со спам-ссылками. Для жертвы такой вектор особенно неприятен — реальный атакующий третья сторона, а владелец сайта-донора, возможно, вообще не знает о проблеме.

Масштаб: более 200 токсичных бэклинков. Резкий скачок с единственного домена с агрессивными анкорами — именно то, что SpamBrain и алгоритмы Яндекса распознают как аномалию.

Токсичные анкоры: «порно», «мошенники», «обман», «развод». Классический набор: создать сигнал неестественности для алгоритмов и нанести репутационный ущерб — если такие анкоры проиндексируются в связке с брендом.

Мишени: steambalance.ru и steambalance.cc. Два домена одновременно — атакующий бил по всему, что нашёл в выдаче по бренду.

Современные виды атак в 2025–2026

Спам бэклинками через взломанные сайты

Злоумышленник взламывает чужой ресурс и размещает на нём страницы с токсичными ссылками на жертву. Жертва видит резкий рост referring domains с нерелевантными анкорами. Это мой случай. По данным Oncrawl, 61% сайтов сталкивались с той или иной формой враждебного SEO.

PBN-атаки (Private Blog Networks)

Создаются десятки «серых» сайтов, которые ссылаются на жертву с коммерческими exact-match анкорами. Алгоритм начинает воспринимать весь профиль как манипулятивный. По данным Semrush, именно сочетание иностранных анкоров, exact-match ключей и кластеризации IP приводило к падению органической видимости на 40% за две недели.

Атаки на поведенческие факторы

Особенно болезненны для Яндекса, где поведенческие сигналы весят больше, чем ссылки. Боты имитируют заходы с немедленным отказом: высокий bounce rate, минимальное время на странице. Лечить сложнее, чем ссылочный спам.

Краулинг-атаки

По данным Cloudflare Radar 2025, бот-трафик составляет 51% всего веб-трафика, из которых 37% — вредоносные боты. Краулеры исчерпывают crawl budget и перегружают сервер. В январе 2025 года компания Triplegangers рассказала TechCrunch, как бот OpenAI «раздавил» их сервер подобно DDoS-атаке, вызвав скачок счетов AWS.

AI-poisoning LLM

Исследование SALT.agency (Search Engine Journal, декабрь 2025): всего 250 специально созданных документов достаточно, чтобы ChatGPT, Perplexity и другие AI начали ассоциировать ваш бренд с негативным контентом. Это негативное SEO эпохи GEO-оптимизации.

Полный технический алгоритм защиты

Первое: Диагностика (первые 2 часа)

Первое правило: не паниковать и не делать disavow сразу. Сначала понять масштаб.

Аудит в Ahrefs: Site Explorer → Backlinks → Filter «New» за 30 дней → сортировка по Referring Domain. Один домен с сотнями ссылок — красный флаг.

Проверяю анкоры: Site Explorer → Anchors. Ищу нетематические анкоры — adult, gambling, иностранные слова.

Google Search Console: Links → Top linking sites. Дополняет картину данными Google.

Второе: Disavow-файлы (1–2 часа)

Disavow — первая линия обороны. Несмотря на то что Джон Мюллер называл disavow «оплачиваемой тратой времени», при атаке с явными токсичными анкорами это разумная превентивная мера — сигнализация для поисковика.

Формат файла — plain text, UTF-8, один домен на строку:

# Негативная SEO-атака от printo.co.kr

# Дата обнаружения: 23.01.2026

domain:printo.co.kr

Загрузка для Google через Search Console Disavow Tool — для каждого домена отдельно, по протоколу https. Официальная документация: Google Search Central.

Загрузка для Яндекса: Яндекс.Вебмастер → Инструменты → Удаление страниц (при явном заражении донора). При этом в robots.txt должен стоять disavow на вложенность. Актуальный статус алгоритма Яндекса по ссылочному спаму — Минусинск: официальная документация.

Третье: Серверная блокировка (1–2 дня)

Apache — файл .htaccess:

RewriteEngine On

RewriteCond %{HTTP_REFERER} printo\.co\.kr [NC]

RewriteRule .* - [F,L]

Nginx:

if ($http_referer ~* "printo\.co\.kr") {

return 403;

}

sudo nginx -t && sudo systemctl reload nginx

Cloudflare WAF:

Security → WAF → Custom rules → Field: Referer, Operator: contains, Value: printo.co.kr, Action: Block. Активируется мгновенно без изменений на сервере.

Четвёртое: Автоматизированный мониторинг (2–3 дня)

Разовая очистка — недостаточно. Атакующий может переключиться на другой домен. Нужен непрерывный мониторинг с Telegram-алертами через Ahrefs API:

import requests

from datetime import datetime

API_KEY = 'your_ahrefs_api_key'

DOMAIN = 'steambalance.ru'

TELEGRAM_BOT_TOKEN = 'your_telegram_bot_token'

TELEGRAM_CHAT_ID = 'your_chat_id'

BLOCKED_DOMAINS = ['printo.co.kr']

TOXIC_KEYWORDS = ['порно', 'мошенники', 'обман', 'развод',

'casino', 'viagra', 'porn', 'gambling']

def check_backlinks():

url = (f'https://apiv2.ahrefs.com/?token={API_KEY}'

f'&from=backlinks&target={DOMAIN}&mode=domain'

f'&output=json&limit=1000&order_by=date_found:desc')

data = requests.get(url, timeout=30).json()

toxic_links = []

for link in data.get('backlinks', []):

domain = link.get('url_from_domain', '')

anchor = link.get('anchor', '').lower()

if any(b in domain for b in BLOCKED_DOMAINS):

toxic_links.append({'url': link.get('url_from'),

'anchor': anchor, 'reason': 'blocked_domain'})

continue

for kw in TOXIC_KEYWORDS:

if kw in anchor:

toxic_links.append({'url': link.get('url_from'),

'anchor': anchor, 'reason': kw})

break

if toxic_links: send_telegram_alert(toxic_links)

return toxic_links

def send_telegram_alert(links):

msg = (f'Токсичные ссылки: {len(links)} шт.\n'

f'Домен: {DOMAIN}\n'

f'Время: {datetime.now().strftime("%Y-%m-%d %H:%M")}')

requests.post(

f'https://api.telegram.org/bot{TELEGRAM_BOT_TOKEN}/sendMessage',

json={'chat_id': TELEGRAM_CHAT_ID, 'text': msg})

Cron — ежедневный запуск в 9:00:

0 9 * * * /usr/bin/python3 /path/to/check_backlinks.py >> /var/log/backlinks.log 2>&1

Пятое: Укрепление сервера

Заголовки безопасности (.htaccess):

Header set X-Frame-Options "SAMEORIGIN"

Header set X-Content-Type-Options "nosniff"

Header set Referrer-Policy "strict-origin-when-cross-origin"

Rate limiting в Nginx (защита от краулинг-атак):

limit_req_zone $binary_remote_addr zone=spam_protection:10m rate=10r/s;

location / { limit_req zone=spam_protection burst=20 nodelay; }

Google vs Яндекс: разная философия

Google: нейтрализация вместо наказания

SpamBrain обесценивает спамные ссылки автоматически. Актуальный список всех спам-обновлений — Google Search Spam Updates. Августовский Spam Update 2025 был направлен против scaled content abuse, link schemes и parasite SEO.

Официальная позиция Google по disavow: документация Search Console — «в большинстве случаев Google может оценить, каким ссылкам доверять, без дополнительных указаний». Мюллер назвал disavow «оплачиваемой тратой времени», но инструмент не убрали. При явных атаках с мусорными анкорами — остаётся страховкой.

Яндекс: Минусинск наказывает, а не нейтрализует

Минусинск: падение на ~20 позиций по всем запросам. Инструмент�� disavow нет — только физическое удаление ссылок или обращение в поддержку. Подробнее: Яндекс.Вебмастер — нарушения. Для РУ-рынка реакция должна быть быстрее, чем для Google.

Сроки восстановления

Тип проблемы	Срок восстановления
Manual Penalty (ссылочный)	2–8 недель после успешного пересмотра
Алгоритмическое проседание	3–6 месяцев (до 2 лет в тяжёлых случаях)
Минусинск (Яндекс)	5–7 недель после «Я всё исправил»
Обработка disavow-файла	2–4 недели
Стабилизация после восстановления	4–12 недель