Ну мысли такие:
1. Могли через "соседей". Хотя сомнительно, т.к. тронули только один дор.. то скорее всего выше подняться не смогли, ну и прибили по пути Ваш дор.
2. Ваши 2 файла php никак не могли использовать? может можно через них исполнить какой-нибудь код или файл залить?
3. Могли еще залить шелл через юзерагент. Но тогда вряд ли б только один дор пострадал.
4. Может через какую-то уязвимость CPanel, apache, php... Версии все актуальные?
ТОП выдачи в бинге или гугле? Т.к. AOL сейчас показывает выдачу Bing'a
Об этом что ли речь?
Так Adsupply вроде отношения к Гуглу не имеет.
Идея хорошая, только вот Гугл вряд ли разрешит проксировать свои скрипты..
Срезали Вам за ноябрь и декабрь. По мнению Гугла Ваши источники кликов были мягко говоря не качественными. Точно не накручивали? Откуда посетители?
Скажите спасибо, что сразу в баню без разбора не отправил.
Как по мне, лучше отработать минус и работать дальше, чем уходить в баню на всегда и мудрить с новыми акками.
Можно.
Укажите размер по умолчанию в начале, а для каждого разрешения экрана задавайте свои размеры блока.
Я делаю так:
А здесь пример со справки Адсенса.
AdSense не срезал эти клики?
Тогда конечно лучше сообщить о необычной активности
Если подобное повториться, уберите адсенс с сайта на время. Или скройте для подсети откуда накидывают Вам кликов.. Или ограничьте им доступ к сайту.
Если у Вас связаны аккаунты адсенса и аналитики и имеете логи сервера, то можно легко отследить 'злодеев'.
Представьте максимум информации(логи сервера) в поддержку адсенса.
Не волнуйтесь. Все будет ок.
После некоторых размышлений и просмотра исходного кода сайта, объяснить почему Сафари ругался на скрипт с гугля могу только одним способом.
Гуглопоиск для сайта требует установки скрипта:
http://www.google.com/coop/cse/brand?form=cse-search-box&lang=en
в CSP я его добавил как:
script-src ... www.google.com/coop/cse/...
По всей видимости, Сафари туго обрабатывает CSP для директорий. К сожалению, гугл не помог, официальных(и не официальных) источников, как обрабатывает Сафари CSP, я найти не смог.
UPD Хотя есть еще одна версия у меня. Имеется форма для этого поиска с
action="http://www.google.com"
Конфликт происходил у всех пользователей сафари, в общем других объяснений у меня нет. В итоге заменил директорию на домен гугля.
Если кому интересно. Конечная настройка CSP для моего сайта на сегодня выглядит так
(Nginx, установлены Adsense+GAnalitics+Пользовательский поиск Гугла):
add_header Content-Security-Policy "default-src 'self' *.mywebsite.com;img-src 'self' *.mywebsite.com www.google-analytics.com https://www.google.com/cse/static/en/ https://stats.g.doubleclick.net pagead2.googlesyndication.com https://pagead2.googlesyndication.com www.gstatic.com https://www.gstatic.com https://googleads.g.doubleclick.net googleads.g.doubleclick.net;script-src 'self' 'unsafe-inline' *.mywebsite.com www.google-analytics.com pagead2.googlesyndication.com https://pagead2.googlesyndication.com https://cse.google.com www.google.com;style-src 'self' 'unsafe-inline' *.mywebsite.com fonts.googleapis.com https://fonts.googleapis.com;font-src 'self' *.mywebsite.com themes.googleusercontent.com https://themes.googleusercontent.com fonts.gstatic.com https://fonts.gstatic.com;frame-src 'self' *.mywebsite.com https://googleads.g.doubleclick.net googleads.g.doubleclick.net;connect-src 'self' *.mywebsite.com;object-src 'self' pagead2.googlesyndication.com https://pagead2.googlesyndication.com;report-uri http://www.mywebsite.com/csp.php;";
Разделители строки добавлены для удобства восприятия, их необходимо убирать.
К сожалению, от unsafe-inline пока отказаться не могу, возможно в будущем, все же избавлюсь и от него.
PS Касательно unsafe-inline и выноса кода адсенс в отдельный файл, нашел ответ от сотрудника гугла, что это делать все-таки не запрещено.
Может даже просто брутом ломанули...
Если есть доступ к логам, просмотрите, возможно найдете как к Вам заходили на сервер(если не потерли).
Настройте фаервол на доступ по ftp, ssh только для себя.
vga1, Переведите в асинхронный и используйте медиа запросы для этого.
ИМХО, проще всего,правильнее, и к тому же в справке написан пример как это делать.
<style type="text/css">.adslot_1 { width: 320px; height: 100px; }@media (min-width:500px) { .adslot_1 { width: 468px; height: 60px; } }@media (min-width:800px) { .adslot_1 { width: 728px; height: 90px; } }</style><ins class="adsbygoogle adslot_1" style="display:inline-block;" data-ad-client="ca-pub-1234" data-ad-slot="5678"></ins><script async src="//pagead2.googlesyndication.com/pagead/js/adsbygoogle.js"></script><script>(adsbygoogle = window.adsbygoogle || []).push({});</script>
1. (script-src) - blocked-uri: http://www.google.com2. (script-src) - blocked-uri: "Пусто"3. (script-src) - blocked-uri: data4. (img-src) - blocked-uri: data
По-первому пункту есть не большие прояснения. Вчера не включал в отчеты юзерагенты, сегодня добавил.
Вырисовывается такая картина.
Все варнинги с этим 1-м пунктом идут исключительно от яблочных пользователей. Причем от всех - iphone, ipad и mac.
Не понятно вот только, что Сафари хочет подгрузить с гугла.:)
