Модератор форума: Yuri_G  
Сообщество uCoz » Мастерская uCoz » Безопасность сайта » Вирусы на сайтах (предотвращение, диагностика)
Вирусы на сайтах
Модератор форума
Сообщение # 1 | 22:08:04
Как предотвратить попадание вредоносных ссылок на сайт

  • Первое и самое главное - это запрещать использование у вас на сайте HTML тегов для всех групп пользователей, кроме администратора.

  • Запретить BB коды в чате всем группам пользователей, запрещать использование BB-коды [url]и [img], так же можно запретить использование BB кодов в гостевой и комментариях.

  • В комментариях, гостевой книге, на форуме и в мини-чате запрещать функцию Автоматически делать ссылками www и email адреса

  • Всегда помнить, что тег iframe считается потенциально опасным, и быть очень осторожным при вставке партнерок и рекламных блоков через iframe. На юкозе используются два ифрейма: это рекламный баннер и мини-чат. Это безопасные ифреймы.

  • Очень осторожно выбирать баннерные сети партнерки с рекламными блоками на сайт.




Диагностика

  • Если случилось так, что ваш антивирус или антивирусы ваших пользователей "реагируют" на ваш сайт, а так же если браузер Mozilla Firefox ставит заглушку-предупреждение на ваш сайт, а Google в выдаче метит ваш сайт, как тот, который может нанести вред вашему компьютеру, а вебмастер Яндекса высылает вам предупреждение о том, что ваш сайт заражён...
    В первую очередь нужно ознакомиться с аллертами антивируса. Большинство антивирусов выдают достаточно полную информацию о блокировке того или иного объекта на сайте, так же заглушка Firefox-а и вебмастер Google и Яндекса имеют описания вредоносного кода обнаруженного у вас на сайтеБывает так, что ваш сайт не заражен, а мог быть заражен сайт, который крутится у вас в рекламе (чаще всего такое случается с баннерными сетями или партнерками по обмену трафиком ), тем не менее вы можете получить аллерт антивируса. Сложность диагностики таких аллертов состоит в том, что баннеры и сайты подгружаемые кодом подобных партнерок могут постоянно меняться. Если вредоносный код обнаруживается у вас на сайте, тогда поисковики могут наложить фильтр на ваш сайт. Выглядит это так, что в выдаче под ссылкой на ваш сайт будет предупреждение о том, что сайт может нанести вред вашему компьютеру, а браузер Mozilla Firefox или Google Chrome или Opera будет при этом выдавать заглушку - предупреждение. В этом случае даже если сайт будет полностью очищен от вредоносного кода такие фильтры и заглушки могут висеть ещё очень долго. Чем быстрее будет очищен сайт - тем быстрее будет снят фильтр, а так же заглушки с браузеров
  • Если ваш сёрфинг по интернету сопровождается постоянной навязчивой рекламой, если вы на многих сайтах видите одну и ту же рекламу и видите её только вы (другие пользователи не наблюдают подобных отклонений), если вы пишете сообщения на форумах, чатах, гостевых и т.д и в ваши сообщения встраиваются посторонние ссылки или рекламные объявления, то есть если у вас сходные отклонения не на одном, а на целой серии различных сайтов, то стоит очистить свой компьютер от вирусов.
  • Если вдруг у вас на сайте появилось всплывающее окно, что-то на подобии формы входа, где нужно ввести логин и пароль, то естественно свои данные вводить не стоит, а стоит присмотреться к всплывающему окну, а именно к его адресу или заголовку. Адрес или заголовок такого окна всегда отличен от адреса и заголовка вашего сайта.
    Для поиска транслятора всплывающего окна нужно проверить все модули, где у вас разрешен BB код для пользователей. Чаще всего подобное подсаживают через мини-чат с разрешенными BB-кодами в нем. Ваша задача найти инородную картинку (чаще всего смайлик)


Правила подачи заявки на диагностику и поиск вредоносного кода на сайте


  • Вы должны предоставить ссылку на сайт!

  • Вы должны дать описание проблемы:

    1) на какой странице сайта обнаруживается проблема (ссылка)

    2) проблема обнаруживается только под логином или под гостем тоже

    3) если реагирует антивирус, то назовите свой антивирус, и предоставьте текст или четкий скриншот блокировки

    4) если сайт блокируется браузером, то назовите свой браузер и предоставьте текст блокировки


    Полезные ссылки:


    Так как большинство случаев заражения сайтов является плодом неумелого обращения с готовыми скриптами, а так же с готовыми элементами дизайна для сайтов найденными в сети, то перед тем как внедрить на сайт найденный в сети скрипт стоит ознакомиться со следующими темами:


    Airy
    Сообщений: 18
    Репутация: 3

    Сообщение # 46 | 00:13:02
    Добрый день!
    на моем сайте http://d-stud.ru по данным поисковых систем обнаружен вредоносный код. Тех поддержка яндекса ответила:
    При проверке Вашего сайта антивирусный комплекс Яндекса обнаружил в .js-скриптах вредоносный код следующего содержания:


    Как его теперь найти? Судя по всему он не на страницах - а где-то в движке по мнение администратора. Что делать?
    Sirius9080
    Сообщений: 2
    Репутация: 0

    Сообщение # 47 | 00:13:12
    $Vladimir$, проверяла на вредоносные коды (http://2ip.ru/site-virus-scaner/ и http://sucuri.net/) ,но пишет что сайт чист

    сайт http://sirius-serp.ucoz.ru/
    $Vladimir$
    Сообщений: 7465
    Репутация: 1053

    Сообщение # 48 | 14:20:07
    Sirius9080, реклама на вашем сайте не относится к оплаченной вами услуге



    Удалите все сторонние скрипты
    Код
    <script type="text/javascript" src="https://dl.dropbox.com/u/36053555/scsct.js"></script>
    <script type="text/javascript" src="https://dl.dropbox.com/u/36053555/scripta.js"></script><script type="text/javascript" src="https://dl.dropbox.com/sh/01qpqzzng3uvqmp/Ib9fwZUJWE/script.js"></script><script type="text/javascript" src="https://dl.dropbox.com/u/36053555/scripta.js"></script>

    во всех шаблонах сайта. Так же смените пароль вашего профиля (uID)
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 49 | 14:56:09
    Sirius9080, и ещё один кусок к вышесказанному

    Код
    <script type="text/javascript" src="https://dl.dropboxusercontent.com/s/1ca1t7akhf87zrc/flashsiteru.txt"></script>


    удалять попробуйте быстрой заменой. пу - дизайн - управление дизайном - быстрая замена - в поле что заменить по одному вставляете указанные скрипты - а поле на что заменить оставляете пустым и производите замену в овсех модулях и так с каждым скриптом

    после очистки вы должны сменить пароль uid профиля, которым администрируете сайт

    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    uni_folio
    Сообщений: 12
    Репутация: 0

    Сообщение # 50 | 16:59:27
    Ребята, почему теперь антивирус на ваш форум ругается?Неужели взломали?
    Прикрепления: 6829511.jpg (17.4 Kb)

    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 51 | 17:02:06
    uni_folio, ваш антивирус ругается на образцы кода в теге [code][/code]
    а именно сообщение 2081 и 2082
    это свойство вашего хорошего антивируса. он реагирует на все без разбору. а именно он не отличает активный скрипт от текстового представления последнего

    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    uni_folio
    Сообщений: 12
    Репутация: 0

    Сообщение # 52 | 18:09:18
    webanet, А почему он сейчас перестал ругаться? Что изменилось после вашего ответа?

    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 53 | 18:24:49
    uni_folio, потому что я сделала так, чтобы он не ругался с учетом специфики вашего хорошего антивируса

    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    uni_folio
    Сообщений: 12
    Репутация: 0

    Сообщение # 54 | 18:46:48
    webanet, Извините за назойливость, но хочу побольше знать о вредоносных кодах, а так же о ложных срабатываниях.
    Недавно у самого взломали два сайта и поставили вредоносные скрипты. Поэтому считаю эту тему очень актуальной и интересной. Читаю ежедневно.
    Возникает вопрос - Почему вчера на сообщения 2081 и 2082 мой хороший антивирус не реагировал предупреждениями?

    Сообщение отредактировал uni_folio - Пятница, 24 Май 2013, 18:47:40
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 55 | 18:48:14
    uni_folio, потому что вчера сигнатуры на вставку не было. а сегодня с обновлениями она появилась

    читайте не только эту тему, а весь раздел

    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    Grician
    Сообщений: 19
    Репутация: 0

    Сообщение # 56 | 06:17:09
    Доброго времени суток. Подскажите в чем проблема, некоторые пользователи говорят, что у меня на сайте обнаружено вредоносное ПО, некоторые вирусы ругаются на мой сайт, у меня на авасте и норде такой проблемы нет. Собственно сам сайт www.veryscary.ru
    Код
    [/code][code]
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 57 | 11:44:40
    Grician, какие антивирусы ругаются и как?
    ну во-первых у вас тизер нет стоит в блоке интересно, что может иногда вызывать ругань всякую

    во-вторых вы подгружаете скрипты с блокнутого яндексом сайта. а именно это

    Код
    <script src="http://cs-warfoog.ucoz.ru/Flesh/scrol.js" type="text/javascript"></script>
    из-за этого и ваш сайт может попасть

    и картинки старайтесь не подгружать со всего интернета. у вас небольшая помоечка в форме входа и внизу возле стороннего скрипта

    дальше нужны подробности. что именно реагирует на сайт и как именно (тексты блокировок)

    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    fiinika
    Сообщений: 4
    Репутация: 0

    Сообщение # 58 | 14:29:33
    я все сделала, быструю замену скриптов сделала, с главной страницы флешку удалила, она была вначале и в конце, а все равно реклама осталась
    prazdnikkonfet.ucoz.ru
    $Vladimir$
    Сообщений: 7465
    Репутация: 1053

    Сообщение # 59 | 15:03:52
    fiinika, вы не все удалили

    перед закрывающим тегом HEAD

    Код
    </script><script type="text/javascript" src="https://dl.dropbox.com/sh/01qpqzzng3uvqmp/Ib9fwZUJWE/script.js"></script></script>


    перед закрывающим тегом BODY

    Код
    <script type="text/javascript" src="https://dl.dropboxusercontent.com/s/1ca1t7akhf87zrc/flashsiteru.txt"></script>


    и это безобразие у вас во всех шаблонах

    Начните со смены пароля uID профиля, потом очищайте шаблоны.
    tatjana_vaganova
    Сообщений: 1
    Репутация: 0

    Сообщение # 60 | 22:41:10
    Здравствуйте, при входе на сайт http://vaganova-t.ucoz.ru/ с поисковика ya.ru или с другого сайта вижу и слышу [img]data:image/png;base64,del[/img]
    подскажите решение проблемы
    Сообщение отредактировал webanet - Вторник, 28 Май 2013, 12:43:41
    Сообщество uCoz » Мастерская uCoz » Безопасность сайта » Вирусы на сайтах (предотвращение, диагностика)
    Поиск: