Модератор форума: Yuri_G  
Вирусы на сайтах
Модератор форума
Сообщение # 1 | 22:08:04
Как предотвратить попадание вредоносных ссылок на сайт

  • Первое и самое главное - это запрещать использование у вас на сайте HTML тегов для всех групп пользователей, кроме администратора.

  • Запретить BB коды в чате всем группам пользователей, запрещать использование BB-коды [url]и [img], так же можно запретить использование BB кодов в гостевой и комментариях.

  • В комментариях, гостевой книге, на форуме и в мини-чате запрещать функцию Автоматически делать ссылками www и email адреса

  • Всегда помнить, что тег iframe считается потенциально опасным, и быть очень осторожным при вставке партнерок и рекламных блоков через iframe. На юкозе используются два ифрейма: это рекламный баннер и мини-чат. Это безопасные ифреймы.

  • Очень осторожно выбирать баннерные сети партнерки с рекламными блоками на сайт.




Диагностика

  • Если случилось так, что ваш антивирус или антивирусы ваших пользователей "реагируют" на ваш сайт, а так же если браузер Mozilla Firefox ставит заглушку-предупреждение на ваш сайт, а Google в выдаче метит ваш сайт, как тот, который может нанести вред вашему компьютеру, а вебмастер Яндекса высылает вам предупреждение о том, что ваш сайт заражён...
    В первую очередь нужно ознакомиться с аллертами антивируса. Большинство антивирусов выдают достаточно полную информацию о блокировке того или иного объекта на сайте, так же заглушка Firefox-а и вебмастер Google и Яндекса имеют описания вредоносного кода обнаруженного у вас на сайтеБывает так, что ваш сайт не заражен, а мог быть заражен сайт, который крутится у вас в рекламе (чаще всего такое случается с баннерными сетями или партнерками по обмену трафиком ), тем не менее вы можете получить аллерт антивируса. Сложность диагностики таких аллертов состоит в том, что баннеры и сайты подгружаемые кодом подобных партнерок могут постоянно меняться. Если вредоносный код обнаруживается у вас на сайте, тогда поисковики могут наложить фильтр на ваш сайт. Выглядит это так, что в выдаче под ссылкой на ваш сайт будет предупреждение о том, что сайт может нанести вред вашему компьютеру, а браузер Mozilla Firefox или Google Chrome или Opera будет при этом выдавать заглушку - предупреждение. В этом случае даже если сайт будет полностью очищен от вредоносного кода такие фильтры и заглушки могут висеть ещё очень долго. Чем быстрее будет очищен сайт - тем быстрее будет снят фильтр, а так же заглушки с браузеров
  • Если ваш сёрфинг по интернету сопровождается постоянной навязчивой рекламой, если вы на многих сайтах видите одну и ту же рекламу и видите её только вы (другие пользователи не наблюдают подобных отклонений), если вы пишете сообщения на форумах, чатах, гостевых и т.д и в ваши сообщения встраиваются посторонние ссылки или рекламные объявления, то есть если у вас сходные отклонения не на одном, а на целой серии различных сайтов, то стоит очистить свой компьютер от вирусов.
  • Если вдруг у вас на сайте появилось всплывающее окно, что-то на подобии формы входа, где нужно ввести логин и пароль, то естественно свои данные вводить не стоит, а стоит присмотреться к всплывающему окну, а именно к его адресу или заголовку. Адрес или заголовок такого окна всегда отличен от адреса и заголовка вашего сайта.
    Для поиска транслятора всплывающего окна нужно проверить все модули, где у вас разрешен BB код для пользователей. Чаще всего подобное подсаживают через мини-чат с разрешенными BB-кодами в нем. Ваша задача найти инородную картинку (чаще всего смайлик)


Правила подачи заявки на диагностику и поиск вредоносного кода на сайте


  • Вы должны предоставить ссылку на сайт!

  • Вы должны дать описание проблемы:

    1) на какой странице сайта обнаруживается проблема (ссылка)

    2) проблема обнаруживается только под логином или под гостем тоже

    3) если реагирует антивирус, то назовите свой антивирус, и предоставьте текст или четкий скриншот блокировки

    4) если сайт блокируется браузером, то назовите свой браузер и предоставьте текст блокировки


    Полезные ссылки:


    Так как большинство случаев заражения сайтов является плодом неумелого обращения с готовыми скриптами, а так же с готовыми элементами дизайна для сайтов найденными в сети, то перед тем как внедрить на сайт найденный в сети скрипт стоит ознакомиться со следующими темами:


    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 691 | 20:58:10
    Arthurik,
    Цитата
    <!-- Yandex.Metrika counter -->
    <script type="text/javascript">
    (function (d, w, c) {
    (w[c] = w[c] || []).push(function() {
    try {
    w.yaCounter8232955 = new Ya.Metrika({id:8232955, enableAll: true, webvisor:true});
    } catch(e) {}
    });

    var n = d.getElementsByTagName("script")[0],
    s = d.createElement("script"),
    f = function () { n.parentNode.insertBefore(s, n); };
    s.type = "text/javascript";
    s.async = true;
    s.src = (d.location.protocol == "https:" ? "https:" : "http:") + "//mc.yandex.ru/metrika/watch.js";

    if (w.opera == "[object Opera]") {
    d.addEventListener("DOMContentLoaded", f);
    } else { f(); }
    })(document, window, "yandex_metrika_callbacks");
    </script>
    <noscript><div><img src="//mc.yandex.ru/watch/8232955" style="position:absolute; left:-9999px;" alt=""></div></noscript>

    <script language='javascript' type='text/javascript' src='/counter'></script>
    <!-- /Yandex.Metrika counter -->


    смотрите код метрики. выделенный кусок заражен. он выделен красным. выделенное красным удалить

    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 692 | 21:00:55
    $VITALIK$, у пользователя этот сайт www.nwfilms.ru и там подшито под кодом метрики

    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    $VITALIK$
    Сообщений: 299
    Репутация: 79

    Сообщение # 693 | 21:05:15
    Цитата
    $VITALIK$, у пользователя этот сайт www.nwfilms.ru и там подшито под кодом метрики

    webanet, А вот этот откуда тогда. Ведь он не в коде метрики стоит. Может я чё не догоняю ?

    <center> <a href="http://www.seosprint.net/?ref=2525901" target="_blank"><img src="http://www.seosprint.net/baners/seobaner2.gif" alt="SEO sprint - Всё для максимальной раскрутки!" border="0" height="60" width="468"></a> </center>

    Россия Чемпион !!!
    Arthurik
    Сообщений: 44
    Репутация: 0

    Сообщение # 694 | 21:08:29
    и главная странице и страница материала и коментариев к нему нету такой скрипт sad

    Добавлено (18 Окт 2013, 21:08:29)
    ---------------------------------------------
    я иза етой реклам все маи скрипти удали чтоби панять откуда етот реклам

    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 695 | 21:20:17
    $VITALIK$, это баннер сеопринта. я тоже не понимаю зачем вы это пишете

    Arthurik, откройте блок статистика на редактирование. включите конструктор - откройте блок статистика сайта на редактирование
    там стоит код метрики яндекса
    в коде метрики яндекса надо удалить выделенное красным
    Цитата

    <!-- Yandex.Metrika counter -->
    <script type="text/javascript">
    (function (d, w, c) {
    (w[c] = w[c] || []).push(function() {
    try {
    w.yaCounter8232955 = new Ya.Metrika({id:8232955, enableAll: true, webvisor:true});
    } catch(e) {}
    });

    var n = d.getElementsByTagName("script")[0],
    s = d.createElement("script"),
    f = function () { n.parentNode.insertBefore(s, n); };
    s.type = "text/javascript";
    s.async = true;
    s.src = (d.location.protocol == "https:" ? "https:" : "http:") + "//mc.yandex.ru/metrika/watch.js";

    if (w.opera == "[object Opera]") {
    d.addEventListener("DOMContentLoaded", f);
    } else { f(); }
    })(document, window, "yandex_metrika_callbacks");
    </script>
    <noscript><div><img src="//mc.yandex.ru/watch/8232955" style="position:absolute; left:-9999px;" alt=""></div></noscript>

    <script language='javascript' type='text/javascript' src='/counter'></script>
    <!-- /Yandex.Metrika counter -->


    искать не надо в шаблонах это в блоке статистика сайта

    или панель управления - дизайн - управление дизайном - глобальные блоки - второй контейнер - ищите код блока статистика сайта - ищите код метрики и удаляйте выделенное красным

    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    $VITALIK$
    Сообщений: 299
    Репутация: 79

    Сообщение # 696 | 21:21:24
    Цитата $;;VITALIK$;1099792
    Цитата
    $VITALIK$, у пользователя этот сайт www.nwfilms.ru и там подшито под кодом метрики

    webanet, А вот этот откуда тогда. Ведь он не в коде метрики стоит. Может я чё не догоняю ?

    <center> <a href="http://www.seosprint.net/?ref=2525901" target="_blank"><img src="http://www.seosprint.net/baners/seobaner2.gif" alt="SEO sprint - Всё для максимальной раскрутки!" border="0" height="60" width="468"></a> </center>


    webanet всё. понял. Я другой сайт смотрел. Извиняюсь. Невнимателен.

    Россия Чемпион !!!
    Сообщение отредактировал $VITALIK$ - Пятница, 18 Окт 2013, 21:23:41
    Arthurik
    Сообщений: 44
    Репутация: 0

    Сообщение # 697 | 21:24:16
    я удалил
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 698 | 21:28:38
    Arthurik, нет. не удалил
    пробуем так. панель управления - дизайн - управление дизайном - быстрая замена - в поле что заменить вставляем скрипт

    Код
    <script language='javascript' type='text/javascript' src='/counter'></script>


    поле на что заменить оставляем пустым - ставим галку на замену в глобальных блоках - жмем на заменить

    не получится открываем блок статистики на редактирование и удаляем скрипт. он стоит под метрикой яндекса
    или удалите блок статистики вообще
    $VITALIK$, помогите лучше пользователю объяснить как удалить код из блока статистика

    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    $VITALIK$
    Сообщений: 299
    Репутация: 79

    Сообщение # 699 | 21:35:48
    Цитата webanet ()
    $VITALIK$, помогите лучше пользователю объяснить как удалить код из блока статистика

    Помогли

    Россия Чемпион !!!
    Arthurik
    Сообщений: 44
    Репутация: 0

    Сообщение # 700 | 21:37:57
    спасибо вам за помош
    Djenya
    Сообщений: 11
    Репутация: 0

    Сообщение # 701 | 15:08:42
    На сайте http://pmp-com.at.ua Яндекс находит вирусы. Подскажите где находится данный вирус.
    сondor
    Сообщений: 4661
    Репутация: 1528

    Сообщение # 702 | 16:00:16
    Цитата Djenya ()
    Яндекс находит вирусы. Подскажите где находится данный вирус.


    Djenya, для начала удалите вот это:

    Код
    <script language="javascript" type="text/javascript">
    <!--
    var dle_root = '/';
    var dle_admin = '';
    var dle_login_hash = '';
    var dle_skin = 'Air';
    var dle_wysiwyg = 'no';
    var quick_wysiwyg = '0';
    var menu_short = 'Быстрое редактирование';
    var menu_full = 'Полное редактирование';
    var menu_profile = 'Просмотр профиля';
    var menu_fnews = 'Найти все публикации';
    var menu_fcomments = 'Найти все комментарии';
    var menu_send = 'Отправить сообщение';
    var menu_uedit = 'Админцентр';
    var dle_req_field = 'Заполните все необходимые поля';
    var dle_del_agree = 'Вы действительно хотите удалить? Данное действие невозможно будет отменить';
    var dle_del_news = 'Удалить новость';
    var allow_dle_delete_news = false;
    //-->
    </script>


    и вот это:

    Код
    <script language="javascript" type="text/javascript">   
    <!--   
       hs.graphicsDir = '/engine/classes/highslide/graphics/';
       hs.outlineType = 'rounded-white';
       hs.numberOfImagesToPreload = 0;
       hs.showCredits = false;
       hs.dimmingOpacity = 0.60;
       hs.lang = {
       loadingText : 'Загрузка...',
       playTitle : 'Просмотр слайдшоу (пробел)',
       pauseTitle: 'Пауза',
       previousTitle : 'Предыдущее изображение',
       nextTitle : 'Следующее изображение',
       moveTitle : 'Переместить',
       closeTitle : 'Закрыть (Esc)',
       fullExpandTitle : 'Развернуть до полного размера',
       restoreTitle : 'Кликните для закрытия картинки, нажмите и удерживайте для перемещения',
       focusTitle : 'Сфокусировать',
       loadingTitle : 'Нажмите для отмены'
       };
         
    //-->
    </script>


    я так вижу шаблон был адаптирован с движка DataLife Engine на uCoz. Это удаляем, так как здесь это ни к чему.

    Можно удалить и вот эти скрипты, так как ссылки битые:

    Код
    <script type="text/javascript" src="/js/menu0000.js"></script>
    <script type="text/javascript" src="/js/dle_ajax.js"></script>

    <script type="text/javascript" src="/js/js_edit0.js"></script>
    <script type="text/javascript" src="/js/highslid.js"></script>


    В шаблоне нижней части сайта тоже битые скрипты, можно удалить.:

    Код
    <script type="text/javascript" language="JavaScript" src="/images/tab00000.htm"></script>

    Код
    <script type="text/javascript" src="/images/westyle0.js"></script>


    Также мусор на сторонние сайты, ссылки внизу которые. Если вы их не ставили, то удаляем.

    Код
    <center><!--6ab9d-->  Кроватки детские  <a href="http://babystyle.in.ua/index.php?route=product/category&path=120_57" target="_blank">далее</a>  детская одежда оптом;<a href="http://altanaplus.kiev.ua" target="_blank">Стоматологии Киев, стоматолог протезист</a>;ВИЧ инфекция,  <a href="http://www.privivok.net.ua/goodbye_aids_rus" target="_blank">вич спид</a> , вич инфекция спид;<a href="http://floret.pw" target="_blank">купить цветы</a>  для декора;<a href="http://kopeeknet.ru/" target="_blank">Заработок на сайте</a><!--c4fed3f9--></center>


    Никаких вредоносных скриптов я не обнаружил. Пишите в техподдержку яндекса и выясняйте причину...

    И еще, там где копирайт юкоза, уберите из кода тег: <noindex>

    Цитата
    <noindex><!-- "' --><span class="pbDYSVtW"><a href="//www.ucoz.ru/"><img style="margin:0;padding:0;border:0;width:40px;height:20px;" src="http://s29.ucoz.net/img/cp/50.gif" alt="Создать сайт бесплатно" title="Создать сайт бесплатно"></a></span></noindex>
    Сообщение отредактировал condor-bird - Суббота, 19 Окт 2013, 16:24:30
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 703 | 16:36:26
    Djenya, сайт предназначен для продажи ссылок. весь сайт и все материалы усеяны ссылками на другие сайты. некоторые материалы ссылаются на порно-ресурсы. пример http://pmp-com.at.ua/news/video_dlja_rasslablenija/2013-10-18-5002
    а так как блокировка произошла по вердикту
    Цитата
    обращается по адресам, которые находятся в чёрном списке Яндекса, как распространители вредоносного ПО;

    вам стоит пересмотреть свои ссылки, коими усеян сайт и найти, ту которая вызывает блокировку

    если вы уже занимались удалением скриптов, то вам осталось найти ссылки на сайты в блоке

    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    Rom@rio91
    Сообщений: 20
    Репутация: 0

    Сообщение # 704 | 09:59:21
    Здравствуйте.
    На моём сайте по адресу http://vatreno.ru появляется не совсем характерная реклама, в частности после загрузки типичной для верхнего рекламного блока контента, через 1-2 секунды происходит его обновление и загружается реклама, больше похожая на вирус.

    Подскажите, действительно ли это является вирусом и если да, то как это вылечить? Посмотрел в коде, каких-то ненужных записей не нашёл.
    Скриншот прикрепляю, заранее спасибо.



    Добавлено (20 Окт 2013, 09:59:21)
    ---------------------------------------------
    Всё, решил проблему путём удаления дополнения к браузеру, проблема была в нём.
    Прикрепления: 5000495.png (392.5 Kb)
    Сообщение отредактировал Rom@rio91 - Воскресенье, 20 Окт 2013, 09:59:35
    legioner4246
    Сообщений: 7
    Репутация: 0

    Сообщение # 705 | 16:50:51
    здравствуйте, у меня на сайте http://animaciay.ucoz.ru/ вирус MAL в favicon.ico (как распазнает его Avast), сайт новый, добавил немного материалов, аваст не дает пройти даже в ПУ, сразу блокирует через админ панель открытое окно, на подозрение с вирусом, как быть, как можно удалить вирусный сайт чтобы мой аккаунт не заблокировали?

    Добавлено (01 Ноя 2013, 16:50:51)
    ---------------------------------------------
    кстити из админ панели он перенапраляет меня http://animaciay.ucoz.ru/panel/sub - это верный путь или зараженная страница?

    Поиск: