Модератор форума: Yuri_G  
Сообщество uCoz » Мастерская uCoz » Безопасность сайта » Вирусы на сайтах (предотвращение, диагностика)
Вирусы на сайтах
Модератор форума
Сообщение # 1 | 22:08:04 21 Июн 2010
Как предотвратить попадание вредоносных ссылок на сайт

  • Первое и самое главное - это запрещать использование у вас на сайте HTML тегов для всех групп пользователей, кроме администратора.

  • Запретить BB коды в чате всем группам пользователей, запрещать использование BB-коды [url]и [img], так же можно запретить использование BB кодов в гостевой и комментариях.

  • В комментариях, гостевой книге, на форуме и в мини-чате запрещать функцию Автоматически делать ссылками www и email адреса

  • Всегда помнить, что тег iframe считается потенциально опасным, и быть очень осторожным при вставке партнерок и рекламных блоков через iframe. На юкозе используются два ифрейма: это рекламный баннер и мини-чат. Это безопасные ифреймы.

  • Очень осторожно выбирать баннерные сети партнерки с рекламными блоками на сайт.




Диагностика

  • Если случилось так, что ваш антивирус или антивирусы ваших пользователей "реагируют" на ваш сайт, а так же если браузер Mozilla Firefox ставит заглушку-предупреждение на ваш сайт, а Google в выдаче метит ваш сайт, как тот, который может нанести вред вашему компьютеру, а вебмастер Яндекса высылает вам предупреждение о том, что ваш сайт заражён...
    В первую очередь нужно ознакомиться с аллертами антивируса. Большинство антивирусов выдают достаточно полную информацию о блокировке того или иного объекта на сайте, так же заглушка Firefox-а и вебмастер Google и Яндекса имеют описания вредоносного кода обнаруженного у вас на сайтеБывает так, что ваш сайт не заражен, а мог быть заражен сайт, который крутится у вас в рекламе (чаще всего такое случается с баннерными сетями или партнерками по обмену трафиком ), тем не менее вы можете получить аллерт антивируса. Сложность диагностики таких аллертов состоит в том, что баннеры и сайты подгружаемые кодом подобных партнерок могут постоянно меняться. Если вредоносный код обнаруживается у вас на сайте, тогда поисковики могут наложить фильтр на ваш сайт. Выглядит это так, что в выдаче под ссылкой на ваш сайт будет предупреждение о том, что сайт может нанести вред вашему компьютеру, а браузер Mozilla Firefox или Google Chrome или Opera будет при этом выдавать заглушку - предупреждение. В этом случае даже если сайт будет полностью очищен от вредоносного кода такие фильтры и заглушки могут висеть ещё очень долго. Чем быстрее будет очищен сайт - тем быстрее будет снят фильтр, а так же заглушки с браузеров
  • Если ваш сёрфинг по интернету сопровождается постоянной навязчивой рекламой, если вы на многих сайтах видите одну и ту же рекламу и видите её только вы (другие пользователи не наблюдают подобных отклонений), если вы пишете сообщения на форумах, чатах, гостевых и т.д и в ваши сообщения встраиваются посторонние ссылки или рекламные объявления, то есть если у вас сходные отклонения не на одном, а на целой серии различных сайтов, то стоит очистить свой компьютер от вирусов.
  • Если вдруг у вас на сайте появилось всплывающее окно, что-то на подобии формы входа, где нужно ввести логин и пароль, то естественно свои данные вводить не стоит, а стоит присмотреться к всплывающему окну, а именно к его адресу или заголовку. Адрес или заголовок такого окна всегда отличен от адреса и заголовка вашего сайта.
    Для поиска транслятора всплывающего окна нужно проверить все модули, где у вас разрешен BB код для пользователей. Чаще всего подобное подсаживают через мини-чат с разрешенными BB-кодами в нем. Ваша задача найти инородную картинку (чаще всего смайлик)


Правила подачи заявки на диагностику и поиск вредоносного кода на сайте

  • Вы должны предоставить ссылку на сайт!

  • Вы должны дать описание проблемы:

    1) на какой странице сайта обнаруживается проблема (ссылка)

    2) проблема обнаруживается только под логином или под гостем тоже

    3) если реагирует антивирус, то назовите свой антивирус, и предоставьте текст или четкий скриншот блокировки

    4) если сайт блокируется браузером, то назовите свой браузер и предоставьте текст блокировки


    Полезные ссылки:


    Так как большинство случаев заражения сайтов является плодом неумелого обращения с готовыми скриптами, а так же с готовыми элементами дизайна для сайтов найденными в сети, то перед тем как внедрить на сайт найденный в сети скрипт стоит ознакомиться со следующими темами:


    admin4001
    Сообщений: 209
    Репутация: 38

    Сообщение # 871 | 11:13:20 20 Дек 2013
    Землянин3034
    Сообщений: 18
    Репутация: 0

    Сообщение # 872 | 13:24:08 20 Дек 2013
    Цитата admin4001 ()
    http://yandex.ru/infected?url=leshiy.my1.ru почитайте
    Я эту страницу удалил еще два дня как.

    Вот результат проверки, что был(и почемуто и сейчас есть)     А вот результат, скопировал ссылку и перешел по ней, результат:
    admin4001
    Сообщений: 209
    Репутация: 38

    Сообщение # 873 | 13:45:46 20 Дек 2013
    вспомните что ставили в последний раз на сайт, может какие то сторонние скрипты, если страница удалена откуда тогда редирект, надо ждать профи, они вынесут свой вердикт.
    Землянин3034
    Сообщений: 18
    Репутация: 0

    Сообщение # 874 | 13:56:38 20 Дек 2013
    Цитата admin4001 ()
    вспомните что ставили в последний раз на сайт, может какие то сторонние скрипты, если страница удалена откуда тогда редирект, надо ждать профи, они вынесут свой вердикт.
    В том то и дело, что скрипты и тому подобное не ставилось.
    admin4001
    Сообщений: 209
    Репутация: 38

    Сообщение # 875 | 14:01:46 20 Дек 2013
    значит со стороны, надо ждать профи, подождите.
    сondor
    Сообщений: 4661
    Репутация: 1528

    Сообщение # 876 | 14:21:21 20 Дек 2013
    Землянин3034, во всех шаблонах ищите вот такой скрипт:

    Цитата
    <script type="text/javascript">function tMess(n){var a=[' uscripts.ucoz.net',' uscripts.ucoz.net',' uscripts.ucoz.net'];return a[n%10==1&&n%100!=11?0:n%10>=2&&n%10<=4&&(n%100<10||n%100>=20)?1:2]}; function getPM(){$.get("/index/14",function(a){var s=$("b.unread",a).size();if (s) {var n=tMess(s),all=[],leg=(s==1)?'Сообщение':'Сообщения';$("b.unread",a).each(function(){var title = $(this).html(), href = $(this).parent().attr("href"); all.push('» <a href="'+href+'" Target="_blank">'+title+'</a>');};); new _uWnd('ls','Новые ЛС',400,74,{icon:'',align:'left'},'<img src="http://spacer-blog.ucoz.ru/Dezign/Banners/mail.png" alt="" align="left">Здравстуйте <b>Гость</b>, у вас есть непрочитанные личные сообщения!<br><fieldset><legend>'+leg+'</legend>'+all.join("<br>")+'</fieldset>');}};);setTimeout(getPM,10000)};getPM();</script>


    Удаляйте его. Он не к чему. Далее делайте перепроверку в веб мастере яндекса.

    Землянин3034, и опять же не везде поменяли ссылки и не перезалили картинки с этого радикала... я же писал в предыдущем сообщении, что ищем по всем шаблонам и убираем сторонние ссылки. Все картинки в материалах каталога файлов и статей опять же нужно перезалить к себе на сайт, чтобы не было ссылок на всякие другие ресурсы...
    Сообщение отредактировал сondor - Пятница, 20 Дек 2013, 14:25:30
    Землянин3034
    Сообщений: 18
    Репутация: 0

    Сообщение # 877 | 04:14:00 21 Дек 2013
    Цитата сondor ()
    , во всех шаблонах ищите вот такой скрипт:
    Вроде удалил.
    Всем СПАСИБО!
    А картинки на радикале даже те что в добавленых материалах? Я так то использую в основном "allpic" и "fastpic".
    Сообщение отредактировал Землянин3034 - Суббота, 21 Дек 2013, 11:05:50
    IWin
    Сообщений: 4
    Репутация: 0

    Сообщение # 878 | 19:50:34 22 Дек 2013
    Здравствуйте, помогите плз, мой сайт kontrasoft. at . ua блокирует аваст.
    Помогите найти вирус.
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 879 | 19:59:31 22 Дек 2013
    IWin, текст блокировки предоставьте
    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    IWin
    Сообщений: 4
    Репутация: 0

    Сообщение # 880 | 20:18:26 22 Дек 2013
    Список проверяемых файлов:
    1. http://kontrasoft.at.ua/js/cufon.js, тип файла: javascript
    • содержит сомнительную ссылку по версии гугла: ucoz.ru
    • содержит сомнительную ссылку по версии гугла: yandex.ru
    2. http://kontrasoft.at.ua/js/font.js, тип файла: javascript
    • содержит сомнительную ссылку по версии гугла: ucoz.ru
    • содержит сомнительную ссылку по версии гугла: yandex.ru
    3. http://kontrasoft.at.ua/js/ui.js, тип файла: javascript
    • содержит сомнительную ссылку по версии гугла: ucoz.ru
    • содержит сомнительную ссылку по версии гугла: yandex.ru
    4. http://kontrasoft.at.ua/abnl/?adsdata=d4ICjOP6!H4ushc9QvQtv954M!PTQtFSwcAqHrqvcxcFCA7HwLG2Dde81Bjlru!EERnsxhZ!YznsWd;MabZ9cXYlwqkJrLc5^KMSZi9I7E^W6wAX!Xko, тип файла: iframe html
    5. http://spotsniper.ru/?pid=6&l=DE&u0=DE%7Ca0pUv8%7C0%7Cs49&ref=, тип файла: javascript
    • содержит сомнительную ссылку по версии гугла: ucoz.ru
    • содержит сомнительную ссылку по версии гугла: yandex.ru
    • содержит сомнительную ссылку по версии гугла: ad.propellerads.com
    6. http://s49.ucoz.net/src/uwnd.js?2, тип файла: javascript
    7. http://vk.com/js/api/openapi.js?78, тип файла: javascript
    8. http://s49.ucoz.net/src/ulightbox/ulightbox.js, тип файла: javascript
    9. http://kontrasoft.at.ua, тип файла: html
    10. http://rtrgt2.com/apu.php?zoneid=1708, тип файла: javascript
    11. http://s49.ucoz.net/src/jquery-1.7.2.js, тип файла: javascript

    аваст ругается на kontrasoft .at. ua/js/ui.js

    у меня в файловом менеджере нету каталогов /js и /abnl
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 881 | 20:22:42 22 Дек 2013
    IWin, мне не нужны копипасты с ваших гсервисов проверок. мне нужен живой скрин блокировки аваста. это понятно? делайте скрин блокировки или идите разбирайтесь со своими сервисами и там вопросы задавайте

    вот эти скрипты в шаблоне битые

    Код
    <script type="text/javascript" src="http://kontrasoft.at.ua/js/cufon.js"></script>
    <script type="text/javascript" src="http://kontrasoft.at.ua/js/font.js"></script>
    <script type="text/javascript" src="http://kontrasoft.at.ua/js/ui.js"></script>


    их можно смело удалить

    после удаления опять погуляйте авастом по страницам и отпишитесь. онлайн проверки больше тут не нужны
    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    IWin
    Сообщений: 4
    Репутация: 0

    Сообщение # 882 | 20:33:38 22 Дек 2013
    да, Понятно.
    вот скрин http://s2.ipicture.ru/uploads/20131222/da5v7Zv6.jpg

    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 883 | 21:06:51 22 Дек 2013
    IWin, аваст блокирует ваш адрес. а раньше он блокировал отдельный файл kontrasoft.at.ua/js/ui.js пока вы его не удалили или сразу такая блокировка сайта была?
    вам надо обратится в тех.поддержку аваста для выяснения причин
    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    IWin
    Сообщений: 4
    Репутация: 0

    Сообщение # 884 | 22:18:34 22 Дек 2013
    webanet, Спасибо.

    Написал в т.п Аваст.
    Буду ждать
    Глафира0969
    Сообщений: 10
    Репутация: 0

    Сообщение # 885 | 13:07:50 24 Дек 2013
    Добрый день! Мне на сайт пришло такое письмо
    "ваш форум содержит вредоносный контент с сайта
    runner.fliprunner.in
    Сегодня тоже, но уже с сайта
    arabika.kushh.in"
    Это Хром выдает. Попробовала сама через Хром войти, гугл ругается, что сайт содержит вредоносное ПО.

    адрес - http://newistra.ucoz.ru/forum/

    у меня несколько картинок и таблица залиты на сайт, все остальное ссылками...
    Сообщество uCoz » Мастерская uCoz » Безопасность сайта » Вирусы на сайтах (предотвращение, диагностика)
    Поиск: