Модератор форума: Yuri_G  
Сообщество uCoz » Мастерская uCoz » Безопасность сайта » Вирусы на сайтах (предотвращение, диагностика)
Вирусы на сайтах
Модератор форума
Сообщение # 1 | 22:08:04
Как предотвратить попадание вредоносных ссылок на сайт

  • Первое и самое главное - это запрещать использование у вас на сайте HTML тегов для всех групп пользователей, кроме администратора.

  • Запретить BB коды в чате всем группам пользователей, запрещать использование BB-коды [url]и [img], так же можно запретить использование BB кодов в гостевой и комментариях.

  • В комментариях, гостевой книге, на форуме и в мини-чате запрещать функцию Автоматически делать ссылками www и email адреса

  • Всегда помнить, что тег iframe считается потенциально опасным, и быть очень осторожным при вставке партнерок и рекламных блоков через iframe. На юкозе используются два ифрейма: это рекламный баннер и мини-чат. Это безопасные ифреймы.

  • Очень осторожно выбирать баннерные сети партнерки с рекламными блоками на сайт.




Диагностика

  • Если случилось так, что ваш антивирус или антивирусы ваших пользователей "реагируют" на ваш сайт, а так же если браузер Mozilla Firefox ставит заглушку-предупреждение на ваш сайт, а Google в выдаче метит ваш сайт, как тот, который может нанести вред вашему компьютеру, а вебмастер Яндекса высылает вам предупреждение о том, что ваш сайт заражён...
    В первую очередь нужно ознакомиться с аллертами антивируса. Большинство антивирусов выдают достаточно полную информацию о блокировке того или иного объекта на сайте, так же заглушка Firefox-а и вебмастер Google и Яндекса имеют описания вредоносного кода обнаруженного у вас на сайтеБывает так, что ваш сайт не заражен, а мог быть заражен сайт, который крутится у вас в рекламе (чаще всего такое случается с баннерными сетями или партнерками по обмену трафиком ), тем не менее вы можете получить аллерт антивируса. Сложность диагностики таких аллертов состоит в том, что баннеры и сайты подгружаемые кодом подобных партнерок могут постоянно меняться. Если вредоносный код обнаруживается у вас на сайте, тогда поисковики могут наложить фильтр на ваш сайт. Выглядит это так, что в выдаче под ссылкой на ваш сайт будет предупреждение о том, что сайт может нанести вред вашему компьютеру, а браузер Mozilla Firefox или Google Chrome или Opera будет при этом выдавать заглушку - предупреждение. В этом случае даже если сайт будет полностью очищен от вредоносного кода такие фильтры и заглушки могут висеть ещё очень долго. Чем быстрее будет очищен сайт - тем быстрее будет снят фильтр, а так же заглушки с браузеров
  • Если ваш сёрфинг по интернету сопровождается постоянной навязчивой рекламой, если вы на многих сайтах видите одну и ту же рекламу и видите её только вы (другие пользователи не наблюдают подобных отклонений), если вы пишете сообщения на форумах, чатах, гостевых и т.д и в ваши сообщения встраиваются посторонние ссылки или рекламные объявления, то есть если у вас сходные отклонения не на одном, а на целой серии различных сайтов, то стоит очистить свой компьютер от вирусов.
  • Если вдруг у вас на сайте появилось всплывающее окно, что-то на подобии формы входа, где нужно ввести логин и пароль, то естественно свои данные вводить не стоит, а стоит присмотреться к всплывающему окну, а именно к его адресу или заголовку. Адрес или заголовок такого окна всегда отличен от адреса и заголовка вашего сайта.
    Для поиска транслятора всплывающего окна нужно проверить все модули, где у вас разрешен BB код для пользователей. Чаще всего подобное подсаживают через мини-чат с разрешенными BB-кодами в нем. Ваша задача найти инородную картинку (чаще всего смайлик)


Правила подачи заявки на диагностику и поиск вредоносного кода на сайте


  • Вы должны предоставить ссылку на сайт!

  • Вы должны дать описание проблемы:

    1) на какой странице сайта обнаруживается проблема (ссылка)

    2) проблема обнаруживается только под логином или под гостем тоже

    3) если реагирует антивирус, то назовите свой антивирус, и предоставьте текст или четкий скриншот блокировки

    4) если сайт блокируется браузером, то назовите свой браузер и предоставьте текст блокировки


    Полезные ссылки:


    Так как большинство случаев заражения сайтов является плодом неумелого обращения с готовыми скриптами, а так же с готовыми элементами дизайна для сайтов найденными в сети, то перед тем как внедрить на сайт найденный в сети скрипт стоит ознакомиться со следующими темами:


    Wonk
    Сообщений: 40
    Репутация: 9

    Сообщение # 2326 | 21:43:40
    webanet, писал уже. Они говорят, что фильтр установили не случайно и редирект на сайте наблюдается. Редиректы фиксировались на вредоносные домены:
     
    При этом я ни разу не наблюдал его и не понимаю откуда он может проходить, потому что ничего вредоносного не устанавливал.

    Добавлено (17 Дек 2019, 21:56:23)
    ---------------------------------------------
    Платон отвечает, что образцов кода у них нет

    webanet
    Сообщений: 24068
    Репутация: 4985

    Сообщение # 2327 | 23:59:14
    Wonk, залейте свою страницу 404 https://forum.ucoz.ru/forum/24-722-1 и пусть проверят снова есть ли редирект

    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    natashus
    Сообщений: 3
    Репутация: 0

    Сообщение # 2328 | 06:26:01
    Извините за запоздавший ответ. Аваст не дает зайти на сайт, сразу "бьет тревогу" и вот...
    Прикрепления: 7300983.jpg(71.0 Kb)
    $Vladimir$
    SUPPORT
    Сообщений: 7260
    Репутация: 1019

    Сообщение # 2329 | 06:56:01
    natashus, проверьте наличие проблемы с открытием сайта теперь. Шаблон сайта был очищен  от вредоносного кода.

    natashus
    Сообщений: 3
    Репутация: 0

    Сообщение # 2330 | 14:13:36
    Большое спасибо!!!
    key057
    Сообщений: 2
    Репутация: 0

    Сообщение # 2331 | 22:06:49
    Здравствуйте, тоже столкнулся с такой же проблемой как у kirill_egorov93, Alexander0041, Wonk, автодобавление переменной $AJAX_JS$ в <IFRAME> с редиректами на рекламу от https://contentika.com/abtest или https://thisagoodpage.com/add Сайт https://key057.at.ua/
    webanet
    Сообщений: 24068
    Репутация: 4985

    Сообщение # 2332 | 22:25:29
    key057, проверьте наличие проблемы ещё раз

    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    Wonk
    Сообщений: 40
    Репутация: 9

    Сообщение # 2333 | 22:36:21
    Цитата webanet ()
    Wonk, залейте свою страницу 404 https://forum.ucoz.ru/forum/24-722-1 и пусть проверят снова есть ли редирект

    В каком смысле? Как это поможет моей ситуации?
    key057
    Сообщений: 2
    Репутация: 0

    Сообщение # 2334 | 00:18:42
    webanet, спасибо, проверил с разных IP - сейчас нету, буду наблюдать. Заметил где-то с октября эти скрытые ифреймы, была contentika.com, а пару дней назад появилась thisagoodpage.com, редиректы такие же, на Алиэкспрес, Табао.
    pomna
    Сообщений: 3
    Репутация: 0

    Сообщение # 2335 | 21:35:53
    Здравствуйте!
    Аналогично упомянутым случаям, грузится iframe с попыткой подтянуть данные из https://thisagoodpage.com/add
    Заметили также, что некоторые страницы сайта стали справа иметь гигантское пустое поле (можно долго скролить мышкой).
    В консоли браузера после загрузки страницы секунд через 5-10 начинает сыпаться куча ошибок.
    Пример страницы https://gdvsale.ru/index/0-6
    Проблема видна и под гостем, и под юзером. Можете посмотреть?
    webanet
    Сообщений: 24068
    Репутация: 4985

    Сообщение # 2336 | 22:33:58
    pomna, проверьте наличие проблемы

    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    pomna
    Сообщений: 3
    Репутация: 0

    Сообщение # 2337 | 23:15:07
    webanet, "левые" фреймы в структуре документа исчезли, спасибо! А с большим пустым полем справа страницы будем разбираться - пока осталось (может сами где в шаблонах накосячили).

    Добавлено (22 Дек 2019, 23:45:50)
    ---------------------------------------------
    webanet, у нас в самом низу каждой странички появился текст "-->". Анализ структуры показал, что это кусок JS скрипта счетчика яндекса. Счетчик ставился не руками, а через SEO модуль. Выключение Яндекс.Метрики в SEO модуле приводит к исчезновению этого незакрытого тега.
    Вопрос: это последствия чистки кода от зловреда, или у нас кривые ручки?..  wink

    Добавлено (23 Дек 2019, 00:14:01)
    ---------------------------------------------
    webanet, апдейт. Причина незакрытых тегов в том, что "нечто" связанное с кодом я-метрики втыкается в код используя переменную $powered_by$, которая у меня везде была закомментирована вот так: <!-- $POWERED_BY$ -->. Раскомментирование и перенос после тега html решило эту проблему, но осадочек остался.

    webanet
    Сообщений: 24068
    Репутация: 4985

    Сообщение # 2338 | 01:09:21
    pomna, удалите код копирайта вообще. ваш тариф позволяет это сделать. нельзя применять к копирайту комментирование либо другое форматирование, мешающее отображению. удалите полностью и все. на сайте без тарифа это все закончилось бы баном

    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    pomna
    Сообщений: 3
    Репутация: 0

    Сообщение # 2339 | 21:56:38
    Цитата webanet ()
    удалите код копирайта вообще. ваш тариф позволяет это сделать
    Пробовала. Тариф позволяет, а движок нет :-) . При попытке сохранения шаблона без этой переменной ругается "в коде отсутствует powered_by". А так как сайт с тарифом, я подумала что это баг, и обошла его вот так.
    webanet
    Сообщений: 24068
    Репутация: 4985

    Сообщение # 2340 | 22:02:19
    pomna, это баг новой панели управления. перейдите в старую и все сохранится нормально и без этого кода. а ваше комментирование накладывается на комментирование копирайта и получается, что вылазит лишний кусок

    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    Сообщество uCoz » Мастерская uCoz » Безопасность сайта » Вирусы на сайтах (предотвращение, диагностика)
    Поиск: