Модератор форума: Yuri_G  
Сообщество uCoz » Мастерская uCoz » Безопасность сайта » Вирусы на сайтах (предотвращение, диагностика)
Вирусы на сайтах
Модератор форума
Сообщение # 1 | 22:08:04 21 Июн 2010
Как предотвратить попадание вредоносных ссылок на сайт

  • Первое и самое главное - это запрещать использование у вас на сайте HTML тегов для всех групп пользователей, кроме администратора.

  • Запретить BB коды в чате всем группам пользователей, запрещать использование BB-коды [url]и [img], так же можно запретить использование BB кодов в гостевой и комментариях.

  • В комментариях, гостевой книге, на форуме и в мини-чате запрещать функцию Автоматически делать ссылками www и email адреса

  • Всегда помнить, что тег iframe считается потенциально опасным, и быть очень осторожным при вставке партнерок и рекламных блоков через iframe. На юкозе используются два ифрейма: это рекламный баннер и мини-чат. Это безопасные ифреймы.

  • Очень осторожно выбирать баннерные сети партнерки с рекламными блоками на сайт.




Диагностика

  • Если случилось так, что ваш антивирус или антивирусы ваших пользователей "реагируют" на ваш сайт, а так же если браузер Mozilla Firefox ставит заглушку-предупреждение на ваш сайт, а Google в выдаче метит ваш сайт, как тот, который может нанести вред вашему компьютеру, а вебмастер Яндекса высылает вам предупреждение о том, что ваш сайт заражён...
    В первую очередь нужно ознакомиться с аллертами антивируса. Большинство антивирусов выдают достаточно полную информацию о блокировке того или иного объекта на сайте, так же заглушка Firefox-а и вебмастер Google и Яндекса имеют описания вредоносного кода обнаруженного у вас на сайтеБывает так, что ваш сайт не заражен, а мог быть заражен сайт, который крутится у вас в рекламе (чаще всего такое случается с баннерными сетями или партнерками по обмену трафиком ), тем не менее вы можете получить аллерт антивируса. Сложность диагностики таких аллертов состоит в том, что баннеры и сайты подгружаемые кодом подобных партнерок могут постоянно меняться. Если вредоносный код обнаруживается у вас на сайте, тогда поисковики могут наложить фильтр на ваш сайт. Выглядит это так, что в выдаче под ссылкой на ваш сайт будет предупреждение о том, что сайт может нанести вред вашему компьютеру, а браузер Mozilla Firefox или Google Chrome или Opera будет при этом выдавать заглушку - предупреждение. В этом случае даже если сайт будет полностью очищен от вредоносного кода такие фильтры и заглушки могут висеть ещё очень долго. Чем быстрее будет очищен сайт - тем быстрее будет снят фильтр, а так же заглушки с браузеров
  • Если ваш сёрфинг по интернету сопровождается постоянной навязчивой рекламой, если вы на многих сайтах видите одну и ту же рекламу и видите её только вы (другие пользователи не наблюдают подобных отклонений), если вы пишете сообщения на форумах, чатах, гостевых и т.д и в ваши сообщения встраиваются посторонние ссылки или рекламные объявления, то есть если у вас сходные отклонения не на одном, а на целой серии различных сайтов, то стоит очистить свой компьютер от вирусов.
  • Если вдруг у вас на сайте появилось всплывающее окно, что-то на подобии формы входа, где нужно ввести логин и пароль, то естественно свои данные вводить не стоит, а стоит присмотреться к всплывающему окну, а именно к его адресу или заголовку. Адрес или заголовок такого окна всегда отличен от адреса и заголовка вашего сайта.
    Для поиска транслятора всплывающего окна нужно проверить все модули, где у вас разрешен BB код для пользователей. Чаще всего подобное подсаживают через мини-чат с разрешенными BB-кодами в нем. Ваша задача найти инородную картинку (чаще всего смайлик)


Правила подачи заявки на диагностику и поиск вредоносного кода на сайте

  • Вы должны предоставить ссылку на сайт!

  • Вы должны дать описание проблемы:

    1) на какой странице сайта обнаруживается проблема (ссылка)

    2) проблема обнаруживается только под логином или под гостем тоже

    3) если реагирует антивирус, то назовите свой антивирус, и предоставьте текст или четкий скриншот блокировки

    4) если сайт блокируется браузером, то назовите свой браузер и предоставьте текст блокировки


    Полезные ссылки:


    Так как большинство случаев заражения сайтов является плодом неумелого обращения с готовыми скриптами, а так же с готовыми элементами дизайна для сайтов найденными в сети, то перед тем как внедрить на сайт найденный в сети скрипт стоит ознакомиться со следующими темами:


    rjkzy
    Сообщений: 8
    Репутация: 0

    Сообщение # 241 | 22:01:16 05 Июл 2013
    Наконец то нашел на сайте http://rubanovka.ucoz.ru html/scrinject.B.Gen вирус . Но с большим прискорбием для себя обнаружил, что вешает его на сайт само сообщество ucoz.ru.
    Вот этот вирус - смотреть взят с исходного кода сайта.
    Вот независимые результаты проверки - смотреть
    Этот зловредный скрипт не что иное, как угловой банер от ucoz.ru.
    (Проверьте, вставив скрипт в html редактор для проверки скриптов)
    И что мне теперь делать, ведь это не я вирус на сайт поставил.
    И почему Вы удаляете мои сообщения о вашем вирусе без всякого ответа?
    Или это не тот форум?
    И чуть не забыл. В кодах и скриптах самого сайта вирусов нету,
    и нет необходимости их там искать,
    вот результаты сегодняшней проверки - смотреть
    Сообщение отредактировал rjkzy - Пятница, 05 Июл 2013, 23:34:11
    Maksi9999999749
    Сообщений: 21
    Репутация: 1

    Сообщение # 242 | 00:10:40 06 Июл 2013
    Цитата (rjkzy)
    Наконец то нашел на сайте http://rubanovka.ucoz.ru html/scrinject.B.Gen вирус . Но с большим прискорбием для себя обнаружил, что вешает его на сайт само сообщество ucoz.ru.

    Читайте посты выше. Удалите скрипт кнопки и посылайте сайт на перепроверку, сам напоролся на эти грабли.
    yanat
    Сообщений: 21
    Репутация: 2

    Сообщение # 243 | 00:52:09 06 Июл 2013
    Цитата (webanet)
    уберите с сайта код однакнопка
    При повторной проверке, Яндекс выдаёт вот такое сообщение и даёт список ссылок на мой сайт.
    Почему в конце ссылок есть странное окончание ( ?utm_campaign=etabak.kz ), как оно туда попало и что с ними делать?

    "Яндекс проверяет страницы сайта выборочно, поэтому список зараженных страниц может быть неполным. Пожалуйста, проверьте и другие страницы, а
    также элементы, общие для всех страниц.
    "

    http://pozitiv-ru.com/dir
    http://pozitiv-ru.com/dir/1-1-0-3990 ?utm_campaign=etabak.kz
    http://pozitiv-ru.com/news....22-1163
    http://pozitiv-ru.com/news....-23-958
    http://pozitiv-ru.com/publ/2-1-0-2137 ?utm_campaign=etabak.kz
    http://pozitiv-ru.com/publ/2-1-0-2150?utm_campaign=etabak.kz
    Сообщение отредактировал yanat - Суббота, 06 Июл 2013, 00:53:13
    driver5632
    Сообщений: 1
    Репутация: 0

    Сообщение # 244 | 09:27:47 06 Июл 2013
    удалено. сайт не находится в системе uCoz
    Сообщение отредактировал webanet - Суббота, 06 Июл 2013, 11:22:16
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 245 | 11:26:45 06 Июл 2013
    yanat, когда была последняя перепроверка? я хочу видеть дату. отдайте ещё раз или пишите в тех.поддержку яндекса из вебмастера

    и не забудьте удалить виджет амунгасса. там тоже вшита реклама

    Код
    <script id="_wauxhm">var _wau = _wau || [];
    _wau.push(["map", "kkzauksk70nq", "xhm", "88", "31", "night", "spinner-black"]);
    (function() {var s=document.createElement("script"); s.async=true;
    s.src="http://widgets.amung.us/map.js";
    document.getElementsByTagName("head")[0].appendChild(s);
    };));</script>
    находится сразу рядом со счетчиком ливы

    и старайтесь не замусоривать сайт сторонними виджетами, кнопка и любым другим функционалом.
    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 246 | 11:53:41 06 Июл 2013
    Flicka18, замените на страницах кнопку однакнопка на кнопки яндекса http://api.yandex.ru/share/
    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    yanat
    Сообщений: 21
    Репутация: 2

    Сообщение # 247 | 14:54:09 06 Июл 2013
    Цитата (webanet)
    виджет амунгасса
    Удалила.
    Вот скрин последней проверки, в тех.поддержку написала, ответа ёщё не было.
    А что на счёт окончаний в моих ссылках ?

    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 248 | 15:14:05 06 Июл 2013
    11yanat, если нажать на ссылку поведенческий анализ или на вопрос там есть инфа? и какая
    ждите ответа от тех.поддержки
    поведенческим яндекс ещё клеймит страницы с переобилием рекламы. на сайте уже вроде нет ничего криминального ждите ответа от тех.поддержки. если напишут что проблема осталась требуйте образцы кода
    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    yanat
    Сообщений: 21
    Репутация: 2

    Сообщение # 249 | 20:46:58 06 Июл 2013
    Цитата (webanet)
    если нажать на ссылку поведенческий анализ или на вопрос там есть инфа?
    ссылки не нажимаются, а с инфы перебрасывает вот на такую страницу



    Добавлено (06 Июл 2013, 20:46:58)
    ---------------------------------------------
    Цитата (webanet)
    если напишут
    Вот ответ в письменном виде на мой вопрос в службу поддержки Яндекс.ru -
    Цитата
    Здравствуйте !

    Источником заражения являются js-скрипты сервиса http://odnaknopka.ru/ , которые находятся на Вашем сайте.
    При обращении к odnaknopka.ru/ok2.js с User-Agent мобильного устройства, происходит автоматическое перенаправление посетителей на вредоносные цели.
    Советую Вам обратиться к владельцам данного сервиса за комментариями
    относительно присутствия вредоносного кода для пользователей мобильных
    устройств.


    Вот такие пироги, данная кнопка была удалена.
    Надеюсь метка в результатах поиска с моего сайта будет снята.
    Когда снимут метку, отпишусь.
    На данном этапе всем спасибо, особая благодарность "webanet"
    Прикрепления: 4307918.jpg (80.6 Kb)
    Сообщение отредактировал yanat - Суббота, 06 Июл 2013, 21:03:59
    rjkzy
    Сообщений: 8
    Репутация: 0

    Сообщение # 250 | 00:02:05 07 Июл 2013
    Цитата
    Наконец то нашел на сайте http://rubanovka.ucoz.ru html/scrinject.B.Gen вирус . Но с большим прискорбием для себя обнаружил, что вешает его на сайт само сообщество ucoz.ru.
    Вот этот вирус - смотреть взят с исходного кода сайта.
    Вот независимые результаты проверки - смотреть
    Этот зловредный скрипт не что иное, как угловой банер от ucoz.ru.
    (Проверьте, вставив скрипт в html редактор для проверки скриптов)
    И что мне теперь делать, ведь это не я вирус на сайт поставил.
    И почему Вы удаляете мои сообщения о вашем вирусе без всякого ответа?
    Или это не тот форум?
    И чуть не забыл. В кодах и скриптах самого сайта вирусов нету,
    и нет необходимости их там искать,
    вот результаты сегодняшней проверки - смотреть


    Цитата
    Наконец то нашел на сайте http://rubanovka.ucoz.ru html/scrinject.B.Gen вирус . Но с большим прискорбием для себя обнаружил, что вешает его на сайт само сообщество ucoz.ru.

    Читайте посты выше. Удалите скрипт кнопки и посылайте сайт на перепроверку, сам напоролся на эти грабли.


    Maksi9999999749!

    Сам то давно был на перепроверке? lol

    Неприятно одно, что Личный менеджер попросту молчит, не зная . что ответить, а случайно зашедшие дебилы лезут с советами, не прочтя предыдущие посты и кому они направлены и причем тут какие - то соц. кнопки, которых на сайте http://rubanovka.ucoz.ru/ никогда не было и никогда не будет.
    Я же указал конкректный скрипт, вставленный ucoz.ru (<script type="text/javascript" src="http://spotsniper.ru/?pid=2&u0=aWOiTS&ref=http%3A%2F%2Frubanovka.ucoz.ru%2F"></script>) , который ESET считает вирусом и указзал конкректные результаты проверки
    Сообщение отредактировал rjkzy - Воскресенье, 07 Июл 2013, 00:27:04
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 251 | 00:25:25 07 Июл 2013
    rjkzy, вы любите онлайн проверки? вы получите их
    вот результат по ссылке, которая вам мешает жить

    https://www.virustotal.com/ru....3142113

    а если вы будете и дальше называть пользователей дебилами и устраивать холивар на ровном месте, то вам придется остаться с онлайн проверками наедине.
    если ваш антивирус реагирует на сайт, то предоставьте полные отчеты антивируса по блокировкам и дату последнего обновления
    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    rjkzy
    Сообщений: 8
    Репутация: 0

    Сообщение # 252 | 00:43:26 07 Июл 2013
    Вот результаты проверки "вашего не вирусного скрипта" на сейчас: https://www.virustotal.com/ru....3143097
    а то, что пользователь Maksi9999999749 влез в то. что не доганяет я за него извиняюсь.
    Какие еще отчеты антивируса вам нужны?
    Сообщение отредактировал rjkzy - Воскресенье, 07 Июл 2013, 00:59:10
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 253 | 02:17:50 07 Июл 2013
    rjkzy,
    Цитата
    Какие еще отчеты антивируса вам нужны?
    именно антивируса, а не запакованного скрипта в файлик
    что конкретно пишет антивирус, когда ругается на ваш сайт. не онлайн проверки, а сам антивирус
    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    rjkzy
    Сообщений: 8
    Репутация: 0

    Сообщение # 254 | 12:38:41 07 Июл 2013
    Цитата
    именно антивируса, а не запакованного скрипта в файлик
    что конкретно пишет антивирус, когда ругается на ваш сайт. не онлайн проверки, а сам антивирус

    Вот, что конкректно пишет ESET смотреть
    А при входе как пользватель такой "страшилки" не появляется потому что не выводится этот зловредный скрипт.
    Сообщение отредактировал rjkzy - Воскресенье, 07 Июл 2013, 12:53:52
    zuzikisa
    Сообщений: 26
    Репутация: 2

    Сообщение # 255 | 15:04:03 07 Июл 2013
    у нас на сайте выдают угрозу вируса
    http://hrithikroshan-best.ru/
    Сообщество uCoz » Мастерская uCoz » Безопасность сайта » Вирусы на сайтах (предотвращение, диагностика)
    Поиск: