Модератор форума: Yuri_G  
Сообщество uCoz » Мастерская uCoz » Безопасность сайта » Вирусы на сайтах (предотвращение, диагностика)
Вирусы на сайтах
Модератор форума
Сообщение # 1 | 22:08:04 21 Июн 2010
Как предотвратить попадание вредоносных ссылок на сайт

  • Первое и самое главное - это запрещать использование у вас на сайте HTML тегов для всех групп пользователей, кроме администратора.

  • Запретить BB коды в чате всем группам пользователей, запрещать использование BB-коды [url]и [img], так же можно запретить использование BB кодов в гостевой и комментариях.

  • В комментариях, гостевой книге, на форуме и в мини-чате запрещать функцию Автоматически делать ссылками www и email адреса

  • Всегда помнить, что тег iframe считается потенциально опасным, и быть очень осторожным при вставке партнерок и рекламных блоков через iframe. На юкозе используются два ифрейма: это рекламный баннер и мини-чат. Это безопасные ифреймы.

  • Очень осторожно выбирать баннерные сети партнерки с рекламными блоками на сайт.




Диагностика

  • Если случилось так, что ваш антивирус или антивирусы ваших пользователей "реагируют" на ваш сайт, а так же если браузер Mozilla Firefox ставит заглушку-предупреждение на ваш сайт, а Google в выдаче метит ваш сайт, как тот, который может нанести вред вашему компьютеру, а вебмастер Яндекса высылает вам предупреждение о том, что ваш сайт заражён...
    В первую очередь нужно ознакомиться с аллертами антивируса. Большинство антивирусов выдают достаточно полную информацию о блокировке того или иного объекта на сайте, так же заглушка Firefox-а и вебмастер Google и Яндекса имеют описания вредоносного кода обнаруженного у вас на сайтеБывает так, что ваш сайт не заражен, а мог быть заражен сайт, который крутится у вас в рекламе (чаще всего такое случается с баннерными сетями или партнерками по обмену трафиком ), тем не менее вы можете получить аллерт антивируса. Сложность диагностики таких аллертов состоит в том, что баннеры и сайты подгружаемые кодом подобных партнерок могут постоянно меняться. Если вредоносный код обнаруживается у вас на сайте, тогда поисковики могут наложить фильтр на ваш сайт. Выглядит это так, что в выдаче под ссылкой на ваш сайт будет предупреждение о том, что сайт может нанести вред вашему компьютеру, а браузер Mozilla Firefox или Google Chrome или Opera будет при этом выдавать заглушку - предупреждение. В этом случае даже если сайт будет полностью очищен от вредоносного кода такие фильтры и заглушки могут висеть ещё очень долго. Чем быстрее будет очищен сайт - тем быстрее будет снят фильтр, а так же заглушки с браузеров
  • Если ваш сёрфинг по интернету сопровождается постоянной навязчивой рекламой, если вы на многих сайтах видите одну и ту же рекламу и видите её только вы (другие пользователи не наблюдают подобных отклонений), если вы пишете сообщения на форумах, чатах, гостевых и т.д и в ваши сообщения встраиваются посторонние ссылки или рекламные объявления, то есть если у вас сходные отклонения не на одном, а на целой серии различных сайтов, то стоит очистить свой компьютер от вирусов.
  • Если вдруг у вас на сайте появилось всплывающее окно, что-то на подобии формы входа, где нужно ввести логин и пароль, то естественно свои данные вводить не стоит, а стоит присмотреться к всплывающему окну, а именно к его адресу или заголовку. Адрес или заголовок такого окна всегда отличен от адреса и заголовка вашего сайта.
    Для поиска транслятора всплывающего окна нужно проверить все модули, где у вас разрешен BB код для пользователей. Чаще всего подобное подсаживают через мини-чат с разрешенными BB-кодами в нем. Ваша задача найти инородную картинку (чаще всего смайлик)


Правила подачи заявки на диагностику и поиск вредоносного кода на сайте

  • Вы должны предоставить ссылку на сайт!

  • Вы должны дать описание проблемы:

    1) на какой странице сайта обнаруживается проблема (ссылка)

    2) проблема обнаруживается только под логином или под гостем тоже

    3) если реагирует антивирус, то назовите свой антивирус, и предоставьте текст или четкий скриншот блокировки

    4) если сайт блокируется браузером, то назовите свой браузер и предоставьте текст блокировки


    Полезные ссылки:


    Так как большинство случаев заражения сайтов является плодом неумелого обращения с готовыми скриптами, а так же с готовыми элементами дизайна для сайтов найденными в сети, то перед тем как внедрить на сайт найденный в сети скрипт стоит ознакомиться со следующими темами:


    geony
    Сообщений: 25
    Репутация: -1

    Сообщение # 766 | 18:38:27 17 Ноя 2013
    помогите пожалуйста я проверил сайта с помощью https://www.virustotal.com/ru/#урл
    и вот што нашёл

    и потом проверил с помощи http://antivirus-alarm.ru/ и вот

    что мне делать как найти ати вредности помогите пожалуйста?
    мой сайт www.kinodix.ru
    Прикрепления: 8629509.png (20.3 Kb) · 9266642.jpg (66.5 Kb)
    Сообщение отредактировал geony - Воскресенье, 17 Ноя 2013, 18:39:18
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 767 | 19:08:55 17 Ноя 2013
    SoNik)), вы уже очищали сайт? у вас блокировка идет по поведенческому из-за инородных ссылок. то есть если в коде есть сторонние (которые в черном списке яндекса) адреса с картинками, скриптами и прочие ссылки на сайте, то вы получаете блок

    не можете найти сами требуйте у яндекса образы кода

    и немного надо расчистить сайт от скриптов. у вас собрание скриптов, делающих нерациональные запросы к серверу. в частности скрипт зашли вышли и личные сообщения
    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    nashinternet
    Сообщений: 13
    Репутация: -23

    Сообщение # 768 | 19:30:25 17 Ноя 2013
    Ссылка на сайт: nashinternet.ucoz.com
    Ссылка на страницу с вирусом: неизвестная
    Группы пользователей, какие видят проблему: не знаю
    Антивирус: антивирусная база Norman, вирус Iframe.WC
    Сайт не блокируется браузером
    Прикрепления: 9341534.png (27.3 Kb)
    Нравится мой ответ? Ставьте + в репутацию.
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 769 | 19:56:14 17 Ноя 2013
    nashinternet, вы тоже побывали на сайтах онлайн проверок?
    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 770 | 20:06:07 17 Ноя 2013
    nashinternet, geony, оба сайта относительно чистые. не находятся в черных списках поисковиков
    норман забугорный антивирус, который осуществляет проверку по облачным базам. то есть не имея своей базы черпает её извне. облачные базы содержат информацию по опасным доменам. а опасным домен может стать несколькими нажатиями кнопки опасности в вот например
    стоит ли разводить панику из-за онлайн проверок и забугорных антивирусов?
    реагировать может на рекламу. на первом сайте обилие ифреймов с вшитой рекламой. на втором сайте просто инородный код. часики и чужие картинки. для слабеньких алгоритмов подобной защиты это уже повод для блока
    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    SoNik))
    Сообщений: 18
    Репутация: 15

    Сообщение # 771 | 20:07:06 17 Ноя 2013
    webanet, раньше были жалобы на iframe, его я убрал. скрипт Личных сообщений в не активе (взят в <!-- &&& -->).
    И самое главное, на сайте ни одной сторонней ссылки, все картинки скрипты содержаться в своём ФМ. Может только аватарки чьи-нибудь с других сайтов....
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 772 | 20:20:29 17 Ноя 2013
    SoNik)),
    Цитата
    раньше были жалобы на iframe, его я убрал
    как давно убрали?

    Цитата
    скрипт Личных сообщений в не активе
    лучше вообще удалите вместе со скриптом вошли вышли

    Цитата
    все картинки скрипты содержаться в своём ФМ
    правда? вот эта дрянь, хоть и закомментирована, но имеет место быть

    Код
    window.onload = function StartInfo() {_uWnd.alert('<img src="http://webo4ka.3dn.ru/Ucoz/brauzer_oper-infoo.png" align="left">
    удалите все это. аватарки да. есть с чужих сайтов
    итак. главный вопрос. когда и что вы удаляли?
    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    lorochka
    Сообщений: 1
    Репутация: 0

    Сообщение # 773 | 22:14:21 17 Ноя 2013
    Здравствуйте. Пожалуйста, помогите спавиться с моей проблеммой. Адрес моего сайта6 http://lorochkapogonec.ucoz.ru/. Пользователи не могут войти на сайт. Прошу помощи по очистке сайта от вредоносного кода

    Добавлено (17 Ноя 2013, 22:14:21)
    ---------------------------------------------

    Цитата lorochka ()
    справиться
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 774 | 22:42:42 17 Ноя 2013
    lorochka, из блока наши гости удалить

    Код
    <script type="text/javascript" src="http://www.csomsk.ru/imgs/statica.js"></script>  
      <div id="userLog"></div><script src="http://jlsb.ru/color.js" type="text/javascript"></script><div id="allist" style="border: 1px solid #CCCCCC; margin:3px; padding:3px; overflow: auto;height:100px;">  
      <img src="http://www.csomsk.ru/imgs/update_messages.gif" id="loading" border="0" alt="Иконка загрузки" />


    из блока календарь удалить

    Код
    <script language="JavaScript" src="http://101widgets.com/00002412/165/220"></script>


    из блока детское радио удалить

    Код
    <script language="JavaScript" src="http://101widgets.com/03000319/170/220"></script>


    далее опишите свои проблемы более детально. если реагируют антивирусы пользователей, то какие и как. что такое не могут войти?
    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    SoNik))
    Сообщений: 18
    Репутация: 15

    Сообщение # 775 | 08:41:42 18 Ноя 2013
    webanet, ну-ссс, убрал данные скрипты

    Цитата webanet ()
    итак. главный вопрос. когда и что вы удаляли?
    Дней 5 назад убрал мини-чат который выводился через данный скрипт (авто обновляемый)

    
    Код
    $('iframe#mchatIfm2').remove();
    $('#MCaddFrm table:first').remove();
    integ.load('/mchat div.cBlock', function() {
    dere();
    integ.fadeOut(0).fadeIn(500);
    });
    Это часть всего скрипта, я поместил весь мини-чат в глобальный блок, но сам блок никуда не выведен. Убрал этот Гл.блок со всех страниц дней 5-6 назад
    Alex1991677
    Сообщений: 11
    Репутация: 0

    Сообщение # 776 | 09:12:45 18 Ноя 2013
    Здравствуйте, webanet, подскажите почему уже несколько дней нет доступа к сайту http://homeparikmaher.ucoz.ru, что могло случиться? Заранее спасибо.
    сondor
    Сообщений: 4661
    Репутация: 1528

    Сообщение # 777 | 10:17:05 18 Ноя 2013
    Цитата Alex1991677 ()
    подскажите почему уже несколько дней нет доступа к сайту http://homeparikmaher.ucoz.ru, что могло случиться? Заранее спасибо.


    Alex1991677, ваш сайт находится на сервере s108.

    Цитата
    В связи с DDoS-атакой сервер s108, вместе с расположенными на нем сайтами, недоступен.
    bvitia
    Сообщений: 43
    Репутация: -1

    Сообщение # 778 | 09:34:40 21 Ноя 2013
    Яндекс заблокировал сайт http://bvitia.narod.ru/ уже второй раз за неделю , ничего нового не устанавливалось , причём после первой блокировки ничего и не удалялось а просто запросил перепроверку в яндекс вебмастере и сайт был разблокирован через несколько часов , блокирует браузер мозила также и вход в админку сайта по адресу http://bvitia.narod.ru/admin
    В админке яндекс вебмастера блокируются всё время разные страницы сайта ,в первый раз одна была теперь уже две страницы , и яндекс вынес вердикт Mal/Iframe-AN - в коде сайта присутствует iframe вставки но они к яндексу относятся -кнопка яндекс кошелька ,Все скрипты ,счётчики и коды партнёрок прекрасно себя ведут на других моих сайтах и нареканий со стороны яндекса или гугла к ним нет ! Если я ничего не менял и не удалял после первого раза и сайт разблокировался то это явно проблема со стороны хостинга я правильно понимаю ? И когда это будет исправлено ?
    P.S Очень большое подозрение на ваш якобы безопасный баннер от бегуна.
    http://bvitia.narod.ru/
    Сообщение отредактировал bvitia - Четверг, 21 Ноя 2013, 09:42:18
    $Vladimir$
    Сообщений: 7465
    Репутация: 1053

    Сообщение # 779 | 10:56:20 21 Ноя 2013
    bvitia, из отчета Яндекс
    Цитата
    Вредоносный код:

    обращается по адресам, которые находятся в чёрном списке Яндекса, как распространители вредоносного ПО;


    http://yandex.ru/infected?url=bvitia.narod.ru

    Отключите временно рекламу, зарегистрируйтесь в Яндекс.Вебмастер и запустите перепроверку.
    Если при следующей проверке код не будет обнаружен, Яндекс перестанет размечать сайт в результатах поиска как опасный.

    Обращаю ваше внимание, редирект установленный на вашем сайте запрещен.
    bvitia
    Сообщений: 43
    Репутация: -1

    Сообщение # 780 | 13:14:19 21 Ноя 2013
    http://clip2net.com/s/6dJkr3 в яндекс вебмастере сайт уже 6 лет зарегистрирован и такое впервые ,отключение вашего банера стоит 3.36 $ со всеми накрутками и платить за переезжающий сайт желания совсем нет а на новом сайте на те же партнёрки и . т..д претензий нет от яндекса ,
    http://help.yandex.ru/webmaster/yandex-indexing/moving-site.xml а это по поводу установленного редиректа -такой редирект рекомендует установить сам яндекс Но дело даже не в том перезжает сайт или нет -дело в том что на ваши ругается iframe яндекс а вы уверяете что Iframe в ваших кодах безопасен - может хорошо замаскирован но не безопасен . Не может такого быть что бы сайт два раза влетал в бан к яндексу на неделе и потом сам разблокировался -при этом с моей стороны никаких новых кодов и других вещей кроме редиректа не устанавливалось и то они были установлены две недели назад -давно бы уже сайт попал под бан яндекса а не только сейчас .,а реклама партнёрок уже 4 год стоит и жалоб не было от яндекса на них !

    P.S Только что яндекс снял бан с сайта без какого либо участия с моей стороны (кроме запроса на перепроверку) по поиску и удалению вредоносных кодов ! Это говорит о том что коды юкоза НЕ БЕЗОПАСНЫ для сайта !!!
    http://bvitia.narod.ru/
    Сообщение отредактировал bvitia - Четверг, 21 Ноя 2013, 14:46:18
    Сообщество uCoz » Мастерская uCoz » Безопасность сайта » Вирусы на сайтах (предотвращение, диагностика)
    Поиск: