Модератор форума: Yuri_G  
Сообщество uCoz » Мастерская uCoz » Безопасность сайта » Вирусы на сайтах (предотвращение, диагностика)
Вирусы на сайтах
Модератор форума
Сообщение # 1 | 22:08:04 21 Июн 2010
Как предотвратить попадание вредоносных ссылок на сайт

  • Первое и самое главное - это запрещать использование у вас на сайте HTML тегов для всех групп пользователей, кроме администратора.

  • Запретить BB коды в чате всем группам пользователей, запрещать использование BB-коды [url]и [img], так же можно запретить использование BB кодов в гостевой и комментариях.

  • В комментариях, гостевой книге, на форуме и в мини-чате запрещать функцию Автоматически делать ссылками www и email адреса

  • Всегда помнить, что тег iframe считается потенциально опасным, и быть очень осторожным при вставке партнерок и рекламных блоков через iframe. На юкозе используются два ифрейма: это рекламный баннер и мини-чат. Это безопасные ифреймы.

  • Очень осторожно выбирать баннерные сети партнерки с рекламными блоками на сайт.




Диагностика

  • Если случилось так, что ваш антивирус или антивирусы ваших пользователей "реагируют" на ваш сайт, а так же если браузер Mozilla Firefox ставит заглушку-предупреждение на ваш сайт, а Google в выдаче метит ваш сайт, как тот, который может нанести вред вашему компьютеру, а вебмастер Яндекса высылает вам предупреждение о том, что ваш сайт заражён...
    В первую очередь нужно ознакомиться с аллертами антивируса. Большинство антивирусов выдают достаточно полную информацию о блокировке того или иного объекта на сайте, так же заглушка Firefox-а и вебмастер Google и Яндекса имеют описания вредоносного кода обнаруженного у вас на сайтеБывает так, что ваш сайт не заражен, а мог быть заражен сайт, который крутится у вас в рекламе (чаще всего такое случается с баннерными сетями или партнерками по обмену трафиком ), тем не менее вы можете получить аллерт антивируса. Сложность диагностики таких аллертов состоит в том, что баннеры и сайты подгружаемые кодом подобных партнерок могут постоянно меняться. Если вредоносный код обнаруживается у вас на сайте, тогда поисковики могут наложить фильтр на ваш сайт. Выглядит это так, что в выдаче под ссылкой на ваш сайт будет предупреждение о том, что сайт может нанести вред вашему компьютеру, а браузер Mozilla Firefox или Google Chrome или Opera будет при этом выдавать заглушку - предупреждение. В этом случае даже если сайт будет полностью очищен от вредоносного кода такие фильтры и заглушки могут висеть ещё очень долго. Чем быстрее будет очищен сайт - тем быстрее будет снят фильтр, а так же заглушки с браузеров
  • Если ваш сёрфинг по интернету сопровождается постоянной навязчивой рекламой, если вы на многих сайтах видите одну и ту же рекламу и видите её только вы (другие пользователи не наблюдают подобных отклонений), если вы пишете сообщения на форумах, чатах, гостевых и т.д и в ваши сообщения встраиваются посторонние ссылки или рекламные объявления, то есть если у вас сходные отклонения не на одном, а на целой серии различных сайтов, то стоит очистить свой компьютер от вирусов.
  • Если вдруг у вас на сайте появилось всплывающее окно, что-то на подобии формы входа, где нужно ввести логин и пароль, то естественно свои данные вводить не стоит, а стоит присмотреться к всплывающему окну, а именно к его адресу или заголовку. Адрес или заголовок такого окна всегда отличен от адреса и заголовка вашего сайта.
    Для поиска транслятора всплывающего окна нужно проверить все модули, где у вас разрешен BB код для пользователей. Чаще всего подобное подсаживают через мини-чат с разрешенными BB-кодами в нем. Ваша задача найти инородную картинку (чаще всего смайлик)


Правила подачи заявки на диагностику и поиск вредоносного кода на сайте

  • Вы должны предоставить ссылку на сайт!

  • Вы должны дать описание проблемы:

    1) на какой странице сайта обнаруживается проблема (ссылка)

    2) проблема обнаруживается только под логином или под гостем тоже

    3) если реагирует антивирус, то назовите свой антивирус, и предоставьте текст или четкий скриншот блокировки

    4) если сайт блокируется браузером, то назовите свой браузер и предоставьте текст блокировки


    Полезные ссылки:


    Так как большинство случаев заражения сайтов является плодом неумелого обращения с готовыми скриптами, а так же с готовыми элементами дизайна для сайтов найденными в сети, то перед тем как внедрить на сайт найденный в сети скрипт стоит ознакомиться со следующими темами:


    ANDREKS
    Сообщений: 14
    Репутация: 30

    Сообщение # 1171 | 17:47:03 16 Мар 2014
    Здравствуйте! Яндекс обнаружил вредоносный код. Помогите пожалуйста его найти.
    Вот страница на которую он ссылается http://partner2013.my1.ru/board/dam_dengi_v_dolg/8
    Сообщение отредактировал ANDREKS - Воскресенье, 16 Мар 2014, 17:48:04
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 1172 | 18:33:37 16 Мар 2014
    ANDREKS, а если нажать на вопросик возле мобил редирект?

    в любом случае это реакция на рекламу, которой у вас горы и сайта не видно за ней. просвот точно нужно убрать
    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    ANDREKS
    Сообщений: 14
    Репутация: 30

    Сообщение # 1173 | 18:38:42 16 Мар 2014
    webanet, Нажимал, там черт ногу сломит, ничего не понятно. А свот у меня стоит с открытия сайта и никогда с ним проблем не было.
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 1174 | 18:50:07 16 Мар 2014
    ANDREKS,
    Цитата
    Нажимал, там черт ногу сломит, ничего не понятно
    нажмите и выложите сюда. а потом пишите в тех.поддержку яндекса и требуйте образцы кода, который надо удалить
    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    ANDREKS
    Сообщений: 14
    Репутация: 30

    Сообщение # 1175 | 18:56:14 16 Мар 2014
    webanet,
    Yandex/MalWindows
    Данный вердикт означает, что на странице присутствуют ссылки на скачивание вредоносного программного обеспечения для ОС Microsoft Windows.
    Yandex/MalAndroid

    Данный вердикт означает, что на странице присутствуют ссылки на скачивание вредоносного программного обеспечения для ОС Android.
    Мобильный редирект

    При проверке страниц сайта антивирусный комплекс Яндекса обнаружил мобильный редирект. Мобильный редирект – это перенаправление пользователя на сторонний сайт при попытке просмотра страниц исходного сайта с помощью мобильного устройства (например, телефона).
    Обычно такие редиректы перенаправляют пользователей на сайты, откуда происходит распространение вредоносного или мошеннического ПО (например, под видом обновления к веб-браузеру). Загрузка и установка таких программ может привести к заражению мобильного устройства.
    Мобильные редиректы могут настраиваться в файле .htaccess, в т.ч. поставляемом с CMS, как описано в этой статье. Также причиной их появления может быть серверный скрипт-бэкдор, подобный описанному здесь.
    Чтобы удалить вредоносный код с сервера, воспользуйтесь нашими инструкциями.
    Поведенческий анализ

    Антивирусный робот Яндекса при проверке страниц анализирует поведение JavaScript-кода и других активных элементов. Если поведение совпадает с эвристическими правилами, характерными для drive-by-download атак, например, детектор вредоносных Java апплетов или детектор вредоносных PDF документов обнаруживают попытку эксплуатации уязвимости для выполнения вредоносного кода, то принимается решение о том, что проверяемая страница является опасной для посетителей.
    Чтобы удалить вредоносный код с сервера, воспользуйтесь нашими инструкциями.
    $Vladimir$
    Сообщений: 7465
    Репутация: 1053

    Сообщение # 1176 | 19:18:55 16 Мар 2014
    ANDREKS, Яндекс обнаружил на этом сайте вредоносный мобильный редирект, в из-за которого ваше мобильное устройство может заразиться вирусом. Источник - это ваша реклама
    ANDREKS
    Сообщений: 14
    Репутация: 30

    Сообщение # 1177 | 20:24:20 16 Мар 2014
    $Vladimir$, Спасибо! Если я правильно понял, то реклама СВОТ.
    $Vladimir$
    Сообщений: 7465
    Репутация: 1053

    Сообщение # 1178 | 22:00:19 16 Мар 2014
    ANDREKS, у вас остался еще блок рекламы в первом контейнере

    Код
    <script src="http://prosvot.ru/writeblock/3150"></script>
    
    ANDREKS
    Сообщений: 14
    Репутация: 30

    Сообщение # 1179 | 22:40:20 16 Мар 2014
    $Vladimir$, Огромное спасибо за помощь! Удалил.
    SOCHI1014
    Сообщений: 863
    Репутация: 229

    Сообщение # 1180 | 15:34:09 20 Мар 2014
    Здравствуйте. Вирус в рекламе Ucoz



    Содержимое данных Dr web по вирусу
    "Object";"Threat";"Action";"Path";
    "adj?ref=&tz=-360&fl=12&pos=atf&w=468&h=60&s=95262";"SCRIPT.Virus";"Заблокирован";
    "http://ads.betweendigital.com/adj?ref=&tz=-360&fl=12&pos=atf&w=468&h=60&s=95262";

    Мой сайт: www.na-sochi.ru

    Пока вопрос о покупке пакета для отключении рекламы не стоит, поэтому хочется чтоб администрация обратила на это внимание(на вирус)

    Спасибо, с уважением.
    Прикрепления: 3954019.jpg (323.1 Kb) · 0192963.jpg (147.5 Kb)
    del
    Генератор таблиц HTML онлайн
    Сообщение отредактировал SOCHI1014 - Четверг, 20 Мар 2014, 15:38:26
    $Vladimir$
    Сообщений: 7465
    Репутация: 1053

    Сообщение # 1181 | 15:48:50 20 Мар 2014
    SOCHI1014,
    Судя по всему это ложное срабатывание от dr.web. Вы как клиент можете обратится в их поддержку за разъяснением
    Бесплатный номер техподдержки в России: 8-800-333-7932
    Для звонок в не из РФ +7 (495) 789-45-86 (техподдержка)
    SOCHI1014
    Сообщений: 863
    Репутация: 229

    Сообщение # 1182 | 15:52:41 20 Мар 2014


    При этом Доктор Web Блокирует саму рекламу

    Доктор web при этом обновляется постоянно и база свежая.

    Добавлено (20 Мар 2014, 15:52:41)
    ---------------------------------------------

    Цитата $Vladimir$ ()
    SOCHI1014, http://online1.drweb.com/cache/?i=5530c568b8f875bec783433ba022e94b
    Судя по всему это ложное срабатывание от dr.web. Вы как клиент можете обратится в их поддержку за разъяснением
    Бесплатный номер техподдержки в России: 8-800-333-7932
    Для звонок в не из РФ +7 (495) 789-45-86 (техподдержка)

    Да, но на сколько мне известно факт перенаправления у drweb может считаться агрессивным действием (восприниматься вирусом.)
    Прикрепления: 5082767.png (93.8 Kb) · 6523023.png (9.3 Kb)
    del
    Генератор таблиц HTML онлайн
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 1183 | 15:54:59 20 Мар 2014
    SOCHI1014, где вы видите тут факт перенаправления?
    сделайте пожалуйста то, что вам сказали. антивирусные программы и доктор веб в частности периодически фолсят и это нормально
    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    SOCHI1014
    Сообщений: 863
    Репутация: 229

    Сообщение # 1184 | 16:05:19 20 Мар 2014
    Цитата webanet ()
    SOCHI1014, где вы видите тут факт перенаправления?
    сделайте пожалуйста то, что вам сказали. антивирусные программы и доктор веб в частности периодически фолсят и это нормально


    Добавлено (20 Мар 2014, 16:05:19)
    ---------------------------------------------
    Связался с Dw отправил им запрос буду ждать теперь ответа. Спасибо

    Прикрепления: 9413657.png (77.0 Kb)
    del
    Генератор таблиц HTML онлайн
    webanet
    Сообщений: 24067
    Репутация: 4985

    Сообщение # 1185 | 16:09:35 20 Мар 2014
    SOCHI1014,
    Цитата
    Связался с Dw отправил им запрос буду ждать теперь ответа
    спасибо за понимание
    ТУТ можно оставить своё мнение по любому вопросу
    https://webanetlabs.net/
    Сообщество uCoz » Мастерская uCoz » Безопасность сайта » Вирусы на сайтах (предотвращение, диагностика)
    Поиск: