Решена Помогите вылечить сайт [Trojan.JS.HideLink.a]

Тема в разделе "Анализ сайтов на наличие вирусов", создана пользователем mayra, 19 авг 2014.

Метки:
Статус темы:
Закрыта.
  1. mayra
    Оффлайн

    mayra Новый пользователь

    Сообщения:
    3
    Симпатии:
    1
    проверьте, пожалуйста, сайт хттр://snelidov.ru/
     
  2. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.221
    Симпатии:
    8.896
    mayra,
    Вирусов как таковых нет.
    Но наличествует ротация ссылок и работа скриптов, в том числе уголковая реклама на казахский сайт.
    Некоторыми сервисами проверок такой подход к наполнению и продвижению сайта считается вредоносным.
    --- Объединённое сообщение, 19 авг 2014 ---
    Практически нет никакой пользы и от share-кнопок. Лишний скрипт.
    Более того при мобильном серфинге эти кнопки могу встать поперек экрана и перекрыть содержимое.
     
    Последнее редактирование: 19 авг 2014
  3. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.059
    Симпатии:
    4.488
    https://www.virustotal.com/ru/url/9...75b77b98c076b264a3e94e162d56500751e/analysis/
    http://antivirus-alarm.ru/proverka/?url=snelidov.ru
    http://sitecheck.sucuri.net/results/snelidov.ru/
    Код (Text):
    <body id="page" class="yoopage left  blue "><!-- 552aceda26 --><script language="JavaScript">
    function dnnViewState()
    ....
    удалено
    ....
    dnnViewState();
    </script>
    <p class="dnn">By ProY<a href="http://paydayroyal.co.uk/" title="Payday Loans">payday loans</a></p><!-- 552aceda26 -->
    <div class="share42init" data-top1="150" data-top2="20" data-margin="100"></div>
    <script type="text/javascript" src="http://snelidov.ru/templates/yoo_waybeyond/share42/share42.js"></script>
     
    Последнее редактирование модератором: 23 авг 2014
  4. mayra
    Оффлайн

    mayra Новый пользователь

    Сообщения:
    3
    Симпатии:
    1
    спасибо, принято
    --- Объединённое сообщение, 20 авг 2014, Дата первоначального сообщения: 20 авг 2014 ---
    Спасибо большое, успокоили. Все лишнее убрала. а теперь скажите как исправить эту ротацию и какие именно скрипты обезвредить?
     
  5. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.221
    Симпатии:
    8.896
    mayra, это не только код, это папка share42 в корневой директории вашего сайта, она устанавливается вебмастером для шаринга на соцсети.
    Если вебмастер вы, то её установили вы сами, получив с сайта share42.com. Она не относится к seo-инъекциям на уровне хостера.
     
    Последнее редактирование: 20 авг 2014
  6. mayra
    Оффлайн

    mayra Новый пользователь

    Сообщения:
    3
    Симпатии:
    1
    я нигде не нашла этот код
    --- Объединённое сообщение, 20 авг 2014, Дата первоначального сообщения: 20 авг 2014 ---
    Ура, получилось!!! Все сделала, спасибо большое. Сначала нашла код шариков, а прямо над ним расположился тот самый скрипт, о котором вы здесь писали. function dnnViewState()
    --- Объединённое сообщение, 20 авг 2014 ---
    без шариков даже лучше
     
    akok нравится это.
  7. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.221
    Симпатии:
    8.896
    mayra,
    А папку share42 удалили?
    Как я и говорил выше от кнопок шаринга нет никакой практической пользы. Проверено на многих сайтах. Кому надо поделиться в соцсетях они и так поделятся, без кнопок.

    инекц.png
    Но вам рано радоваться. Большую тревогу вызывает seo-инъекция.
    Если ставили сами, то можете без проблем убрать. Но похоже тут так называемый mservisss.kz руку приложил.
     
    Последнее редактирование: 21 авг 2014
    akok нравится это.
  8. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.059
    Симпатии:
    4.488
    Или, вероятнее, что от сюда:
     
    Последнее редактирование: 21 авг 2014
  9. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.221
    Симпатии:
    8.896
    shestale, я не о том.
    Сайт, видимо, делали имеющие отношение к mservisss.kz , т.к. эта ссылка и внизу и в моей "картинке".
    Уголковая реклама в верхнем левом углу также принадлежала mservisss.kz
    Ссылки в "картинке" также размещены казахстанцами.

    Ссылка на paydayroyal.co.uk (есть в блейк-листах) могла прийти с использованным шаблоном.
    --- Объединённое сообщение, 21 авг 2014, Дата первоначального сообщения: 21 авг 2014 ---
    Вообще проверочникам вроде сайта http://sitecheck.sucuri.net/ я бы особо не доверял.
    ОНИ ХОТЯТ БАБЛО! Причем за всё! И не исключают сайт из своего блейк-листа даже после того, как он прекратит фунциклирование.
     
    Последнее редактирование: 21 авг 2014
  10. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Сайт как раз был заражён и скрипт который тут выложил shestale, как раз и был вирусный. Пост отредактировал, так как на этот скрипт может быть реакция антивирусов.
    И проблема с сайтом была именно из-за этого скрипта, а не из-за всяких шаринг кнопок.
     
    shestale нравится это.
  11. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.221
    Симпатии:
    8.896
    regist, специально для инопланетян, задержавшихся в своем долгом перелёте к планете SZ, в хорошем смысле слова.

    Там, в коде сайта было как минимум три разных скрипта.
    1. Уголковая реклама от mservisss.kz.
    2. Ротация ссылок от тех же "товарисчей" mservisss.kz.
    3. Код для работы шаринг-кнопок, который также есть в посте shestale
    4. Также я упонянул шаблон, см. ссылку в п.3. Папка share42 от одноименного сайта почему-то запрятана именно в директорию шаблонов. Что вызывает подозрения в намеренных действиях. По условиям размещения она должна быть в директории сайта, а не в templates, если условия не изменены. Кому-то очень хотелось, чтобы её не нашли, а прописать путь в коде - не проблема.
    5. По содержанию и расположению скриптов делаем выводы, что могла быть сделана инъекция на уровне хостера. Об уязвимости этого типа в этом году было секьюрити-сообщение от безопасников.

    Но ранее все было написано в моем посте
    Исчерпывающая информация.

    Ниже я лишь дополнил shestale, а не спорил с ним.
    НАПОМИНАЮ, мы все здесь оказываем помощь, а не спорим из-за неё, кто её быстрее окажет.
    Также, мне, в отличие от других, не надо пользоваться сервисами онлайн-проверок, которые к тому же крайне бабло-любивые.
    Я вижу все недостатки и внедрения и знаю о них не по наслышке.
     
    Последнее редактирование: 23 авг 2014
    Arbitr, mike 1 и glax24 нравится это.
  12. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    но не верная, так как вирус как таковой там был :).
    Я всего лишь поправил информацию для остальных кто потом будет гуглить эту тему. Так как вирус довольно популярный ;).
     
  13. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.221
    Симпатии:
    8.896
    regist, спасибо, что так.
    Но если считать так, то каждый скрипт в коде страницы - вирус.
    Но как мы с вами знаем, вирус и фраза "вирус как таковой" подразумевает вирус, как класс malware, а такового там на странице нет.
    Вредоносный скрипт должен запустить вредоносный файл или перенаправить на иную страницу, содержащую вирус, чтобы стать malware на все 100 процентов.
     
    Последнее редактирование: 23 авг 2014
  14. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Чтобы прекратить этот бессмысленный спор я сохранил этот скрипт в текстовый файл и проверил на VT. Надеюсь ответ вирлабов для вас будет более веским аргументом. Если нужно могу прислать вам этот скрипт в ЛС, чтобы вы его сами перепроверили.
     
    Последнее редактирование: 23 авг 2014
    shestale нравится это.
  15. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.221
    Симпатии:
    8.896
    А кто спорит? Trojan.JS.HideLink.a я видел по первой проверке на VT.

    @regist, скинуть в ЛС можно что угодно, только накой. Поверю, так и быть. :Biggrin:
    К тому же почему-то локально установленные на разных ПК ни ДрВеб, ни Каспер, ни Нортон не заругались.

    Главное, чтобы его там, на сайте, больше не было и не появлялось.
    Но мы с вами видим опять жертву недобросовестной и злонаременной деятельности некого вебмастера, который, правда, кое-какие следы оставил. Можно взяться и проверить все сайты этого вебмастерского кольца. Там, скорее всего, есть немало "интересного" кода. :Biggrin:
     
    Последнее редактирование: 23 авг 2014
  16. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Под рукой только каспер, так что только его скрин
    [​IMG]
    PS. изначально при сохранение в текстовый документ и проверке на VT, там не скопировался заголовок
    ссылку на VT в предыдущем посте обновил, теперь детектов там больше.
     
    Последнее редактирование: 23 авг 2014
  17. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.221
    Симпатии:
    8.896
    regist, вижу накопитель "e".
    А детекта КИС, как и Доктора и Нортона, на сам сайт не было.
    --- Объединённое сообщение, 23 авг 2014 ---
    Это хорошо, враг не пройдет. :Yes3:
    --- Объединённое сообщение, 23 авг 2014, Дата первоначального сообщения: 23 авг 2014 ---
    Для сравнения с тем, что показывает сервис http://sitecheck.sucuri.net/ в отношении сайтов российских компаний

    проверка1.png проверка2.png

    Скрипт у одного и старая уязвимость у другого. :Biggrin:
    И это сайты ведущих, как они сами про себя говорят, компаний. Ну почему же не устраняют?
    SZ чист, как стеклышко, несмотря на обилие рекламы, а вот у нашего апач устарел. :Blush2:
     
    Последнее редактирование: 23 авг 2014
    Охотник нравится это.
  18. akok
    Онлайн

    akok Команда форума Администратор

    Сообщения:
    12.453
    Симпатии:
    13.952
    2 блока на странице не обилие :)
     
Статус темы:
Закрыта.

Поделиться этой страницей