Последнее время, примерно несколько месяцев, как начали поступать жалобы от людей, кто пытался переходить по моим ссылкам из вКонтакте, ЖЖ и Твиттера, что на сайте (сайтах - ибо это не только при переходе на chakra но и на sekai) они поймали вирус-локер, требующий для разблокировки компьютера перечислить деньги по телефону.
Михаил Абасов ...если уже несколько человек говорят что на вашем форуме вмрусы.то лучше принимать меры...
сенсей, я уже не раз говорил что на ваших сайтах ловлю локеров...
РЕально по вашим ссылкам не перехожу теперь никогда, ибо шанс подцепить
локер 70% Галия Галиева
можно запросить у ucoz проверку вашего сайта на наличие вирусов или к-л
неверных настроек - мой антивирус также не пускает меня на этот форум Казалось бы все просто - на сайте вирус сидит. Но... 1. я сам как админ до 15 часов в сутки пребываю на сайте и ни разу никакого вируса не поймал там 2. постоянные форумчане ни разу не поймали вирус 3. все, кто жаловался на вирус - все из России
Поначалу я провел расследование и обнаружил с помощью популярного вирусного сканера в Сети
http://2ip.ru/site-virus-scaner/ что На сайте обнаружены
iframe-вставки, ссылающиеся на сомнительные сайты либо обфусицированный
код. Однако при этом как Гугль, так и Яндекс считают сайт безопасным. Проверка и анализ с помощью ряда сайтов доказали что это не вирус, а обфусицированный
код от роликов в Ютюб. Они недавно сменили код на обозначение как
iframе-окно. Это и опознается некоторыми антивирусниками как типа вирус
или iframe-вставки, ссылающиеся на сомнительные сайты. Пример из жизни
ITишника http://smr24.ru/?p=325 Я лично на один из сайтов, на котором не было ни одного Ютюбовского ролика и распознаваемом 2ip.ru/site-virus-scaner/-ом как безопасным, загрузил ютюб-ролик и перепроверил на вирус. 2ip.ru тут же показало, что обнаружены
iframe-вставки, ссылающиеся на сомнительные сайты либо обфусицированный
код. Удалил видео и снова - вирусов нет. Увы я не могу все ролики Ютюба на сайте переделать на object - это
физически нереально. Заводите более разумные антивирусники и доверяйте
проверке Гуглем: по проверке Google.com и Yandex.ru относят данный сайт к безопасным
Может ли такое быть, что это навешивается на траффик не на сайте, а где-то между сайтом и юзером на пути (у провайдеров сети)? Не может быть чтоб Юкоз не заметил и потерпел бы оное, если бы было на
сайте. Тем более сами они предупреждают, чтоб всплывающие баннеры не
размещали мы-пользователи на своих сайтах - значит как то это
отслеживают... Сам юкоз вряд ли будет такое вешать - зачем им портить отношение к своему хостингу у гостей-хостеров и у гостей-заходильников? Я уверен все же, что спецы Юкоза на сайтах ничего НЕ найдут.
Ведь будь что на сайте, то оно появлялось бы в любой стране, не только в России. Плюс один их важных показателей, что зарегистрированные на сайте (в Юкоз всеобщая регистрация) еще никогда не поймали вирус такой. Получается тогда ты какбэ под защитой уже Юкоза чтоль. А если мы заходим даже как гость, то IP то тот же самый, опознается системой (см что пингвин вас о вас показует).
И стал я тогда логически размышлять: между
юзером и сайтом ведь на пути в Сети столько всяких посредников. Видимо
на этом отрезке на каком-то звене и вешают вирус-локер. К этой мысли меня привел случай в Твиттере. Одному фоловеру я дал сокращенную ссылку на сайт фэн-шуй. А тот заходил с мобильника и ссылка его привела на порно. Я дал прямую ссылку
вместо сокращенной - зашел нормально сразу. Повидимому на пути через
сокращенную ссылку висит прога перенаправления. Не на самом сайте сокращения ссылок,
ибо я ей пользуюсь постоянно и жалоб на подобное никогда не было.
Перенаправлялку явно повесили не на сайте сокращений, а где-то ближе к
юзеру, у провайдеров.
Сам я сегодня - с служебного компа - хотел зайти на сайт Валекса, как только заходить начал - выскочил баннер, типа такого:
и никак его убрать нельзя! пришлось вырубать, заново включать комп,
заходить в безопасном режиме, позвать айтишника-прогера у кого права
администратора, показывать ему проблему, заходить как администратор и
удалять из реестра энтого подлого баннера! (а еще объяснить куды я лазил
и шос смотрел! )
Возможно это опять Валекса сайт атакуют - отводят так посетителей что
ли? хотя с домашнего компа у меня ни разу ничего на chakre не было
плохого! ;)
Получается, если бы то сидело на сайте, то локер поймать мог бы любой без
разбора. А так постоянники на форуме чакры НИКОГДА не
поймали локера. Косвенно тоже сказал и спец - только вывод необходимый не сделал, гонит на сканеры:
Кстати, что характерно: попробовал проверить эту сайтину
на вирусы с помощью 5-6 различных онлайн-сервисов для сканирования
ресурсов на наличие зловредов - итог: ни один из них ничего
подозрительного так и не обнаружил... так-то..
Возможно это одна из
продуманных моментов мошенников-хозяев вируса.
Постоянник (зарегистрированный пользователь, по закладкам ходящий и
т.п.) заинтересован в посещении сайта и может пожаловаться, а
случайный пассажир просто больше заходить не будет - жаловаться не
будет точно.
Так что я обращаюсь к всему Интернет-сообществу. Давайте решим это задачку вместе. Моих знаний не хватает, а я не программист. Только логические размышления могут быть ложными.
получил ответ от специалистов хостига UCOZ: от: uCoz Support Team support@ucoz.ru кому: Valex Bujak <qsekai@gmail.com> дата: 11 октября 2012 г., 14:11 тема: Re: [Ticket#2012100810001782] [Ticket#2012100410003108] [Ticket#2012093010002251] uCoz - Обратная связь [ru] Здравствуйте!
На Вашем сайте не обнаружено вирусной активности.
С уважением, Максим Служба технической поддержки веб-сервиса uCoz
Охлобыстин тоже поймал редиректпо моей ссылке на фэн-шуй[/url] (это не мой сайт, но ссылки иногда даю) Иван Охлобыстин @PsykerO1477 @extravalex Все знаю. Но Вы продали слишком много рекламы! (cont) http://tl.gd/j3teem
Подумал, посмотрел и понял: я давал ссылку полную в в твите, но Твиттер её сократил из http://fengshui.ucoz.com/index/geksagramma_22_bi_ubranstvo/0-30 в> http://t.co/BqyV33eF - вот там то где-то и вешается редирект , чтоб пошел не по ссылке, а на левый сайт рекламный. Valex Bujak @extravalex 31 авг @PsykerO1477 это не моя реклама, кто-то вешает редиректы на ссылки (cont) tl.gd/j3tmqt Иван Охлобыстин @PsykerO1477 @extravalex Скажите - сглажу. Вы же колдун. Они подумают и ну ее нафиг.
сегодня разместил свою статью с тематикой МММ в ЖЖ с переходом на сайт chakra, а ссылки дал вКонтакте. Так моментально народ стал жаловаться, мол "вирусы там". Дал вариант на блогспоте, там точно не может быть вирусов, Но и такая ссылка оказалась вКонтакте завирусованной. И тут меня блокируют вКонтакте именно за эти сообщения-ссылки на статью с МММ. Бот или кто там вК даже их удалил, Пока восстанавливал свой приоритет над аккаунтом. Вывод - опять борцы с МММ шалят, а вКонтакте в первых рядах борцов был всегда. Вирус появился только на тех моих сайта, где я писал на тему МММ (1), и ловят его только те, кто переходит с вКонтакте (2). Притом ни постоянные форумчане, ни по закладкам, ни с ФБ, G+ и прочая ничего не ловит. Кстати на сайте стоит антивирусник от Гугля при этом уже.
Все верно. я зарегин на сайте - 18.07.2010, т.е. два года как здесь. С домашнего компа заходил многие сотни раз. И все отлично было и есть. С рабочего заходил раза 4 за всю историю. Вот на 4 раз и "словил". Реально - после такого "улова" больше заходить не хочется, так что с работы сюда не лазаю. А с домашнего - без проблем! Однако помочь в данной компьютерной проблеме не могу.
Антонс ЖЖ добавил: Валекс, тут сложно сказать, в чем именно беда. Но мое админское чутьё подсказывает, что именно в "сокращателе" ссылок. Вы упоминали, что локер попадает в систему именно при переходе через короткую ссылку. Попробуйте использовать другой укорачиватель урлов, например. Тот же click.ru или какой-то из этого списка http://void.by/2009/03/04/20_short_url_sites/
Я попробую на выходных вечером перелопатить весь ваш юкозовский форум на виндовой виртуалке, постараюсь подцепить тот самый злосчастный локер и вычислить, откуда именно он лезет.
Ответ: а я вот не уверен, что в сокращателе. Ведь люди попадают на локер не по сокращенным ссылкам, а по совершенно обычному урлу. Зато в основном по переходам из соцсетей: вКонтакте, Одноклассники (кто там дает ссылки и как я не знаю - я в Одноклассниках не зареген), из ЖЖ. Из закладок локер никто еще не подхватил. Спасибо за помощь, но думаю вы ничего не обнаружите при "перелопачивании".
проанализировал по датам. Вирус-локер появился, как я начал писать на тему МММ активно, а точнее, после того, как на сайте МММ появилась ссылка на сайт sekai. 13.04.2012
Quote (chakra)
вдруг "недоступен" стал мой сайт sekai.do.am - возможно из-за публикаций по МММ-2011 наезд
с ЖЖ копии статьи: Тема: Нужно блокировать скриптовую баннерную рекламу Чаще всего локеры-вымогатели распространяются через баннерообмен, c flash, gif и статическими картинками. В системах управления контентом (так называемых "движках") есть куча лазеек, которые чаще всего просто не закрыты из-за дефолтных настроек CMS или хостинга. Что бы долго не рассказывать, как и что нужно делать, чтобы обезопасить себя в большей или меньшей мере от таких вредителей, посоветую просто пользователям блокировать всю рекламу, которую отображает браузер со страницы. Чаще всего именно с ними (не в них, а именно с ними) через определенные процедуры в кеш браузера попадает скрипт, которые отрабатывается при выключении/включении ОС и подгружает (в последствии заменяя) оболочку окружения Windows.
Используйте браузер Chrome + расширение Adblock (такой же аналог есть на Firefox). Либо используйте антивирусы, имеющие сканер кода html/php (все среды исполнения кода в браузере). Из бесплатных аналогов подобных антивирусов могу посоветовать Avast Free Antivirus.
Шульц eugenyshultz по пути ничего "вешаться" не может, а вот различный контент для зарегестрированных и незарегистрированных пользователей - легко. и подозрения на гео - тоже небезосновательны.
Факт, что вирсняк там есть (был по карайней мере) - я теперь по этим ссылкам вообще не хожу. Трех раз хватило... Что движет теми, кто распространяет вирусню мне непонятно...
Добавлять комментарии могут только зарегистрированные пользователи. [ Регистрация | Вход ]
ссылкам из вКонтакте, ЖЖ и Твиттера, что на сайте (сайтах - ибо это не только при 
переходе 
). 
размышлять:
) 
Кстати 
Нам, бедарусам везет с Батькой, при нем не полокеришь 
