Диагностика чакр (ЧЭН)
Понедельник, 23.10.2017, 05:45
Меню сайта
Денежный вопрос (как можно перевести пожертвования и благодарность Валексу и сайту)

 


Разделы новостей
новости по ЧЭН [4]
кто на каком уровне развития по чакрам
люди и ЧЭН [74]
события и ЧЭН [17]
Диагностика чакр [2]
посмотри за суть вещей [158]
фишка дня [77]
разное [10]

Форма входа

Календарь новостей
«  Июль 2012  »
ПнВтСрЧтПтСбВс
      1
2345678
9101112131415
16171819202122
23242526272829
3031

Поиск

Друзья сайта

Статистика

Онлайн всего: 1
Гостей: 1
Пользователей: 0

Мини-чат

Главная » 2012 » Июль » 15 » разбираеся с вирус-проблемой вместе
разбираеся с вирус-проблемой вместе
15:17

Последнее время, примерно несколько месяцев, как начали поступать жалобы от людей, кто пытался переходить по моим ссылкам из вКонтакте, ЖЖ и Твиттера, что на сайте (сайтах - ибо это не только при переходе на chakra но и на sekai) они поймали вирус-локер, требующий для разблокировки компьютера перечислить деньги по телефону.
Михаил Абасов
...если уже несколько человек говорят что на вашем форуме вмрусы.то лучше принимать меры...

eugenyshultz

сенсей, я уже не раз говорил что на ваших сайтах ловлю локеров... РЕально по вашим ссылкам не перехожу теперь никогда, ибо шанс подцепить локер 70%
Галия Галиева
можно запросить у ucoz проверку вашего сайта на наличие вирусов или к-л неверных настроек - мой антивирус также не пускает меня на этот форум
Казалось бы все просто - на сайте вирус сидит. Но...
1. я сам как админ до 15 часов в сутки пребываю на сайте и ни разу никакого вируса не поймал там
2.
постоянные форумчане ни разу не поймали вирус
3. все, кто жаловался на вирус -
все из России

Поначалу я провел расследование и обнаружил с
помощью популярного вирусного сканера в Сети http://2ip.ru/site-virus-scaner/ что На сайте обнаружены iframe-вставки, ссылающиеся на сомнительные сайты либо обфусицированный код.
Однако при этом как Гугль, так и Яндекс считают сайт безопасным. Проверка и анализ с помощью ряда сайтов доказали что это не вирус, а
обфусицированный код от роликов в Ютюб. Они недавно сменили код на обозначение как iframе-окно. Это и опознается некоторыми антивирусниками как типа вирус или iframe-вставки, ссылающиеся на сомнительные сайты. Пример из жизни ITишника http://smr24.ru/?p=325
Я лично на один из сайтов, на котором не было ни одного Ютюбовского ролика и распознаваемом 2ip.ru/site-virus-scaner/-ом как безопасным, загрузил ютюб-ролик и перепроверил на вирус. 2ip.ru тут же показало, что обнаружены iframe-вставки, ссылающиеся на сомнительные сайты либо обфусицированный код. Удалил видео и снова - вирусов нет.
Увы я не могу все ролики Ютюба на сайте переделать на object - это физически нереально. Заводите более разумные антивирусники и доверяйте проверке Гуглем: по проверке Google.com и Yandex.ru относят данный сайт к безопасным


Однако все это  не объясняет локеры http://chakra.do.am/forum/71-301-43857-16-1336852691
Вот из Сети по поводу известного сайта на котором тоже такое поймали http://wordpressario.ru/2012/05/05/virus-na-sajte-favicon-ru/
Может ли такое быть, что это навешивается на траффик не на сайте, а где-то между сайтом и юзером на пути (у провайдеров сети)?
Не может быть чтоб Юкоз не заметил и потерпел бы оное, если бы было на сайте. Тем более сами они предупреждают, чтоб всплывающие баннеры не размещали мы-пользователи на своих сайтах - значит как то это отслеживают...
Сам юкоз вряд ли будет такое вешать - зачем им портить отношение к своему хостингу у гостей-хостеров и у гостей-заходильников? Я уверен все же, что спецы Юкоза на сайтах ничего НЕ найдут. 
Ведь будь что на сайте, то оно появлялось бы в любой стране, не только в России.
Плюс
один их важных показателей, что зарегистрированные на сайте (в Юкоз всеобщая регистрация) еще никогда не поймали вирус такой. Получается тогда ты какбэ под защитой уже Юкоза чтоль. А если мы заходим даже как гость, то IP то тот же самый, опознается системой (см что пингвин вас о вас показует).
И стал я тогда логически размышлять:
между юзером и сайтом ведь на пути в Сети столько всяких посредников. Видимо на этом отрезке на каком-то звене и вешают вирус-локер. К этой мысли меня привел случай в Твиттере. Одному фоловеру я дал сокращенную ссылку на сайт фэн-шуй. А тот заходил с мобильника и ссылка его привела на порно. Я дал прямую ссылку вместо сокращенной - зашел нормально сразу. Повидимому на пути через сокращенную ссылку висит прога перенаправления. Не на самом сайте сокращения ссылок, ибо я ей пользуюсь постоянно и жалоб на подобное никогда не было. Перенаправлялку явно повесили не на сайте сокращений, а где-то ближе к юзеру, у провайдеров.

Всё это объясняет почему наш постоянный форумчанин Гоша, заходя с другого IP с работы, поймал локер. А издому - никогда.
Gosha
Сам я сегодня - с служебного компа - хотел зайти на сайт Валекса, как только заходить начал - выскочил баннер, типа такого:



и никак его убрать нельзя! пришлось вырубать, заново включать комп, заходить в безопасном режиме, позвать айтишника-прогера у кого права администратора, показывать ему проблему, заходить как администратор и удалять из реестра энтого подлого баннера! (а еще объяснить куды я лазил и шос смотрел! biggrin )
Возможно это опять Валекса сайт атакуют - отводят так посетителей что ли? хотя с домашнего компа у меня ни разу ничего на chakre не было плохого! ;)


Получается, если бы то сидело на сайте, то локер поймать мог бы любой без разбора. А так  постоянники на форуме чакры  НИКОГДА не поймали локера.
Косвенно тоже сказал и спец - только вывод необходимый не сделал, гонит на сканеры:

Кстати, что характерно: попробовал проверить эту сайтину на вирусы с помощью 5-6 различных онлайн-сервисов для сканирования ресурсов на наличие зловредов - итог: ни один из них ничего подозрительного так и не обнаружил... так-то..


Возможно это одна из продуманных моментов мошенников-хозяев вируса. Постоянник (зарегистрированный пользователь, по закладкам ходящий и т.п.) заинтересован в посещении сайта и может пожаловаться, а случайный пассажир просто больше заходить не будет - жаловаться не будет точно.

Так что я обращаюсь к всему Интернет-сообществу. Давайте решим это задачку вместе. Моих знаний не хватает, а я не программист. Только логические размышления могут быть ложными.
Помогите знаниями и опытом.
Кстати Онлайн-сканер лаборатории Касперского тоже не видит никаких вирусов.
Категория: разное | Просмотров: 1498 | Добавил: chakra | Рейтинг: 5.0/3 |
Всего комментариев: 12
12  
получил ответ от специалистов хостига UCOZ:
от: uCoz Support Team support@ucoz.ru
кому: Valex Bujak <qsekai@gmail.com>
дата: 11 октября 2012 г., 14:11
тема: Re: [Ticket#2012100810001782] [Ticket#2012100410003108] [Ticket#2012093010002251] uCoz - Обратная связь [ru]
Здравствуйте!

На Вашем сайте не обнаружено вирусной активности.

С уважением, Максим
Служба технической поддержки веб-сервиса uCoz

11  
Охлобыстин тоже поймал редирект по моей ссылке на фэн-шуй[/url] (это не мой сайт, но ссылки иногда даю)
Иван Охлобыстин ‏@PsykerO1477
@extravalex Все знаю. Но Вы продали слишком много рекламы! (cont) http://tl.gd/j3teem

Подумал, посмотрел и понял: я давал ссылку полную в в твите, но Твиттер её сократил
из http://fengshui.ucoz.com/index/geksagramma_22_bi_ubranstvo/0-30 в> http://t.co/BqyV33eF - вот там то где-то и вешается редирект , чтоб пошел не по ссылке, а на левый сайт рекламный.
Valex Bujak @extravalex 31 авг
@PsykerO1477 это не моя реклама, кто-то вешает редиректы на ссылки (cont) tl.gd/j3tmqt
Иван Охлобыстин @PsykerO1477
@extravalex Скажите - сглажу. Вы же колдун. Они подумают и ну ее нафиг.

10  
сегодня разместил свою статью с тематикой МММ в ЖЖ с переходом на сайт chakra, а ссылки дал вКонтакте. Так моментально народ стал жаловаться, мол "вирусы там". Дал вариант на блогспоте, там точно не может быть вирусов, Но и такая ссылка оказалась вКонтакте завирусованной. И тут меня блокируют вКонтакте именно за эти сообщения-ссылки на статью с МММ. Бот или кто там вК даже их удалил, Пока восстанавливал свой приоритет над аккаунтом.
Вывод - опять борцы с МММ шалят, а вКонтакте в первых рядах борцов был всегда.
Вирус появился только на тех моих сайта, где я писал на тему МММ (1), и ловят его только те, кто переходит с вКонтакте (2). Притом ни постоянные форумчане, ни по закладкам, ни с ФБ, G+ и прочая ничего не ловит. Кстати на сайте стоит антивирусник от Гугля при этом уже.

9  
по новой ссылке про БЭ вКонтакте был сигнал о вирусе:
Макс Пекельдин
слава богу антивирус стоял, рабочий стол пропадает при заходе на сайт

7  
Все верно.
я зарегин на сайте - 18.07.2010, т.е. два года как здесь. С домашнего компа заходил многие сотни раз. И все отлично было и есть. С рабочего заходил раза 4 за всю историю. Вот на 4 раз и "словил". Реально - после такого "улова" больше заходить не хочется, так что с работы сюда не лазаю. А с домашнего - без проблем! thumb
Однако помочь в данной компьютерной проблеме не могу. baka

8  
вывод - хотите сюда ходить - регистрируйтесь и никаких проблем. cool

6  
Антон с ЖЖ добавил:
Валекс, тут сложно сказать, в чем именно беда. Но мое админское чутьё подсказывает, что именно в "сокращателе" ссылок. Вы упоминали, что локер попадает в систему именно при переходе через короткую ссылку. Попробуйте использовать другой укорачиватель урлов, например. Тот же click.ru или какой-то из этого списка http://void.by/2009/03/04/20_short_url_sites/

Я попробую на выходных вечером перелопатить весь ваш юкозовский форум на виндовой виртуалке, постараюсь подцепить тот самый злосчастный локер и вычислить, откуда именно он лезет.
Ответ: а я вот не уверен, что в сокращателе. Ведь люди попадают на локер не по сокращенным ссылкам, а по совершенно обычному урлу. Зато в основном по переходам из соцсетей: вКонтакте, Одноклассники (кто там дает ссылки и как я не знаю - я в Одноклассниках не зареген), из ЖЖ. Из закладок локер никто еще не подхватил.
Спасибо за помощь, но думаю вы ничего не обнаружите при "перелопачивании".

4  
У меня ничего такого никогда не было. заходил и с рабочего компа и с домашнего... wacko

5  
такукие локеры-выплывалки тиранят пока только Украину И Россию. angry Нам, бедарусам везет с Батькой, при нем не полокеришь wink

3  
проанализировал по датам. Вирус-локер появился, как я начал писать на тему МММ активно, а точнее, после того, как на сайте МММ появилась ссылка на сайт sekai.
13.04.2012
Quote (chakra)
вдруг "недоступен" стал мой сайт sekai.do.am - возможно из-за публикаций по МММ-2011 наезд

что потом и подтвердилось
Первая жалоба на вирус-локер датируется 23.04.2012
Quote (spirin)

chakra,чето у вас постоянно вирусняк с главной лезет.Это ваш магический отрибут?Телефон 79134691775,дай штуку

так что логично предположить что енто работа хакеров_типа_борцов против МММ.

2  
с ЖЖ копии статьи:
Тема: Нужно блокировать скриптовую баннерную рекламу
Чаще всего локеры-вымогатели распространяются через баннерообмен, c flash, gif и статическими картинками. В системах управления контентом (так называемых "движках") есть куча лазеек, которые чаще всего просто не закрыты из-за дефолтных настроек CMS или хостинга. Что бы долго не рассказывать, как и что нужно делать, чтобы обезопасить себя в большей или меньшей мере от таких вредителей, посоветую просто пользователям блокировать всю рекламу, которую отображает браузер со страницы. Чаще всего именно с ними (не в них, а именно с ними) через определенные процедуры в кеш браузера попадает скрипт, которые отрабатывается при выключении/включении ОС и подгружает (в последствии заменяя) оболочку окружения Windows.

Используйте браузер Chrome + расширение Adblock (такой же аналог есть на Firefox). Либо используйте антивирусы, имеющие сканер кода html/php (все среды исполнения кода в браузере). Из бесплатных аналогов подобных антивирусов могу посоветовать Avast Free Antivirus.

С уважением, Антон.

1  
Шульц eugenyshultz
по пути ничего "вешаться" не может, а вот различный контент для зарегестрированных и незарегистрированных пользователей - легко. и подозрения на гео - тоже небезосновательны.

Факт, что вирсняк там есть (был по карайней мере) - я теперь по этим ссылкам вообще не хожу. Трех раз хватило... Что движет теми, кто распространяет вирусню мне непонятно...

Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Copyright MyCorp © 2017