Главная

Thursday, 1 August 2013

Онлайн сервисы проверки сайта на вредоносный код


       Как то получил я от Яндекс.вебмастера сообщение что мой сайт nyukers.ucoz.net содержит вредоносный код. К сожалению, в сообщении не указывается какакя именно страница сайта содержит такой код. Давненько я получал подобное сообщение на другой мой сайт, но отреагировать не успел так как хостер мой сайт просто закрыл. Хостер решил не разбираться правда это или нет и принял свое решение. Его право. Сработал принцип - вначале наводим на вас подозрение, а потом поглядим как вы будете выкручиваться…

     Я решил по последнему сообщению от Яндекса пройтись более детально, а то ведь так можно все сайты потерять на ровном месте.

       Итак вопрос – а был ли мальчик?

     Откуда у вас на сайте может появится «вредоносный» код, если вы его там не размещали? Почему слово взял в кавычки поймете позже. Случаи взлома вашего сайта я не рассматриваю, потому как это случай не в рамках моей статьи. «Вредоносный» код может появится на вашем сайте прежде всего там где вы разместили код с прямыми ссылками на внешние рекламные блоки, информеры и виджеты. Внешний - это который содержит ссылку на чужой сайт. Сегодня это безвредный блок с красивой рекламой, а завтра на том ресурсе на который ссылка поменяли скрипт и вы имеете неприятности. Или взломали внешний ресурс и опять же подменили скрипт, а вы об этом даже не догадываетесь. К тому же частенько Яндекс.вебмастер перестраховывается и зачисляет в «зловреды» даже широко известные скрипты типа jQuery и наличие Flash. Также под сомнение берутся скрипты сервисов быстрого постинга ссылок в социальные сети или блоги.

     Поэтому я решил проверить свой сайт через онлайн сервисы по обнаружению вредоносного кода. Причем меня больше интересовали те сервисы которые смогут указать на сомнительный файл на моем сайте, а не ограничиться сухим заявлением «ваш сайт плохой».

Тип проверки: полная (antivirus-alarm + мировые антивирусные базы).
Показывает список проверяемых файлов а также показывает сомнительные ссылки.



Выполняет проверку пофайлово.


Выполняет проверку по антивирусным базам.
Более подробную проверку переводит на следующий сервис.


Sucuri SiteCheck выполняет подробно с показом сомнительного кода.


Проверка без указания файлов, но с указанием как на ваш сатй реагирует гугл и яндекс. Частенько пишет что на сайте обнаружены iframe-вставки, ссылающиеся на сомнительные сайты либо обфусицированный код.


Позволяет выбрать user-agent-а для проверки.
Zulu предназначен для оценки безопасности по конкретному URL-адресу. Проверке подвергаются три аспекта:
  • содержание страницы - наличие обфусцированных javascript-сценариев, признаков фишинга, проверка по базе MD5 известных вредоносных файлов;
  • URL - проверка по black-листам, принадлежность к преимущественно вредоносным TLD (например, .cz.cc, .cx.cc, etc);
  • хост - black-листы, риски, связанные с месторасположением (например, Россия, что не удивительно, в числе стран, сайты которых вообще не рекомендуется посещать).

Пять уровней проверки.


Wepawet - сервис для анализа javascript-сценариев на предмет подозрительной активности. Позволяет получить исходный код обфусцированных скриптов, выявить скрытые вызовы document.write (обычно применяется для вставки iframe, подгрузки эксплоитов), обнаружить обращения к другим сайтам, а также налету определить эксплоиты вместе с шелл-кодами





Этот бесплатный сервис может оказаться полезным при изучении подозрительных исполняемых файлов. Позволяет получить представление об активности exe-файла: модификация веток реестра, манипуляции с файлами, отправка запросов, изменение настроек Internet Explorer и т.д.


       Так вот только два сервиса показали что сомневаются в размещенном на моем сайте скрипте от сервисе odnaknopka.ru. Скрипт был удален. Повторная проверка не показала наличия вредоносного кода. Вот проверка моего сайта. 

Выводы:
- поменьше размещайте ссылок на непроверенные скрипты. Помните, что красивая динамика - это потенциальная угроза в будущем. По возможности скачайте удаленный скрипт себе на компьютер, проверьте его, и разместите на своем сайте с локальными ссылками. В этом случае у вас будет гарантия, что вам его не подменят.
- периодически проганяйте свой сайт через сервисы по обнаружению вредоносного кода.

А Яндексу привет!

18 comments:

  1. у вас там кстати опять вирус и у меня тоже, только я так и не понял что не так(
    если кто сможет подскажите плиз вот сайт http://popugayki.ru/

    ReplyDelete
  2. Щааас- у меня там есть и jquery и flash. И кто говорит что вирус?)

    ReplyDelete
  3. к тому же большой вопрос рекламный код самого юкоза а также RSS ленты!

    ReplyDelete
  4. Добрый день. Такая-же ерунда началась и с моим сайтом http://slavyanochka.com.ua/. Проверяю - матерится только Яндекс, остальные претензий и проблем не видят. Может подскажешь по опыту своему,что не так? Мой адрес - bpavel5@gmail.com. Спасибо.

    ReplyDelete
  5. Вы же используете jquery. Возможно по этому. Но лучше прогнать по сервисам и узнать какая страница под вопросом.

    ReplyDelete
  6. Огромная благодарность за отзывчивость! Я сейчас в свободное время только и делаю,что читаю форумы с подобной темой,да проверяю сайт всеми сервисами. Сам Яндекс вебмастер пишет,что проблема найдена на следующих страницах -
    http://slavyanochka.com.ua/
    http://slavyanochka.com.ua/node/211
    http://slavyanochka.com.ua/taxonomy/term/10
    Проверял исходный код,фрейм вставки,файлы php. Результат от нуля не отдалился,к моему великому огорчению. Если имеется возможность,время и желание - буду признателен.

    ReplyDelete
  7. Я так понимаю у вас Drupal. С главной стр мне "не нравится" только jquery. Глубже пока не анализировал. Возьмите httpanalyzer и гляньте кто что вызывает, особое внимание на скрипты. Еще одно - вы уверены что ваш сайт Яндексу отдает такой же код как и простому web-юзеру?

    ReplyDelete
  8. попробуйте временно убрать рекламный блок гугл едсенс. Мало ли)

    ReplyDelete
  9. Приветствую. Код отдаёт всем одинаковый. Установил модуль jquery update и полностью сменил папку misk , которая содержит все файлы jquery. В вебмастере нажал перепроверить,жду. Есть ,возможно,какие идеи по-этому поводу?

    ReplyDelete
  10. Доброй ночи. Вроде,пока,всё стабилизировалось. Благодарю за участие. Доброго здоровья!

    ReplyDelete
  11. Ещё один вопрос - понравились часы и фон этого сайта. Есть варианты приобретения?

    ReplyDelete
  12. Спасибо, но к сожелению ничего не нашел

    ReplyDelete
  13. А что Максим искал?

    ReplyDelete
  14. Нашел в хвосте js-файла строку d_ocument.w_rite и далее ссылка на сайт
    industrial-revolutions.com/vaqwz.php
    Вот такая бяка!

    ReplyDelete
  15. Прислал яндекс вчера привет про вредоносный код на сайте. Я волнуюсь... А через час от яндекса приходит второй привет - что нет проблем.) И так бывает.

    ReplyDelete
  16. Добрый день . вот такая вещь произошла у меня , утром звонил рекламщик по рекламе магазина и непосредственно сайта , постоянно меня терроризирует. по поводу платной рекламы , я ему отказал в очередной раз , а вечером этого же дня яндекс начал ругать мой сайт и наложил на него черную метку в виде наличия вредоносного кода. причем ругается только яндекс .гугл пишет что все путем. я проверил несколькими онлайн сервисами ничего нету . в частности полная (antivirus-alarm + мировые антивирусные базы.),drweb.com/online,virustotal.com/ru/#url, ругается только яндкс. Начинает наводить на мысль о специальном вредительстве. может такое быть , сговор с яндексом?
    Я не поленился про

    ReplyDelete
  17. Сговор? А чей рекламодатель то?

    ReplyDelete
  18. По ссылке вторая часть, онлайн проверка сайта на мошенничесвто
    http://nyukers.blogspot.com/2015/07/swindler.html

    ReplyDelete

А что вы думаете по этому поводу?