Как то получил я от Яндекс.вебмастера сообщение что мой сайт nyukers.ucoz.net содержит вредоносный код. К сожалению, в
сообщении не указывается какакя именно страница сайта содержит такой код.
Давненько я получал подобное сообщение на другой мой сайт, но отреагировать не
успел так как хостер мой сайт просто закрыл. Хостер решил не разбираться правда это или
нет и принял свое решение. Его право. Сработал принцип - вначале наводим на вас
подозрение, а потом поглядим как вы будете выкручиваться…
Я решил по последнему сообщению от Яндекса пройтись более детально, а то ведь
так можно все сайты потерять на ровном месте.
Итак вопрос – а был ли мальчик?
Откуда у вас на сайте может появится «вредоносный» код, если вы его там не размещали?
Почему слово взял в кавычки поймете позже. Случаи взлома вашего сайта я не рассматриваю,
потому как это случай не в рамках моей статьи. «Вредоносный» код может появится
на вашем сайте прежде всего там где вы разместили код с прямыми ссылками на внешние рекламные
блоки, информеры и виджеты. Внешний - это который содержит ссылку на чужой сайт. Сегодня это безвредный блок с красивой рекламой, а завтра на том
ресурсе на который ссылка поменяли скрипт и вы имеете неприятности. Или
взломали внешний ресурс и опять же подменили скрипт, а вы об этом даже не догадываетесь.
К тому же частенько Яндекс.вебмастер перестраховывается и зачисляет в «зловреды»
даже широко известные скрипты типа jQuery и наличие Flash. Также под сомнение берутся скрипты сервисов быстрого постинга ссылок в социальные
сети или блоги.
Поэтому я решил проверить свой сайт через онлайн
сервисы по обнаружению вредоносного кода. Причем меня больше интересовали те сервисы которые смогут указать на сомнительный
файл на моем сайте, а не ограничиться сухим заявлением «ваш сайт плохой».
Тип проверки: полная (antivirus-alarm + мировые антивирусные базы).
Показывает список проверяемых файлов а также показывает сомнительные ссылки.
Выполняет проверку пофайлово.
Выполняет проверку по антивирусным базам.
Более подробную проверку переводит на следующий сервис.
Sucuri SiteCheck выполняет подробно с показом сомнительного кода.
Проверка без указания файлов, но с указанием как на ваш сатй реагирует гугл
и яндекс. Частенько пишет что на сайте обнаружены iframe-вставки, ссылающиеся на сомнительные сайты либо
обфусицированный код.
Позволяет выбрать user-agent-а для проверки.
Zulu предназначен для оценки безопасности по конкретному URL-адресу.
Проверке подвергаются три аспекта:
- содержание страницы - наличие обфусцированных javascript-сценариев, признаков фишинга, проверка по базе MD5 известных вредоносных файлов;
- URL - проверка по black-листам, принадлежность к преимущественно вредоносным TLD (например, .cz.cc, .cx.cc, etc);
- хост - black-листы, риски, связанные с месторасположением (например, Россия, что не удивительно, в числе стран, сайты которых вообще не рекомендуется посещать).
Пять уровней проверки.
Wepawet - сервис для анализа javascript-сценариев на предмет подозрительной
активности. Позволяет получить исходный код обфусцированных скриптов, выявить
скрытые вызовы document.write (обычно применяется для вставки iframe, подгрузки
эксплоитов), обнаружить обращения к другим сайтам, а также налету определить
эксплоиты вместе с шелл-кодами
Этот бесплатный сервис может оказаться полезным при изучении подозрительных
исполняемых файлов. Позволяет получить представление об активности exe-файла:
модификация веток реестра, манипуляции с файлами, отправка запросов, изменение
настроек Internet Explorer и т.д.
Так вот только два сервиса показали что сомневаются в размещенном на моем
сайте скрипте от сервисе odnaknopka.ru. Скрипт был удален. Повторная проверка не показала наличия вредоносного
кода. Вот проверка моего сайта.
Выводы:
- поменьше размещайте ссылок на непроверенные скрипты. Помните, что
красивая динамика - это потенциальная угроза в будущем. По возможности скачайте
удаленный скрипт себе на компьютер, проверьте его, и разместите на своем сайте
с локальными ссылками. В этом случае у вас будет гарантия, что вам его не
подменят.
- периодически проганяйте свой сайт через сервисы по обнаружению вредоносного кода.
А Яндексу привет!
у вас там кстати опять вирус и у меня тоже, только я так и не понял что не так(
ReplyDeleteесли кто сможет подскажите плиз вот сайт http://popugayki.ru/
Щааас- у меня там есть и jquery и flash. И кто говорит что вирус?)
ReplyDeleteк тому же большой вопрос рекламный код самого юкоза а также RSS ленты!
ReplyDeleteДобрый день. Такая-же ерунда началась и с моим сайтом http://slavyanochka.com.ua/. Проверяю - матерится только Яндекс, остальные претензий и проблем не видят. Может подскажешь по опыту своему,что не так? Мой адрес - bpavel5@gmail.com. Спасибо.
ReplyDeleteВы же используете jquery. Возможно по этому. Но лучше прогнать по сервисам и узнать какая страница под вопросом.
ReplyDeleteОгромная благодарность за отзывчивость! Я сейчас в свободное время только и делаю,что читаю форумы с подобной темой,да проверяю сайт всеми сервисами. Сам Яндекс вебмастер пишет,что проблема найдена на следующих страницах -
ReplyDeletehttp://slavyanochka.com.ua/
http://slavyanochka.com.ua/node/211
http://slavyanochka.com.ua/taxonomy/term/10
Проверял исходный код,фрейм вставки,файлы php. Результат от нуля не отдалился,к моему великому огорчению. Если имеется возможность,время и желание - буду признателен.
Я так понимаю у вас Drupal. С главной стр мне "не нравится" только jquery. Глубже пока не анализировал. Возьмите httpanalyzer и гляньте кто что вызывает, особое внимание на скрипты. Еще одно - вы уверены что ваш сайт Яндексу отдает такой же код как и простому web-юзеру?
ReplyDeleteпопробуйте временно убрать рекламный блок гугл едсенс. Мало ли)
ReplyDeleteПриветствую. Код отдаёт всем одинаковый. Установил модуль jquery update и полностью сменил папку misk , которая содержит все файлы jquery. В вебмастере нажал перепроверить,жду. Есть ,возможно,какие идеи по-этому поводу?
ReplyDeleteДоброй ночи. Вроде,пока,всё стабилизировалось. Благодарю за участие. Доброго здоровья!
ReplyDeleteЕщё один вопрос - понравились часы и фон этого сайта. Есть варианты приобретения?
ReplyDeleteСпасибо, но к сожелению ничего не нашел
ReplyDeleteА что Максим искал?
ReplyDeleteНашел в хвосте js-файла строку d_ocument.w_rite и далее ссылка на сайт
ReplyDeleteindustrial-revolutions.com/vaqwz.php
Вот такая бяка!
Прислал яндекс вчера привет про вредоносный код на сайте. Я волнуюсь... А через час от яндекса приходит второй привет - что нет проблем.) И так бывает.
ReplyDeleteДобрый день . вот такая вещь произошла у меня , утром звонил рекламщик по рекламе магазина и непосредственно сайта , постоянно меня терроризирует. по поводу платной рекламы , я ему отказал в очередной раз , а вечером этого же дня яндекс начал ругать мой сайт и наложил на него черную метку в виде наличия вредоносного кода. причем ругается только яндекс .гугл пишет что все путем. я проверил несколькими онлайн сервисами ничего нету . в частности полная (antivirus-alarm + мировые антивирусные базы.),drweb.com/online,virustotal.com/ru/#url, ругается только яндкс. Начинает наводить на мысль о специальном вредительстве. может такое быть , сговор с яндексом?
ReplyDeleteЯ не поленился про
Сговор? А чей рекламодатель то?
ReplyDeleteПо ссылке вторая часть, онлайн проверка сайта на мошенничесвто
ReplyDeletehttp://nyukers.blogspot.com/2015/07/swindler.html