Мой сайт
Вторник, 24.10.2017, 01:24
Меню сайта

Форма входа

Категории раздела
Мои статьи [12]
то что я написал о себе
статьи об Валексе [5]
из СМИ и Сети
Валекс и... [6]
о Валексе и других с ним
ene [0]
nur

Поиск

Мини-чат

Друзья сайта

Статистика

Онлайн всего: 1
Гостей: 1
Пользователей: 0

Главная » Статьи » Валекс » Мои статьи

вирус-локер на сайтах Юкоза и не только
Последнее время, примерно несколько месяцев, как начали поступать жалобы от людей, кто пытался переходить по моим ссылкам из вКонтакте, ЖЖ и Твиттера, что на сайте (сайтах - ибо это не только при переходе на chakra но и на sekai) они поймали вирус-локер, требующий для разблокировки компьютера перечислить деньги по телефону.
Михаил Абасов
...если уже несколько человек говорят что на вашем форуме вмрусы.то лучше принимать меры...

Галия Галиева
можно запросить у ucoz проверку вашего сайта на наличие вирусов или к-л неверных настроек - мой антивирус также не пускает меня на этот форум
Казалось бы все просто - на сайте вирус сидит. Но...
1. я сам как админ до 15 часов в сутки пребываю на сайте и ни разу никакого вируса не поймал там
2.
постоянные форумчане ни разу не поймали вирус
3. все, кто жаловался на вирус -
все из России

Поначалу я провел расследование и обнаружил с помощью
популярного вирусного сканера в Сети http://2ip.ru/site-virus-scaner/ что На сайте обнаружены iframe-вставки, ссылающиеся на сомнительные сайты либо обфусицированный код.
Однако при этом как Гугль, так и Яндекс считают сайт безопасным. Проверка и анализ с помощью ряда сайтов доказали что это не вирус, а
обфусицированный код от роликов в Ютюб. Они недавно сменили код на обозначение как iframе-окно. Это и опознается некоторыми антивирусниками как типа вирус или iframe-вставки, ссылающиеся на сомнительные сайты. Пример из жизни ITишника http://smr24.ru/?p=325
Я лично на один из сайтов, на котором не было ни одного Ютюбовского ролика и распознаваемом 2ip.ru/site-virus-scaner/-ом как безопасным, загрузил ютюб-ролик и перепроверил на вирус. 2ip.ru тут же показало, что обнаружены iframe-вставки, ссылающиеся на сомнительные сайты либо обфусицированный код. Удалил видео и снова - вирусов нет.
Увы я не могу все ролики Ютюба на сайте переделать на object - это физически нереально. Заводите более разумные антивирусники и доверяйте проверке Гуглем: по проверке Google.com и Yandex.ru относят данный сайт к безопасным


Однако все это  не объясняет локеры http://chakra.do.am/forum/71-301-43857-16-1336852691
Вот из Сети по поводу известного сайта на котором тоже такое поймали http://wordpressario.ru/2012/05/05/virus-na-sajte-favicon-ru/
Может ли такое быть, что это навешивается на траффик не на сайте, а где-то между сайтом и юзером на пути (у провайдеров сети)?
Не может быть чтоб Юкоз не заметил и потерпел бы оное, если бы было на сайте. Тем более сами они предупреждают, чтоб всплывающие баннеры не размещали мы-пользователи на своих сайтах - значит как то это отслеживают...
Сам юкоз вряд ли будет такое вешать - зачем им портить отношение к своему хостингу у гостей-хостеров и у гостей-заходильников? Я уверен все же, что спецы Юкоза на сайтах ничего НЕ найдут. 
Ведь будь что на сайте, то оно появлялось бы в любой стране, не только в России.
Плюс
один их важных показателей, что зарегистрированные на сайте (в Юкоз всеобщая регистрация) еще никогда не поймали вирус такой. Получается тогда ты какбэ под защитой уже Юкоза чтоль. А если мы заходим даже как гость, то IP то тот же самый, опознается системой (см что пингвин вас о вас показует).
И стал я тогда логически размышлять:
между юзером и сайтом ведь на пути в Сети столько всяких посредников. Видимо на этом отрезке на каком-то звене и вешают вирус-локер. К этой мысли меня привел случай в Твиттере. Одному фоловеру я дал сокращенную ссылку на сайт фэн-шуй. А тот заходил с мобильника и ссылка его привела на порно. Я дал прямую ссылку вместо сокращенной - зашел нормально сразу. Повидимому на пути через сокращенную ссылку висит прога перенаправления. Не на самом сайте сокращения ссылок, ибо я ей пользуюсь постоянно и жалоб на подобное никогда не было. Перенаправлялку явно повесили не на сайте сокращений, а где-то ближе к юзеру, у провайдеров.

Всё это объясняет почему наш постоянный форумчанин Гоша, заходя с другого IP с работы, поймал локер. А издому - никогда.
Gosha
Сам я сегодня - с служебного компа - хотел зайти на сайт Валекса, как только заходить начал - выскочил баннер, типа такого:



и никак его убрать нельзя! пришлось вырубать, заново включать комп, заходить в безопасном режиме, позвать айтишника-прогера у кого права администратора, показывать ему проблему, заходить как администратор и удалять из реестра энтого подлого баннера! (а еще объяснить куды я лазил и шос смотрел! biggrin )
Возможно это опять Валекса сайт атакуют - отводят так посетителей что ли? хотя с домашнего компа у меня ни разу ничего на chakre не было плохого! ;)


Получается, если бы то сидело на сайте, то локер поймать мог бы любой без разбора. А так  постоянники на форуме чакры  НИКОГДА не поймали локера.
Косвенно тоже сказал и спец - только вывод необходимый не сделал, гонит на сканеры:

Кстати, что характерно: попробовал проверить эту сайтину на вирусы с помощью 5-6 различных онлайн-сервисов для сканирования ресурсов на наличие зловредов - итог: ни один из них ничего подозрительного так и не обнаружил... так-то..


Возможно это одна из продуманных моментов мошенников-хозяев вируса. Постоянник (зарегистрированный пользователь, по закладкам ходящий и т.п.) заинтересован в посещении сайта и может пожаловаться, а случайный пассажир просто больше заходить не будет - жаловаться не будет точно.

Так что я обращаюсь к всему Интернет-сообществу. Давайте решим это задачку вместе. Моих знаний не хватает, а я не программист. Только логические размышления могут быть ложными. Помогите знаниями и опытом.
Кстати Онлайн-сканер лаборатории Кассперского тоже не видит никаких вирусов.

отчет проверки форума chakra тут



Категория: Мои статьи | Добавил: sensei (14.07.2012) | Автор: Валекс Буяк - ламер
Просмотров: 863 | Комментарии: 1 | Теги: специалисты, it, вопрос, блокиратор, локер, locker, Заражение, проблема, сайт, вирус | Рейтинг: 0.0/0
Всего комментариев: 1
1  
ll

Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Copyright MyCorp © 2017
Бесплатный хостинг uCoz