на сайте обнаружены iframe вставки ссылающиеся на сомнительные сайты либо обфусицированный код
Вирус На Сайте
#1 rka11
Проверила сайт магазина через 2ip.ru на наличие вирусов, вот результат
!Подозрение на вирус!
На сайте обнаружены iframe-вставки, ссылающиеся на сомнительные сайты либо обфусицированный код.
Google.com относит данный сайт к безопасным
Yandex.ru относит данный сайт к безопасным
Подскажите, в чем может быть причина? Может я некорректный чужой код куда вставила?
#2 Гость_q-style_*
Проверила сайт магазина через 2ip.ru на наличие вирусов, вот результат
!Подозрение на вирус!
На сайте обнаружены iframe-вставки, ссылающиеся на сомнительные сайты либо обфусицированный код.
Google.com относит данный сайт к безопасным
Yandex.ru относит данный сайт к безопасным
Подскажите, в чем может быть причина? Может я некорректный чужой код куда вставила?
#3 gena.f
#4 support 2.0
Проверила сайт магазина через 2ip.ru на наличие вирусов, вот результат
!Подозрение на вирус!
На сайте обнаружены iframe-вставки, ссылающиеся на сомнительные сайты либо обфусицированный код.
Google.com относит данный сайт к безопасным
Yandex.ru относит данный сайт к безопасным
Подскажите, в чем может быть причина? Может я некорректный чужой код куда вставила?
#5 agkostin
#6 support 2.0
#7 agkostin
#8 support 2.0
#9 agkostin
#10 velena168
Прикрепленные изображения
#11 Vaccina
#12 agkostin
#13 support 2.0
#14 support
#15 agkostin
Не совсем понял кто исправит анализатор твитер или яндекс с гуглом? Вся проблема в том, что нельзя поставить ссылку на сайт с твитера.
Анализатор этого сайта: http://2ip.ru/site-virus-scaner/ возможно и не правильно работает. только вот ссылку с твитера нельзя поставить именно на те сайты у которых есть такая ошибка: подозрение на вирус ( На сайте обнаружены iframe-вставки, ссылающиеся на сомнительные сайты либо обфусицированный код.
#16 Taisia
протестировали Ваш сайт через сервис гугл на наличие вредоносного кода
такого кода не обнаружено
вот результаты теста
На сайте твиттера рекомендуют этотсервис для проверки сайта на вредоносность
как видно из отчета сайт не содержит вредоносного кода
в таких ситуациях поддержка твиттер рекомендует проделать следующие действия
https://support.twitter.com/forms/spam
в самой верхней панели на странице вы можете сменить язык на русский
отправите этот запрос, потому что видимых причин почему не добавляется ссылка нам обнаружить не удалось.
если говорить об iframe то это несомненно вопрос к анализатору твиттера
#17 agkostin
#18 Ivan712
Прикрепленные изображения
#19 Dars
Столкнулся и я с таким «недугом»на днях.
Один из пользователей написал мне, что не может войти на мой сайт, так как Google блокирует вход и оповещает его что сайт заражен и опасен…
Заранее скажу, не Яндекс вебмастер, не Google вебмастер в своих кабинетах заражения не показывали, как и большинство сервисов сканирования сайта на вирусы(или еще не успели).
Конечно, я сразу стал искать тот самый «вредоносный» код на сайте, дабы не терять трафик на сайт.
В поисках «вредоносного» кода на своем «подозрительном» сайте, я, попутно проверил свои другие сайты которые были на одном хостинге, на движке Worpdress.
Подозрение на вирус!
На сайте обнаружены iframe-вставки, ссылающиеся на сомнительные сайты либо обфусицированный код
Я сначала подумал что взломали аккаунт хостинга и залили какую нибудь «бяку», тем самым заразив всех сайты на аккаунте.
Но, чтоб убедиться взломан ли был аккаунт хостинга и сайты на нем, я, имея другие аккаунты с сайтами на этом же хостинге, решил проверить и их….
К моему удивлению, сайты находящиеся на других аккаунтах в разной комплектации, так же на движке WordPress, тоже были с пометкой Подозрение на вирус!
Первая мысль которая у меня возникла, это то, что сайты заражены были через сам хостинг, так как, мало верится чтоб несколько десятков сайтов на разных аккаунтах одного хостинга были заражены одновременно…
Дабы не расписывать все свои мучения как я искал эту проблему и не мучать вас,сразу опишу решение.
К слову, добавлю, на самом деле это не совсем вирус. Не могу назвать точную версию движка с чего эта «проблема» началась.
Но, движок, после обновления добавил такой код
Его можно увидеть, если открыть в браузере исходный код главной страницы сайта.
В нем собственно и была проблема.
Как удалить на сайте Worpress iframe-вставки, ссылающиеся на сомнительные сайты либо обфусицированный код?
А решении не такое сложное и справится любой новичок..
1. Заходим в Админ панель своего сайта.
2. Далее следуем по такому пути, внешний вид, редактор.
3. Находим и открываем файл functions.php
4. Добавляем в самый конец эти 4 строчки
remove_action( ‘admin_print_scripts’, ‘print_emoji_detection_script’ );
remove_action( ‘wp_print_styles’, ‘print_emoji_styles’ );
remove_action( ‘admin_print_styles’, ‘print_emoji_styles’ );
Как найти и удалить вирус iframe на сайте
Одним из наиболее частых способов заражения компьютера посетителей сайтов является использование уязвимости, связанной с переполнением буферов браузеров пользователей. Рецепт достаточно прост. Злоумышленники внедряют вредоносный код вставкой iframe на страницы сайта и пытаются загрузить на компьютер ничего не подозревающего пользователя вредоносные файлы. Обнаружить подобные вредоносные врезки на ваших сайтах достаточно легко. Стоит лишь обратить внимание на фрагменты кода, в которых используется подключение iframe. Такие вставки могут быть как в HTML, так и в PHP файлах.
Злоумышленники почти всегда пытаются максимально скрыть от владельцев использование вредоносных ставок, скрывая их визуально для пользователей ресурса и обфусцируя (запутывая) свой код.
Скрытие iframe вставок от глаз пользователей
Для маскировки вредоносной вставки хакеры в большинстве случаев применяют один и тот же метод раз за разом — выставляют свойства тега так, чтобы он не отображался на странице, но содержался в ее коде. Чаще всего, выставляется нулевая или однопикселевая ширина и длина: width=»1px», height=»1px».
Например, вредоносный код может выглядеть так:
Однако, часто такой маскировкой хакеры не ограничиваются, дополняя сокрытие более изощренными приемами, способными сбить с толку и усложнить поиск и устранение даже продвинутым программистам.
Обфускация
Однако, обнаружение обфусцированного кода на сайте не означает однозначной его вредоносности или легкости устранения. Нужно понимать, что, во-первых, злоумышленники могли обфусцировать код, захватив еще и часть рабочего кода сайта. В таком случае, при попытке вырезания зашифрованного фрагмента вы рискуете обрушить ваш ресурс. Во-вторых, обфусцированный код может не быть вредоносным, а лишь являться следствием работы вашей CMS или отдельных ее компонентов, а также, установленных вами дополнительных модулей.
В любом случае, если вы столкнулись с подозрительным обфусцированным кодом, нужно действовать с максимальной аккуратность.
Прочие признаки заражения
Если вы сомневаетесь, является ли найденный вами код вредоносным, то можно попробовать проанализировать косвенные признаки. При наличии большого числа файлов на вашем сайте, вы можете обратить внимание на дату и время последнего изменения файлов. В случае, если вы хорошо знаете сценарии работы своей CMS с файлами, то можете присмотреться к файлам, измененным в одну дату в одно и то же время, или с изменениями, идущими с одинаковым интервалом времени, например, 1 секунда.
В случае, если вы являетесь продвинутым программистом, то можете написать скрипт, проверяющий наличии обнаруженного вами типа вставок на всех файлах вашего сайта. Если вы еще более продвинуты — можете заставить скрипт вырезать вставки, однако, всегда нужно быть аккуратным.
Альтернативные методы
Мы рекомендуем вам использовать сервис Вирусдай для удаления вредоносных вставок на даже в тех случаях, когда вы являетесь продвинутым специалистом. Наш сервис не только содержит множество сигнатур, по которым находит вредоносные коды, но и экономит время! К тому же, стоимость использования Вирусдая для чистки будет, вероятно, намного ниже, чем оплата вашего же рабочего времени. Вы сможете обнаружить и удалить не только iframe вставки, но и множество других угроз. Вероятно, вы сможете найти и автоматически удалить угрозу, приведшую к появлению iframe вставок на вашем сайте, такую, как, например, Шелл.
На сайте обнаружены iframe вставки из браузера? Это серч глумится!
Около недели назад появилась проблема с публикацией постов на блогах через оперу. В код страницы начал самовольно добавляться скрипт и ифрейм такого вида:
Надо сказать, что его можно и не заметить, если не перейти на просмотр HTML кода прямо в редакторе. Но здесь порадовал друпал 7. Даже при визуальном просмотре появилось видимое изображение скрытого iframe. Что позволяет насторожиться уже на этапе редактирования поста.
Что она означает – тоже понятия не имею. Хотя очень любопытно! Но забегу вперед – тайна будет раскрыта…
Что же делать в данном случае? Как найти iframe вставки?
Первое, что пришло в голову – что-то случилось с движком. Но это оказалось не так, так как и в вордпрессе, и в друпал одновременно появилась одна и та же проблема.
Второе – дело в самом браузере. Это легко проверить. Достаточно попробовать написать пост из другого браузера. Так и сделала. Вернулась к забытому IE и создала запись в нем. Никаких вредоносных вставок нет! Более того, я отредактировала созданные в опере посты, удалив вирусный код вручную, и ифрейма не стало. В опере ж бесполезно было вырезать.
Что ж, диагноз ясен, как божий день. Опера подхватила где-то и что-то. Нужно лечить ее.
Самое простое – попробовать переустановить. Но я сначала посмотрю, не поставила ли я расширение, добавляющее зловредность. Тем более, недавно добавила новые расширения и знаете откуда? С серча! Недаром при включении улыбался смайлик. 🙂
Отсюда следует, что при отключении метабара это безобразие с самовольной вставкой ифрейма прекратится. Отключила – теперь все в порядке и не нужно сносить оперу.
Вот так серч глумится над вебмастерами?
Примечание. На скринах ниже вы увидите, как выглядит сие заманчивое предложение.
Нужно добавить, что редакторы при написании поста глючили не только на сайтах вордпресса и друпал, но и в жж. Невозможно было добавить даже картинку.
GlooSoftware Research Lab
Удаляем вирус с сайта или борьба с iFrame на сайте
Хотел начать свой блог с лирики, но выдалась такая неспокойная неделя, что решил поприветствовать Всех статьей по существу. Привет!
А вся неделя прошла в войнах с постоянными взломами моих хостингов и заражением всех JavaScript файлов ifram’ами, а это не много не мало порядка 2500 скриптов и все сайты с вирусами.
Не успевал я за день очищать все файлы в ручном режиме и менять пароли, как на следующий день происходило всё снова – пароли каким-то образом утекали и скрипты все вновь успешно по FTP троянились.
Пятница недели стала последней каплей и я потратил день на защиту своих серверов:
Весь этот символьный хаос в результате работы JavaScript превращается в легко читающийся HTML код iframe вставки и загружает пользователю сайта тело вируса посредством работы эксплойта. Опираясь на данный минимум теории начнем защищаться от заражения сайтов.
Где xx.xx.xx.xx — это ваш IP, с которого разрешена активность по FTP, всем остальным досвидания.
За выделенным IP звоним провайдеру!
Если все же вы не можете получить выделенный адрес, а имеете динамические адреса, то можно указать диапазон адресов, из которого выдаются IP-адреса вашим интернет-провайдером, например это будет выглядеть так:
Это позволит ограничить доступ взломщикам к вашим серверам.
Скрипт автоудаления из всех файлов вставок iframe’ов
В одной из следующих статей напишу простейший криптор iframe’ов, что бы вы понимали что же такое Вам в сайты встраивают и для чего.