Сергеич Опубликовано 19 июня, 2014 Поделиться Опубликовано 19 июня, 2014 Господа, администраторы сайта, мир Вам! В последнее время переходя по ссылкам из поисковика google на сайт, иногда, меня просят обновить мой браузер до последней версии. Антивирус, характеризует скачиваемое приложение как не безопасное. Ниже скрины и окна для скачивания и комментарии антивируса. При чем, как я понял перенаправление на страницу вируса происходит сразу после начала загрузки сайта. Да и перенаправление происходит не всегда: примерно 1 из 15. У меня nexus 7, если что, с последними обновлениями. Систему сканировал несколькими антивирусами - чисто. 0 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
macar Опубликовано 19 июня, 2014 Поделиться Опубликовано 19 июня, 2014 а ты переходишь на главную сайта или на форум? 0 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Сергеич Опубликовано 20 июня, 2014 Автор Поделиться Опубликовано 20 июня, 2014 (изменено) На форум. Адрес страницы с "обновлением" меняется.вот 3 из них. Изменено 20 июня, 2014 пользователем Сергеич 0 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
macar Опубликовано 20 июня, 2014 Поделиться Опубликовано 20 июня, 2014 уточним. На главную страницу форума или по каким то конкретным темам? Просто все перерыл, нет даже намеков на вирус. Дай если можешь ссылки при переходе на которые это появляется. 0 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Dark_Dante Опубликовано 22 июня, 2014 Поделиться Опубликовано 22 июня, 2014 Подтверждаю. Есть такая проблема. Появляется при переходе по любой ссылке с поисковика на форум. Замечено только на мобильном устройстве. Как то связано с куками - появляется только если разлогинен на форуме. При отказе от скачивания и повторном переходе с поисковика на форум все нормально. 0 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Сергеич Опубликовано 23 июня, 2014 Автор Поделиться Опубликовано 23 июня, 2014 (изменено) Дай если можешь ссылки при переходе на которые это появляется.Вот к примеру сегодня вылезла http://check-sys.ru/l/AC17kyaJWFSnL6b6ECyTgVxsJh9 при переходе на https://www.google.ru/url?sa=t&source=web&rct=j&q=%D1%88%D1%80%D1%83%D1%81%20%D0%BC%D0%BE%D0%BD%D0%B4%D0%B5%D0%BE%204%202.0&ei=6D-oU_vvIYHOygOY9YKoDA&url=http://mondeoclub.ru/forum/&cd=8&ved=0CDYQFjAH&usg=AFQjCNG7Yai1vcunWG2LPVlADrxq0zno4A&sig2=0KLJnwSplvM8k4vwnha6ew&cad=rjt. Повторный клик и страница форума нормально открылась. Изменено 23 июня, 2014 пользователем Сергеич 0 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
macar Опубликовано 23 июня, 2014 Поделиться Опубликовано 23 июня, 2014 Что то у меня есть сомнение в причастности форума к этому. Поищу еще конечно. 0 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Dark_Dante Опубликовано 24 июня, 2014 Поделиться Опубликовано 24 июня, 2014 Неужели яндекс виноват? На самом деле баг легко воспроизвести. На файрфоксе ставим через плагин юзер агентом любой мобильный браузер. Ищем в поиске наш форум, переходим по ссылке и попадаем на скачивание этого вируса. Если куки включены то редирект на скачивание будет только один раз, при повторной попытке перейти по ссылке не будет. Если выключены то такая фигня будет каждый раз. Судя по FireBug, происходит переход на форум, начинается загрузка яваскриптов, на библиотеке jquery.js происходит редирект на домен с вирусом. Я бы на вашем месте пробовал бы отключать по одному внешние яваскрипты. Таким образом можно выявить хакнутый скрипт. 0 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
macar Опубликовано 24 июня, 2014 Поделиться Опубликовано 24 июня, 2014 попробую конечно, но блин пробовал не раз. Я конечно понимаю что квалификация моя ниже плинтуса, беру обычно измором, но тут и измор не помогает, странно. Плюс сайт мониторят несколько спец сервисов, тоже пишут чисто. 0 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
macar Опубликовано 24 июня, 2014 Поделиться Опубликовано 24 июня, 2014 поставил плагин, гугл определил что у меня мобилка. поискал, полазил по ссылкам, и та что выше давал, все чисто. 0 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Dark_Dante Опубликовано 24 июня, 2014 Поделиться Опубликовано 24 июня, 2014 Сейчас и с мобилки все чисто. Смотри какие файлы на сервере менялись недавно. 0 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
macar Опубликовано 24 июня, 2014 Поделиться Опубликовано 24 июня, 2014 Смотри какие файлы на сервере менялись недавно. На форуме уже давно ни какие. На морде только автоматическое обновление cms, и когда такое происходит сервисы верещат что появились изменения в файлах, я зная что это апдейт все равно просматриваю измененные файлы. Так что даже не знаю что и почему. Я допускаю что вирус может быть, но блин какой же он хитрый должен быть. 0 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
D-Stream Опубликовано 24 июня, 2014 Поделиться Опубликовано 24 июня, 2014 Я допускаю что вирус может быть, но блин какой же он хитрый должен бытьОн просто не у тебя на сервере, а во внешних скриптах. Поэтому и антивирусы при проверке конкретного сайта ничего не находят. То есть первое что приходит на ум: внешние баннерные системы (могут подсунут в любой момент любое), внешние скрипты всяких лайков и т.п. То бишь искать подозрительное надо где <script src=http(s)://чего-нить-чужое/скрипт.js Притом естественно вирусоподсовывающие скрипты контролируют и user-agent и referrer - соотвтетственно при попытке сунуться по адресу напрямую будет выдан пристойный код. А всех хитростей вируса - проверять пару параметров (выше) + (экзотичнее) ip обращающегося 0 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Dark_Dante Опубликовано 25 июня, 2014 Поделиться Опубликовано 25 июня, 2014 Тут беда еще вот в чем может быть. IPB значительную часть кода, части шаблонов и еще кучу всего хранит в базе, а не в виде файлов на сервере. Возможно что инъекция где то в базе, поэтому через изменения файлов ее не отловишь. К тому же, вредоносный код скорее всего обфусцирован. 0 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
D-Stream Опубликовано 25 июня, 2014 Поделиться Опубликовано 25 июня, 2014 К тому же, вредоносный код скорее всего обфусцирован.select * from ... where .... like '%eval(base64%' 0 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Dark_Dante Опубликовано 25 июня, 2014 Поделиться Опубликовано 25 июня, 2014 Можно и так поискать конечно, только там яваскрипт вирусом рулит скорее всего (при отключении яваскрипта редиректа не было), а там если мне память не изменяет евала нет. Просто обфускация до уровня нечитаемости, без base64, а там кто его знает. Я когда смотрел, редирект происходил после загрузки jquery.js, поэтому думаю что инъекция в этой библиотеке. Но не факт. Через панель файрбага мельком видел что после перехода на домен начинают подтягиватся яваскрипты, после гета jquery.js?_какие_то_параметры, редирект. 0 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
D-Stream Опубликовано 25 июня, 2014 Поделиться Опубликовано 25 июня, 2014 Ну можно конечно просто выгрузить все скрипты из базы и пробежаться парой-тройкой сканнеров Но сдается мне, что гадость сидит за пределами базы/сервера - на внешних ресурсах 0 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Dembel Опубликовано 20 августа, 2015 Поделиться Опубликовано 20 августа, 2015 Друзья, одолели меня эти переходы на обновить браузер с виброй , на всех моих ведроидах. Есть всё таки выход из этого? 0 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
D-Stream Опубликовано 20 августа, 2015 Поделиться Опубликовано 20 августа, 2015 Есть всё таки выход из этого?Конечно есть - вылечить свой гаджет от вирусов и троянов. 0 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Dembel Опубликовано 20 августа, 2015 Поделиться Опубликовано 20 августа, 2015 Конечно есть - вылечить свой гаджет от вирусов и троянов. Каспер не видет ничего, эта вкладка открывается при нажатии на главной страницы на форум, что с планшета что со смарта, покопаюсь ещё .... 0 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Джонни-80 Опубликовано 20 августа, 2015 Поделиться Опубликовано 20 августа, 2015 Ага, и на других ресурсах почему-то ничего не выскакивает, только на этом 0 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Dark_Dante Опубликовано 20 августа, 2015 Поделиться Опубликовано 20 августа, 2015 Меня только tapatalk бесит. Вылазиет постоянно. 0 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Dembel Опубликовано 21 августа, 2015 Поделиться Опубликовано 21 августа, 2015 Меня только tapatalk бесит. Вылазиет постоянно. Есть такое тоже. 0 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
raskl Опубликовано 6 ноября, 2015 Поделиться Опубликовано 6 ноября, 2015 Каспер не видет ничего, эта вкладка открывается при нажатии на главной страницы на форум, что с планшета что со смарта, покопаюсь ещё .... Ну так проблему решил? А то копаюсь в нете не могу решения найти такой же фигни 0 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Dembel Опубликовано 29 ноября, 2015 Поделиться Опубликовано 29 ноября, 2015 Ну так проблему решил? А то копаюсь в нете не могу решения найти такой же фигни фиг знает , само прошло, хотя было на трёх разных андройдах. 0 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.