Просит обновить браузер.

Господа, администраторы сайта, мир Вам!

В последнее время переходя по ссылкам из поисковика google на сайт, иногда, меня просят обновить мой браузер до последней версии. Антивирус, характеризует скачиваемое приложение как не безопасное. Ниже скрины и окна для скачивания и комментарии антивируса. При чем, как я понял перенаправление на страницу вируса происходит сразу после начала загрузки сайта. Да и перенаправление происходит не всегда: примерно 1 из 15.

У меня nexus 7, если что, с последними обновлениями. Систему сканировал несколькими антивирусами - чисто.

а ты переходишь на главную сайта или на форум?

На форум. Адрес страницы с "обновлением" меняется.вот 3 из них.

Изменено 20 июня, 2014 пользователем Сергеич

уточним.

На главную страницу форума или по каким то конкретным темам?

Просто все перерыл, нет даже намеков на вирус.

 

Дай если можешь ссылки при переходе на которые это появляется.

Подтверждаю. Есть такая проблема. Появляется при переходе по любой ссылке с поисковика на форум. Замечено только на мобильном устройстве. Как то связано с куками - появляется только если разлогинен на форуме. При отказе от скачивания и повторном переходе с поисковика на форум все нормально.

Дай если можешь ссылки при переходе на которые это появляется.

Вот к примеру сегодня вылезла http://check-sys.ru/l/AC17kyaJWFSnL6b6ECyTgVxsJh9 при переходе на https://www.google.ru/url?sa=t&source=web&rct=j&q=%D1%88%D1%80%D1%83%D1%81%20%D0%BC%D0%BE%D0%BD%D0%B4%D0%B5%D0%BE%204%202.0&ei=6D-oU_vvIYHOygOY9YKoDA&url=http://mondeoclub.ru/forum/&cd=8&ved=0CDYQFjAH&usg=AFQjCNG7Yai1vcunWG2LPVlADrxq0zno4A&sig2=0KLJnwSplvM8k4vwnha6ew&cad=rjt. Повторный клик и страница форума нормально открылась. Изменено 23 июня, 2014 пользователем Сергеич

Что то у меня есть сомнение в причастности форума к этому.

Поищу еще конечно.

Неужели яндекс виноват? 

На самом деле баг легко воспроизвести.

На файрфоксе ставим через плагин юзер агентом любой мобильный браузер. Ищем в поиске наш форум, переходим по ссылке и попадаем на скачивание этого вируса. Если куки включены то редирект на скачивание будет только один раз, при повторной попытке перейти по ссылке не будет. Если выключены то такая фигня будет каждый раз. 

Судя по FireBug, происходит переход на форум, начинается загрузка яваскриптов, на библиотеке jquery.js происходит редирект на домен с вирусом.

Я бы на вашем месте пробовал бы отключать по одному внешние яваскрипты. Таким образом можно выявить хакнутый скрипт. 

попробую конечно, но блин пробовал не раз.

Я конечно понимаю что квалификация моя ниже плинтуса, беру обычно измором, но тут и измор не помогает, странно.

Плюс сайт мониторят несколько спец сервисов, тоже пишут чисто.

поставил плагин, гугл определил что у меня мобилка.

поискал, полазил по ссылкам, и та что выше давал, все чисто.

Сейчас и с мобилки все чисто. Смотри какие файлы на сервере менялись недавно.

 

 

Смотри какие файлы на сервере менялись недавно.

На форуме уже давно ни какие.

На морде только автоматическое обновление cms, и когда такое происходит сервисы верещат что появились изменения в файлах, я зная что это апдейт все равно просматриваю измененные файлы.

Так что даже не знаю что и почему.

Я допускаю что вирус может быть, но блин какой же он хитрый должен быть.

Я допускаю что вирус может быть, но блин какой же он хитрый должен быть

Он просто не у тебя на сервере, а во внешних скриптах. Поэтому и антивирусы при проверке конкретного сайта ничего не находят. То есть первое что приходит на ум: внешние баннерные системы (могут подсунут в любой момент любое), внешние скрипты всяких лайков и т.п.

 

То бишь искать подозрительное надо где <script src=http(s)://чего-нить-чужое/скрипт.js

 

Притом естественно вирусоподсовывающие скрипты контролируют и user-agent и referrer - соотвтетственно при попытке сунуться по адресу напрямую будет выдан пристойный код.

 

А всех хитростей вируса - проверять пару параметров (выше) + (экзотичнее) ip обращающегося

Тут беда еще вот в чем может быть. IPB значительную часть кода, части шаблонов и еще кучу всего хранит в базе, а не в виде файлов на сервере. Возможно что инъекция где то в базе, поэтому через изменения файлов ее не отловишь.

К тому же, вредоносный код скорее всего обфусцирован.

К тому же, вредоносный код скорее всего обфусцирован.

select * from ... where .... like '%eval(base64%'

Можно и так поискать конечно, только там яваскрипт вирусом рулит скорее всего (при отключении яваскрипта редиректа не было), а там если мне память не изменяет евала нет. Просто обфускация до уровня нечитаемости, без base64, а там кто его знает.

Я когда смотрел, редирект происходил после загрузки jquery.js, поэтому думаю что инъекция в этой библиотеке. Но не факт. Через панель файрбага мельком видел что после перехода на домен начинают подтягиватся яваскрипты, после гета jquery.js?_какие_то_параметры, редирект.

Ну можно конечно просто выгрузить все скрипты из базы и пробежаться парой-тройкой сканнеров

Но сдается мне, что гадость сидит за пределами базы/сервера - на внешних ресурсах

Друзья, одолели меня эти переходы на обновить браузер с виброй , на всех моих ведроидах. Есть всё таки выход из этого?

Есть всё таки выход из этого?

Конечно есть - вылечить свой гаджет от вирусов и троянов.

Конечно есть - вылечить свой гаджет от вирусов и троянов.

Каспер не видет ничего, эта вкладка открывается  при нажатии на главной страницы на форум, что с планшета что со смарта,  покопаюсь ещё ....

Ага, и на других ресурсах почему-то ничего не выскакивает, только на этом

Меня только tapatalk бесит. Вылазиет постоянно.

Меня только tapatalk бесит. Вылазиет постоянно.

Есть такое тоже.

Каспер не видет ничего, эта вкладка открывается  при нажатии на главной страницы на форум, что с планшета что со смарта,  покопаюсь ещё ....

Ну так проблему решил? А то копаюсь в нете не могу решения найти такой же фигни

Ну так проблему решил? А то копаюсь в нете не могу решения найти такой же фигни

фиг знает , само прошло, хотя было на трёх разных андройдах.