Перейти к содержанию
Партнерские сервисы
Kузовной ремонт и запчасти на пр. Вернадского (495)-222-6064 Cервис у Пчела оригинальные запчасти кузовная станция IDS +7 495 6406454
ТрансЛаб - 20 лет опыта в ремонте АКПП и ДВС Форд. 8-(495)-136-76-16 (телефон/WhatsApp) Форд Центр "ПИЛОТ" на Волгоградском проспекте. тел. (495) 785-06-65

Рекомендуемые сообщения

Опубликовано

Господа, администраторы сайта, мир Вам!

В последнее время переходя по ссылкам из поисковика google на сайт, иногда, меня просят обновить мой браузер до последней версии. Антивирус, характеризует скачиваемое приложение как не безопасное. Ниже скрины и окна для скачивания и комментарии антивируса. При чем, как я понял перенаправление на страницу вируса происходит сразу после начала загрузки сайта. Да и перенаправление происходит не всегда: примерно 1 из 15.

У меня nexus 7, если что, с последними обновлениями. Систему сканировал несколькими антивирусами - чисто.

post-25344-0-66427900-1403187362_thumb.png

post-25344-0-33535500-1403187461_thumb.png


Опубликовано (изменено)

На форум. Адрес страницы с "обновлением" меняется.вот 3 из них.

post-25344-0-11750700-1403231863_thumb.png

Изменено пользователем Сергеич
Опубликовано

уточним.

На главную страницу форума или по каким то конкретным темам?

Просто все перерыл, нет даже намеков на вирус.

 

Дай если можешь ссылки при переходе на которые это появляется.

Опубликовано

Подтверждаю. Есть такая проблема. Появляется при переходе по любой ссылке с поисковика на форум. Замечено только на мобильном устройстве. Как то связано с куками - появляется только если разлогинен на форуме. При отказе от скачивания и повторном переходе с поисковика на форум все нормально.

Опубликовано (изменено)

Дай если можешь ссылки при переходе на которые это появляется.

Вот к примеру сегодня вылезла http://check-sys.ru/l/AC17kyaJWFSnL6b6ECyTgVxsJh9 при переходе на https://www.google.ru/url?sa=t&source=web&rct=j&q=%D1%88%D1%80%D1%83%D1%81%20%D0%BC%D0%BE%D0%BD%D0%B4%D0%B5%D0%BE%204%202.0&ei=6D-oU_vvIYHOygOY9YKoDA&url=http://mondeoclub.ru/forum/&cd=8&ved=0CDYQFjAH&usg=AFQjCNG7Yai1vcunWG2LPVlADrxq0zno4A&sig2=0KLJnwSplvM8k4vwnha6ew&cad=rjt. Повторный клик и страница форума нормально открылась. Изменено пользователем Сергеич
Опубликовано

Что то у меня есть сомнение в причастности форума к этому. :)

Поищу еще конечно.

Опубликовано

Неужели яндекс виноват?  :)

На самом деле баг легко воспроизвести.

На файрфоксе ставим через плагин юзер агентом любой мобильный браузер. Ищем в поиске наш форум, переходим по ссылке и попадаем на скачивание этого вируса. Если куки включены то редирект на скачивание будет только один раз, при повторной попытке перейти по ссылке не будет. Если выключены то такая фигня будет каждый раз. 

Судя по FireBug, происходит переход на форум, начинается загрузка яваскриптов, на библиотеке jquery.js происходит редирект на домен с вирусом.

Я бы на вашем месте пробовал бы отключать по одному внешние яваскрипты. Таким образом можно выявить хакнутый скрипт. 

Опубликовано

попробую конечно, но блин пробовал не раз.

Я конечно понимаю что квалификация моя ниже плинтуса, беру обычно измором, но тут и измор не помогает, странно. :)

Плюс сайт мониторят несколько спец сервисов, тоже пишут чисто. :(

Опубликовано

поставил плагин, гугл определил что у меня мобилка.

поискал, полазил по ссылкам, и та что выше давал, все чисто. :(

Опубликовано

 

 

Смотри какие файлы на сервере менялись недавно.

На форуме уже давно ни какие.

На морде только автоматическое обновление cms, и когда такое происходит сервисы верещат что появились изменения в файлах, я зная что это апдейт все равно просматриваю измененные файлы.

Так что даже не знаю что и почему.

Я допускаю что вирус может быть, но блин какой же он хитрый должен быть. :)

Опубликовано

Я допускаю что вирус может быть, но блин какой же он хитрый должен быть

Он просто не у тебя на сервере, а во внешних скриптах. Поэтому и антивирусы при проверке конкретного сайта ничего не находят. То есть первое что приходит на ум: внешние баннерные системы (могут подсунут в любой момент любое), внешние скрипты всяких лайков и т.п.

 

То бишь искать подозрительное надо где <script src=http(s)://чего-нить-чужое/скрипт.js

 

Притом естественно вирусоподсовывающие скрипты контролируют и user-agent и referrer - соотвтетственно при попытке сунуться по адресу напрямую будет выдан пристойный код.

 

А всех хитростей вируса - проверять пару параметров (выше) + (экзотичнее) ip обращающегося

Опубликовано

Тут беда еще вот в чем может быть. IPB значительную часть кода, части шаблонов и еще кучу всего хранит в базе, а не в виде файлов на сервере. Возможно что инъекция где то в базе, поэтому через изменения файлов ее не отловишь.

К тому же, вредоносный код скорее всего обфусцирован.

Опубликовано

Можно и так поискать конечно, только там яваскрипт вирусом рулит скорее всего (при отключении яваскрипта редиректа не было), а там если мне память не изменяет евала нет. Просто обфускация до уровня нечитаемости, без base64, а там кто его знает.

Я когда смотрел, редирект происходил после загрузки jquery.js, поэтому думаю что инъекция в этой библиотеке. Но не факт. Через панель файрбага мельком видел что после перехода на домен начинают подтягиватся яваскрипты, после гета jquery.js?_какие_то_параметры, редирект.

Опубликовано

Ну можно конечно просто выгрузить все скрипты из базы и пробежаться парой-тройкой сканнеров

Но сдается мне, что гадость сидит за пределами базы/сервера - на внешних ресурсах

  • 1 год спустя...
Опубликовано

Друзья, одолели меня эти переходы на обновить браузер с виброй , на всех моих ведроидах. Есть всё таки выход из этого?

f01b40b091dd.jpg
0d595f40f3f5.jpg
Опубликовано

Конечно есть - вылечить свой гаджет от вирусов и троянов.

Каспер не видет ничего, эта вкладка открывается  при нажатии на главной страницы на форум, что с планшета что со смарта,  покопаюсь ещё ....

  • 2 месяца спустя...
Опубликовано

Каспер не видет ничего, эта вкладка открывается  при нажатии на главной страницы на форум, что с планшета что со смарта,  покопаюсь ещё ....

Ну так проблему решил? А то копаюсь в нете не могу решения найти такой же фигни

  • 4 недели спустя...
Опубликовано

Ну так проблему решил? А то копаюсь в нете не могу решения найти такой же фигни

фиг знает , само прошло, хотя было на трёх разных андройдах.

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Восстановить форматирование

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...