Блог Яндекса для вебмастеров

Цепочки заражения сайта в Яндекс.Вебмастере

21 мая 2012, 20:14

Яндекс проверяет более 19 миллионов страниц в сутки и ежедневно находит вредоносный код примерно на трёх тысячах сайтов, на которых его раньше не было. Всего в базе Безопасного поиска Яндекса более 680 тысяч заражённых сайтов, 5.4 миллиона страниц. Мы предупреждаем людей об опасных сайтах как в результатах поиска, так и в Опере и Firefox с Яндекс.Баром.

 

Не менее важная задача для нас — помочь вебмастеру как можно скорее удалить со своего сайта вредоносный код и предотвратить повторное заражение. Для этого в разделе «Безопасность» Яндекс.Вебмастера теперь показываются цепочки заражения сайта.


В большинстве случаев вредоносный код подгружается на заражённую страницу браузером, с другого сайта. Часто с одного сайта (например, баннерообменной сети) подгружается код, который подгружает вредоносный код со второго сайта (например, на котором действительно развёрнут код, использующий уязвимость сайта). Тогда возникает цепочка заражений, и вебмастеру нужно удалить со страницы участок кода, который «не выглядит» заражённым («обычный» баннер, блок или счётчик).

Например, если цепочка имеет вид

 

 


то чтобы сайт перестал распространять вредоносный код, нужно:

• либо удалить часть веб-серверной страницы или скрипта, из-за которых на странице сайта появляется тег (<script>, <iframe>), загружающий блок из marthamio.cu.cc или выполняющий редирект на этот сайт;
• либо сообщить владельцам marthamio.cu.cc, чтобы этот сайт перестал выдавать блоки, которые, в свою очередь, загружают блоки с groogle.cu.cc/?said=3333&q=facebook;
• либо устранить распространение вредоносного кода с ресурса aroymac.cu.cc/main.php?page=362ae50582a6bb40.

 

Подробные рекомендации читайте в Помощи

 

Команда Безопасного поиска

33 комментария
Подписаться на комментарии к посту

Спасибо , очень познавательно!

Вредоносный код появляется на сайте не случайно и не руками какого-либо хакера. В последнем заражении обслуживаемого мной сайта было выявлено 1600 только стандартных вставок закодированного скрипта в различных файлах. Руками вычистить всё просто невозможно.

Яндекс, даже когда сайт уже почищен и подана заявка на перепроверку его в вебмастере, посещает сайт настолько редко, как-будто он его уже давно исключил из списка сайтов рунета. Возможно, это связано с уровнем посещаемости.

ikudryashov9000
22 мая 2012, 14:19

Np++ поиск по файлам с заменой -> профит

Против полиморфов не помогает, увы (которые свой код меняют). Недавно чистил вручную 213 js-файлов от JS:Redirector.

+1
Я тоже уже замучалась. Причём, некоторые стандартные сервисы, которые до этого признавались в том, что сайт заражён, при повторном заражении уже считают сайт здоровым. Хорошо ещё, что такой сайт блокируют сами браузеры (некоторые) и аваст (в моём случае).

Аналогично..

gandraburdesign
6 июня 2012, 03:57

У меня был заражен сайт, заражение происходило с компьютера, с которого входили в панель управления сайтом. То бишь вирус был на том компьютере. После предупреждения от Яндекса, я удалила вирус, перезалила сайт из бэкапа и отправила на перепроверку, попутно клиентам отправила новые пароли входа. Они на следующий день зашли с того же компьютера и опять занесли вирус. Яндекс дал ответ через три дня! О том, что вирус не удален. 

Я проделала те же действия сменила все пароли, у клиентов выяснила, что и как и объяснила как удалить вирус с компьютера. И опять отправила на перепроверку Яндексу. Второй раз Яндекс дал ответ через месяц. Что все в порядке и снял предупреждения с сайта.

Вывод: Предполагаю, что Яндекс завирусованные сайты держит специально на карантине, на случай, если вирус опять обнаружит себя. 

У меня вход на сайт производился лишь с моего компа и компа клиента. Мы после заражения несколькими антивирусами проверяли компы, на наших никакого вируса не было точно. А сайт заражался вирусом с завидной регулярностью. Даже переустановка полная сайта не помогала. Сейчас после последней переустановки и обновления до последней версии пока, тьфу-тьфу, но источник заражения так и не нашли.

Но сейчас уже поздно, Яндекс принял крайние меры и выкинул наш сайт из поиска. Теперь написали Яндексу о снятии маратория на нас, но ответа ещё не пришло. То есть в яндексе написано, что сайт снова проиндексирован, а в поиске 0 страниц.

Такие события стали происходить повсеместно, к сожалению. Мы одни из тысяч подобных сайтов.

отлично

Неплохо.

либо сообщить владельцам marthamio.cu.cc, чтобы этот сайт перестал выдавать блоки, которые, в свою очередь, загружают блоки с groogle.cu.cc/?said=3333&q=facebook;o_O

Да это немного смешно :)

Ребята развивают сервис в правильном направлении за это им огромное спасибо!

спасибо за толковый сервис

как заметил товарищ выше, чтобы минимизировать опасность на своем ПК и не подхватить рабочий эксплоит на уязвимости флеша или явы - ставить обновления

проверьте себя тут surf patrol и удивитесь, сколько у вас красных проверок

Ни одной. Чему удивляться?

по статистике, 9 из 10 проверок - хотя бы с одной красной проверкой, пруфлинк http://habrahabr.ru/company/pt/blog/141520/

Уже несколько раз сталкивался с заражением, проверка показала, что троян-даунлоадеры, были загружены с локального (то есть с моего собственного) компьютера, присутствуя в резидентной памяти, один из вариантов вируса даже писал на рабочий стол файлик с названием file, сканировали содержимое компа на наличие ftp-доступов и распространяли себя по сайтам. Помогли настройка firewall и добавление мусорных символов к ftp-паролям (удаляются вручную непосредственно перед подключением к сайту по ftp).

Аналогичные ситуации случались пару раз. А про настройку firewall-а можно поподробнее?

Сергей Ши
26 мая 2012, 09:43

Спасибо за инфу. Будм бдить =)

 

Опять же, для того, чтобы на сайт попал вирус (его взломали) он должен быть интересным с нормальной посещаемостью, а иначе смысл прописывать свои коды?

Меня удивляет, что этот код попадает на сайты с околонулевой посещаемостью. Вот сайт христианских проповедей, посещаемость которого составляет около 400 уников в сутки еще ни разу не попадался в список "опасных" сайтов. Интересно, как умудряются туда попасть сайты с околонулевой посещалкой, по сути никому не интересные.

Долбить надо такие сайты. Как увидил поломал. Одним ГСом меньше Притомили со своими скриптами итд.

Удобно =) Спасибо =)

Задолбали этой вирусней простых смертных.

задолбал Вебмастер, как эта Х пойпала на мой комп и как эту Г удалить???

Добрый день! Вчера пришло письмо от Я, что на сайте был замечен вредоносный код. Я сразу же сломя голову побежал искать и убрал этот код. Но все таки посетителей стало очень мало, с 280 упали на 180. В раздел безопасность заходил, пишет что вируса нет. А вот посещаемость восстановится? (( :-(

Kugaenko Vyacheslav
1 июня 2012, 11:15

Всем рекомендую пользоваться расширением AdBlock, есть для Ghrome, FF, Opera. А для ВМ рекомендация - если сайт СДЛ, то нехрен туда пихать всякие тизеры, клик и поп -андеры. Именно отдуда и лезеть вся хрень!!

Комментарий удалён

Если ПО на сервере обновляется, настроено, система защищена паролями, компом не бездумно пользуешься,

обновляются скрипты сайта вовремя (если CMS стоит), то, поидее, не должно быть вирусов на сайте.

Можно глядеть на появляющиеся эксплоиты тут:

exploit-db.com - много съестного (не реклама).

Разместили мне на сайте "вредоносный код" и продают ссылки... Пока не могу устранить проблему. Хоть сайт закрывай от индексации.

То же стал недавно жертвой какогото JS вируса, который дописывался в конец всех JS скриптов. Вычищал нотпадом++. После чистки через неделю опять он! Обновлял CMS, права устанавливал на файлы. В результате не знаю что помогло, но пока чисто уже месяца 2. Сайт www.viva-decor.ru

А как быть со страничками на чистом HTML?

Вебмастер выдает что там вирус....проверял чем только можно.

Находят "вирус" только глючные СОФОС и АВАСТ.

На страницах находятся" текст, видео с ютуба, счетчик ли и панелька соц кнопок от share42.com.

Задаю преепроверку и блин волшебство, вирус не находится :-)

Доброго времени суток. Такая проблема, почему яндекс браузер показывает что на моем сайте вирус и выдает красное окно с смс мошенничеством, при этом в веб мастере вредоносного кода не обнаружено. С планшета и другого устройства через то т же браузер показывает все нормально а именно с моего показывает угрозу на вирус. Я чистил историю обновлял Dns и кэш  перезагружал, удалял и устанавливал браузер назад но все бестолку, приходиться отключать защиту чтобы зайти на свой сайт через этот браузер
sozdamchat,


Аналогичная ситуация. 
Ряд сайтов клиентских пометил таким образом. Сайты перепроверил, сравнил с старыми бекапами - все чистенько.  А проблема остается((