Проверка URL'ов, есть ли смысл?

[deleted by p2u]

Возвращаясь к теме. :)
Получил письмо как бы с "Одноклассников":
From: "Одноклассники.ru" <[email protected]>
Date: Sat, August 16, 2008 12:07
To: мой адрес
Subject: Новое сообщение для Вас!

Поскольку меня там нет, то совершенно очевидно, что это за письмо. ;)

Тело письма:
Уважаемый пользователь, borka!
Информируем Вас, что Вы получили новое письмо от:
Katya

Чтобы прочитать сообщение перейдите по линку:
хттп://www.odnoklassniki.ru/45?7=OS70P9118919836GDB0NLLW249153U8MJ07J8JM50

--
С уважением,
служба поддержки Odnoklassniki.ru

Ссылка ведет на несколько более другой сайт (хттп://fmfipduqubqy.blogspot.com/). Дай, думаю, проверю - может, там что-то есть? ;) Проверяю:

Версия антивирусного ядра: 4.44.0.9170
Размер файла: 25198 байт, с учётом скриптов и фреймов: 100.8K

fmfipduqubqy.blogspot.com - archive HTML
>fmfipduqubqy.blogspot.com/Script.0 - OK
В файле >fmfipduqubqy.blogspot.com/javascript.1 обнаружен вирус Trojan.Click.19749
>fmfipduqubqy.blogspot.com/Script.2 - OK
>fmfipduqubqy.blogspot.com/Script.3 - OK
>fmfipduqubqy.blogspot.com/Script.4 - OK
>fmfipduqubqy.blogspot.com/Script.5 - OK
>fmfipduqubqy.blogspot.com/Script.6 - OK
...

Можно ссылку не нажимать и на сайт не ходить. ;)

надо бы поэкспериментировать - посохранять как тхт разные страницы на которые ругаются каспер или др.веб и проверить их на виртотале - посмотреть много ли других авлабов также думают и отслеживают скрипты сигнатурно.
:)

[QUOTE=borka;268466]Ссылка ведет на несколько более другой сайт[/QUOTE]
Кстати, хороший пример - "другой сайт" (не тот, что на блогспоте, а следующий, который загружается при заходе на блогспот) при каждом запросе выдает новый скрипт.

P.S. Борис, у Вас ведь есть доступ к закрытому разделу. На Вирусинфо не принято выкладывать ссылки на зараженные сайты в открытом доступе. Обсуждение зараженных сайтов у нас происходит в [URL="http://virusinfo.info/showthread.php?t=3510"]этом[/URL] топике.

[size="1"][color="#666686"][B][I]Добавлено через 12 минут[/I][/B][/color][/size]

Кстати, вирус на "третьем сайте" отдается только живым людям. На скриншоте результат проверки линк-чеккером этого сайта. Тут видно, что ему на проверку вообще ничего не отдалось.
[url=http://s42.radikal.ru/i097/0808/6b/8fdd9ab5ad73.png][img]http://s42.radikal.ru/i097/0808/6b/8fdd9ab5ad73t.jpg[/img][/url]

[QUOTE] Кстати, вирус на "третьем сайте" отдается только живым людям.
[/QUOTE]
в двух словах, пожалуйста, опишите что там...
связка сплоетов?... если так - то тут сильно ограничен способ проверки на то человек это или нет - например некоторые смотрят на User-Agent - его можно и подделать - т.е проверяльщику страницы на вирусы забить ослом шестым эту переменную, реферер поставить и т.д - т.е все по правилам, так сказать - и вообще - забить валидными данными все что может извлечь пхп скрипт из браузера.
все это сделать достаточно просто как с той, так и с другой стороны (как накодить такое в связку сплоетов, так и проверялку на вири если делать ее на пхп + сервак с поставленными антивирями для проверки.
всем этим я хотел спросить: [B]как тот "другой сайт" определял живой это человек или проверялка от др.веба?..[/B]

или он действует более примитивно чем описал я? может у него просто реферер доктор веб забит в черный список или айпишники по маске забанены, так сказать??..

priv8v, По моему там банально дрвеб банят :) тулза от авг видит [MDAC ActiveX code execution (type 165)] ;)
в качестве контр-меры надо сделать так чтобы плагин подключался к проверяемому сайту через анонимный прокси- который сможет выбрать сам пользователь- чтобы уменьшить вероятность попадания IP к плохим хакерам ;)

[QUOTE=DVi;269642]Кстати, хороший пример - "другой сайт" (не тот, что на блогспоте, а следующий, который загружается при заходе на блогспот) при каждом запросе выдает новый скрипт. [/QUOTE]
Проверив [b]этот[/b] сайт (blogspot) и получив детект скрипта, пользователь на следующий сайт не попадет.

[QUOTE=DVi;269642]P.S. Борис, у Вас ведь есть доступ к закрытому разделу. На Вирусинфо не принято выкладывать ссылки на зараженные сайты в открытом доступе. Обсуждение зараженных сайтов у нас происходит в [URL="http://virusinfo.info/showthread.php?t=3510"]этом[/URL] топике. [/QUOTE]
Возможно, я и неправ, но во-первых, ссылка деактивирована (кстати, такого рода ссылок достаточно в разделе "Мошенничество в сети"). Во-вторых, как еще было показать работоспособность линк-чекера? Каждый, кто хочет проверить, сможет это сделать.

[QUOTE=DVi;269642]Кстати, вирус на "третьем сайте" отдается только живым людям. На скриншоте результат проверки линк-чеккером этого сайта. Тут видно, что ему на проверку вообще ничего не отдалось.
[url=http://s42.radikal.ru/i097/0808/6b/8fdd9ab5ad73.png][img]http://s42.radikal.ru/i097/0808/6b/8fdd9ab5ad73t.jpg[/img][/url][/QUOTE]
Это, конечно, хорошо. ;) Но фишка в том, что на такого рода сайты нет (я не встречал) прямых ссылок. Только опосредовано через один-два ифрейма, каждый из которых с достаточно высокой вероятностью детектится как Псюме, ПакФор или просто Даунолудер.


Виталий, ну почему Вы не хотите признать того, что при проверке ссылок не обязятельно детектить конечного зловреда, если промежуточные ифреймы детектятся, и пользователь, получив предупреждение антивируса, туда не пойдет? :worried:

[size="1"][color="#666686"][B][I]Добавлено через 11 минут[/I][/B][/color][/size]

[QUOTE=priv8v;269679]в двух словах, пожалуйста, опишите что там... [/QUOTE]
Ифрейм на ифрейме сидит и ифреймом погоняет. ;)

[QUOTE=priv8v;269679]может у него просто реферер доктор веб забит в черный список или айпишники по маске забанены, так сказать??..[/QUOTE]
Пан Зайцев показал, что это вполне возможно. ;) Но не это главное. Главное то, что на взломанных сайтах, в ссылках в почте [b]нет прямых ссылок[/b] на такие сайты. Только на "промежуточные". И если скрипт на "промежуточном" сайте детектится, то пользователь получает сигнал антивируса. Мой пример с линком в почте достаточно показателен - линк якобы "Одноклассников" ведет на самом деле на "Блогспот", а оттуда на защищенный от автоматической проверки китайский сайт. При проверке ссылок до лампочки любая защита на китайском сайте, проверка покажет вирусный скрипт на "Блогспоте"! :)
Вот и все...

[QUOTE=borka;269745]при проверке ссылок не обязятельно детектить конечного зловреда, если промежуточные ифреймы детектятся[/QUOTE]
В случае линк-чеккера фраза "промежуточные ифреймы" должна звучать как "первый ифрейм на сайте, не защищенном от линк-чеккера".
Почувствуйте разницу.

казуистика....

[QUOTE=ALEX(XX);269770]казуистика....[/QUOTE]
+1. Виталий, поясните, пожалуйста. :worried:

Сколько же можно повторять?
[QUOTE=borka;269745]Только опосредовано через один-два ифрейма, каждый из которых с достаточно высокой вероятностью детектится как Псюме, ПакФор или просто Даунолудер.
[/QUOTE]
Линк-чеккер проверяет [B]только первый фрейм[/B]. И только [B]если фрейм не защищается[/B] (не блокирует линк-чеккер по IP, например). Второй, третий и т.д. фреймы линк-чеккер сейчас [B]не проверяет[/B] вовсе.

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

[QUOTE=drongo;269726]в качестве контр-меры надо сделать так чтобы плагин подключался к проверяемому сайту через анонимный прокси- который сможет выбрать сам пользователь- чтобы уменьшить вероятность попадания IP к плохим хакерам ;)[/QUOTE]
Систему можно улучшать до бесконечности - вплоть до захода на сайт настоящим непропатченным IE через TOR под виртуальной машиной (но это совсем уже идеальный линк-чеккер получится).

Но все эти улучшения не отменят главного недостатка:
1. Линк-чеккер будет проверять тот файл, который ему отдаст сервер.
2. Пользователь будет скачивать тот файл, который ему отдаст сервер.
3. И эти два файла в общем случае будут разными.

[QUOTE=DVi;269797]Линк-чеккер проверяет [B]только первый фрейм[/B]. И только [B]если фрейм не защищается[/B] (не блокирует линк-чеккер по IP, например). Второй, третий и т.д. фреймы линк-чеккер [B]не проверяет[/B] вовсе. [/QUOTE]
Что это меняет, если первый ифрейм детектится?

[QUOTE=DVi;269797]Но все эти улучшения не отменят главного недостатка:
1. Линк-чеккер будет проверять тот файл, который ему отдаст сервер.
2. Пользователь будет скачивать тот файл, который ему отдаст сервер.
3. И эти два файла в общем случае будут разными.[/QUOTE]
Разве с этим кто-то спорит? :)
Я уже сказал - Ваш тезис о полной бесполезности нужно немножко ослабить. :)

[QUOTE=borka;269806]Что это меняет, если первый ифрейм детектится?[/QUOTE]
Вы только что утверждали, что достаточно детектировать любой из N фреймов. Линк-чеккер этого не делает.

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

[QUOTE=borka;269806]Разве с этим кто-то спорит? :)
Я уже сказал - Ваш тезис о полной бесполезности нужно немножко ослабить. :)[/QUOTE]
Борис, я на Вас удивляюсь - Вы умеете в двух соседних предложениях сказать две взаимоисключающие мысли.

Если Вы согласны с перечисленными мной тремя пунктами, то на основании чего считаете, что линк-чеккер может гарантировать пользователю безопасность посещения указанного адреса?

[QUOTE=DVi;269812]Вы только что утверждали, что достаточно детектировать любой из N фреймов. Линк-чеккер этого не делает. [/QUOTE]
Теперь я понял, что Вы имели в виду. ;) Если глубина проверки только один внешний линк, то, значит, ставка делается на то, что именно первый скрипт будет определен. Проверять, что там дальше - смысла нет. Что и видно в приведенном мною примере.

[QUOTE=DVi;269812]Борис, я на Вас удивляюсь - Вы умеете в двух соседних предложениях сказать две взаимоисключающие мысли. [/QUOTE]
Что исключает что? Если детектируется первый скрипт дальнейшая проверка теряет смысл. Как правило, это простой ифрейм, без защит и наворотов.

[QUOTE=DVi;269812]Если Вы согласны с перечисленными мной тремя пунктами, то на основании чего считаете, что линк-чеккер может гарантировать пользователю безопасность посещения указанного адреса?[/QUOTE]
Гарантию нынче не дает и страховой полис. :)

[QUOTE=borka;269826]Проверять, что там дальше - смысла нет. Что и видно в приведенном мною примере. [/QUOTE]
Вы только что утверждали, что необходимо проверять N вложенных фреймов - чтобы распознать хотя бы один из них и запретить запуск конечного зловреда. Теперь Вы утверждаете прямо обратное.

[QUOTE=borka;269826]Гарантию нынче не дает и страховой полис. :)[/QUOTE]
Как раз наоборот.
Страховой договор гарантирует исполнение сторонами своих обязательств. В нем, в частности, регламентируются, при каких условиях и в каком размере будет выплачено страховое возмещение при наступлении страхового случая.

[QUOTE=DVi;269812]
Если Вы согласны с перечисленными мной тремя пунктами, то на основании чего считаете, что линк-чеккер может гарантировать пользователю безопасность посещения указанного адреса?[/QUOTE]

[b]DVi[/b], извините, что вмешиваюсь в ваш разговор, но....(взгляд со стороны) как Вы не поймете, что link-checker дает НЕ ГАРАНТИЮ безопасности посещаемого сайта, а гарантию НЕБЕЗОПАСНОСТИ такого мероприятия (если определит вредоносный скрипт). И этого вполне достаточно от него (link-checker-a).

...а можно ли узнать механизм по которому Др.Веб проверяет урл?..
просто [B]мне не верится[/B], что он действует таким вот тупым методом:
[PHP]
скачивает себе страницу по указанному урлу и затем проверяет ее Др.Вебом - и исходя из этого выносит вердикт
[/PHP]
просто из спора тут спорящих получается так...

если Др.Веб действует именно так, то это просто неимоверно тупо.
даже при эвристических способах не будет 100% гарантии в чистоте сайта, НО ... :)

Понимая как заражаются сайты можно придумать и эвристические методы - это не столь сложно.

[quote=priv8v;269882]...а можно ли узнать механизм по которому Др.Веб проверяет урл?..
....
если Др.Веб действует именно так, то это просто неимоверно тупо.
[/quote]
Вот именно так он и работает ...
Что пишет эта служба, проверяя [URL]http://z-oleg.com/eicar.php[/URL] ? Пишет "вирусов нет", а там сидит злобный EICAR. Я не публикую исходник этой PHP, так как придерживаюсь неписанного "кодекса чести", но могу сказать, что он весьма и весьма несложный.

[QUOTE=santy;269872][b]DVi[/b], извините, что вмешиваюсь в ваш разговор, но....(взгляд со стороны) как Вы не поймете, что link-checker дает НЕ ГАРАНТИЮ безопасности посещаемого сайта, а гарантию НЕБЕЗОПАСНОСТИ такого мероприятия (если определит вредоносный скрипт). И этого вполне достаточно от него (link-checker-a).[/QUOTE]
Я это отлично понимаю.
Но пресс-релиз ООО "Доктор Веб" утверждает обратное: [url]http://info.drweb.com/show/3462/ru[/url]
[QUOTE]Для использования Dr.Web LinkChecker нет необходимости устанавливать антивирус Dr.Web. ... По результатам проверки пользователь Mozilla Firefox может принять решение о ... посещении интересующей страницы, [B]не опасаясь вирусной атаки[/B]. [/QUOTE]

[QUOTE]
Пишет "вирусов нет", а там сидит злобный EICAR.
[/QUOTE]
скажите принцип работы Вашей странички. набрать в пхп я смогу и сам.
или там просто идет бан по айпи (по маске или по стране)?