Показано с 1 по 14 из 14.

Вирус, в скрипте или нет?

  1. #1
    Junior Member Репутация
    Регистрация
    01.10.2012
    Сообщений
    41
    Вес репутации
    20

    Вирус, в скрипте или нет?

    Доброй ночи.
    Друзья, проблема в том что хостинг прислал письмо:
    Сканер безопасности хостинга обнаружил в вашем сайте подозрение на внедрение кода для размножения вируса.
    Подозрительное место:
    Код:
    ===
    <script src="_https://oss.maxcdn.com/html5shiv/3.7.2/html5shiv.min.js"></script>
    ===
    вот что в ссылке:
    /
    Код:
    /**
    * @preserve HTML5 Shiv 3.7.2 | @afarkas @jdalton @jon_neal @rem | MIT/GPL2 Licensed*/ !function(a,b){function c(a,b){var c=a.createElement("p"),d=a.getElementsByTagName("head")[0]||a.documentElement;return c.innerHTML="x<style>"+b+"</style>",d.insertBefore(c.lastChild,d.firstChild)}function d(){var a=t.elements;return"string"==typeof a?a.split(" "):a}function e(a,b){var c=t.elements;"string"!=typeof c&&(c=c.join(" ")),"string"!=typeof a&&(a=a.join(" ")),t.elements=c+" "+a,j(b)}function f(a){var b=s[a[q]];return b||(b={},r++,a[q]=r,s[r]=b),b}function g(a,c,d){if(c||(c=b),l)return c.createElement(a);d||(d=f(c));var e;return e=d.cache[a]?d.cache[a].cloneNode():p.test(a)?(d.cache[a]=d.createElem(a)).cloneNode():d.createElem(a),!e.canHaveChildren||o.test(a)||e.tagUrn?e:d.frag.appendChild(e)}function h(a,c){if(a||(a=b),l)return a.createDocumentFragment();c=c||f(a);for(var e=c.frag.cloneNode(),g=0,h=d(),i=h.length;i>g;g++)e.createElement(h[g]);return e}function i(a,b){b.cache||(b.cache={},b.createElem=a.createElement,b.createFrag=a.createDocumentFragment,b.frag=b.createFrag()),a.createElement=function(c){return t.shivMethods?g(c,a,b):b.createElem(c)},a.createDocumentFragment=Function("h,f","return function(){var n=f.cloneNode(),c=n.createElement;h.shivMethods&&("+d().join().replace(/[\w\-:]+/g,function(a){return b.createElem(a),b.frag.createElement(a),'c("'+a+'")'})+");return n}")(t,b.frag)}function j(a){a||(a=b);var d=f(a);return!t.shivCSS||k||d.hasCSS||(d.hasCSS=!!c(a,"article,aside,dialog,figcaption,figure,footer,header,hgroup,main,nav,section{display:block}mark{background:#FF0;color:#000}template{display:none}")),l||i(a,d),a}var k,l,m="3.7.2",n=a.html5||{},o=/^<|^(?:button|map|select|textarea|object|iframe|option|optgroup)$/i,p=/^(?:a|b|code|div|fieldset|h1|h2|h3|h4|h5|h6|i|label|li|ol|p|q|span|strong|style|table|tbody|td|th|tr|ul)$/i,q="_html5shiv",r=0,s={};!function(){try{var a=b.createElement("a");a.innerHTML="<xyz></xyz>",k="hidden"in a,l=1==a.childNodes.length||function(){b.createElement("a");var a=b.createDocumentFragment();return"undefined"==typeof a.cloneNode||"undefined"==typeof a.createDocumentFragment||"undefined"==typeof a.createElement}()}catch(c){k=!0,l=!0}}();var t={elements:n.elements||"abbr article aside audio bdi canvas data datalist details dialog figcaption figure footer header hgroup main mark meter nav output picture progress section summary template time video",version:m,shivCSS:n.shivCSS!==!1,supportsUnknownElements:l,shivMethods:n.shivMethods!==!1,type:"default",shivDocument:j,createElement:g,createDocumentFragment:h,addElements:e};a.html5=t,j(b)}(this,document);
    Далее проверил файлы сайта с помощью http://www.siteguard.ru/, и вот что он мне выдал:

    2.
    Код:
    <script>  window.twttr = (function (d,s,id) {
        var t, js, fjs = d.getElementsByTagName(s)[0];
        if (d.getElementById(id)) return; js=d.createElement(s); js.id=id; js.async=1;
        js.src="https://platform.twitter.com/widgets.js"; fjs.parentNode.insertBefore(js, fjs);
        return window.twttr || (t = { _e: [], ready: function(f){ t._e.push(f) } });
      }(document, "script", "twitter-wjs"));
    </script>
    3.
    Код:
    <script>  var _gauges = _gauges || [];
      (function() {
        var t   = document.createElement('script');
        t.async = true;
        t.id    = 'gauges-tracker';
        t.setAttribute('data-site-id', '4f0dc9fef5a1f55508000013');
        t.src = '//secure.gaug.es/track.js';
        var s = document.getElementsByTagName('script')[0];
        s.parentNode.insertBefore(t, s);
      })();
    </script>
    Не знаю вирус это или нет потому как в JS ничего не понимаю, сами эти скрипты в файлах сайта нашел, но что с ними делать? Удалить или нет?


    Далее проверил файлы с помощью сканера AI-BOLIT, тут немного другая инфа вылезла:
    1.Шелл-скрипты не найдено.
    2.Не найдено директорий c дорвеями.
    3.Предупреждения
    В этих файлах размещены невидимые ссылки. Подозрение на ссылочный спам:
    идет список файлов, вернее один файл повторенный 8 раз, далее идет список невидимых ссылок:
    Код:
    ../_trash/_***_eng.html → <a class="thumbnail" href="http://getbootstrap.com/2.3.2/examples/starter-templa
    ../_trash/_***_eng.html → <a class="thumbnail" href="http://getbootstrap.com/2.3.2/examples/hero.html"> 
    ../_trash/_***_eng.html → <a class="thumbnail" href="http://getbootstrap.com/2.3.2/examples/fluid.html"> 
    ../_trash/_***_eng.html → <a class="thumbnail" href="http://getbootstrap.com/2.3.2/examples/marketing-narr
    ../_trash/_***_eng.html → <a class="thumbnail" href="http://getbootstrap.com/2.3.2/examples/justified-nav.
    
    
    далее везде тоже что и выше только ссылки другие → <a class="thumbnail" 
    
    href="http://getbootstrap.com/2.3.2/examples/signin.html"> 
    → <a class="thumbnail" href="http://getbootstrap.com/2.3.2/examples/sticky-footer.
     → <a class="thumbnail" href="http://getbootstrap.com/2.3.2/examples/carousel.html"
     → <a class="thumbnail" href="http://getbootstrap.com/2.3.2/examples/starter-templa
     → <a class="thumbnail" href="http://getbootstrap.com/2.3.2/examples/hero.html"> 
     → <a class="thumbnail" href="http://getbootstrap.com/2.3.2/examples/fluid.html"> 
     → <a class="thumbnail" href="http://getbootstrap.com/2.3.2/examples/marketing-narr
     → <a class="thumbnail" href="http://getbootstrap.com/2.3.2/examples/justified-nav.
     → <a class="thumbnail" href="http://getbootstrap.com/2.3.2/examples/signin.html"> 
     → <a class="thumbnail" href="http://getbootstrap.com/2.3.2/examples/sticky-footer.
     → <a class="thumbnail" href="http://getbootstrap.com/2.3.2/examples/carousel.html"
     → <a class="thumbnail" href="http://getbootstrap.com/2.3.2/examples/starter-templa
     → <a class="thumbnail" href="http://getbootstrap.com/2.3.2/examples/hero.html"> 
     → <a class="thumbnail" href="http://getbootstrap.com/2.3.2/examples/fluid.html"> 
     → <a class="thumbnail" href="http://getbootstrap.com/2.3.2/examples/marketing-narr
     → <a class="thumbnail" href="http://getbootstrap.com/2.3.2/examples/justified-nav.
     → <a class="thumbnail" href="http://getbootstrap.com/2.3.2/examples/signin.html"> 
     → <a class="thumbnail" href="http://getbootstrap.com/2.3.2/examples/sticky-footer.
     → <a class="thumbnail" href="http://getbootstrap.com/2.3.2/examples/carousel.html"
     → <a class="thumbnail" href="http://getbootstrap.com/2.3.2/examples/starter-templa
     → <a class="thumbnail" href="http://getbootstrap.com/2.3.2/examples/hero.html"> 
     → <a class="thumbnail" href="http://getbootstrap.com/2.3.2/examples/fluid.html"> 
     → <a class="thumbnail" href="http://getbootstrap.com/2.3.2/examples/marketing-narr
     → <a class="thumbnail" href="http://getbootstrap.com/2.3.2/examples/justified-nav.
     → <a class="thumbnail" href="http://getbootstrap.com/2.3.2/examples/signin.html"> 
     → <a class="thumbnail" href="http://getbootstrap.com/2.3.2/examples/sticky-footer.
     → <a class="thumbnail" href="http://getbootstrap.com/2.3.2/examples/carousel.html"
     → <a class="thumbnail" href="http://getbootstrap.com/2.3.2/examples/starter-templa
     → <a class="thumbnail" href="http://getbootstrap.com/2.3.2/examples/hero.html"> 
     → <a class="thumbnail" href="http://getbootstrap.com/2.3.2/examples/fluid.html"> 
     → <a class="thumbnail" href="http://getbootstrap.com/2.3.2/examples/marketing-narr
     → <a class="thumbnail" href="http://getbootstrap.com/2.3.2/examples/justified-nav.
     → <a class="thumbnail" href="http://getbootstrap.com/2.3.2/examples/signin.html"> 
     → <a class="thumbnail" href="http://getbootstrap.com/2.3.2/examples/sticky-footer.
     → <a class="thumbnail" href="http://getbootstrap.com/2.3.2/examples/carousel.html"
     → <a class="thumbnail" href="http://getbootstrap.com/2.3.2/examples/starter-templa
     → <a class="thumbnail" href="http://getbootstrap.com/2.3.2/examples/hero.html"> 
     → <a class="thumbnail" href="http://getbootstrap.com/2.3.2/examples/fluid.html"> 
     → <a class="thumbnail" href="http://getbootstrap.com/2.3.2/examples/marketing-narr
     → <a class="thumbnail" href="http://getbootstrap.com/2.3.2/examples/justified-nav.
     → <a class="thumbnail" href="http://getbootstrap.com/2.3.2/examples/signin.html"> 
     → <a class="thumbnail" href="http://getbootstrap.com/2.3.2/examples/sticky-footer.
     → <a class="thumbnail" href="http://getbootstrap.com/2.3.2/examples/carousel.html"
     → <a class="thumbnail" href="http://getbootstrap.com/2.3.2/examples/starter-templa
     → <a class="thumbnail" href="http://getbootstrap.com/2.3.2/examples/hero.html"> 
     → <a class="thumbnail" href="http://getbootstrap.com/2.3.2/examples/fluid.html"> 
     → <a class="thumbnail" href="http://getbootstrap.com/2.3.2/examples/marketing-narr
     → <a class="thumbnail" href="http://getbootstrap.com/2.3.2/examples/justified-nav.
     → <a class="thumbnail" href="http://getbootstrap.com/2.3.2/examples/signin.html"> 
     → <a class="thumbnail" href="http://getbootstrap.com/2.3.2/examples/sticky-footer.
     → <a class="thumbnail" href="http://getbootstrap.com/2.3.2/examples/carousel.html"
     → <a class="thumbnail" href="http://getbootstrap.com/2.3.2/examples/starter-templa
     → <a class="thumbnail" href="http://getbootstrap.com/2.3.2/examples/hero.html"> 
     → <a class="thumbnail" href="http://getbootstrap.com/2.3.2/examples/fluid.html"> 
     → <a class="thumbnail" href="http://getbootstrap.com/2.3.2/examples/marketing-narr
     → <a class="thumbnail" href="http://getbootstrap.com/2.3.2/examples/justified-nav.
     → <a class="thumbnail" href="http://getbootstrap.com/2.3.2/examples/signin.html"> 
     → <a class="thumbnail" href="http://getbootstrap.com/2.3.2/examples/sticky-footer.
     → <a class="thumbnail" href="http://getbootstrap.com/2.3.2/examples/carousel.html"
    Больше айболит ничего не выявил


    Подскажите вирус это или все же я параноик... вместе с хостингом)
    Последний раз редактировалось Ilya Shabanov; 24.10.2014 в 14:58. Причина: Убрал прямую ссылку на подозрительный скрипт

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    01.10.2012
    Сообщений
    41
    Вес репутации
    20
    Неужели ни у кого нет идей? Люди, помогите пожалуйста.

  4. #3
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Ilya Shabanov
    Регистрация
    29.03.2007
    Сообщений
    1,248
    Вес репутации
    179
    никыч, давайте начнем с другого. Вы этот код добавили на сайт?

    Код:
    <script src="_https://oss.maxcdn.com/html5shiv/3.7.2/html5shiv.min.js"></script>
    Если его вставили не вы или вы не знаете зачем он там - удаляйте его!
    Нет никакого смысла гадать вредонос там или нет. Скрипт может произвольно выводить на вашем сайте что угодно. Выдавать поисковый спам, порнобаннеры, вредоносов и бог знает что еще. Любой каприз за деньги клиента киберпреступников.

    Поэтому стоит крайне внимательно аудировать код сайта, особенно в части ссылок на скрипты непонятно чьего авторства.
    VirusInfo.info & Anti-Malware.ru | Мой блог |

  5. #4
    Junior Member Репутация
    Регистрация
    01.10.2012
    Сообщений
    41
    Вес репутации
    20
    нет, я его не вставлял, т.к. сайт делал не я, но когда пошли косяки сайт передали мне(( теперь надо разбираться с ним.
    Скрипт удаляю. А как быть с другими тремя скриптами, они не заразны?

  6. #5
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Ilya Shabanov
    Регистрация
    29.03.2007
    Сообщений
    1,248
    Вес репутации
    179
    1 - код счетчика Google Analytics
    2 - код твиттера (кнопка видимо)
    3 - какой-то счетчик, если не нужен, то удаляйте или закоментируйте
    VirusInfo.info & Anti-Malware.ru | Мой блог |

  7. #6
    Junior Member Репутация
    Регистрация
    01.10.2012
    Сообщений
    41
    Вес репутации
    20
    Спасибо огромное.
    Скрипт который удалил находился в index.html - head - в комментариях if lt ie9, там еще есть один скрипт ссылающийся на тот же oss.maxcdn.com, но на него хостинг не ругается почему-то.
    И самое интересное, что на сайте нет никаких кнопок на соц сети и, кстати, счетчиков тоже не видно, может их тоже убить или все же оставить? Или попробовать за комментировать и поглядеть на сие хозяйство?

  8. #7
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Ilya Shabanov
    Регистрация
    29.03.2007
    Сообщений
    1,248
    Вес репутации
    179
    никыч, вторую ссылку на oss.maxcdn.com тогда уже логично тоже убрать. Я посмотрел это какой-то сервис для веб-мастеров. Вероятно достался от прежних специалистов. Если непонятно зачем он, то лучше отключить.

    Счетчики невидимые, а твиттер могли убрать в процессе разработки. Закоментируйте лишнее, если понадобится всегда раскоментируете обратно.

    Добавлено через 2 минуты

    Я вообще очень скептически отношусь к ссылкам на js на сторонних сайтах. В этом случае мы не контролируем ситуацию. Могут подсунить бог знает что. Могут просто ломануть тот другой сайт, а через него и всех остальных. К Google доверия больше, но все равно настораживает.
    Последний раз редактировалось Ilya Shabanov; 24.10.2014 в 16:36. Причина: Добавлено
    VirusInfo.info & Anti-Malware.ru | Мой блог |

  9. Это понравилось:


  10. #8
    Junior Member Репутация
    Регистрация
    01.10.2012
    Сообщений
    41
    Вес репутации
    20
    Спасибо Вам огромное за помощь.

  11. #9
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.06.2010
    Сообщений
    451
    Вес репутации
    381
    Про html5shiv...
    Сия штука нужна для корректного отображения ваших страниц в ИЕ старых версий (речь о html5 элементах).
    Теперь о том, откуда оно у Вас...
    Ваш сайт сделан на стареньком бутстрапе (версия 2.3). Значит, бутстрап...
    Перейдите по ссылке http://getbootstrap.com/getting-started/#template. И вы увидете, что строка с прописанным CDN'ом присутствует в базовом темплейте самого бутстрапа. У Вас она - один в один...
    В базовом бутстраповом темплейте есть ссылка на ещё один файл respond.js. Он нужен для обеспечения "отзывчивости" сайта при посещении его с разных устройств (компьютер, планшет, телефон...). Для примера - зайдите на Ваш сайт. У Вас внизу есть три горизонтальных блока. А теперь поменяйте размер окна браузера, подвигав за его край. И посмотрите, как ведут себя блоки.
    Да, ещё... Комментарий про IE9 означает, что шив будет использоваться, если браузер посетителя старее 9-го ИЕ.
    То есть, если Вас не волнует то, как будет отображаться Ваш сайт у посетителей с браузером старее IE9 (если такие ещё остались), можете смело удалять...
    Если волнует и Вы не хотите ссылок на внешние ресурсы, то можете загрузить сам шив в каталог с сайтом и корректно прописать пути в индексном файле.

    Про гугл аналитику...
    Не знаю, критично или нет, но лучше затрите в стартовом посте ваш ID и название сайта...

    Про gauges...
    Счетчик платный. Минимальная цена 6$ в месяц. У Вас указан индентификатор сайта. Какой - триальный или оплаченный - узнайте у своих. Если триальный - смело удаляйте.

    Про айболита...
    Здесь всё нормально.

  12. #10
    Junior Member Репутация
    Регистрация
    01.10.2012
    Сообщений
    41
    Вес репутации
    20
    Спасибо большое, очень подробно.

  13. #11
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Ilya Shabanov
    Регистрация
    29.03.2007
    Сообщений
    1,248
    Вес репутации
    179
    Val_Ery, мне эта тема сильно напомнила о результатах исследования безопасности бесплатных темплейтов
    http://www.anti-malware.ru/analytics...ates_WordPress

    Народ массово качает, ставит и не задумывается, что там могут быть ну очень подозрительные скрипты. В данном случае хрен знает что на той стороне подсунут в html5shiv.min.js
    VirusInfo.info & Anti-Malware.ru | Мой блог |

  14. #12
    Junior Member Репутация
    Регистрация
    01.10.2012
    Сообщений
    41
    Вес репутации
    20
    Полностью с Вами согласен, но к сожалению свои мозги в чужую голову не вложиешь, поэтому все так и будут продолжать пользоваться бесплатными темплейтами, да и вообще софтом.
    Пожалуйста, не откажите в просьбе что в личку Вам отправил. Спасибо.

    - - - - -Добавлено - - - - -

    Ilya Shabanov, про просьбу в личке, больше не надо, olejah все подправил, еще раз всем ОГРОМНОЕ спасибо за помощь и грамотное разъяснение.

  15. #13
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.06.2010
    Сообщений
    451
    Вес репутации
    381
    Ilya Shabanov, согласен с Вами!
    И про народ, и про качает и ставит...

    Тоже вспомнилось (хоть и не по теме): звонит клиент с вопросом "Как установить интернет-эксплорер? Я в поиске забил скачать ИЕ9, а ни с одной из первых 10-ти ссылок ничего не установилось".
    О_о, ты просто не знаешь, чего там у тебя установилось

  16. #14
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Ilya Shabanov
    Регистрация
    29.03.2007
    Сообщений
    1,248
    Вес репутации
    179
    Цитата Сообщение от Val_Ery Посмотреть сообщение
    О_о, ты просто не знаешь, чего там у тебя установилось
    Отличный адекдот!
    VirusInfo.info & Anti-Malware.ru | Мой блог |

Похожие темы

  1. Вылетает AVZ на скрипте лечения/сбора
    От ascodts в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 10.02.2009, 21:06
  2. Есть ли в скрипте форума Fireboard VBS.PackFor.2 ?
    От ohotnik в разделе Помогите!
    Ответов: 7
    Последнее сообщение: 08.01.2008, 00:47

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01218 seconds with 16 queries