Вирусы на сайте

**master-smeta** Вт Мар 11, 2014 14:38

Сегодня, в очередной раз, Каспер заблокировал ваш сайт с "криком"

Обнаружено: HEUR:Trojan.Script.Generic 11.03.2014 14:46:44 http://www.smeta.ru/static/55_369.html

До этого крики были в прошлую пятницу.
И это уже не первый раз! В прошлый раз (когда вы в Турции конференцию проводили), ваш сайт несколько дней подряд вирусяки "раздавал".
Надо бы уже что-то делать с безопасностью.

Ваша реклама

**hanson** Вт Мар 11, 2014 15:04

Вы совершенно напрасно полагаетесь на Касперского: во-первых антивирусы всегда на шаг позади от реальных угроз, во-вторых вы получаете ложные срабатывания, как в данном случае.
Уверяю вас, никаких вирусов наш сайт не раздает. На сайте есть некоторое количество скриптов, которые могли бы показаться Касперскому подозрительными : форма онлайн-консультанта, поиск по сайту, гугл-аналитика и т.п. Связано это с тем, что они в фоне отправляют данные на сервер.

Могу посоветовать обновить антивирус/антивирусную базу, как правило они достаточно быстро разбираются с ложными срабатываниями.

**master-smeta** Вт Мар 11, 2014 16:02

Мне, наверное, в первом посте стоило представиться. Меня зовут Владимир, я веб-мастер в компании Дженерал Смета. Теперь, я надеюсь, Вы понимаете, что рассказывать про скрипты мне не надо. Я отлично знаю как они устроены, т.к. сам постоянно с ними работаю.
Что касается антивирусов, то тут тоже Ваша неправда. Антивирусы (нормальные антивирусы, регулярно обновляемые) не блокируют скрипты консультантов, поисков, аналитиксов и т.д и т.п.

Ну а если по фактам, то на вашем сайте действует следующий тип заражения: в код вашего сайта встраивается дополнительный html-код, загружающий в iframe-окне содержимое некоего сайта. iframe-окну назначены стили, убирающие окно из области видимости, обычно примерно так: margin-left:-1000px; Доменное имя загружаемого сайта не подскажу, не проверял, т.к. для этого нужно отключить антивирус, зайти на ваш сайт (заразившись при этом троянчиком), отследить файрбагом код, а после этого выполнить лечение компьютера от трояна. Все эти действия я делал в прошлый раз (во время конференции) и присылал подробную информацию о заражении и методах лечения на вашу электронную почту (не Вашу личную, а на почту сайта info@smeta.ru). Также, я пытался сообщить о заражении вашему online-консультанту, который мне так и не ответил. Я даже звонил вам по телефону и просил соединить меня с "ответственным за сайт", но меня ни с кем не соединили, хотя пообещали передать информацию в нужные "руки".

На самом деле, мне нет никакого дела до "качества" и "заразности" вашего сайта (наоборот, чем меньше клиентов у вас, тем больше у нас :wink:

). Но мы ваши дилеры и "работаем в одной команде" (я так думаю), поэтому я посчитал своим "долгом" сообщить вам о "вредоносном коде" на вашем ресурсе.

В общем, я информацию предоставил, остальное - дело ваше.

**Kir** Вт Мар 11, 2014 16:06

Спасибо за информацию. Проверим.

**expert69** Вт Мар 11, 2014 22:06

Странно, почему другие антивирусы ничего не замечают (у меня доктор веб лицензионный дома, а работе - симантек)

**master-smeta** Ср Мар 12, 2014 8:20

Ничего удивительного в том, что при заходе на сайт у вас все нормально. Зараза включается и отключается по команде из вне. И включается она кратковременно (на пару часов). После этого сама удаляет себя из фалов сайта и сидит тихонечко, в ожидании очередной команды. Многие пользователи ничего не заметят. Я замечаю ее только потому, что примерно раз в час запускаю "робота" на сайт smeta.ru а уже робот сообщает информацию, либо сообщает о проблемах (в подробности не буду вдаваться, большинству они будут не интересны).

Откуда я это знаю? Наши сайты тоже были заражены таким образом. Ох и намучился я с поиском/лечением этой гадости, но мне удалось побороть эту проблему. Сейчас я ежедневно получаю сигналы о проверке на уязвимости и попытках взлома...
Я предполагаю, что такой вид заражения используется хакерами для атак на другие сайты (например пятничное заражение, по моему мнению, связано с атакой на один новостной сайт).

**maksimus** Ср Мар 12, 2014 8:43

master-smeta писал(а):Все эти действия я делал в прошлый раз (во время конференции) и присылал подробную информацию о заражении и методах лечения на вашу электронную почту (не Вашу личную, а на почту сайта info@smeta.ru)

Большая к вам просьба - продублировать информацию о злосчастном iframe на мой личный ящик - max@smeta.ru

С уважением, администрация форума.

**master-smeta** Ср Мар 12, 2014 10:19

отписал на почту

**maksimus** Ср Мар 12, 2014 10:21

Огромное вам спасибо!

**master-smeta** Ср Мар 12, 2014 10:40

Да не за что. Если что, в письме мои контакты есть, обращайтесь