drive-by-download

[asvfedf 0]

Здравствуйте, как зищитить себя от drive-by-download на дле 9.7 ? Я пробовал в engine/classes/swfupload/swfupload.js

поменять строку: '<param name="allowScriptAccess" value="allow" />', так она вроде выглядела, на:

'<param name="allowScriptAccess" value="never" />',

'<param name="allowNetworking" value="internal" /> ',

на 9 из 10 сайтов вроде бы помогло, но все таки остались те где яндекс находит поведенческий анализ....

Ах да, появляется это из-за бирж ссылок, я так понимаю нужно отключить обращения ява к флешу.... Или хз что нужно, маловато знаний

Прошу тех кто знает помочь советом

[WWW.ZEOS.IN 1 161]

Выполните, пожалуйста, правила форума

[asvfedf 0]

Выполните, пожалуйста, правила форума

Какие именно?

[WWW.ZEOS.IN 1 161]

Правила форума Внимание !!!

Если ваша тема начинается с вопроса и вам нужна какая либо помощь, то в самой теме в обязательном порядке вы должны указывать ссылку на ваш сайт. Если ваш сайт находится в локальной сети и вы не можете предоставить ссылку, или вы не хотите публиковать открытой ссылки на ваш сайт, то отправляйте персональное сообщение с вопросом в службу поддержки непосредственно с сайта http://dle-news.ru/, вам ответят на ваш вопрос в персональном порядке, в случае если пользуетесь платной версией скрипта и обладаете лицензией на скрипт. Если вы пользуетесь демоверсией, то вам необходимо разместить сайт в сети интернет, и только потом обращаться за помощью. По находящимся на локальных компьютерах демоверсиям никакой помощи и поддержки на форуме не оказывается. Если вы не указали сайт, то ваша тема будет закрыта, а аккаунт на форуме заблокирован.

[asvfedf 0]

Понял, персональным сообщением отправлю.

[pavholm 0]

В последнее время Яндекс так же стал вешать "клеймо" на сайт - поведенческий анализ.

Самое интересное, что как-то все поочередно - автоматом найдет, ставишь перепроверку - пишет, что все чисто. Через некоторое время опять находит.

Сайт fc-arsenal.by. Техподдержка яндекса сказала, что жалуется на iframe:

При проверке Вашего сайта антивирусный комплекс Яндекса обнаружил вредоносный код следующего содержания:

	.html("<iframe name='edituserframe' id='edituserframe' width='100%' height='400' src='"+dle_root+dle_admin+"?mod=editusers&action=edituser&user="+dle_user_profile+"&skin="+dle_skin+"' frameborder='0' marginwidth='0' marginheight='0' allowtransparency='true'></iframe>")},[/CODE]

по ссылке http://fc-arsenal.by/engine/classes/min/index.php?charset=windows-1251&g=general&8

Никто с таким не сталкивался? Уже не знаю, как с этим бороться.

[celsoft 5 995]

pavholm,

Этот код точно не вирус, это код входа в админпанель для администраторов сайта. Но вирус на вашем сайте есть, но в других JS скриптах, а не в этой строчке.

[pavholm 0]

pavholm,

Этот код точно не вирус, это код входа в админпанель для администраторов сайта. Но вирус на вашем сайте есть, но в других JS скриптах, а не в этой строчке.

Можно узнать, где именно?

[celsoft 5 995]

Я не могу дать на это однозначный ответ, у вас много посторонних JS скриптов в вашем шаблоне. Полностью восстановите все оригинальные файлы скрипта из архива дистрибутива и отключите сторонние JS скрипты из вашего шаблона.

[pavholm 0]

На сервере все файлы js оригинальные, в шаблоне левых скриптов подключенных нет. Поудалял из папки шаблона скрипты галерей картинок. Больше ничего нет.

Просмотрел все сторонние js файлы, ничего лишнего в них не нашел.

[celsoft 5 995]

На сервере все файлы js оригинальные

Восстанавливать нужно не только JS файлы скрипта, а вообще все файлы скрипта DLE без исключения.

в шаблоне левых скриптов подключенных нет.

Как нет, а что строчки

<script type="text/javascript" src="/engine/classes/min/index.php?charset=windows-1251&amp;f=/templates/arsenal2/js/libs.js,/templates/arsenal2/js/main.js,/upTT.js,/templates/arsenal2/js/superfish.js&amp;7"></script>

[/CODE]

стали стандартными скриптами DLE? И это не одна строчка, сторонних JS скриптов у вас в шаблоне большое количество. Вам нужно смотреть не только имена, лишние они или нет, а их содержимое. Чтобы в них не было никакого лишнего кода.

[BrillianMedia 8]

посмотрите в dbconfig.php config.php

[pavholm 0]

На сервере все файлы js оригинальные

Восстанавливать нужно не только JS файлы скрипта, а вообще все файлы скрипта DLE без исключения.

в шаблоне левых скриптов подключенных нет.

Как нет, а что строчки

<script type="text/javascript" src="/engine/classes/min/index.php?charset=windows-1251&amp;f=/templates/arsenal2/js/libs.js,/templates/arsenal2/js/main.js,/upTT.js,/templates/arsenal2/js/superfish.js&amp;7"></script>

стали стандартными скриптами DLE? И это не одна строчка, сторонних JS скриптов у вас в шаблоне большое количество. Вам нужно смотреть не только имена, лишние они или нет, а их содержимое. Чтобы в них не было никакого лишнего кода.

Да, я все понимаю. Совсем недавно сделал чистую переустановку DLE. Насчет скриптов - я в том смысле, что их содержимое мне известно, т.е. я не считаю их посторонними. Остальное - просто счетчики.

[celsoft 5 995]

И тем не менее в каком то из файлов скриптов есть перенаправление на 178.73.242.30/1edc573b7a81eebad1ec5871bd5b539f/q.php где собственно и находится вирус. При посещении вашего сайта в итоге на этот адрес срабатывает антивирус.

[pavholm 0]

Спасибо, буду копать в этом направлении

[pavholm 0]

А может быть такое, что это все из-за хостинга, т.е. как-то сервер заражен и т.д.?

Просто разговаривал с техподдержкой хостинга, и он мне сказал, что у них на сервере это не единичный случай у сайтов, на которых стоит DLE. Я даже человека нашел, у которого точно такая же проблема

[celsoft 5 995]

А может быть такое, что это все из-за хостинга, т.е. как-то сервер заражен и т.д.?

Да может. Сейчас набирает популярность, когда воруют root доступ и подменяют например модули Апача, на модифицированные, которые отправляют вирусы в браузер.

[pavholm 0]

Не могли бы сейчас посмотреть, есть ли перенаправление сейчас? Переехал на другой хостинг, надеюсь, что дело было в этом.

[celsoft 5 995]

Сейчас антивирус при посещении вашего сайта молчит.