Комментарии 73
Востребована. Буду рад увидеть подобный обзор веб-антивирусов со сравнением.

Насчет удаления из рейтинга и просто отметки «может угрожать» есть догадка (писями по воде виляно, конечно — я ж не сотрудник яндекса): возможно, как «угрожающие» помечаются сайты, где бациллы были обнаружены в коде рекламных баннеров (а такое бывает довольно часто). А удаляются из выдачи — те, где вирус непосредственно на самом сайте.

Повторюсь — это лишь мои догадки, хотя и, на мой взгляд, не лишенные здравого смысла.
Версия хороша, но… мы просматриваем сайты, попадающие к нам в базу, провирусованные на 100% (в собственном исходном коде). Часть в индексе держится, часть — нет. Зависимость пока не обнаружили.
Странно, не раз встречал сайты на Я, с пометкой о вирусе, на первой странице, даже и в первой пятёрке по конкурентным запросам.

Вставить в конце футера <? die(); ?> и дальше страница не отображает чтобы там не было.
Конечно не решение, но в некоторых случаях может и помочь, особенно если зашифровать исходники и добавить die().
Идеальное решение — пароли хранить в надёжном месте и никого не подпускать к ним, но такого в наше мире нет :(
Как вариант (если сайт на php) не закрывать "?>" в конце скрипта, если что-то допишут в конец файла будет ошибка в синтаксисе.
Так сайт может не работать. В случае die() он будет работать…
интересный вариант, почему нет!
правда, инклудить такие скрипты будет проблематично.
Почему проблематично? Если у сайта 1 общий футер — нет ни каких проблем. Но это не спасет, если код пропишут до футера в других файлах.
Не надо ставить die, ставьте __halt_compiler(); и проблем не будет.
аналогичный вирус напал и на один из моих сайтов, только заражал он не только index.php, но и header.php, все .htm файлы, все .js, да еще прописывал свой img.php файл в папку images зачем-то…

если говорить только о js — как бы вы решили проблему с ними? Там die не поставишь!

В принципе у меня уже сложилось общее решение, которое было бы неплохо реализовать… скрипт, который через определенный интервал времени проверяет основные файлы (не все, только содержащие в имени «header», «footer», «index» и «htm») — проверять на основании оригиналов, помещенный в zip-архив (для сохранности) и в случае отличия размера файла — заменять на файл из архива. Такой скрипт был бы полезен не только при борьбе с вирусами, но и для регулярных обновлений CMS на сайтах (в особенности самописных, постоянно обновляемых). Если никто такого еще не написал и не собирается, для себя точно буду в дальнейшем писать…
В общем-то, SiteGuard не решает проблему удаления вирусов.
Для этого нам нужен доступ к Вашему серверу, а оно Вам надо?
Мы просто информируем о вирусах или подозрительной модификации скриптов, а Вы уж сами думайте))

По вопросу js/die — я не программист, а у программистов сегодня суббота. Могу предложить пока что только делать цикл с одной итерацией, в конце которой делать break :) Но это, наверное, не всегда сработает.
ваш вариант к сожалению не подойдет — код вируса также дописывается к файлу, но не в какие-то функции, а отдельно.
подойдет.
цикл из одной итерации начинаете в начале JS-файла, а заканчиваете — в конце.
перед окончанием цикла делаете break.
тогда не подойдет.
но я таких вирусов не видел.
и потом, Вы про die спрашивали :)
Да, и еще. Замучаетесь обновлять zip-архив, если это только не CMS, в которой все-все в базе лежит.
не до такой степени. даже яваскрипт пока еще не загоняю в базу.
в базе сейчас только css, вся структура сайта (страницы, папки, разделы, блоки, различные автоматические дополнения) и дизайн (html шаблон).
Нарывался на еще более прикольный вирус. Вирус модифицировал .htaccess. Внешне с сайтом все было ок, а вот при переходе на него с яндекс.директ все было интереснее, выдавался чужой сайт. Работало тоже через перехват паролей в фтп клиенте. Яндекс не детектил это никак.
Простите, но как Я мог узнать что в файле .htaccess и на сайт робот не через Директ попадает.
А вы строчку правила редиректа из .htaccess не помните, там редирект 301-й был?
>Простите, но как Я мог узнать что в файле
Так я ж и не говорю, что Я был обязан сие дело ловить как то. Это как уточнение, что не ловил.
Строчку не вспомню, к сожалению.
Да, 301 редирект. Типа такого:

RewriteCond %{HTTP_REFERER} .*blog.* [OR]
RewriteCond %{HTTP_REFERER} .*live.* [OR]
RewriteCond %{HTTP_REFERER} .*myspace.* [OR]
RewriteCond %{HTTP_REFERER} .*mail.* [OR]
RewriteCond %{HTTP_REFERER} .*yandex.* [OR]
RewriteCond %{HTTP_REFERER} .*rambler.* [OR]
RewriteCond %{HTTP_REFERER} .*ya.* [OR]
RewriteCond %{HTTP_REFERER} .*aport.* [OR]
RewriteCond %{HTTP_REFERER} .*linkedin.* [OR]
RewriteCond %{HTTP_REFERER} .*flickr.*
RewriteRule ^(.*)$ somesite.tld/ [R=301,L]

Причем обычно кладут не в document_root, а в хомяк ftp, в этом случае аффектит на все сайты сразу.
Ага, около года назад сам был поражен. Сам владелец сайта вряд ли увидит действие вируса, т.к. в большинстве случаев открывает адрес напрямую.
У Яндекса такие ситуации сплошь и рядом. Там не только вирус — элементарное указание основного домена www.домен.ру и перенаправляемые запросы с домен.ру на www и все, сайт вообще ушел с выдачи (robots.txt не помог). При том, что Google и другие поисковики продолжали спокойно обрабатывать такую ситуацию.
Техподдержка Яндекса смогла понять, в чем причина, аж через 3 недели, до этого чего только не пытались нам рассказать про наш сайт… И вернулся в индекс сайт лишь через недель 5-6 и то, на совершенно ужасных позициях и в совершенно непонятном виде (за все это время Google продолжал нормально показывать сайт на тех-же позициях и в том же виде)
По большому счету, Яндекс нам с Вами ничем не обязан; претензий по срокам у меня нет. Просто досадно.
Ну, Google нам обязан не больше, чем Яндекс, но он тем не менее работает нормально.
Честно говоря, давно пора защищаться заранее. Не с помощью антивирусов, а с помощью тех средств, которые дает хостер. Большинство ftp-серверов поддерживают файл .ftpaccess, в котором можно прописать список разрешенных ip-адресов. В этом случае если пароль и стырят, то не смогут воспользоваться.
А в других поисковиках сайт раскручен? Если бы, например, гуглобот ничего не нашел на сайте, то этот вирус бы не убил 99% посещаемости, а только долю яндексовых.
Не то чтобы раскручен, но высокие позиции имеет (так же первые места). Однако специфика трафика такова, что идет он в основном с Яндекса. Кислород перекрыли на 2 недели :(
Есть горький опыт: у меня уходили пароли из ftp-клиента, и на все сайты, которые там были прописаны, вешались вирусы. После этого стал пользоваться WinSCP, у которого база шифруется по паролю (такая же возможность есть и у платного CuteFTP).
Пользуясь случаем, хочу спросить у общественности — насколько такой способ безопасен? Насколько сложно, украв зашифрованную базу, вытащить из неё данные? И является ли она зашифрованной во время работы с FTP-клиентом?
если машина заражена, то что помешает перехватить мастер-пароль в момент ввода?
или если пароль вводится один раз на всю сессию работы, думаю не проблема его (или ту производную, которой шифруется база) найти и выдрать из памяти, для последующей расшифровки.
ну если машина заражена, то и «запрещать сотрудникам сохранять пароли в ftp/sftp/ssh клиентах и браузерах» тоже может не помочь. Keepass так же через мастер-пароль работает, а хранение в открытом виде в текстовом файле — вообще не вариант.
Прикольно: «риск заражения сайтом» :) Поправьте, плз, в первом абзаце.
не подключается.
загрузил текст файл с набором чисел…
прошу прощения, нечаянно отправил не дописав.
так вот жду указанное время, и опять возвращаюсь на страницу добавления сайта
да, там должна быть какая-то система, срабатывающая при больших нагрузках, заставляющая подождать (а если не разгрузилось, то опять подождать). на случай атаки. ну или хабраэффекта).
совет — ждите. всех примут.
тема актуально. конкретно щас борюсь с вирусами на одном сайте.

в siteguard можно ли добавить несколько страниц для отслеживания, а не только главную?
к сожалению, пока что нет.
по нашему опыту, это и не надо: заражается в том числе и главная страница (в 99%).
но мы работаем над улучшениями, и кое-что придумали.
на сайте, что я администирую, заразился форум как самая посещаемая часть, имеющая отдельный шаблон ( и дыру :)
Работаю со своими питомцами только через ssh с ключами, причем mount делаю из виртуальной машины (xp — хост, freebsd — гость). Пароль попавший в чужие (пусть даже очень надежные и добрые) руки занимает весь день и становиться недействительным.

Я параноик?

P.S. Конечно гостевой freebsd не для паролей, просто так удобней. Работаем в xp (макет от дизайнера посмотреть в cs4 например нужно?), гостевая bsd как сервер и гейт до хостингов (samba+sshfs).

просто личное мнение: если соблюдать правила it-гигиены )), то антивирусы не нужны. ИМХО.

Мое мнение — запретить ftp вообще, и подключения осуществлять только по ssh c ключами, а файлы кидать по scp. Тем людям, которым нужен доступ, просить сгенерировать ключ и прислать публичный. Таким образом, можно завести репозиторий ключей и подключать их к сайтам.
Надо не просто следить за сайтом по директу а еще и за выдачей для ботов поисковиков, причем в некоторых случаях с IP поисковиков ;)

А против воровства ftp паролей есть простые решения типа разные пользователи для ftp и для файлов и отсутствующие права на запись ( update делается через дополнительный скрипт ).
А еще на одном проекте делал фиктивный код сайта и по его изменению письмо на мыло по крону — на сервере тусовалось куча народу и вирусы там вечеринки устраивали.
У Вас там ссылочка на гугл группу SiteGuard, так вот в этой группе в обсуждениях сплошной спам.
> сохранял пароли прямо в FTP-клиенте (этого делать не надо ни в коем случае)
Существенный риск при пользовании FTP — это утекание паролей через незашифрованное соединение, поэтому всегда юзаю SFTP.

Ну конечно если вы привыкли запускать malware… Но и тут несохранение не спасет: современное malware вместо придрачивания к десяткам разных клиентов просто снифает трафик и несохранение паролей не спасет.
Кстати, про FTP, нормальный FTP-клиент кодирует сохраненные пароли. Как его можно стырить не понимаю.
Не всегда шифруется достаточно надежно. Учитывая, что список популярных FTP клиентов довольно конечен, злоумышленник может озаботиться поиском дешифровщиков для репозитория их паролей. Не знаю, насколько вы считаете FTP клиент FAR нормальным, но вот конкретно для него расшифровка пароля не представляет сложностей.
> Как его можно стырить не понимаю.
Ну сам то он как-то пароли должен же расшифровывать ;) Это ответ.
тырят замечательно, из всех распространенных клиентов. Total Commander, etc. Кроме того, протокол FTP открытый, запросто перехватить могут.
Полагаю такое не только к Яндексу относится, но и к другим ПС. А чтоб оное не попало на сайт и не поразило его, здесь не только антивирус нужен, но и надежный сервер, способный во-время предупредить, а лучше предотвратить «прорыв».
пробую зарегистрироваться. телефон ввожу с +380 — валидатор не принимает
только Россия. как-то не подумали написать об этом, исправимся.
В принципе логичное решение Яндекса ограничивать доступ на вирусные ресурсы.

ИМХО: если проекты завершены, стоит вообще убрать доступ по FTP из панели управления сайтом или огранчить перечень IP с которых можно зайти на FTP (если удаление невозможно)
Хахаха, созранять пароли на ФТП — это очень профессионально. Как таким людям вообзще доверяют создание сайтов.
НЛО прилетело и опубликовало эту надпись здесь
Проблема с сайтом, yandex переодически пишет сайт заражен вирусом, потом сам же пишет что ничего нет, заражен обычно одна или максимум 2 внутренних.
И так мигает уже месяца 2. сайт чистый пароли не хранятся, проверял с других машин нормально всё, что может быть?

Yandex пишет встраивается iframe, но как то он слишком быстро встраивается что его даже хостер не ловит… по ftp тоже никто не заходит, левых скриптов нет.
Да и в Google вебмастере все нормально ни разу не писал что вирус
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.