на сайте обнаружены iframe вставки ссылающиеся на сомнительные сайты либо обфусицированный код
Как найти и удалить вирус iframe на сайте
Одним из наиболее частых способов заражения компьютера посетителей сайтов является использование уязвимости, связанной с переполнением буферов браузеров пользователей. Рецепт достаточно прост. Злоумышленники внедряют вредоносный код вставкой iframe на страницы сайта и пытаются загрузить на компьютер ничего не подозревающего пользователя вредоносные файлы. Обнаружить подобные вредоносные врезки на ваших сайтах достаточно легко. Стоит лишь обратить внимание на фрагменты кода, в которых используется подключение iframe. Такие вставки могут быть как в HTML, так и в PHP файлах.
Злоумышленники почти всегда пытаются максимально скрыть от владельцев использование вредоносных ставок, скрывая их визуально для пользователей ресурса и обфусцируя (запутывая) свой код.
Скрытие iframe вставок от глаз пользователей
Для маскировки вредоносной вставки хакеры в большинстве случаев применяют один и тот же метод раз за разом — выставляют свойства тега так, чтобы он не отображался на странице, но содержался в ее коде. Чаще всего, выставляется нулевая или однопикселевая ширина и длина: width=»1px», height=»1px».
Например, вредоносный код может выглядеть так:
Однако, часто такой маскировкой хакеры не ограничиваются, дополняя сокрытие более изощренными приемами, способными сбить с толку и усложнить поиск и устранение даже продвинутым программистам.
Обфускация
Однако, обнаружение обфусцированного кода на сайте не означает однозначной его вредоносности или легкости устранения. Нужно понимать, что, во-первых, злоумышленники могли обфусцировать код, захватив еще и часть рабочего кода сайта. В таком случае, при попытке вырезания зашифрованного фрагмента вы рискуете обрушить ваш ресурс. Во-вторых, обфусцированный код может не быть вредоносным, а лишь являться следствием работы вашей CMS или отдельных ее компонентов, а также, установленных вами дополнительных модулей.
В любом случае, если вы столкнулись с подозрительным обфусцированным кодом, нужно действовать с максимальной аккуратность.
Прочие признаки заражения
Если вы сомневаетесь, является ли найденный вами код вредоносным, то можно попробовать проанализировать косвенные признаки. При наличии большого числа файлов на вашем сайте, вы можете обратить внимание на дату и время последнего изменения файлов. В случае, если вы хорошо знаете сценарии работы своей CMS с файлами, то можете присмотреться к файлам, измененным в одну дату в одно и то же время, или с изменениями, идущими с одинаковым интервалом времени, например, 1 секунда.
В случае, если вы являетесь продвинутым программистом, то можете написать скрипт, проверяющий наличии обнаруженного вами типа вставок на всех файлах вашего сайта. Если вы еще более продвинуты — можете заставить скрипт вырезать вставки, однако, всегда нужно быть аккуратным.
Альтернативные методы
Мы рекомендуем вам использовать сервис Вирусдай для удаления вредоносных вставок на даже в тех случаях, когда вы являетесь продвинутым специалистом. Наш сервис не только содержит множество сигнатур, по которым находит вредоносные коды, но и экономит время! К тому же, стоимость использования Вирусдая для чистки будет, вероятно, намного ниже, чем оплата вашего же рабочего времени. Вы сможете обнаружить и удалить не только iframe вставки, но и множество других угроз. Вероятно, вы сможете найти и автоматически удалить угрозу, приведшую к появлению iframe вставок на вашем сайте, такую, как, например, Шелл.
Столкнулся и я с таким «недугом»на днях.
Один из пользователей написал мне, что не может войти на мой сайт, так как Google блокирует вход и оповещает его что сайт заражен и опасен…
Заранее скажу, не Яндекс вебмастер, не Google вебмастер в своих кабинетах заражения не показывали, как и большинство сервисов сканирования сайта на вирусы(или еще не успели).
Конечно, я сразу стал искать тот самый «вредоносный» код на сайте, дабы не терять трафик на сайт.
В поисках «вредоносного» кода на своем «подозрительном» сайте, я, попутно проверил свои другие сайты которые были на одном хостинге, на движке Worpdress.
Подозрение на вирус!
На сайте обнаружены iframe-вставки, ссылающиеся на сомнительные сайты либо обфусицированный код
Я сначала подумал что взломали аккаунт хостинга и залили какую нибудь «бяку», тем самым заразив всех сайты на аккаунте.
Но, чтоб убедиться взломан ли был аккаунт хостинга и сайты на нем, я, имея другие аккаунты с сайтами на этом же хостинге, решил проверить и их….
К моему удивлению, сайты находящиеся на других аккаунтах в разной комплектации, так же на движке WordPress, тоже были с пометкой Подозрение на вирус!
Первая мысль которая у меня возникла, это то, что сайты заражены были через сам хостинг, так как, мало верится чтоб несколько десятков сайтов на разных аккаунтах одного хостинга были заражены одновременно…
Дабы не расписывать все свои мучения как я искал эту проблему и не мучать вас,сразу опишу решение.
К слову, добавлю, на самом деле это не совсем вирус. Не могу назвать точную версию движка с чего эта «проблема» началась.
Но, движок, после обновления добавил такой код
Его можно увидеть, если открыть в браузере исходный код главной страницы сайта.
В нем собственно и была проблема.
Как удалить на сайте Worpress iframe-вставки, ссылающиеся на сомнительные сайты либо обфусицированный код?
А решении не такое сложное и справится любой новичок..
1. Заходим в Админ панель своего сайта.
2. Далее следуем по такому пути, внешний вид, редактор.
3. Находим и открываем файл functions.php
4. Добавляем в самый конец эти 4 строчки
remove_action( ‘admin_print_scripts’, ‘print_emoji_detection_script’ );
remove_action( ‘wp_print_styles’, ‘print_emoji_styles’ );
remove_action( ‘admin_print_styles’, ‘print_emoji_styles’ );
На сайте обнаружены iframe вставки из браузера? Это серч глумится!
Около недели назад появилась проблема с публикацией постов на блогах через оперу. В код страницы начал самовольно добавляться скрипт и ифрейм такого вида:
Надо сказать, что его можно и не заметить, если не перейти на просмотр HTML кода прямо в редакторе. Но здесь порадовал друпал 7. Даже при визуальном просмотре появилось видимое изображение скрытого iframe. Что позволяет насторожиться уже на этапе редактирования поста.
Что она означает – тоже понятия не имею. Хотя очень любопытно! Но забегу вперед – тайна будет раскрыта…
Что же делать в данном случае? Как найти iframe вставки?
Первое, что пришло в голову – что-то случилось с движком. Но это оказалось не так, так как и в вордпрессе, и в друпал одновременно появилась одна и та же проблема.
Второе – дело в самом браузере. Это легко проверить. Достаточно попробовать написать пост из другого браузера. Так и сделала. Вернулась к забытому IE и создала запись в нем. Никаких вредоносных вставок нет! Более того, я отредактировала созданные в опере посты, удалив вирусный код вручную, и ифрейма не стало. В опере ж бесполезно было вырезать.
Что ж, диагноз ясен, как божий день. Опера подхватила где-то и что-то. Нужно лечить ее.
Самое простое – попробовать переустановить. Но я сначала посмотрю, не поставила ли я расширение, добавляющее зловредность. Тем более, недавно добавила новые расширения и знаете откуда? С серча! Недаром при включении улыбался смайлик. 🙂
Отсюда следует, что при отключении метабара это безобразие с самовольной вставкой ифрейма прекратится. Отключила – теперь все в порядке и не нужно сносить оперу.
Вот так серч глумится над вебмастерами?
Примечание. На скринах ниже вы увидите, как выглядит сие заманчивое предложение.
Нужно добавить, что редакторы при написании поста глючили не только на сайтах вордпресса и друпал, но и в жж. Невозможно было добавить даже картинку.
Вирус На Сайте
#1 rka11
Проверила сайт магазина через 2ip.ru на наличие вирусов, вот результат
!Подозрение на вирус!
На сайте обнаружены iframe-вставки, ссылающиеся на сомнительные сайты либо обфусицированный код.
Google.com относит данный сайт к безопасным
Yandex.ru относит данный сайт к безопасным
Подскажите, в чем может быть причина? Может я некорректный чужой код куда вставила?
#2 Гость_q-style_*
Проверила сайт магазина через 2ip.ru на наличие вирусов, вот результат
!Подозрение на вирус!
На сайте обнаружены iframe-вставки, ссылающиеся на сомнительные сайты либо обфусицированный код.
Google.com относит данный сайт к безопасным
Yandex.ru относит данный сайт к безопасным
Подскажите, в чем может быть причина? Может я некорректный чужой код куда вставила?
#3 gena.f
#4 support 2.0
Проверила сайт магазина через 2ip.ru на наличие вирусов, вот результат
!Подозрение на вирус!
На сайте обнаружены iframe-вставки, ссылающиеся на сомнительные сайты либо обфусицированный код.
Google.com относит данный сайт к безопасным
Yandex.ru относит данный сайт к безопасным
Подскажите, в чем может быть причина? Может я некорректный чужой код куда вставила?
#5 agkostin
#6 support 2.0
#7 agkostin
#8 support 2.0
#9 agkostin
#10 velena168
Прикрепленные изображения
#11 Vaccina
#12 agkostin
#13 support 2.0
#14 support
#15 agkostin
Не совсем понял кто исправит анализатор твитер или яндекс с гуглом? Вся проблема в том, что нельзя поставить ссылку на сайт с твитера.
Анализатор этого сайта: http://2ip.ru/site-virus-scaner/ возможно и не правильно работает. только вот ссылку с твитера нельзя поставить именно на те сайты у которых есть такая ошибка: подозрение на вирус ( На сайте обнаружены iframe-вставки, ссылающиеся на сомнительные сайты либо обфусицированный код.
#16 Taisia
протестировали Ваш сайт через сервис гугл на наличие вредоносного кода
такого кода не обнаружено
вот результаты теста
На сайте твиттера рекомендуют этотсервис для проверки сайта на вредоносность
как видно из отчета сайт не содержит вредоносного кода
в таких ситуациях поддержка твиттер рекомендует проделать следующие действия
https://support.twitter.com/forms/spam
в самой верхней панели на странице вы можете сменить язык на русский
отправите этот запрос, потому что видимых причин почему не добавляется ссылка нам обнаружить не удалось.
если говорить об iframe то это несомненно вопрос к анализатору твиттера
#17 agkostin
#18 Ivan712
Прикрепленные изображения
#19 Dars
На сайте обнаружены iframe вставки ссылающиеся на сомнительные сайты либо обфусицированный код
Топовый постер 
Группа: Super Moderator
Сообщений: 4794
Регистрация: 19.10.2013
Поблагодарили: 74 раза
Репутация: 
1078 
Решил написал решение «небольшой» проблемы связанной с движком WordPress. Сегодня мне один из знакомых написал, что не может войти на один из моих сайтов, так как браузер Google определяет сайт как «вредоносный и фишинг». Я стал искать проблему, проверил десяток своих сайтов(WordPress) на вирусы и везде он был помечен как
|
Такое определение с вредоносным кодом показывал один сервис(будет ниже), все другие онлайн сервисы показывали что нет вирусов.
Написал хостеру о заражении, так как несколько аккаунтов на хостере и все сайты стоявшие на WordPress были с отметкой подозрение на вирус.
Получил ответ, наш хостинг защищен ищи сам вирусы или нанимай спецов.
Конечно выбора не было, стал искать( так как, такая метка для сайта, это потеря трафика, если один не мог зайти, то и еще 100 так же не могли войти)
Что я делал? Да все что можно начиная от переустановки движка на новый домен, заканчивая удалением всех сайтов и переустановкой.
Проблема оставалась и сервис показывал Подозрение на вирус!
Дальше открыл исходный код главной страницы в браузере и стал искать тот самый «вредонос»
Нашел один на мой взгляд подозрительный кусок содержимого
Ввел в Google и как оказалось, это не совсем вредонос.
В движке WordPress точно не могу сказать с какой версии это началось, стал выводится такой код(выше), который определяется как вредонос.
Погулилв этот код, нашел саму проблему и ее решение.
Решение
Открываем файл functions.php своей темы и в конце добавляем этот код
Сохраняем и смотрим работоспособность сайта)
Все работает, и сервисы не определяют сайты как вредонос и фишинг :beach:
