LINUX.ORG.RU
решено ФорумSecurity

[взломан сайт][FreeBSD 7.4]Google ругается на распространение вредоносных программ


0

1

Здравствуйте! У меня жестокая ботва :)
Решил я тут посмотреть на статистику своего сайта в инструментах вебмастеров Google. Увидел следующее: Сообщение Для Ъ:

Некоторые разделы этого сайта, возможно, распространяют вредоносные программы. Дополнительные сведения

. Дополнительные сведения:

Внимание! На вашем сайте обнаружен вредоносный код. При попытке перейти на страницы этого сайта пользователи видят страницу предупреждения. После полного удаления вредоносного кода и устранения уязвимостей, из-за которых была нарушена безопасность сайта, можно запросить проверку сайта. 1IUnDFGdfgdghdfghhdfgdfghdfgh:132643534534Запрос на рассмотрение trueЗапрос на рассмотрение Просмотрите советы StopBadware.org по обеспечению безопасности для веб-сайтов и внесите необходимые изменения на своем сайте. Мы рассмотрим ваш сайт, как только он будет исправлен и вы отправите запрос на его пересмотр.

Страница предупреждения: Страница Для Ы: Ошибка 403.

Сайт на чистом HTML. Скрипты только от LiveInternet(статистика). Есть подозрение на самостоятельное вмешательство. Когда добавил поддомен для английской части сайта, во всех старых страницах удалил контент и вставил один тег редиректа 

<meta http-equiv="refresh" content="1;url=http://[www].en.labfreetech.[org]" />

Только что гуглил - при переходе ошибок нет. Прошу проверить. Линух тут при том, что он менее уязвим к вредоносным программам и на сервере моего провайдера стоит FreeBSD 7.4. Благодарю!

★★☆

Последнее исправление: xwicked (всего исправлений: 1)

Линух тут при том, что на сервере моего провайдера стоит FreeBSD 7.4

Значит линукс тут не при чем все-таки

anonymous_sapiens ★★★★★
()

Фряха и линукс тут не при чём, скорее всего. Иди в HTML-код той страницы, на которую ругается гугл. Может, там вставлена картинка с src=«badware-сайт», а может и правда поломали сайт и подсунули в код страницы скрипты, но это менее вероятно.

wasd
()

А ты вправду считаешь, что на одном хосте у твоего провайдера только один твой сайт? Ну-ну.

Macil ★★★★★
()
Ответ на: комментарий от wasd

Точной страницы нет. Всё на скриншотах. При переходе на сайт с гугля - сообщения о том, что он атакует компьютеры или что-то ещё нет 4.2. Хотел узнать как видится мой сайт с других ip, есть ли какая-нибудь ошибка?

Может ли редирект в теге meta послужить проблемой или его нужно настраивать через .htaccess на сервере apache.
Да и про поломали сайт - исключено - там нет ничего интересного для появления непреодолимого желания поломать именно мой сайт. Посещаемость у него небольшая.

xwicked ★★☆
() автор топика
Ответ на: комментарий от xwicked

Для ботнета / ЧСВ индуса / прокси сгодится. И да, refresh это как-то неправильно. Гугл вполне может посчитать, что сайт обманывает посетителей. Используйте 302 ответ.

helios ★★★★★
()
Ответ на: комментарий от helios

Все редиректы удалил - проблема осталась. Внимательно посмотрел на страницу предупреждения 403 - там говорится, что данный файл недоступен для меня(!?).

Логи ошибок apache - молчат. Этот файл доступен для чтения и мне тоже. Если html-страницы не вызывают ошибок, то я забиваю болт и оставляю как есть.

ЗЫ: тот файл на всякий случай обновил - сказали повторный запрос на проверку может быть выполнен только через несколько часов. Потом отпишусь, что скажет...

xwicked ★★☆
() автор топика
Ответ на: комментарий от wasd

Нет

Если тебе интересно, то пройди по (google.com/interstitial?url=http://labfreetech. org/downloads/lib/klen-library-0.1.9-win-x86.exe) ссылке(Google 403)
и узнаешь. Потом сходи на http://labfreetech. org главную(работает?). Буду благодарен.
Лишних файлов .htaccess я не обнаружил. И вообще как такое может получиться???

ЗЫ: потом отпишешься, сколько червей поймал :) :) :) .

xwicked ★★☆
() автор топика
Ответ на: Нет от xwicked

Главная открывается без проблем, при скачивании файла оно говорит что «это является вредоносным файлом». Попробую сохранить и просканить антивирусом - вероятно, эвристика где-то ошиблась.

wasd
()
Ответ на: Нет от xwicked

Антивирус (avast) ругается на сий файл. Впрочем, у меня он даже на cygwin'овские либы ругался.

wasd
()
Ответ на: Нет от xwicked

http://labfreetech . org/downloads/lib/klen-library-0.1.9-win-x86.exe

По этой ссылке файл, который большинство антивирусов считают вирусом. Посмотри сам: https://www.virustotal.com/file/fe4f1de223a251854ab189c34514c8a7519197208e01e...
Если я не ошибаюсь, Google использует PCTools в качестве антивируса, который также считает этот файл вирусом.

И вообще как такое может получиться?

Сейчас тебе необходимо установить:
1) Сам ли ты заливал этот файл на сервер. (Для этого сравни файл, который у тебя есть в своем компьютере с ним)
2) Если md5sum этих файлов не отличается, то тогда получается, что ты сам закачал файл с вирусом на сервер ;)
3) Если md5sum отличается, то тогда уже необходимо исследовать сам сервер на предмет взлома.

p.s. я детально не смотрел, это может быть и холостым срабатыванием, но учитывая, что 27 антивирусов (из 43) так не считают - все же маловероятно ;)

beka
()

Решено :)

Благодарю всех за советы!

Да действительно я сам закачал этот файл на сервер. Но, там запускаемый файл дважды(!) упакован

ClamAV PUA.Packed.ASPack 20120121

UPX, сверху ASPack. Лишняя, так сказать, защита от дизассемблеров :( была...

Фишка в том, что он год целый(!) лежал и не видел, что он упакован, а сейчас обновил ПО что-ли?!

Решено :)

xwicked ★★☆
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Security