VirusTotal выдал что на сайте Malware site

Ну так посмотрите исходный код - нет ли там чего лишнего

закрываю полностью сайт и просто вывожу страницу

<html>

<head>

<meta content="text/html; charset=windows-1251" http-equiv=Content-Type>



<title>Сайт временно отключен</title>

</head>

<body>

<br /><br /><br /><br /><br /><br /><br /><br /><br />

<table border="0" width="600" cellspacing="0" cellpadding="0" align="center">

<tr>

<td width="100%">

<div class="errorwrap">

<h4>Сайт временно отключен:</h4>

<p>Сайт находится на текущей реконструкции, после завершения всех работ сайт будет открыт.<br /><br />Приносим вам свои извинения за доставленные неудобства.</p>



</div>

</td>

</tr>

</table>



</body>

</html>

делаю перепроверку - снова то же )))

интересует вопрос что это за "вирус" такой?

добавлялся в каталог.i.ua они отказали мотивируя "сайт содержит вредоносный код или его посещение приводит к нестабильной

работе браузера (или всего компьютера) пользователя."

вот я и полез проверять )

Сайт в студию, в рабочем варианте..

http://bit.ly/uKunqU (редирект)

Домен вы купили который недавно закончился, возможно в прошлой жизни на нем был варез. На вирустотал только трендмикро фиксирует, возможно вам нужно написать им в саппорт.

UnnamedUA добавил 07.12.2011 в 14:39

А в i.ua написать что вы недавно купили домен, и показать хуиз по нему...

UnnamedUA добавил 07.12.2011 в 14:46

да, спасибо можно сказать отзывом с + (весы нажать) :)

Скорее всего это iframe. Проверяйте все скрипты на сайте, смарите который из них редиректит туда. А также ищите шелл. Если вдруг будут вопросы, пишите в личку.

Не думаю что он на каждый запрос ломиться по новой страницу запрашивать

Вы даже не удосужились посетить сайт :(. Нет там iframe.

UnnamedUA добавил 07.12.2011 в 17:29

Тут http://global.sitesafety.trendmicro.com/ вбейте свой сайт, проверьте, дальше Give feedbackснизу и поставьте Safe и выберете Suggest a different category: подходящий. Отметьте I own this website. и в комменте напишите хоть с помощью пероводчика что вы купили этот домен и не собираетесь использовать в дальнейшем в злых целях. Думаю ответ прейдет, проверите опять и все будет ок.

Ну на сайт я действительно не заходил, просто описал типичную ситуацию, из за чего гугл частенько банит сайты. Смысл очень прост, на сайт закачивают шелл, далее либо просто дефейсят морду, либо крадут учетки, путем вставки айфрейма( причем только самый ленивый злоумышленник тупо пропишет айфрем в index.php, в основном для таких целей используют скрипты которые подгружаются вместе с главной страницей, причем злоумышленник редактирует их и вставляет обфусцированный код в их тело, из за чего в некоторых случаях выявление айфрейма может быть довольно-таки проблематичным занятием) . В вашем случае, я просто увидел редирект на bit.ly довольнотаки популярный в хакерских кругах ресурс и предположил что скорее всего это айфрейм.

П.с. основной смысл данной атаки заключается в том, что кукисы и идентификаторы сессий с сайта, с помощью айфрейма уходят на снифер, в данном случае( по моему предположению) располагающийся на сайте bit.ly.

Это работает. Приходит письмо - запрос на подтверждение (надо жмакнуть ссылку). Мой сайт - тоже перекупленный домен, где раньше был всякий хлам - перепроверили за 5 дней из которых два были выходные. В ночь на субботу запросил - в среду упало письмо, что сейчас у меня все хорошо. Писал, что я новый владелец домена, что раньше там могли быть вирусы, но теперь не должно быть.