об том и речь что это всё со стационарного компа
андроид не пользуем

Да-да. Я с виндусового компа уже и не пытаюсь )

Кстати, на win7 с firefox тоже ни единой проблемы не возникало.

У меня Касперский блокирует наглухо. И неважно через какой браузер.

А на винде и нет проблем, это некоторые антивирусы внесли сайт в блек-лист и отслеживают его просто по имени домена. У меня NOD32, молчит, ни слова. При том, что данный троян не несёт никакой опасности для компов, это мера предупредительная (я бы сказал, даже сверх предупредительная): тем же путём могут распространяться любые другие вирусы.

RustCorso, может в Касперском есть что-то вроде "добавить сайт в доверяемые" ?

Ур-р-р-а-а-а!!! На винде под Каспером наконец-то заработало!!!
Видимо, внутреннее расследование в Лабе выявило сговор инсайдеров, что привело к выводы клуба из блэклиста.
Шутка, конечно :-)))

Если это как то поможет

Ругаться на favicon.ico, как это по касперски! :D

Он на домен ругается в запрошенном URL. Там и аттачмент безвредный -- картинка просто.

Кстати, спасибо админам за решение проблемы, уже пару месяцев без сбоев с планшета:thumbup:

На андроиде только с форума часто переадресует сюда http://webonlines.net/ что за хрень?

Аналогично ???

Да, у меня тоже появилось.

+1, уже несколько дней.

При заходе с юзерагентом андроида, редиректит

Проблема не решена, почему администрация никак не реагирует?

При попытке зайти в Wlkommen наблюдаю вот это:
http://4put.ru/pictures/max/665/2044848.jpg

А у меня в пятницу во время просмотра сайта на рабочем компьютере выскочила хрень, что за нарушение закона о детской порнографии и т.п. мне нужно заплатить штраф 1 т.р. На такой то номер телефона:D. Все бы ничего, но с тех пор Касперский рубит сайт, как содержаний вредоносную программу. Так что могу заходить на форум только с яблочных девайсов:mad:.

Ну так заплатил бы тыщу и спал спокойно.:D

На самом деле какая-то очередная напасть. Пока форум поддерживается за копейки, будем постоянно сталкиваться с подобным.

Денис, дело не в копейках. Уже писали и я и Дима что нужно хоститься в нормальных локациях, а не в России.
Ща объясню. С точки зрения всяких блеклистов сайт со скриптом отдающим вирус - это зло, не важно умышленно или в силу взлома. Сайт попадает в блеклист, затем IP, затем подсеть и тд. Для хостера с подсетью в блеке спамхауса или касперыча - это очень большие проблемы, вплоть до потери бизнеса (в случае мелких площадок). Русским просто похер.

Когда ты хостишся на любой европейской площадке, штатный админ сделает все возможное что бы исправить ситуацию + не допустить впредь. В крайнем случае за это возьмут 10-15 долларов.

То что выскакивает тут, элементрано как два пальца и может находиться (судя потому что сливают только андроид трафик) только в двух местах.
1) js код в шаблоне
2) .htaccess файл

Поскольку, не я, не Дима, в теле сайта не нашли исполняемого js кода, вариант сужается до одного - .htaccess файл.

90% что уводят ftp кейлогером из виндового клиента
Ищите шелл вообщем.Это реально технический уровень детского сада. Я не понимаю почему админ не может это починить.

Потому, что ты ошибаешься.

В чем? В дислокации кода вируса?

Из за моментов конф-ти, я не смогу описать полностью принцип и структуру работы:

собираем логи, что бы найти дырку, в общем все просто, по факту чистим заливаемый вирус каждый раз, они ищутся тривиально, грепом, но проблема в том, что в каком то из обычных скриптов есть "дырка", дальше хуже, веб сервер работает с те же правами, что и фтп пользователь, залив один раз, через первичную дырку эксплоит уже через него можно все менять. найти ее не получается, пока что, доступы всегда с разных IP и по ним ослеживаются до уже ранее залитых шеллов и то не всегда, в общем мониторим файловую активность, пишем в логи, сравнивая, как и что, очень ресурсоемкая работа, два человека работает уже, причем можно случайно что то сломать, типа аплоуда картинок, шаблоны, все решаемо, вопрос времени, рано или поздно найдем, что и делаем. (иголка в стоге сена)

Lolo De Bordo
Меняется htaccess или js зловредный все время дописывается?
Почему нельзя ограничить доступ SSH/FTP по IP?
Меняют с правами рута или юзера?

иногда это хтаксесс файл, в конец файла дописываются правила для мобильных устройств с редиректами на какерские сайты
иногда заливают архив в несколько десятков мегабайт и распаковывают в каталог blogs
там файлов в этом каталоге несколько тысяч
все файлы содержат в имени файла какой то ключевой запрос из поисковика

сам подгружаемый файл заливается в каталог инклюдов под именем очень схожим с дефолтными файлами воблы

Короче ваш шел видимо ходит по рукам и перепродается)

Это сливают траф по юзерагенту. Может действительно как временное решение на крон поставить перезапись htaccess на нужный раз в минуту? Дима предлагал вроде.

А это дорвеи заливают + клоакинг.

А что за подгужаемый файл?

в общем надо искать дырку и ищем, через которую заливают шел

Почему вы не хотите ограничить доступ по сеткам ИП?

Вы можете еще по крону опрашивать размеры или дату изменения (там где это приемлимо) файлов, и тем же кроном бекапить в случае изменения.

Почему я спрашивал от кого идет запись httacess, если она от юзера, то просто назначьте права и овнера root.

Они не через SSH/FTP заливают, как я понимаю, а через дыру в PHP скрипте.

Но её можно найти. Надо посмотреть дату/время модификации заражённого htaccess файла и пошарить в http логах на этот же момент даты/времени. Там безусловно будет шел, который это сделал. Далее посмотреть на дату/время создания уже самого шела и снова поискать в логах. Это выведет на тот дырявый скрипт через который вам и загрузили этот шел. Скорее всего, это какой-то скрипт аплоада файлов (я предполагаю). Ну а уж в самом скрипте найти дыру несложно учитывая то, что он будет с параметрами... Если параметры передаются через POST, можно сделать их сохранение куда-нибудь на будущее чтобы в следующий раз найти дыру.

Если в http логах нет ничего на искомые дату/время, надо смотреть ftp логи. Но с ваших слов, грузят не через ftp. А вообще я все ftp логины на своих серверах закрыл, только SSH пользуюсь. А пароли ввожу из памяти (из головы, в смысле). ))

Денис,привет,подскажите,что такое?
Какую тему ни открою,выскакивает http://s020.radikal.ru/i702/1307/f1/0e111771cbca.png

Ну я, вообще-то, не спициалист, но в таких случаях чищу историю в браузере.

помогло,спасиб!

Модератор, что у Вас с форумом?? Касперский с ума сходит! Любое действие, любая страница и он всё блокирует....

какая ошибка? какой вирус?

ДОСТУП ЗАПРЕЩЕН
Запрашиваемый веб-адрес не может быть предоставлен

Веб-адрес:

http://porschec.ru/showthread.php?t=7746

Заблокирован Веб-Антивирусом

Причина: опасный веб-адрес

Нажмите здесь, если считаете, что веб-страница заблокирована ошибочно.

Способ обнаружения: базы

Так больше года уже.
Я просто игнорирую предупреждения Касперского и открываю...

А у меня на одном компе тоже можно проигнорировать и открывается а на другом ни в какую не хочет открывать ни одну сраницу.

одно время ничего не было, все работало (