PDA

Просмотр полной версии : Форум блокируется фильтрами Яндекса



matrix
24.11.2016, 21:09
На работе используют фильтры Яндекса для доступа в интернет. Пару дней назад форум оказался заблокирован по причине якобы вредоносного кода (либо где-то попал в blacklst). При этом сайт открывается нормально, проблема только с форумом. От браузера не зависит.

Скрин ошибки: https://yadi.sk/i/dALaL9upzQ4mz

karavan
24.11.2016, 23:03
Похоже, у яндекса башню снесло:
https://www.virustotal.com/ru/url/a1223d7efa1baf8ddaf0b32a70ce8a29520a93857d177b8230 028193fb007c7b/analysis/1480017698/
Хотя, поинтересоваться поведением их фильтров я бы озадачился.

matrix
25.11.2016, 04:41
Как вариант - проверить компоненты форума на предмет известных уязвимостей и обновиться.

Sema
25.11.2016, 19:49
меньше порнуху смотреть надо...

tacishin
25.11.2016, 20:18
Opera тоже блокирует сайт

П
27.11.2016, 17:16
Разбираемся...
Жду что скажет техподдержка.

karavan
28.11.2016, 04:18
Возможно, где-то в htaccess сидит редирект (причина блокировок где-то рядом):
хттп_myfilestoreDOTcom/download.php?id равно 79a56f2b

В помощь поиску дряни: http://vbsupport.org/forum/showpost.php?p=502513&postcount=4
Еще по теме: https://revisium.com/en/kbe/infected_ipb_and_vbulletin.html

P.S.: Редирект срабатывает по условию "переход с поисковой выдачи гугла"

---------- Добавлено в 04:18 ---------- предыдущее написано в 03:43 ----------


Жду что скажет техподдержка.
Если речь про хостера, то они невиноватые, проблема в движке vBulletin.

UPD:
Редирект придерживается условия "отсутствие печеньки с именем bb_lang_id и содержимым en".
Эта печенька прилетает с редиректом.
Перед каждым тестом редиректа необходимо удалять печеньку.
При обычном посещении сайта и форума (не через гугл) упомянутая печенька в браузере не появляется.

Cliff
02.12.2016, 01:19
Вроде как проблема решена.
В сканнерах больше уже не обнаруживается.
В яндекс-фильтрах всё ещё присутствует, но оттуда, как я понял, оно долго убирается. Надо ждать, должно само пропасть (со слов ТП яндекса).

П
03.12.2016, 02:33
Крайняя информация от 28 ноября: http://SSMaker.ru/d3198773/

Ссылка вот эта http://forum.parashut.com/showthread.php?10820-%C7%E8%EC%ED%E8%E5-%F2%F0%E5%ED%E8%F0%EE%E2%EA%E8

karavan
03.12.2016, 06:13
Крайняя информация от 28 ноября
На тот момент посторонний код все еще присутствовал на форуме.
На данный момент чисто, только дождаться когда яндекс смилостивится забыть об этом казусе.

RedMorsik
03.12.2016, 10:33
Ссылка вот эта http://forum.parashut.com/showthread...F0%EE%E2%EA%E8
Кагбэ намекает - свуп опасен и вечером после прыжков в домике Альцева можно случайно разбазарить свою личную информацию))

aerate
04.12.2016, 09:59
Т.е. яндекс ругается на собственный сервис денег?

matrix
05.12.2016, 10:06
На тот момент посторонний код все еще присутствовал на форуме.
На данный момент чисто, только дождаться когда яндекс смилостивится забыть об этом казусе.
Заработало.

Cliff
05.12.2016, 11:08
Не всё так просто оказалось. Дыра всё ещё присутствует. Пока занимаюсь поисками (обновление движка - не самый простой путь тут). Отключил пару функций на форуме (надо кой-чего проверить).

П
06.12.2016, 00:30
http://SSMaker.ru/37e6fb70/

Ссылки:
http://forum.parashut.com/forumdisplay.php?23-%CA%F3%EF%EB%FE-%EF%F0%EE%E4%E0%EC
http://forum.parashut.com/search.php?do=getnew&contenttype=vBForum_Post
http://forum.parashut.com/showthread.php?10530-%CF%F0%EE%E4%E0%EC-%E7%E0%EF%E0%F1%ED%EE%E9-%EF%E0%F0%E0%F8%FE%F2-Tempo-150
http://forum.parashut.com/showthread.php?10837-%CF%F0%EE%E4%E0%EC-%F1%E8%F1%F2%E5%EC%F3-Status-Pro-Ultimate-150-Space2-170-Cypres-2

Cliff
06.12.2016, 09:11
Ссылки тут, к сожалению, ничего не дают. Это уже постфактум, где сканировали, там и нашли. Попадают они туда иначе.
А SSMaker показывает инфу с webmaster.yandex - второй вариант более прямой. Своей/новой информации у SSMaker не вижу пока.

П
06.12.2016, 19:00
На SSMaker я просто скрин залил. Это скриншотный сервис.

Вот еще какое наблюдение есть: когда редактируют сообщение с айпада (например Антон редактирует вот это (http://forum.parashut.com/showthread.php?5960-%C0%FD%F0%EE%E4%E8%ED%E0%EC%E8%F7%E5%F1%EA%E8%E9-%F2%EE%ED%ED%E5%EB%FC-(%F2%F0%F3%E1%E0)-%C1%F0%EE%ED%E8%F0%F3%E5%EC-%F0%E0%F1%EF%F0%E5%E4%E5%EB%FF%E5%EC-%E2%F0%E5%EC%FF&p=129013&viewfull=1#post129013)), в тексте сообщения появляются левые ссылки: http://ssmaker.ru/ff03e615.png — ссылка: http://forum.parashut.com/x-apple-data-detectors://5.
Может как-то связано?

warg
07.12.2016, 09:49
Вот еще какое наблюдение есть: когда редактируют сообщение с айпада (например Антон редактирует вот это), в тексте сообщения появляются левые ссылки:http://ssmaker.ru/ff03e615.png — ссылка: http://forum.parashut.com/x-apple-data-detectors://5.
Может как-то связано?


Это вроде фишка IOS устройств, преобразование номеров/дат/адресов, чтобы одним кликом позвонить или запись себе в контакты/календарь добавить.
На поисковую выдачу и т.д. не влияют, ибо существуют только в браузере на самом мобильном устройстве, по сути их сам браузер определяет и создаёт.
Отключается через мета-теги.


<meta name="format-detection" content="telephone=no">
<meta name="format-detection" content="date=no">
<meta name="format-detection" content="address=no">
<meta name="format-detection" content="email=no">

karavan
07.12.2016, 14:15
существуют только в браузере на самом мобильном устройстве
Не похоже, в моем браузере эти ссылки тоже видны (эйплами не пользуюсь от слова совсем).
Но отсутствие связи с вредоносным кодом подтверждаю.

Cliff
07.12.2016, 15:37
эти ссылки вставляет сам браузер, когда редактируешь с мобильного. И видны они у всех (т.е. в сообщении они уже сохранены). Это какой-то баг совместимости с самим браузером, непонятно зачем он их вставляет. Я так понял, это касается только Мозиллы.