вирусы на сайте
вообще, что ftp - это плохо, давайте обсуждать здесь не будемЭто почему фтп плохо?
Ничего лучше для передачи файлов по сети пока ещё не придумали 
КЖ. А, и да, вирусов на сайтах не бывает.
Эта хрень через настройки FF вроде отключается, у меня отключено. Вот неподписанные ssl уже запарили!перед обращение к сайту ФФ запрашивает у гугла информацию о том, можно ли доверять сайту. я гарантирую это. этот трафик отчётливо виден сниффером - на каждое обращение к сайту фф лезет в гугл. это служило поводом в обвинении фф в том, что они сливают гуглу информацию о том, куда пользователь ходит.
такое поведение является дефолтным - следовательно, так будет на всех компьютерах, пока сайт не будет удалён из списка вредоносных.
по-моему это можно где-то отключить в настройках.
такое поведение является дефолтным - следовательно, так будет на всех компьютерах, пока сайт не будет удалён из списка вредоносных.
по-моему это можно где-то отключить в настройках.
Это почему фтп плохо?Потому что вирусы пиздят пароли от фтп, запускают скрипты, которые туда лезут и вписывают в конечный HTML-код что хочешь, и получается как в головном посте. А так вообще фтп нормально.
Ага, я что-то такое и предполагал.
перед обращение к сайту ФФ запрашивает у гугла информацию о том, можно ли доверять сайту. я гарантирую это.
Понятно.. И это - самое худшее, потому что теперь он так у всех показывается, хотя там уже все нормально.
такое поведение является дефолтным - следовательно, так будет на всех компьютерах, пока сайт не будет удалён из списка вредоносных.
Когда этот список одуплится-то?
(мошт письмо туда можно какое-нибудь написать, чтоб быстрее..)
имеются в виду сниферы в твоём сегменте сети? Вообще используй фтп поверх ssl или ssh
Да блин, если б это только я.. (там другие пользуются; они этого ничего не умеют)
Когда этот список одуплится-то?есть подозрение, что при следующей индексации
а чего там уметь? Поставь им Filezilla - никакой разницы с обычным фтп, кроме того, что надо выбрать sftp
2-3 дня, вроде, да?
Я не интересовался, но вроде должны быть способы попросить их сделать это по-скорее. Погугли
>перед обращение к сайту ФФ запрашивает у гугла информацию о том, можно ли доверять сайту. я гарантирую это. этот трафик отчётливо виден сниффером - на каждое обращение к сайту фф лезет в гугл
пиздеж - это он для тех сайтов, которые уже есть у фф в списке зараженных опрашивает, а по дефолту смотрит только в локальном кеше.
пиздеж - это он для тех сайтов, которые уже есть у фф в списке зараженных опрашивает, а по дефолту смотрит только в локальном кеше.
>Когда этот список одуплится-то?
ты видишь кнопку "почему этот сайт был заблокирован?" - советую нажать по ней, очень может быть что там же будет и информация как сайт разблокировать.
ты видишь кнопку "почему этот сайт был заблокирован?" - советую нажать по ней, очень может быть что там же будет и информация как сайт разблокировать.
пиздеж - это он для тех сайтов, которые уже есть у фф в списке зараженных опрашивает, а по дефолту смотрит только в локальном кеше.Позволю с Вами не согласиться, коллега. Сайт, который, я админю и делаю никогда в списке опасных не был и зараженным он тоже не был, ибо ftp отключен ну и доступ к нему есть только у одного человека по ssh. Так вот может, конечно, и не на каждый запрос FF лезет в google, но если устроить чистый эксперимент - запустить FF и открыть этот сайт, то как минимум один запрос в гугл уходит.
Все ясно.
Всем спасибо.
Всем спасибо.
1. ты не думаешь что если открыть чистый фаерфокс, то он одним из первых действий будет обновлять список заражённых сайтов?
2. у вас там гугловой рекламы/счетчика нет случайно?
2. у вас там гугловой рекламы/счетчика нет случайно?
1. ты не думаешь что если открыть чистый фаерфокс, то он одним из первых действий будет обновлять список заражённых сайтов?Я продразумевал не на столько чистый. Т.е. FF, который много раз ходил на этот сайт и базу уже получал ни один раз. Так вот, если (1) в нём зайти на этот сайт, (2) закрыть FF, (3) открыть и сново зайти на сайт, то на шаге номер "3" мы видим обращение в гугл.
2. у вас там гугловой рекламы/счетчика нет случайно?Нет. В этом смысле сайт чистый. Никаких внешних счетчиков/аналайзеров/рекламы на нём нет. Это сайт лаборатории, который не нуждается в подобных вещах.
>мы видим обращение в гугл
ну вот ты в это обращение заглядывал? он посылает в нем адрес сайта или нет?
ну вот ты в это обращение заглядывал? он посылает в нем адрес сайта или нет?
1. ты не думаешь что если открыть чистый фаерфокс, то он одним из первых действий будет обновлять список заражённых сайтов?а сколько уже в мире зараженных сайтов?
счет небось на миллиард идет (особенно если считать домены 3-го и более уровня)
хочешь сказать, что он весь этот миллиард имен хранит локально?
>счет небось на миллиард идет (особенно если считать домены 3-го и более уровня)
про регекспы/маски слышал когда-нибудь?
про регекспы/маски слышал когда-нибудь?
про регекспы/маски слышал когда-нибудь?не вижу как они помогут в данном случае.
>не вижу как они помогут в данном случае.
я тебя не учить сюда пришел - у тебя есть какие-нибудь логи, подтверждающие точку зрения о том что фаерфокс запрашивает у гугла заражённость конкретного сайта?
я вот могу привести логи того, что фаерфокс отправляет такие запросы в перерывах между обычными запросами страничек, т.е. запрашивает список.
я тебя не учить сюда пришел - у тебя есть какие-нибудь логи, подтверждающие точку зрения о том что фаерфокс запрашивает у гугла заражённость конкретного сайта?
я вот могу привести логи того, что фаерфокс отправляет такие запросы в перерывах между обычными запросами страничек, т.е. запрашивает список.
>счет небось на миллиард идет
кстати, очень маловероятная цифра вот тебе новость, для интереса http://net.compulenta.ru/344742/
кстати, очень маловероятная цифра вот тебе новость, для интереса http://net.compulenta.ru/344742/
ну вот ты в это обращение заглядывал? он посылает в нем адрес сайта или нет?По header'ам я вижу, что он шлёт POST и какие-то COOKIE запрос сайту safebrowsing.clients.google.com
В прямо так в plain-text запросе я сайта не увидел, но там присутствует какая-то фигня, похожая на base64. Может в ней, а может и в содержимом POST-запроса, но имя сайта быть должно.
P.S. Пока запускал/перезапускал - выяснил, что сам был не совсем прав ранее. Всё-таки какая-то локальная база чистых/грязных сайтов в FF всё же есть, и он не каждый раз ходит в гугл.
кстати, очень маловероятная цифра вот тебе новость, для интереса http://net.compulenta.ru/344742/там не написано, что такое сайт, но, имхо, они считают домены второго уровня, потому что на одном народе 1.5 млн сайтов 3-го уровня, и в мире явно больше, чем 200 площадок таких же как narod.ru
он не ходит в гугл для проверки сайта, который не помечен как "грязный" вообще никогда, и об этом можно даже прочитать на просторах интернета/в исходниках.
ты что, следуешь заветам пенартура и разучился читать?
все там написано, и домены они считают не только второго уровня.
все там написано, и домены они считают не только второго уровня.
он не ходит в гугл для проверки сайта, который не помечен как "грязный" вообще никогда, и об этом можно даже прочитать на просторах интернета/в исходниках.погуглил чуток.
последняя версия - да не ходит для "чистых" сайтов, какие-то предыдущие версии при определенных настройках ходили для каждого сайта
все там написано, и домены они считают не только второго уровня.ткни пальцам, в оригинальной статье вообще про это ничего нет.
в русском варианте вот этот пассаж "Так, например, в настоящее время только сервисы MySpace, Live Spaces и Blogger обслуживают в общей сложности порядка 25 миллионов пользовательских учетных записей. "
автоматом не означает, что эти домены 3-го уровня, а не второго.
>при определенных настройках
сдуру можно много чего сломать
сдуру можно много чего сломать
на одном народе 1.5 млн сайтов 3-го уровня, и в мире явно больше, чем 200 площадок таких же как narod.ruВ зоне .ru уже 2М доменов скоро будет; в каком-нибудь там .de - к 13М подбираются.
Но, судя по тексту статьи, считают они вообще хуйпоймичто - например, аккаунт в жж, похоже, считается отдельным сайтом.
И уж конечно, они там не учитывают создаваемые в автоматическом режиме миллиарды фишинговых сайтов.
он не ходит в гугл для проверки сайта, который не помечен как "грязный" вообще никогдаЗамкнутый круг какой-то получается - откуда он узнаёт, что сайт "грязный", если, пока он не знает, что сайт "грязный", он никуда не лезет?
сдуру можно много чего сломатькак-то мало похоже, что для этого надо было что-то ломать
это скриншот из настроек firefox-a
>это скриншот из настроек firefox-a
версия какая? ничего подобного не видел ни в 2.0, ни в 3.0 ни в 3.5
версия какая? ничего подобного не видел ни в 2.0, ни в 3.0 ни в 3.5
версия какая? ничего подобного не видел ни в 2.0, ни в 3.0 ни в 3.5ХЗ, по идее одна из ранних вторых
вот, например, на самой же мозилле упоминание об этом
http://www.mozilla.org/security/phishing-test.html
режим назывался Firefox 2 Ask Google
хм, приду туда где стоит второй фаерфокс - посмотрю на наличие такой опции
как регекспы отфильтруют такие сайты:
http://aeipocau.cn
http://xpogiruf.cn
?
это первые ссылки из свежего спама
то, что зона китайская - ничего не значит..
http://aeipocau.cn
http://xpogiruf.cn
?
это первые ссылки из свежего спама
то, что зона китайская - ничего не значит..
а с чего ты вдруг решил, что их надо фильтровать?
читать учись - он запрашивает время от времени список этих сайтов и хранит локально
Потому что вирусы пиздят пароли от фтп, запускают скрипты, которые туда лезут и вписывают в конечный HTML-код что хочешь, и получается как в головном посте. А так вообще фтп нормально.а ты не передавай пароли открытым текстом. Давно уже придумали ftp через SSL гонять
Давно уже придумали ftp через SSL гонятьК сожалению, многие shared-хостинги не предоставляют таких услуг
время от времениЭто когда?
список этих сайтовЧто, весь миллиард имён?
а с чего ты вдруг решил, что их надо фильтровать?Представим на минуту, что по этим адресам - фишинг-сайты. Что-нибудь вроде http://paypal.xpogiruf.cn/, который выглядит ну прямо как настоящий пейпал, и с которого присылают спам вроде "ваш пейпал-аккаунт будет удалён из-за неактивности, если вы не зайдёте на него сейчас, вот ссылка". Как тебе регэкспы помогут такое отфильтровать? Учти, что могут быть и "хорошие" сайты, начинающиеся на paypal, регэксп /^paypal\./i, конечно, использовать нельзя.
с чего вы решили, что пароли ловятся при передаче?
Это почему фтп плохо?Обновить сайт на хостинге (сравнить атрибуты у сотни-тысячи мелких файлов и закачать разницу) - не очень хорошая ситуация для ftp.
Полагаю, что завирусованная машина, торчащая в одном свитче с прочими, перехватит plaintext пароли на ура. Хотя, вроде, тырится в основном локальное.
>Это когда?
по моему опыту - раз в час/полчаса
>Что, весь миллиард имён?
читать блядь научись, я не собираюсь по два раза писать одно и то же.
по моему опыту - раз в час/полчаса
>Что, весь миллиард имён?
читать блядь научись, я не собираюсь по два раза писать одно и то же.
Тебе тут повторяют одно и то же уже гораздо больше двух раз, но ты так и не осилил это прочитать.
Ещё раз. Небольшой список фишинговых сайтов, отдаваемый пользователю - хуйня полнейшая. Небольшой список регэкспов, которые находят эти сайты - хуйня ещё большая.
Ты ещё скажи, что раз в час/полчаса можно закачивать себе кэш гугля, после чего искать гуглём по интернету, используя только этот кэш, и не подключаясь ни к каким серверам.
Если даже в конкретный момент база гугля/фишинговых сайтов занимает каких-то сто килобайт - она запросто может распухнуть до ста гигабайт, и пользователи будут очень сильно тебя благодарить. Либо же это - список только некоторых фишинговых сайтов (или вообще пустой список и вся эта антифишинговая функциональность - только фикция и иллюзия безопасности.
Ещё раз. Небольшой список фишинговых сайтов, отдаваемый пользователю - хуйня полнейшая. Небольшой список регэкспов, которые находят эти сайты - хуйня ещё большая.
Ты ещё скажи, что раз в час/полчаса можно закачивать себе кэш гугля, после чего искать гуглём по интернету, используя только этот кэш, и не подключаясь ни к каким серверам.
Если даже в конкретный момент база гугля/фишинговых сайтов занимает каких-то сто килобайт - она запросто может распухнуть до ста гигабайт, и пользователи будут очень сильно тебя благодарить. Либо же это - список только некоторых фишинговых сайтов (или вообще пустой список и вся эта антифишинговая функциональность - только фикция и иллюзия безопасности.
пенартурчик, ты никогда не слышал про то что обновление файла может происходить не полностью а diff-ом?
если база вдруг распухнет до сотни гигабайт - произойдет коллапс всего интернета, поскольку такой размер будет иметь список сайтов, на порядок больший, чем в данный момент их существует (ссылки на это количество были).
про то что в антифишинговых списках гугла используются вайлдкарды или регекспы можно судить хотя бы по этому событию.
тут приводили ссылку на сравнительное тестирование антифишинговой защиты второго фаерфокса при разных настройках - можешь сходить и посмотреть, насколько эта защита работает.
если база вдруг распухнет до сотни гигабайт - произойдет коллапс всего интернета, поскольку такой размер будет иметь список сайтов, на порядок больший, чем в данный момент их существует (ссылки на это количество были).
про то что в антифишинговых списках гугла используются вайлдкарды или регекспы можно судить хотя бы по этому событию.
тут приводили ссылку на сравнительное тестирование антифишинговой защиты второго фаерфокса при разных настройках - можешь сходить и посмотреть, насколько эта защита работает.
про то что обновление файла может происходить не полностью а diff-ом?И что?
такой размер будет иметь список сайтов, на порядок больший, чем в данный момент их существует (ссылки на это количество были).Научись читать, что ли - тут было и обсуждение этих "ссылок". Они там посчитали хуй знает как хуй знает что, подходящее под их определение "сайта" - и у них вышло "сайтов" гораздо меньше, чем зарегистрировано доменов второго уровня. А как насчёт третьего, четвёртого, пятого?
про то что в антифишинговых списках гугла используются вайлдкарды или регекспы можно судить хотя бы по этому событию.По этому событию можно судить только о том, что они сломали эту проверку. О том, как всё это реализовано внутри, судить нельзя; мало ли, что там представительница google сказала - может быть, там просто забыли убрать отладочное return true из самого начала метода isPhishingSite.
Ещё раз. Каким вилдкардом ты собрался отлавливать сайт http://paypal.aeipocau.xpogiruf.cn/ ?
Каким вилдкардом ты собрался отлавливать сайт http://paypal.aeipocau.xpogiruf.cn/Наверное, таким:
/\.?paypal\.aeipocau\.xpogiruf\.cn$/i
Хотя я бы блокировал только этот домен и _возможно_ его поддомены, висящие с ним на одном IP. Но как _очень_ быстро делать этому проверку - фиг знает.
UPD: Сам я про regexp ничего не говорил. По мне так гугл может хранить и простой список. Он же хранит у себя результаты поиска и есть ссылка в поиске "Show cached". Так что у гугла проблем с местом под хранение возникать не должно. Другой вопрос - как этот список хранить локально, какое TTL должно быть у локальных записей, и как часто их нужно перезапрашивать.
/\.?paypal\.aeipocau\.xpogiruf\.cn$/iНу и сколько же процентов ты сэкономил, перейдя со списка доменов на регэкспы? Как, получилось ужать гигабайтный список таких доменов в сотню килобайт?
а сколько уже в мире зараженных сайтов?Просветите плиз - что такое "зараженный сайт" и как он может нанести вред моему компьютеру?
Полагаю, что завирусованная машина, торчащая в одном свитче с прочими, перехватит plaintext пароли на ура. Хотя, вроде, тырится в основном локальное.только если вместо свитча стоит хаб
ну то есть не активный коммутатор, да
Просветите плиз - что такое "зараженный сайт" и как он может нанести вред моему компьютеру?навредить они могут двумя способами: либо поселиться у тебя жить, либо выведав у тебя какую-то информацию.
сделать они могут это несколько способами:
1. найдя дырку в по или в его настройках
2. обманом попросить тебя выполнить нужную последовательность действий (замаскировавшись под что-нибудь знакомое, запугав, запутав и т.д.)
ну то есть не активный коммутатор, давот только хабы сейчас редко встретишь и в большинстве случаев сниффер будет видеть лишь широковещательные пакеты и пакеты, направленные на прослушиваемый интерфейс.
в принципе, вот зло, спасет от которого только управляемый коммутатор
1. найдя дырку в по или в его настройкахВ обоих случаях "вирус" находится не на сайте, а на компьютере/в голове пользователя.
2. обманом попросить тебя выполнить нужную последовательность действий (замаскировавшись под что-нибудь знакомое, запугав, запутав и т.д.)
В обоих случаях "вирус" находится не на сайте, а на компьютере/в голове пользователя.да, и вообще если с человеком что-то случилось, то это он сам виновать.
поэтому МВД, медицину, образование и пенсию надо отменить.
да, и вообще если с человеком что-то случилось, то это он сам виновать.Я ничего подобного не утверждал. И это никоим образом из моего утверждения следовать не может. Не надо делать необоснованные обобщения.
Добавь сайт в панель вебмастера гугла, отправь оттуда запрос на пересмотр сайта, что типа все вирусы удалили.
авторы сайта, кстати, не отличаются особой грамотностью 
вот что красуется на главной странице (http://avalonprint.ru)
вот что красуется на главной странице (http://avalonprint.ru)
Эффективность нашей компании приносит ни толпа сотрудников, просиживающих штаны в офисах, и играющих в косынку, ни офис с евроремонтом, в центре города с красивым видом на площадь.
Они просто слово забыли вставить:
Эффективность нашей компании не приносит ни толпа сотрудников, просиживающих штаны в офисах, и играющих в косынку, ни офис с евроремонтом, в центре города с красивым видом на площадь.
да, и вообще если с человеком что-то случилось, то это он сам виновать.поэтому МВД, медицину, образование и пенсию надо отменить.ну кагбе если на заборе написано "засунь этот забор себе в жопу", а ты так и сделаешь — сам виноват, бесспорно. Я уж не говорю о случаях, когда на заборе написано что-то другое, а прохожий его всё равно в жопу себе суёт. И не стОит за километр до этого забора ставить плакат "осторожно, там на заборе написано нечто, способное нанести Вам моральные и физические травмы". К счастью, расстановкой таких плакатов ни милиция, ни учителя, ни врачи не занимаются. Всё-таки есть более полезные дела на свете, чем потакать причудам всяких неадекватов.
К счастью, расстановкой таких плакатов ни милиция, ни учителя, ни врачи не занимаются. Всё-таки есть более полезные дела на свете, чем потакать причудам всяких неадекватов.тебе например такие слова, как компания "социальная инициатива", "МММ" и т.д. что-нибудь говорят?
по МММ государство упрятало за решетку кто писал такие слова на заборе, а по "соц. инициативе" еще и впряглось построить им все-таки обещанные квартиры.
а ты говоришь плакаты не ставят...
а ты говоришь плакаты не ставят...ставят значит иногда. Остаётся лишь надеяться, что на все эти плакаты типа "минздрав предупреждает ..." тратится немного денег из бюджета.
А то что за решётку сознательно сажают невиновных граждан — это ужасно.
Вирусы давно научились переполнять таблицы MAC-адресов коммутаторов, после чего они ведут себя как простые хабы. От чего спасает только ограничение числа маков на один физический порт.
Вирусы давно научились переполнять таблицы MAC-адресов коммутаторов, после чего они ведут себя как простые хабы.Это было бы слишком заметно и привело бы к быстрому уничтожению вируса. Пример (схожий по заметности) - Slammer.
Ну, на неуправляемом свитче заметить такое трудновато.
когда свитч в режим хаба переходит, это заметно, если в сети есть трафик
а на самом деле даже тормознее, чем хаб, потому что пересылка юникаста на все порты - это slow path
а на самом деле даже тормознее, чем хаб, потому что пересылка юникаста на все порты - это slow path
Оставить комментарий
tihon972009
Имеется сайт, на который через ftp залезли вирусы (как это получилось и вообще, что ftp - это плохо, давайте обсуждать здесь не будем).Вирусы и наделали левого HTML кода, сайт некоторое время его показывал, посему квалифицировался браузерами как вредоносный.
Сейчас код удален (вроде бы.. если вирусы опять нового не наделали). IE 7 показывает сайт нормально. FF 3 выдает предупреждение и на :
На изменения на сайте никак не реагирует (даже если вообще весь HTML выключить).
1. Это происходит только на тех машинах, которые уже видели сайт завирусованным, или вообще на всех? (я так понимаю, он где-то закэшировал информацию о доменном имени; вот где?)
2. Как сделать, чтобы сайт все-таки показывался?
Сайт - http://avalonprint.ru