Перейти к содержанию
Valery Ledovskoy

Что виджеты в себе таят

Автор Valery Ledovskoy, в Современные угрозы и защита от них

Recommended Posts

Valery Ledovskoy    1082

Valery Ledovskoy
Опубликовано

Занимался тут с коллегами обновлением одного из сайтов.

Клиент пожелал перенести счётчик посещений, который был на старом дизайне сайта.

А счётчик был взят отсюда: http://24log.ru/ (не используйте никогда этот счётчик!)

Так вот, на сайт этот сервис предлагает вставить такой вот код (вопросительные знаки мои):

<table cellpadding="0" cellspacing="0" border="0" width="88" height="31" style="line-height:0;width:88px;"><tr style="height:10px;"><td style="padding:0;width:38px;height:10px;"><a href="http://www.24log.de" target="_blank"><img src="http://counter.24log.ru/buttons/24/bg24-8_1.gif" width="38" height="10" border="0" alt="Besucherzahler" title="Besucherzahler " style="margin:0;padding:0;" /></a></td><td style="padding:0;width:50px;height:10px;"><a href="http://www.???russianbrides.com" target="_blank"><img src="http://counter.24log.ru/buttons/24/bg24-8_3.gif" width="50" height="10" border="0" alt="Beautiful Russian Women Marriage Agency" style="margin:0;padding:0;"></a></td></tr><tr style="height:21px;"><td style="padding:0;width:38px;height:21px"><a href="http://www.24log.ru" target="_blank"><img src="http://counter.24log.ru/buttons/24/bg24-8_2.gif" width="38" height="21" alt="счетчик посещений" title="счетчик посещений" border="0" style="margin:0;padding:0;" /></a></td><script type='text/javascript' language='javascript'>document.write('<td style="padding:0px;width:50px;height:21px;"><a href="http://www.24log.ru/rating/rating.php?c=6" target="_blank"><img border="0" width="50" height="21" src="http://counter.24log.ru/counter?id=183256&t=24&st=8&r='+escape(document.referrer)+'&u='+escape(document.URL)+'&s='+((typeof(screen)=='undefined')?'':screen.width+'x'+screen.height+'x'+(screen.colorDepth?screen.colorDepth:screen.pixelDepth))+'&rnd='+Math.random()+'" alt="Рейтинг: Интернет" title="Показано число просмотров всего и за сегодня" style="margin:0;padding:0;" /></a></td>');</script></tr></table><NOSCRIPT><a href="http://www.???russianbrides.com">meet beautiful russian brides</a></NOSCRIPT>

Т.е. счётчик (и все сайты, которые его используют) скрыто рекламирует сайт, посвящённый рекламе русских красавиц, желающих выйти замуж за иностранцев.

Если подумать, то и без явного указания таких вот URL можно много наворотить интересного.

Я к тому, что вполне себе угроза, о которой я почему-то нигде не слышу.

Что можно здесь рекомендовать? Ну, наверное, использовать только те виджеты на своих сайтах, которые предоставляются сервисами, которым вы всецело доверяете. Ну, или хотя бы изучайте код, который вам предлагают вставить на страницу.

В данном случае заказчику повезло - счётчик был поставлен другой, вызывающий большее доверие, чем продемонстрированный.

  • Upvote 10

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Виталий Я.    859

Виталий Я.
Опубликовано

Поломали парней или они само?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Valery Ledovskoy    1082

Valery Ledovskoy
Опубликовано
Поломали парней или они само?

После того, как я увидел это в старом дизайне обсуждаемого сайта клиента, то пошёл на сайт http://24log.ru/, зарегался на левый адрес и сгенерировал новый код. Тот код, который процитирован, сгенерирован полностью на http://24log.ru/ . Т.е. взломали не сайт клиента, а этот сервис предлагает вставлять спам в коде для отображения счётчика. При этом счётчик вполне себе работает. Долго работал. Выглядит так, что это сделано сознательно владельцами сервиса.

Можете посмотреть, сколько сайтов пользуются этим счётчиком:

http://24log.ru/rating/rating.php?c=4

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Dmitriy K    603

Dmitriy K
Опубликовано
5. Использование статистики сайта 24LOG.RU осуществляется на бесплатной основе.

В качестве компенсации бесплатного предоставления услуг сбора статистики, участия в рейтинге, в код счетчика вставлена ссылка(ссылки) сайта рекламодателя, деятельность которого не нарушает действующее законодательство на территории Российской Федерации.

Данная ссылка рекламодателя не должна быть каким либо образом изменена или удалена.

В противном случае, мы оставляем за собой право отказать в предоставлении услуг, заблокировать или удалить эккаунт пользователя по своему усмотрению.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Valery Ledovskoy    1082

Valery Ledovskoy
Опубликовано

Dmitriy K, в общем-то, молодцы, что написали. Юридически себя защитили :) СМС-мошенники или как их там тоже мелкими буквами пишут, что каждый день будут снимать энную сумму со счёта клиента, а большими буквами, что всё бесплатно :)

Кроме того, бесплатно, как я это понимаю - это касается не только денег, но и других бартерных услуг. Т.е. всё же счётчики в обмен на рекламу тех, за счёт кого они живут.

А вот что за сайт рекламировался счётчиком на сайте клиента, он узнал от нас. Случайно. Как будто никто не знает, как подробно все читают соглашения и тексты договоров. Особенно по такому важному случаю, как вставка счётчика на сайт.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Виталий Я.    859

Виталий Я.
Опубликовано
А вот что за сайт рекламировался счётчиком на сайте клиента, он узнал от нас. Случайно.

Таки iFrame или тупо ссылка для прокачки ИЦ? Первое - в бан АВеров, второе - в бан поисковиков. В том-то и разница.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Valery Ledovskoy    1082

Valery Ledovskoy
Опубликовано
Таки iFrame или тупо ссылка для прокачки ИЦ?

Насколько вижу, просто ссылка, без iframe, но при этом не отображающаяся в явном виде на странице.

При этом после того, что процитировал Dmitriy K, не уверен, что оно было бы законным банить. Формально они вроде как правы.

Но всем понятно, что рассчёт идёт на то, что никто не узнает, ибо не прочитает условия.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Современные угрозы и защита от них

  • Сообщения

    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      ---------------------------------------------------------
       4.15.4
      ---------------------------------------------------------
       o Обновлен интерфейс.

       o Из Ф портировано окно "История запуска процессов" для комфортного распутывания цепочек запуска и взаимодействия
         процессов с задачами.
         Доступ к окну можно получить через меню "Дополнительно->История процессов и задач".
         В первом списке отображается история запуска процессов с момента старта системы (по данным журнала Windows).
         В списке доступен фильтрующий поиск по имени, PID и фильтрация по родительскому процессу (см. контекстное меню).
         В нижнем списке отображается история воздействия процессов на задачи с момента запуска системы, а если установлен
         фильтр родительского процесса то отображаются лишь те задачи с которым взаимодействовал родительский процесс.
         (!) История доступна лишь при активном отслеживании процессов и задач (Твик #39).
         (!) История не доступна для неактивных систем.

       o Обновлен формат образа автозапуска, образы созданные v4.15.4 не будут читаться старыми версиями uVS.
         Добавлено:
          o Мгновенный срез активности процессов на момент завершения создания образа (Запустить->Просмотр активности процессов [Alt+D])
          o История процессов и задач (Дополнительно->История процессов и задач)
            (!) История доступна лишь при активном отслеживании процессов и задач (Твик #39).
          o Защита образа от повреждений.

       o Утилита cmpimg обновлена до версии 1.04 для поддержки нового формата образов автозапуска.

       o Утилита uvs_snd обновлена до версии 1.05 для поддержки нового формата образов автозапуска.

       o Теперь при подключении к удаленной системе всегда запускается "v" версия uVS, если клиентская система не младше Vista.
         На удаленной системе всегда запускается обычная версия uVS для совместимости с системами младше Vista.

       o Исправлена ошибка отображения имени процесса при работе под Win2k в окне "Активность процессов".
         (!) Английская версия uVS НЕ_совместима с Win2k, с Win2k работает только русская версия.

       o Исправлена ошибка разбора состояния TCPIPv6 соединений.
       
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      Если пишет что файлов нет то так оно и есть, по пути в принципе видно, что их там точно быть не может.
      Проблема же в том что при запуске под SYSTEM, API windows не способен правильно разбирать некоторые ярлыки, где не указан абсолютный путь, такие ярлыки меняют цель в зависимости от того под каким пользователем работает конкретный процесс, зачем это сделал microsoft для меня загадка.
      Единственное решение - это написать api для разбора любых ярлыков с нуля и добавить еще нехилую надстройку для анализа относительных путей в них, но это довольно сложная задача и на данный момент реализована лишь в малой части и скорее всего никогда не будет реализована на 100%.
      Потому если хочется удалить ссылки на отсутствующие объекты имеющие ярлыки то нужно запускаться под текущим пользователем, проблем будет меньше... если пользователь один Все системные файлы имеют внешнюю эцп и вполне определенные имена.
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      uVS  в Windows 7 при запуске в режиме: Запустить под LocalSystem ( максимальные права, без доступа к сети ) Не видит пути к реально существующим объектам типа: Полное имя                  C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\DESKTOP\CALIBRE-PORTABLE\CALIBRE PORTABLE\CALIBRE-PORTABLE.EXE
      Имя файла                   CALIBRE-PORTABLE.EXE
      Статус                      ПОДОЗРИТЕЛЬНЫЙ
      Инф. о файле                Системе не удается найти указанный путь.
      Цифр. подпись               проверка не производилась
                                  
      Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
      Путь до файла               Типичен для вирусов и троянов
                                  
      Ссылки на объект            
      SHORTCUT                    C:\USERS\USER\DESKTOP\calibre-portable.exe - Ярлык.lnk
      ---------------------                 Полное имя                  C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\DESKTOP\АРХИВ\UVS 4.1.1 ДРОВА\START.EXE
      Имя файла                   START.EXE
      Статус                      ПОДОЗРИТЕЛЬНЫЙ
      Инф. о файле                Системе не удается найти указанный путь.
      Цифр. подпись               проверка не производилась
                                  
      Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
      Путь до файла               Типичен для вирусов и троянов
                                  
      Ссылки на объект            
      SHORTCUT                    C:\USER\USER\DESKTOP\start.exe - Ярлык.lnk
      --------- Как результат удаление всех этих ярлыков. + Глюки если программа была на панели задач. Пусть uVS пишет в ИНФО. откуда _реально получена подпись.                                 
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      подпись userinit в catroot и VT естественно такие подписи проверить никак не сможет.
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      C:\WINDOWS\SYSTEM32\USERINIT.EXE Действительна, подписано Microsoft Windows ------- https://www.virustotal.com/gui/file/0c079dadf24e4078d3505aaab094b710da244ce4faf25f21566488106beaeba0/details Signature verification File is not signed --------- Хотелось бы _сразу видеть в Инфо. результат проверки на V.T.  ( при выборочной проверке - отдельно взятого файла ) Если V.T. такого функционала не предоставляет... То открывать\скачивать страницу ( текст ) и писать результат в Инфо. Образ: https://forum.esetnod32.ru/messages/forum3/topic17900/message117128/#message117128    
×