Вирус или не вирус на сайте? Скрипт яндекс метрики

Вирус или не вирус на сайте? Скрипт яндекс метрики

Сообщение Marik »

Итак опишу ситуацию с которой столкнулся в плане безопасности сайтов своих.

На хостинге размещено у меня 4 сайта: 2 вордпресс и 2 html сайта. Поскольку ранее я вирус на сайте удалял, то время от времени мониторю вирусную активность или если что-то идет не так.

Так вот на 3х из 4х сайтов (2 вордресса и один статичный) сервис проверки сайтов quttera выдает такое:
Изображение
Остальные сервисы включая скрипт айболит говорят что все отлично.
Это я и раньше замечал, но не придавал значения, мол яндекс метрика дело нужное и мало ли сканер может ругаться на скрипты. Про мониторил не свои сайты с установленной метрикой, сервис ничего не обнаружил, соответственно возникает вопрос, вирус ли это и что с ним делать?

И еще один момент. На одном из сайтов aw-snap находит много всякого js кода и самое главное самым подозрительным является вот этот (он не виден в исходном коде, только через сервис)
Код: Выделить всё
!func​tion (a,b,c){func​tion d(a,b){var c=String.fromCharCode;l.clearRect(0,0,k.width,k.height),l.fillText(c.apply(this,a),0,0);var d=k.toDataURL();l.clearRect(0,0,k.width,k.height),l.fillText(c.apply(this,b),0,0);var e=k.toDataURL();return d===e}func​tion e(a){var b;if(!l||!l.fillText)return!1;switch(l.textBaseline="top",l.font="600 32px Arial",a){case"flag":return!(b=d([55356,56826,55356,56819],[55356,56826,8203,55356,56819]))&&(b=d([55356,57332,56128,56423,56128,56418,56128,56421,56128,56430,56128,56423,56128,56447],[55356,57332,8203,56128,56423,8203,56128,56418,8203,56128,56421,8203,56128,56430,8203,56128,56423,8203,56128,56447]),!b);case"emoji":return b=d([55358,56760,9792,65039],[55358,56760,8203,9792,65039]),!b}return!1}func​tion f(a){var c=b.create​Element(" sc​ript ");c.src=a,c.defer=c.type="text/javascript",b.getElementsByTagName("head")[0].appendChild(c)}var g,h,i,j,k=b.create​Element("canvas"),l=k.getContext&&k.getContext("2d");for(j=Array("flag","emoji"),c.supports={everything:!0,everythingExceptFlag:!0},i=0;i< j.length;i++)c.supports[j[i]]=e(j[i]),c.supports.everything=c.supports.everything&&c.supports[j[i]],"flag"!==j[i]&&(c.supports.everythingExceptFlag=c.supports.everythingExceptFlag&&c.supports[j[i]]);c.supports.everythingExceptFlag=c.supports.everythingExceptFlag&&!c.supports.flag,c.DOMReady=!1,c.readyCallback=func​tion (){c.DOMReady=!0},c.supports.everything||(h=func​tion (){c.readyCallback()},b.addEventListener?(b.addEventListener("DOMContentLoaded",h,!1),a.addEventListener("load",h,!1)):(a.attachEvent("onload",h),b.attachEvent("onreadystatechange",func​tion (){"complete"===b.readyState&&c.readyCallback()})),g=c.source||{},g.concatemoji?f(g.concatemoji):g.wpemoji&&g.twemoji&&(f(g.twemoji),f(g.wpemoji)))}(window,document,window._wpemojiSettings);


Это что за зверь такой и как с ним бороться? :)

Добавлено спустя 1 час 5 минут 3 секунды:
По вопросу кода разобрался, достаточно было отключить поддержку Emoji.
Либо плагином https://wordpress.org/plugins/disable-emojis/, но поскольку я их не сторонник, то добавил код в файл functons.php/
На всякий случай дам здесь код, может кому пригодится, что бы не искать нигде:

Код: Выделить всё
remove_action( 'wp_head', 'print_emoji_detection_script', 7 );
remove_action( 'admin_print_scripts', 'print_emoji_detection_script' );
remove_action( 'wp_print_styles', 'print_emoji_styles' );
remove_action( 'admin_print_styles', 'print_emoji_styles' );
remove_filter( 'the_content_feed', 'wp_staticize_emoji' );
remove_filter( 'comment_text_rss', 'wp_staticize_emoji' );
remove_filter( 'wp_mail', 'wp_staticize_emoji_for_email' );
add_filter( 'tiny_mce_plugins', 'disable_wp_emojis_in_tinymce' );
function disable_wp_emojis_in_tinymce( $plugins ) {
    if ( is_array( $plugins ) ) {
        return array_diff( $plugins, array( 'wpemoji' ) );
    } else {
        return array();
    }
}


Вопрос по подозрительности скрипта яндекс метрики пока открыт. Но тоже и сам буду думать как и что и куда. Можно конечно метрику убрать, чисто для эксперимента попробую, но в целом отказываться от метрики неохота, полезный инструмент все таки.

Marik

 
Группа: Cлучайный прохожий
Сообщения: 15
Зарегистрирован: 27 июл 2018
Откуда: Москва
Средств на руках: 68.95
Статус: не указан
Спонсор
 
Re: Вирус или не вирус на сайте? Скрипт яндекс метрики

Сообщение Денчик »

Попробуйте отсканировать через вирус тотал - https://www.virustotal.com/ru/ Он сканирует сразу несколькими десятками антивирусов. Но мое мнение, что метрика, будет чистой.
Аватара пользователя
Денчик

 
Группа: Супермодераторы
Сообщения: 1908
Зарегистрирован: 28 мар 2016
Средств на руках: 83.75
Статус: Умный, скромный.
Спонсор
 
Re: Вирус или не вирус на сайте? Скрипт яндекс метрики

Сообщение Marik »

Вирус тотал показывает что все чисто однако в двух строчках : Suspicious site (подозрительный сайт), причем подозрения эти опять же по вирус тоталу обнаружены сервисом Quttera и Forcepoint ThreatSeeker:
Изображение

В остальном все чисто. Отмечу так же что убрав временно счетчик, сервис Quttera показал что все чисто. Значит проблема именно в счетчике точнее в файле watch.js, который и подгружается от яндекса. Сам файл этот я открывал, но там много много кода потому его закрыл.
В целом как я понял никаких серьезных угроз нет и можно жить дальше, тем не менее подожду дня два пока там сервисы проверки кеш очистят свой и попробую перепроверить снова.
По метрике буду думать дальше, если надумаю и что получится то отпишусь. _(_)_
Marik

 
Группа: Cлучайный прохожий
Сообщения: 15
Зарегистрирован: 27 июл 2018
Откуда: Москва
Средств на руках: 68.95
Статус: не указан
Спонсор
 
Re: Вирус или не вирус на сайте? Скрипт яндекс метрики

Сообщение Денчик »

да тут все в общем то просто. по сути, не так важно, если ли на сайте вирус. важнее, чтобы поисковики не ругались. то есть, яндекс и гугл. то есть если вебмастера от этих поисковиков, считают, что сайт чистый, значит, по факту, он и есть чистый :)
Аватара пользователя
Денчик

 
Группа: Супермодераторы
Сообщения: 1908
Зарегистрирован: 28 мар 2016
Средств на руках: 83.75
Статус: Умный, скромный.
Спонсор
 
Re: Вирус или не вирус на сайте? Скрипт яндекс метрики

Сообщение Marik »

Да, с этим как раз таки полный порядок и гугл и яндекс считают безопасными сайты, никаких нареканий нет. Собственно говоря и не все антивирусные сервисы считают код метрики вредоносным, даже тот же айболит во всех режимах выдал что "пациенты здоровы".
Просто так сказать люблю что б был везде порядок, потому и слежу и обязательно понаблюдаю за поведением антивирусных систем на код метрики в дальнейшем.
Как по мне так не должно быть, должно быть все идеально.
Marik

 
Группа: Cлучайный прохожий
Сообщения: 15
Зарегистрирован: 27 июл 2018
Откуда: Москва
Средств на руках: 68.95
Статус: не указан
Re: Вирус или не вирус на сайте? Скрипт яндекс метрики

Сообщение k0ttee »

Это что за зверь такой и как с ним бороться?

Перед тем, как стопку говна показывать, не помешало бы пропустить её через online JavaScript beautifier. Чтоб это дерьмо стало читаемым.
Код: Выделить всё
!func​ tion(a, b, c) {
    func​ tion d(a, b) {
        var c = String.fromCharCode;
        l.clearRect(0, 0, k.width, k.height), l.fillText(c.apply(this, a), 0, 0);
        var d = k.toDataURL();
        l.clearRect(0, 0, k.width, k.height), l.fillText(c.apply(this, b), 0, 0);
        var e = k.toDataURL();
        return d === e
    }
    func​ tion e(a) {
        var b;
        if (!l || !l.fillText) return !1;
        switch (l.textBaseline = "top", l.font = "600 32px Arial", a) {
            case "flag":
                return !(b = d([55356, 56826, 55356, 56819], [55356, 56826, 8203, 55356, 56819])) && (b = d([55356, 57332, 56128, 56423, 56128, 56418, 56128, 56421, 56128, 56430, 56128, 56423, 56128, 56447], [55356, 57332, 8203, 56128, 56423, 8203, 56128, 56418, 8203, 56128, 56421, 8203, 56128, 56430, 8203, 56128, 56423, 8203, 56128, 56447]), !b);
            case "emoji":
                return b = d([55358, 56760, 9792, 65039], [55358, 56760, 8203, 9792, 65039]), !b
        }
        return !1
    }
    func​ tion f(a) {
        var c = b.create​ Element(" sc​ript ");
        c.src = a, c.defer = c.type = "text/javascript", b.getElementsByTagName("head")[0].appendChild(c)
    }
    var g, h, i, j, k = b.create​ Element("canvas"),
        l = k.getContext && k.getContext("2d");
    for (j = Array("flag", "emoji"), c.supports = {
            everything: !0,
            everythingExceptFlag: !0
        }, i = 0; i < j.length; i++) c.supports[j[i]] = e(j[i]), c.supports.everything = c.supports.everything && c.supports[j[i]], "flag" !== j[i] && (c.supports.everythingExceptFlag = c.supports.everythingExceptFlag && c.supports[j[i]]);
    c.supports.everythingExceptFlag = c.supports.everythingExceptFlag && !c.supports.flag, c.DOMReady = !1, c.readyCallback = func​ tion() {
        c.DOMReady = !0
    }, c.supports.everything || (h = func​ tion() {
        c.readyCallback()
    }, b.addEventListener ? (b.addEventListener("DOMContentLoaded", h, !1), a.addEventListener("load", h, !1)) : (a.attachEvent("onload", h), b.attachEvent("onreadystatechange", func​ tion() {
        "complete" === b.readyState && c.readyCallback()
    })), g = c.source || {}, g.concatemoji ? f(g.concatemoji) : g.wpemoji && g.twemoji && (f(g.twemoji), f(g.wpemoji)))
}(window, document, window._wpemojiSettings);
Аватара пользователя
k0ttee

 
Группа: Супермодераторы
Сообщения: 9159
Рефералы: 2
Зарегистрирован: 02 май 2014
Средств на руках: 190.70

Вернуться в CMS бесплатные/платные

 


  • Похожие темы
    Ответы
    Просмотры
    Последнее сообщение

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 14