Перейти к содержанию

Некоторые сайты обходят Анти-Баннер!


Рекомендуемые сообщения

В последнее время анализируя входящий траффик в Kaspersky WS я постоянно вижу, что некоторые сайты грузят непонятные данные (скорее всего счетчики и рекламные баннеры) в обход антибаннера антивируса.

Очень часто объем этих данных в несколько раз превышает размер самой интернет-страницы.

Возможно используются специальные скрипты, обращение напрямую к номеру IP-адреса (типа "256.54.215.12/banner.gif") или ещё что-то.

Например, при включенном антибаннере в мониторинге сети антихакера после просмотра с виду безобидных российских страниц с нормальными адресами в домене .ru запросто можно увидеть строки следующего типа:

 

mh07.multihost.ru 217.174.104.23 1 МБ

s8.x-host.net.ua 193.200.255.83 2,5 МБ

42.hcg-sd.counter.gw 25.214.516.255 1,2 МБ

tns.counter.ru 217.73.201.25 500 КБ

435-t.begun.ru 91.192.148.23 300 КБ

 

Причем недостаточно добавить в черный список антибаннера строку 42.hcg-sd.counter.gw - всё равно траффик накручивается. Приходится добавлять вручную правило в антихакер с диапазоном адресов 25.214.516.0-25.214.516.255.

Только тогда с них перестаёт идти загрузка.

Домены таких адресов совершенно разные - это и Голландия, и Украина, и даже всякие африканские страны.

 

Хотелось, чтобы Антивирусы Касперского могли различать такие "странные" закачки данных. Ведь так или иначе за этот входящий траффик приходится платить деньги провайдеру.

 

Строгое предупреждение от модератора MiStr
Тема перенесена в соответствующий ей раздел. Евгений Касперский не оказывает помощи по продуктам компании и не помогает вылечиться от вирусов. В следующий раз топик будет удалён без предупреждения. Читайте правила раздела.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • setwolk
      Автор setwolk
      Доброго времени суток.
      Поискал тут, тем много у всех свои проблемы, но такой темы не нашел...
      Подскажите как заблокировать конкретный сайт побывал уже здесь https://support.kaspersky.ru/kes-for-windows/12.9/128056 попробовал все, всё равно сайты открываются.
      Как правильно написать чтобы сайт точно залочился.
      Взял на примере ya.ru и dzen.ru
      Правило в самом верху, замки закрыты...
    • Андрей2029
      Автор Андрей2029
      Здравствуйте, товарищи. Проблема следующая. Поставил впервые за много десятков лет Оперу вместо Хрома. Последнюю версию, разумеется. Особо не ковырялся в настройках, стал пользоваться. И заметил, что не могу попасть ни на один сайт с Cloudflare - проверка на человека просто постоянно обновляется, не пуская на страницу. Например, вот Aescripts:

       
      Разумеется, я испробовал все возможные решения, что были в сети, будучи уверенным, что проблема либо в самой Опере (её настройках, которые я не менял), либо в VPN (которого у меня нет и в Опере он не включен), DNS и прочем. Все проверил, посмотрел, попереключал и ничего не помогает. При этом Edge на те же сайты пускает без вопросов. Пошёл было писать багрепорт в техподдержку Оперы, пока не додумался отключить Kaspersky Plus. И, о чудо, Cloudflare сразу же запустил на проблемный сайт. Включил Касперского, тыкнулся на другой сайт - опять тя же проблема. 
       
      Подскажите, куда смотреть, что копать, и почему проблема именно с Оперой? Хром псотавил назад - опять проблемы нет. Чем Опера так провинилась? Какие настройки посмотреть в Каспере, чтобы решить проблему?
    • Ig0r
      Автор Ig0r
      Уже 112 страниц проиндексировал. Я его привел.
    • KL FC Bot
      Автор KL FC Bot
      Система управления контентом WordPress используется на 43,5% сайтов в Интернете, поэтому нет ничего удивительного в том, что злоумышленники постоянно ищут способы атаки на нее. В марте этого года исследователи кибербезопасности хостинговой компании GoDaddy описали продолжающуюся с 2016 года операцию, в рамках которой за последние 8 лет было скомпрометировано более 20 000 веб-сайтов на WordPress по всему миру.
      Операция получила название DollyWay World Domination из-за строки кода, найденной в нескольких вариантах вредоносного ПО, — define (‘DOLLY_WAY’, ‘World Domination’). В рамках DollyWay злоумышленники внедряют на сайты вредоносные скрипты с разнообразной функциональностью. Основная цель злоумышленников — перенаправление трафика посетителей легитимных сайтов на посторонние страницы. По состоянию на февраль 2025 года эксперты фиксировали более 10 тысяч зараженных WordPress-сайтов по всему миру.
      Для компрометации сайтов злоумышленники используют уязвимости в плагинах и темах WordPress. Через них на сайт сначала внедряется
      нейтральный скрипт, не привлекающий внимание систем безопасности, выполняющих статический анализ HTML-кода. А он, в свою очередь, подгружает более опасные скрипты, которые служат для профилирования жертвы, общения с командными серверами и непосредственно перенаправления посетителей зараженных сайтов. Более подробное техническое описание работы этих скриптов можно почитать в оригинальном исследовании.
      Как преступники монетизируют свою схему
      Ссылки редиректа, которые формирует DollyWay, содержат партнерский идентификатор. Это очень похоже на реферальные программы, которые часто используют, например, блогеры при рекламе тех или иных продуктов или сервисов. С помощью таких идентификаторов сайты определяют, откуда к ним попали пользователи, и обычно отчисляют блогерам процент за покупки тех посетителей, которые пришли через их ссылки. Операция DollyWay World Domination монетизируется очень похожим образом, используя партнерские программы VexTrio и Lospollos.
      VexTrio называют Uber в мире киберпреступности. Этот ресурс предположительно активен как минимум с 2017 года, а его основная роль состоит в посредничестве при распространении мошеннического контента, шпионского и вредоносного ПО, порнографии и так далее. Именно VexTrio непосредственно занимается перенаправлением трафика, который приходит от DollyWay, на мошеннические сайты.
       
      View the full article
    • Dexter Morgan
      Автор Dexter Morgan
      Вообщем после того как я поймал троян я сделал проверку с помощью drweb cureit,но он ничего не обнаружил,позже скачал Касперский т.к дефендер забегался и не мог удалить файл,потому что этого файла уже не было.Позже я перезагрузил ПК и у меня вылетело со всех аккаунтов.В частности с акков Стима и гмаила,эпик геймс не вылетел.Боюсь,что троян может украсть данные,что делать?Я всегда проверяю файлы которые скачиваю,но в этом раз забыл это сделать
       
      Сообщение от модератора Mark D. Pearlstone Теме перемещена из раздела "Компьютерная помощь".
×
×
  • Создать...