مشکل هک شدن پیاپی!

ehsanch · Apr 12, 2009

معمولا این مشکل به خاطر باگ در cms ی هست که استفاده میکنید. ازنسخه به روز استفاده کنید

foranyone · Apr 12, 2009

معمولا این مشکل به خاطر باگ در cms ی هست که استفاده میکنید. ازنسخه به روز استفاده کنید

این مشکل در مورد فایل های معمولی index به صورت HTML وجود داره پس ربطی به CMS نداره !

مسئول هاست این طور جواب دادن :

BA Salam

ham rootkit ham antivirus bar rooye server tavasote datacenter run shod, va har 2 vazeeyat ra clean neshan dadand, datacenter zekr mikonad, ehtemalan code haye shoma script injection mishavand va rabti be server ehtemalan nadarad

کد معمولی (HTML خالص بدون اتصال به دیتابیس )من ممکنه inject بشه ؟

hossein_salehi · Apr 12, 2009

پیچوندن !

perlinpars · Apr 14, 2009

کاربر ویژه محترم نپیچوندن بلکه مشکل اینجاست که...

دوست عزیز شما احتمال وارد سایتی شدی که این ویروس روی سیستم خود شما نشسته و کدهای شماست که آلوده هست و برای اثبات این امر به شما تا خیالتون راحت بشه که سرورتون مشکلی نداره میتونید کدها رو چک کنید . همیشه تو انتهای کد و قبل تگ body این iframe ها ایجاد میشه که اکثراً هم یا دامینهای چینی و یا فیلیپینی هستند. و چون iframe یک جزء کد استاندارد وب نویسی هست پس آنتی ویروس سرور و آنتی ویروس شما کاری نمیتونه بکنه.
شما حتی اگه روی لوکال هاست هم تست کنید میبینید تو تمام سایتهایی که روی سرور لوکال خودتون هم راه انداختین این مشکل هست تنها راه تغییر ویندوز سیستم خودتون به طور کامل و تمام پارتیشن و تغییر هسنه سایتهای طراحی شده و ایمپورت کردن دیتابیسها. من این مشکل رو بارها داشتم و بارها روشهای مختلفی رو از فرومهای خارجی گرفتم و استفاده کردم و تنها راهی که جواب داد همین تغییر کلی بود.

بعضی از کدها و اسکریپتهای وارز و نال این مشکلات رو ایجاد میکنن و گاهی هم وبسایتهای .... این ویروسها(نمیدونم اسمشون ویروسه یا نه)این مشکل رو پیش میارن.. منم فکر میکردم از سرور بود اما بعد فهمیدم آب از سرچشمه گل آلود بوده

به امید رفع مشکل و برطرف شدن هرچه سریعتر اون

perlinpars · Apr 14, 2009

در مورد cms هم بگم وقتی من سیستمم این ویروس رو داره و cms رو نصب کنم رو لوکال و کارهایی انجام بدم مثل فارسی سازی و بعد بزارم برای دانلود میشه یه روش پخشی که بعضاً به عنوان باگ cms هم به اشتباه خطاب میشه.ولی توصیه دوستمون خوب بود از نسخه های بروز و به شرطstable بودن بهره ببرید

foranyone · Apr 15, 2009

اگه کامپیوتر من ویروسیه ، باید سایت هایی که به صورت لوکال دارم هم آلوده میشدن
در ضمن من قبل آپلود داخل فایل index رو نگاه میکنم ولی کد اضافه ای نیست ، ولی بعد از آپلود و بعد از یه مدت
فایل ویروسی میشه پس 100% هاست ویروسیه نه کامپیوتر من

perlinpars · Apr 15, 2009

هدف کمک به شما بود نه چیزه دیگه

دوست من هدف کمک به شماست نه چیزه دیگه.در ضمن من این مشکل رو داشتم و فقط با روشی که گفتم موفق شدم مشکلم رو برطرف کنم. خوشحال میشو شما و یا دوست دیگه ای راهی بهتر برای رفع مشکل مطرح کنید. با تمام این تفاسیر بنده هنوز هم معتقد هستم مشکل از سیستم شماست. اما محض احتیاط از هاستینگ بخواهید پلان شما رو دوباره ازنو بسازند تا اینبار مطمئن بشوید و صد البته شما هم هارد دیسکتون رو فورمت و مجدداً پارتیشن کنید.

bia2sms · Apr 15, 2009

منم این مشکل رو دارم

به پشتیبانی هاست ایران هم زنگ زدم گفتن برو به انجمن مجید انلاین اونجا مشکل رو بیان کن

اومدم اینجا که این تاپیک رو دیدم

چی کار کنیم حالا ؟

foranyone · Apr 15, 2009

حالا فرض محال مشکل از منم باشه ، فکر نمی کنم Fdisk و partition بندی مجدد بهترین راه حل باشه !

emad.h · Apr 16, 2009

سلام .

منم میخوام یه چیز کاملا بی ربط بگم ! :paint:

در مورد اسکریپت های موجود در وب هست . : بخونید بد نیست : ( نقل قول از جایی دارم میگم)

=============================
دوستان عزیز خبر فوری

چند تن از عزیزان به من مراجعه کردن و در رابطه با هک شدن سایتشان گفته بودن . من هک بلد نیستم اما PHP رو بلدم . بعد اسکریپتی رو که از یک سایت فارسی زبان گرفته بودن و روی سرور خودشون استفاده میکردن رو چک کردم . دیدم کدی در رابطه با Shell و تغییر رمز عبور و .. داخل این اسکریپت ها و در یک پوشه با یک نام غیر مشکوک قرار داده شده که فردی که اون رو قرار داده از طریق لینکها و متن هایی که در اسکریپت قرار داده مثل طراح یا برنامه نویس ، با جستجو در گوگل به سایتی که این اسکریپت رو داره استقاده میکنه دست پیدا می کنن و به سرعت فایل مورد نظر خودشون رو اجرا و رمز رو تغییر میدن .

پس لطفا از سایت های غیر مطمئن اسکریپت نگیرید .

سعی کنید اگر از انجمن های مختلف اسکریپت میگیرید حتما اسکریپت رو خودتون یه تست بکنید و اگه فایل مشکوکی دیدید همینجا لینک دانلود اسکریپت رو بزارید تا اسکریپت رو چک کنم .

برای اینکه بتونید اسکریپت های هک رو پیدا کنید کافيه کدی رو که در زیر می نویسم توی تمام صفحات اسکریپت جستجو کنید .

" value="cat /etc/passwd">/etc/passwd "

خواهشا لینک این مطلب رو برای همه ارسال کنید تا همه از این روش هک با خبر بشن .

===============================

ehsanch · Apr 16, 2009

perlinpars هم به نکته خوبی اشاره کردند. بعضی اوقات پسورهای ftp شما به خاطر سیستم آلودتون ربوده میشه و تروجان به اف تی پی وصل میشه و خرابکاری میکنه.

آبا سایتهای دیگه ای هم که رو اون سرور هست آلوده میشند ؟ 90 درصد جواب نه هست و فقط سایتهای شما مشکل دار میشند. پس حدث زدنش آسونه که از سیستم شماست.

farik · Apr 21, 2009

با سلام..
دوستان اين فايل ويروسي هست كه دانلود ميكنه ...البته ظاهرا ملوير هست.ضميمه شده..

foranyone · Apr 21, 2009

ویروس از سایت http://94.247.2.195 دانلود میشه ، من ویروس رو داخل internet temprory files پیدا کردم

یعنی هر کامپیوتری که آلوده به این ویروس باشه و به یه FTP مراجعه کنه پسوردش لو میره و اون آدرس ftp از اون به بعد بدبخت میشه!درسته؟

می خوام ویندوز رو عوض کنم ، پسورد ها رو عوض کنم
دوستان نظر دیگه ای دارن؟

Webber · Apr 21, 2009

سلام
پیشنهاد می کنم جستجو کنید.شاید قبلا برای کسی همین اتفاق افتاده باشد.

http://www.google.com/search?client=opera&rls=en&q=94.247.2.195&sourceid=opera&ie=utf-8&oe=utf-8

و شاید

http://whois.domaintools.com/94.247.2.195

https://safeweb.norton.com/report/show?url=94.247.2.195

نگران نباشید.حتمن حتما، حل میشه

موفقیت

bia2sms · Apr 22, 2009

خوب وقتی این ویروس توی سایت ما باشه هر کی که از سایت ما بازدید کنه و انتی ویروس نداشته باشه به اون ویروس دچار میشه

خوب چی کار کنیم ؟

پسورد اکانت ها رو عوض کنیم ؟؟؟

لطفا جواب بدین

irmetallica · Apr 22, 2009

بهترین کار پاک کردن ویروس از روی هاسته
یک آنتی ویروس خوب برای سرور لازمه

Arch.Designer · Apr 24, 2009

هاست ویروسیه نه سایت شما
آنتی رو اپدیت کنن معمولا حله وگرنه از حالت auto دربایرنش و دستی clean کنن

farik · Apr 26, 2009

با سلام..
بايد بگم كه حتما هشدار بدين يا ميتونين با js تا وقتي كه كاملا از پاك شدن سرور مطمئن نشدين اين فريم رو غير فعال كنين خواستين بگين كدش رو بزارم.(البته كاري هم نداره خودتون هم ميتونين بنويسين)
در ضمن من كسپر داشتم ولي بازم دانلود شد و فقط كسپر هشدار داد و نذاشت اجرا بشه وگرنه اگه level امنتيتش پايين بود 100 درصد اجراش هم ميكرد ما كه هشدار داديم

با تشكر TABOTABDESIGN

sparksun · May 2, 2009

این مورد بر می گرده به هاست حالا ویرس داره یا چیز دیگه ای هست و بنده نمی دونم
چیزی که برای من اتفاق افتاده رو می گم و دلیل این که به این نتیجه هم رسیدم رو خدمت دوستان خواهم گفت

چند باری توی سایت بنده در خصوص این مورد که در بخش admincp وقتی وارد میشن نمی تونن گذینه ها رو باز و بسته بکنن و در کل تمام امکاناتشون از کار افتاده من بنا به تجربه خودم گفتم فایل یا فلدر clientscript رو محتویاتش رو باز بینی بکنند و در صورت ممکن دوباره اپلود بکنن بعد از این کار این مشکل رفع نشد و بازم همین مورد بود
خودم وارد هاست شدو و فایل ها رو برسی کرددم و دیدم درون فایل هایی php در خط اول یک کدی نوشته شده بود که الان هرچی دارم دنبال یدونه از اون فایل ها می گردم پیدا نمی کنم تا قرار بدم برای دوستان
من اومدم سایت وی بی رو در یک مسیر دیگه اوردم بالا و موفق شدم وارد بخش ادمین بشم و بعد از طریق url گیری مسیر ها رو جابجا کردم تا در سایت اصلی ببینم با تست ورژن کدم فایل ها تغییر کردن چیزی که دیدم این بود که نزدیک به 12 مورد فایل بود که خطا می داد و یکی از این فایل ها index و config بود من برگشتم تمام سایت رو به نسخه بالاتر آپگراید کردم و تمام فایل هایی هک ها رو نیز دوباره نصب کردم در هاست یه 10 روزی هیچ مشکلی نداشت تا این که باز این اقا با من تماس گرفت ( چون برای دیزاینی که داده بودم هزینه گرفته بودم ) من بعد از برسی هایی دوباره دیدم که باز همین مشکل براش پیش اومده .. در این مواقع وقتی این مشکل پیش میاد من یه پیشنهاد به کاربر می کنم و می گم برای این که از کار ما خاطر جمع باشی سایتت رو روی یه هاستت دیگه می بریم تا خوب تست بشه همین کار رو هم کردیم و تا 2 روز پیش هیچ مشکلی نداشته و شاداب و شنگول رفت یه هاست دیگه
این ویروس یا تروجان یا هرچیز دیگه ای هم که هست روی بنده اثر نداشته چون نزدیک به 20 سایت در این ماه دست بنده بوده که باهاشون کار می کردم و تا به امروز هیچ مشکلی براشون پیش نیومده ( خدا کنه هم پیش نیاد - چشم نزیم )

همین امروز هم یه مورد دیگه داشتم با همین داستان که مجبور شد طرف هاستش رو انتقال بده و چون وب هاستینگش قبول نمی کرد و یه جورایی زمان برگردوندن پولش همین امروز تمام میشد تصمیم گرفت هاستش رو سریع انتقال بده

یه مورد هم در اینجا مطرح شده که من باز فکر می کنم همین مورد مشابه اینجا باشه
http://forum.majidonline.com/showthread.php?t=119424

دلیل این هم که به این نتیجه رسیدم هاست مشکل داره همین بوده که روی هاست خودم مشکلی نداشته و نزدیک به 13 روز صحیح و سالم بوده ولی در هاست قبلی بعد از تغییرات هم دوباره باز در همان مشکل براش پیش اومد
در هر حال هاستینگ ها دارن به این بیماری دچار می شن و لطفا یه فکری براش بکنید دوستان چون این طوری ضحمت ما دیزاین دهنده ها هم زیاد شده
مرسی دوستان
بهرام

www.iranwebshop.com · May 2, 2009

این مشکل برای خیلی از مشتریان من پیش اومده و من هر روز باید چند تا هاست رو فایلهای index.php - login.php اونها وindex.htm - index.html اونها رو جایگزین کنم

جالبه که این ویروس اسم عوض میکنه و خود به خود تکثیر میشه من مطمئنم که از سرور هاست تکثیر میشه و سایتهای دیگه روی اون سرور رو هم آلوده میکنه

چند توصیه و راه حل

هاستی که این مشکل پیدا میکنه حتما رمز عبورشو تغییر بدین
من الان یک فایلی تهیه کردم او رو با فولدرش در هاستتون کپی کنید و در این فایل JsAgentSample.txt اسم iframe یا کل فایل ویروسی که این پایین صفحات رو الوده میکنه قرار بدین بعد در آدرس سایتتون فایل www.Yoursite.com/JsAgentC/index.php رو اجرا کنید این فایل میره تمامی پوشه ها و فایلهای سرور رو میگرده و اون فایلی که در JsAgentSample.txt داده بودین رو اصل فایل رو میزاره و بعد قسمت ویروسیش رو ازش پاک میکنه حتما دسترسی فولدرها باید 777 باشه بعد از تمیز شدن دوباره فولدر ها رو به 755 تغییر بدین

حتما حتما حتما آنتی ویروس NOD32 نصب کنید و آپدیت کنید چون این آنتی ویروس فایلها و سایتهای ویروسی رو شناسایی میکنه

اینم بگم که این ویروس جدیدی نیست من سالهای پیشم این مشکل داشتم اما در هفته های اخیر خیلی از شرکتهای معتبر هاست ایرانی میشناسم و باهاشون صحبت کردم که این مشکل دارن و هنوز هم راه حل مناسبی براش پیدا نکردن فعلا این بهترین راه حل هست
موفق باشید