foranyone
Well-Known Member
سلام حدود چند سالی هست که یک ویروس سرورها و وبسایت ها رو آلوده میکنه و معمولا به خاطر وجود باگ
در CMS ها این قضیه اتفاق می افته . در این پست قصد دارم راجع به این ویروس و تجربیاتی که تو این زمینه بدست
آوردم صحبت کنم ، امیدوارم مفید باشه .
اساس عملکرد :
داخل پوشه ی images یک فایل ساخته میشه به اسم gifimg.php ( البته معمولا به این نام )
داخل این فایل یک کد php وجود داره که با base64 کدگزاری شده محتوای ساده ای داره !
متغیر $_POST[e] براش ارسال میشه ( یعنی هر کدی ممکنه برا این فایل سند شه و آدم رو بدبخت کنه .
چون در عمل یک کد ساده php نوشته شده متاسفانه قوی ترین آنتی ویروس های سرور هم نمیتونن تشخیصش
بدن!
بعد از یه مدت به ابتدا ی اکثر فایل های یک تکه تک جاوااسکریپت یا php اضافه میشه که دو کار تا الان دیدم باهاش
انجام میدن :
اولی اضافه شدن یک iframe به سایت شما (شاید به قصد افزایش بازدیدشون با تکنیک ویروسی)
دومی : دانلود شدن یک فایل ویروسی به کامپیوتر بازدید کننده و ویروسی شدن کامپیوتر .
حالا اگه این کاربر طراح وب باشه و به FTP مشتریهاش مدام کانکت شه مشتری ها هم در معرض آلوده شدن
هستند . در ضمن کاربرایی که آنتی ویروس دارن چون با مراجعه به سایت ویروس براشون دانلود میشه آنتی ویروس
اجازه ورود به سایت نمیده ! بعد از یه مدت گوگل هم به کابرا اخطار میده اگه سایتتون مشهور باشه شدیدا ضرر
میکنید.
گام اول پاکسازی :
وارد FTP شید و هر فایلی رو که تاریخ تغیرش با بقیه فایل ها فرق میکنه باز کنید و تکه کد اضافه شده به ابتدای
فایل و انتهای فایل رو پاک کنید .
گام دوم :
در صورتی که مشکل حل نشد ( که معمولا با گام یک دوباره سایت آلوده میشه)، نسخه ی جدید CMS رو نصب کنید
چون معمولا باگش حل شده ! یعنی همه ی فایل ها رو پاک کنید و آپلود کنید .
گام سوم : همه ی پسوردها رو تغیر بدین . اگر بازم تا این مرحله مشکلتون حل نشد !
از همه چی بک آپ بگیرید به مسئول سرور بگین اکانت شما رو پاک و دوباره ایجاد کنه !
روش پیشگیری :
* این ویروس در قدم اول فایل های config جاوا اسکریپت و هرفایلی که تو اسمش function یا setting یا .....
باشه رو آلوده میکنه .
برنامه نویسان عزیز لطفا لهجه ی برنامه نویسیشون رو تغیر بدن چه ایرادی داره همه ی فایل ها و فولدرهامون
فینگلیش نام گزاری شن ؟ ( نترسین کلاس کار نمیاد پائین )
* از پسوند js استفاده نکنید !!
فایل جاوااسکریپت رو با یه پسوند دیگه نام گزاری کنید مثلا php و :
<
* هنگام اتصال به اف تی پی یا مدیریت سایت یا پنل هاست و .... اکیدا توصیه می شود
صفحه ی دیگری باز نکنید (حتی سایت خودتان و یاهو مسنجر )چون ممکن است سایت دیگر
که مشغول بازدید آن هستید سایت شما را هم ویروسی کند .
( اصلی ترین راه ویروسی شدن)
* هنگام مطالعه ایمیل ها هرگز ایمیل های مشکوک یا ایمیل هایی که فرستنده ی
آن را نمیشناسید باز نکنید ! و روی اسپم کلیک کنید و یا بدون خواندن آن را حذف نمائید .
مطمئن باشید اگر نامه ی مهمی را اشتباهی پاک کرده باشید فرستنده ی آن دوباره با شما
تماس خواهد گرفت .
* روی کامپیوتر خود همیشه آنتی ویروس داشته باشید توصیه میشود از ناد سی و دو یا
کسپر اسکای آخرین نسخه آپدیت شده استفاده نمایئد . در ضمن اسمارت سکیوریتی ناد خیلی قدرتمندتره .
آپدیت مسمتر و روزانه آنتی ویروس شدیدا توصیه می شود .
* از مرورگر اینترنت اکسپلورر استفاده نکنید به جای آن از فایرفکس نسخه ی 3.5 به بالا
استفاده کنید . فایرفاکس اجازه نمی دهد شما سایت های ویروسی را باز کنید و تا حد زیادی
از ویروسی شدن شما جلوگیری میکند.(البته با همکاری گوگل و نه همون لحظه ی ویروسی شدن )
*چنانچه متوجه شدید سایت شما آلوده است ، یا صفحات لود نمیشوند یا هر خطا و ارور دیگری
رخ میدهد هیچ کدام از صفحات دیگر سایت را رفرش نکنید .
این مسئله باعث خواهد شد تا ویروس روی صفحات دیگر سایت هم تاثیر بگذراد .
از کامپیوترهای مشکوک به ویروس وارد مدیریت سایت خود نشوید .
* بعد از ورود به مدیریت حتما با کلیک روی خروج از سایت خارج شوید .
* حتما بعد از دانلود فایل از اینترنت یا گذاشتن سی دی در سی دی رام یا اتصال فلش مموری به کامپیوتر محتویات
آن را با آنتی ویروس اسکن کنید .
این مطالب رو ( البته یکم ساده ترش رو ) برا مشتری هاتون ایمیل بزنید تا رعایت کنند .
اگه ویروسی شن تقصیر خودشونه .
لطفا اگر شما هم تجربه ای در این مورد دارید توضیح بدین تا هرکی این پست رو میخونه مشکلاتش حل شه
در CMS ها این قضیه اتفاق می افته . در این پست قصد دارم راجع به این ویروس و تجربیاتی که تو این زمینه بدست
آوردم صحبت کنم ، امیدوارم مفید باشه .
اساس عملکرد :
داخل پوشه ی images یک فایل ساخته میشه به اسم gifimg.php ( البته معمولا به این نام )
داخل این فایل یک کد php وجود داره که با base64 کدگزاری شده محتوای ساده ای داره !
متغیر $_POST[e] براش ارسال میشه ( یعنی هر کدی ممکنه برا این فایل سند شه و آدم رو بدبخت کنه .
چون در عمل یک کد ساده php نوشته شده متاسفانه قوی ترین آنتی ویروس های سرور هم نمیتونن تشخیصش
بدن!
بعد از یه مدت به ابتدا ی اکثر فایل های یک تکه تک جاوااسکریپت یا php اضافه میشه که دو کار تا الان دیدم باهاش
انجام میدن :
اولی اضافه شدن یک iframe به سایت شما (شاید به قصد افزایش بازدیدشون با تکنیک ویروسی)
دومی : دانلود شدن یک فایل ویروسی به کامپیوتر بازدید کننده و ویروسی شدن کامپیوتر .
حالا اگه این کاربر طراح وب باشه و به FTP مشتریهاش مدام کانکت شه مشتری ها هم در معرض آلوده شدن
هستند . در ضمن کاربرایی که آنتی ویروس دارن چون با مراجعه به سایت ویروس براشون دانلود میشه آنتی ویروس
اجازه ورود به سایت نمیده ! بعد از یه مدت گوگل هم به کابرا اخطار میده اگه سایتتون مشهور باشه شدیدا ضرر
میکنید.
گام اول پاکسازی :
وارد FTP شید و هر فایلی رو که تاریخ تغیرش با بقیه فایل ها فرق میکنه باز کنید و تکه کد اضافه شده به ابتدای
فایل و انتهای فایل رو پاک کنید .
گام دوم :
در صورتی که مشکل حل نشد ( که معمولا با گام یک دوباره سایت آلوده میشه)، نسخه ی جدید CMS رو نصب کنید
چون معمولا باگش حل شده ! یعنی همه ی فایل ها رو پاک کنید و آپلود کنید .
گام سوم : همه ی پسوردها رو تغیر بدین . اگر بازم تا این مرحله مشکلتون حل نشد !
از همه چی بک آپ بگیرید به مسئول سرور بگین اکانت شما رو پاک و دوباره ایجاد کنه !
روش پیشگیری :
* این ویروس در قدم اول فایل های config جاوا اسکریپت و هرفایلی که تو اسمش function یا setting یا .....
باشه رو آلوده میکنه .
برنامه نویسان عزیز لطفا لهجه ی برنامه نویسیشون رو تغیر بدن چه ایرادی داره همه ی فایل ها و فولدرهامون
فینگلیش نام گزاری شن ؟ ( نترسین کلاس کار نمیاد پائین )
* از پسوند js استفاده نکنید !!
فایل جاوااسکریپت رو با یه پسوند دیگه نام گزاری کنید مثلا php و :
<
کد:
script language="javascript" type="text/javascript" src="main.php"></script>* هنگام اتصال به اف تی پی یا مدیریت سایت یا پنل هاست و .... اکیدا توصیه می شود
صفحه ی دیگری باز نکنید (حتی سایت خودتان و یاهو مسنجر )چون ممکن است سایت دیگر
که مشغول بازدید آن هستید سایت شما را هم ویروسی کند .
( اصلی ترین راه ویروسی شدن)
* هنگام مطالعه ایمیل ها هرگز ایمیل های مشکوک یا ایمیل هایی که فرستنده ی
آن را نمیشناسید باز نکنید ! و روی اسپم کلیک کنید و یا بدون خواندن آن را حذف نمائید .
مطمئن باشید اگر نامه ی مهمی را اشتباهی پاک کرده باشید فرستنده ی آن دوباره با شما
تماس خواهد گرفت .
* روی کامپیوتر خود همیشه آنتی ویروس داشته باشید توصیه میشود از ناد سی و دو یا
کسپر اسکای آخرین نسخه آپدیت شده استفاده نمایئد . در ضمن اسمارت سکیوریتی ناد خیلی قدرتمندتره .
آپدیت مسمتر و روزانه آنتی ویروس شدیدا توصیه می شود .
* از مرورگر اینترنت اکسپلورر استفاده نکنید به جای آن از فایرفکس نسخه ی 3.5 به بالا
استفاده کنید . فایرفاکس اجازه نمی دهد شما سایت های ویروسی را باز کنید و تا حد زیادی
از ویروسی شدن شما جلوگیری میکند.(البته با همکاری گوگل و نه همون لحظه ی ویروسی شدن )
*چنانچه متوجه شدید سایت شما آلوده است ، یا صفحات لود نمیشوند یا هر خطا و ارور دیگری
رخ میدهد هیچ کدام از صفحات دیگر سایت را رفرش نکنید .
این مسئله باعث خواهد شد تا ویروس روی صفحات دیگر سایت هم تاثیر بگذراد .
از کامپیوترهای مشکوک به ویروس وارد مدیریت سایت خود نشوید .
* بعد از ورود به مدیریت حتما با کلیک روی خروج از سایت خارج شوید .
* حتما بعد از دانلود فایل از اینترنت یا گذاشتن سی دی در سی دی رام یا اتصال فلش مموری به کامپیوتر محتویات
آن را با آنتی ویروس اسکن کنید .
این مطالب رو ( البته یکم ساده ترش رو ) برا مشتری هاتون ایمیل بزنید تا رعایت کنند .
اگه ویروسی شن تقصیر خودشونه .
لطفا اگر شما هم تجربه ای در این مورد دارید توضیح بدین تا هرکی این پست رو میخونه مشکلاتش حل شه
