PDA

توجه ! این یک نسخه آرشیو شده میباشد و در این حالت شما عکسی را مشاهده نمیکنید برای مشاهده کامل متن و عکسها بر روی لینک مقابل کلیک کنید : مشکل آپلود تروجان در سرور


taha_2011
July 26th, 2014, 23:26
سلام دوستان
حدود یک ماهی میشه
یکی میاد فکر کنم از طریق ایمیل یه سری تروجان رو وارد سرور بنده میکنه و من مجبورم هر روز با ClamVM اسکن بزنم
جالبیش اینحاست که این تروجان ها کاری نمیکنن یا اگرم کاری میکنن بنده چیزی یا تغییری در سایت ها احساس نمیکنم!
چطوری میتونم سرور را دور از دسترس تروجان ها قرار بدم و کاری کنم دیگه نتونن تروجان آپلود کنن؟
یه سری از لاگ هایی که ClamVM داده رودر اینجا قرار میدم براتون:

/home/irmafia/mail/caspiannet.net/info/new/1399887876.H286796P25885.server.caspiannet.net,S=1 1019: Win.Trojan.Zbot-33390 FOUND/home/irmafia/mail/caspiannet.net/info/new/1399887876.H286796P25885.server.caspiannet.net,S=1 1019: Removed.
/home/irmafia/mail/caspiannet.net/info/new/1400591694.H830478P14797.server.caspiannet.net,S=1 8515: Win.Trojan.Zbot-34402 FOUND
/home/irmafia/mail/caspiannet.net/info/new/1400591694.H830478P14797.server.caspiannet.net,S=1 8515: Removed.
/home/irmafia/mail/caspiannet.net/info/new/1401204373.H141415P13420.server.caspiannet.net,S=1 9892: Win.Trojan.Generickd-47 FOUND
/home/irmafia/mail/caspiannet.net/info/new/1401204373.H141415P13420.server.caspiannet.net,S=1 9892: Removed.
/home/irmafia/mail/caspiannet.net/info/new/1399995128.H492835P4236.server.caspiannet.net,S=14 266: Win.Trojan.Upatre-79 FOUND
/home/irmafia/mail/caspiannet.net/info/new/1399995128.H492835P4236.server.caspiannet.net,S=14 266: Removed.
/home/irmafia/mail/caspiannet.net/info/new/1402582349.H720488P20410.server.caspiannet.net,S=1 2617: Win.Trojan.Generickd-399 FOUND
/home/irmafia/mail/caspiannet.net/info/new/1402582349.H720488P20410.server.caspiannet.net,S=1 2617: Removed.
/home/irmafia/mail/caspiannet.net/info/new/1400677791.H35836P15013.server.caspiannet.net,S=11 571: Win.Trojan.Bublik-407 FOUND
/home/irmafia/mail/caspiannet.net/info/new/1400677791.H35836P15013.server.caspiannet.net,S=11 571: Removed.
/home/irmafia/mail/caspiannet.net/info/new/1405063038.H687311P27706.server.caspiannet.net,S=1 4547: Win.Trojan.Agent-751924 FOUND
/home/irmafia/mail/caspiannet.net/info/new/1405063038.H687311P27706.server.caspiannet.net,S=1 4547: Removed.
/home/irmafia/mail/caspiannet.net/info/new/1400850165.H685138P18528.server.caspiannet.net,S=2 7837: Win.Trojan.Generickd-117 FOUND
/home/irmafia/mail/caspiannet.net/info/new/1400850165.H685138P18528.server.caspiannet.net,S=2 7837: Removed.
/home/irmafia/mail/caspiannet.net/info/new/1400072796.H306927P18151.server.caspiannet.net,S=1 4473: Win.Trojan.Generickd-384 FOUND
/home/irmafia/mail/caspiannet.net/info/new/1400072796.H306927P18151.server.caspiannet.net,S=1 4473: Removed.
/home/irmafia/mail/caspiannet.net/info/new/1400164386.H292815P7708.server.caspiannet.net,S=11 625: Win.Trojan.Agent-731793 FOUND
/home/irmafia/mail/caspiannet.net/info/new/1400164386.H292815P7708.server.caspiannet.net,S=11 625: Removed.
/home/irmafia/mail/caspiannet.net/info/new/1404403157.H470840P30044.server.caspiannet.net,S=1 6399: Win.Trojan.Agent-749685 FOUND
/home/irmafia/mail/caspiannet.net/info/new/1404403157.H470840P30044.server.caspiannet.net,S=1 6399: Removed.
/home/irmafia/mail/caspiannet.net/info/new/1400582257.H58116P25582.server.caspiannet.net,S=11 677: Win.Trojan.1687377 FOUND
/home/irmafia/mail/caspiannet.net/info/new/1400582257.H58116P25582.server.caspiannet.net,S=11 677: Removed.
/home/irmafia/mail/caspiannet.net/info/new/1402931246.H778977P8009.server.caspiannet.net,S=31 668: Win.Trojan.Agent-734833 FOUND
/home/irmafia/mail/caspiannet.net/info/new/1402931246.H778977P8009.server.caspiannet.net,S=31 668: Removed.
/home/irmafia/mail/caspiannet.net/info/new/1399933356.H347242P6303.server.caspiannet.net,S=13 973: Win.Trojan.Generickd-212 FOUND
/home/irmafia/mail/caspiannet.net/info/new/1399933356.H347242P6303.server.caspiannet.net,S=13 973: Removed.
/home/irmafia/mail/caspiannet.net/info/new/1406142126.H375988P28051.server.caspiannet.net,S=1 5271: Email.Phishing.Webmail-54 FOUND
/home/irmafia/mail/caspiannet.net/info/new/1406142126.H375988P28051.server.caspiannet.net,S=1 5271: Removed.
/home/irmafia/mail/caspiannet.net/info/new/1403535513.H327464P3472.server.caspiannet.net,S=13 1832: Win.Trojan.Generickd-340 FOUND
/home/irmafia/mail/caspiannet.net/info/new/1403535513.H327464P3472.server.caspiannet.net,S=13 1832: Removed.
/home/irmafia/mail/caspiannet.net/info/new/1402934398.H471317P13521.server.caspiannet.net,S=3 2102: Win.Trojan.Agent-734833 FOUND
/home/irmafia/mail/caspiannet.net/info/new/1402934398.H471317P13521.server.caspiannet.net,S=3 2102: Removed.
/home/irmafia/mail/caspiannet.net/info/new/1401213160.H1481P32412.server.caspiannet.net,S=192 08: Win.Trojan.Generickd-36 FOUND
/home/irmafia/mail/caspiannet.net/info/new/1401213160.H1481P32412.server.caspiannet.net,S=192 08: Removed.
/home/irmafia/mail/caspiannet.net/info/new/1399914158.H4684P5869.server.caspiannet.net,S=1612 9: Win.Trojan.Zbot-33671 FOUND
/home/irmafia/mail/caspiannet.net/info/new/1399914158.H4684P5869.server.caspiannet.net,S=1612 9: Removed.
/home/irmafia/mail/caspiannet.net/info/new/1399901079.H752760P16438.server.caspiannet.net,S=1 1456: Win.Trojan.Downloader-61538 FOUND
/home/irmafia/mail/caspiannet.net/info/new/1399901079.H752760P16438.server.caspiannet.net,S=1 1456: Removed.
/home/irmafia/mail/caspiannet.net/info/new/1401199226.H431407P5304.server.caspiannet.net,S=19 917: Win.Trojan.Generickd-47 FOUND
/home/irmafia/mail/caspiannet.net/info/new/1401199226.H431407P5304.server.caspiannet.net,S=19 917: Removed.
/home/irmafia/mail/caspiannet.net/info/new/1401238260.H884792P13375.server.caspiannet.net,S=2 0535: Win.Trojan.Generickd-36 FOUND
/home/irmafia/mail/caspiannet.net/info/new/1401238260.H884792P13375.server.caspiannet.net,S=2 0535: Removed.
/home/irmafia/mail/caspiannet.net/info/new/1399901451.H543534P17209.server.caspiannet.net,S=1 4439: Win.Trojan.Downloader-61538 FOUND
/home/irmafia/mail/caspiannet.net/info/new/1399901451.H543534P17209.server.caspiannet.net,S=1 4439: Removed.
/home/irmafia/mail/caspiannet.net/info/new/1400165595.H945130P11560.server.caspiannet.net,S=1 1632: Win.Trojan.Agent-731793 FOUND
/home/irmafia/mail/caspiannet.net/info/new/1400165595.H945130P11560.server.caspiannet.net,S=1 1632: Removed.
/home/irmafia/mail/caspiannet.net/info/new/1399903054.H919425P19678.server.caspiannet.net,S=1 1463: Win.Trojan.Downloader-61538 FOUND
/home/irmafia/mail/caspiannet.net/info/new/1399903054.H919425P19678.server.caspiannet.net,S=1 1463: Removed.
/home/irmafia/mail/caspiannet.net/info/new/1403627481.H271041P5511.server.caspiannet.net,S=81 06: Heuristics.Phishing.Email.SpoofedDomain FOUND
/home/irmafia/mail/caspiannet.net/info/new/1403627481.H271041P5511.server.caspiannet.net,S=81 06: Removed.
/home/irmafia/mail/caspiannet.net/info/new/1399911313.H627024P1054.server.caspiannet.net,S=16 090: Win.Trojan.Zbot-33671 FOUND
/home/irmafia/mail/caspiannet.net/info/new/1399911313.H627024P1054.server.caspiannet.net,S=16 090: Removed.
/home/irmafia/mail/caspiannet.net/info/new/1400511511.H416477P15604.server.caspiannet.net,S=1 3037: Win.Trojan.Zbot-33787 FOUND
/home/irmafia/mail/caspiannet.net/info/new/1400511511.H416477P15604.server.caspiannet.net,S=1 3037: Removed.
/home/irmafia/mail/caspiannet.net/info/new/1402589082.H628409P32109.server.caspiannet.net,S=1 2870: Win.Trojan.Generickd-399 FOUND
/home/irmafia/mail/caspiannet.net/info/new/1402589082.H628409P32109.server.caspiannet.net,S=1 2870: Removed.
/home/irmafia/mail/caspiannet.net/info/new/1403892695.H750057P29753.server.caspiannet.net,S=1 33242: Win.Trojan.Agent-748122 FOUND
/home/irmafia/mail/caspiannet.net/info/new/1403892695.H750057P29753.server.caspiannet.net,S=1 33242: Removed.
/home/irmafia/mail/caspiannet.net/info/new/1399903006.H819428P19597.server.caspiannet.net,S=1 4409: Win.Trojan.Downloader-61538 FOUND
/home/irmafia/mail/caspiannet.net/info/new/1399903006.H819428P19597.server.caspiannet.net,S=1 4409: Removed.
/home/irmafia/mail/caspiannet.net/info/new/1400085821.H117542P25379.server.caspiannet.net,S=1 6888: Win.Trojan.Generickd-383 FOUND
/home/irmafia/mail/caspiannet.net/info/new/1400085821.H117542P25379.server.caspiannet.net,S=1 6888: Removed.
/home/irmafia/mail/caspiannet.net/info/new/1401476023.H357433P31848.server.caspiannet.net,S=1 5934: Win.Trojan.Downloader-61465 FOUND
/home/irmafia/mail/caspiannet.net/info/new/1401476023.H357433P31848.server.caspiannet.net,S=1 5934: Removed.
/home/irmafia/mail/caspiannet.net/info/new/1403289548.H128951P12375.server.caspiannet.net,S=1 30858: Win.Trojan.Agent-741261 FOUND
/home/irmafia/mail/caspiannet.net/info/new/1403289548.H128951P12375.server.caspi
از دوستان ممنون میشم بنده را راهنمایی کنند
تشکر:53:
mhiizadi
July 26th, 2014, 23:30
Win.Trojan.Downloader

چنین فایلی آپلود میشه گویا؛ این فایل ممکنه توسط افزونه های وردپرس از دایرکتوری home/mail ایجاد بشه
برای جلو گیری از آپلود تروجان در دایرکتوری های ما قبل public_html ؛ در کامند لاین cxs ؛ --www رو حذف کنید.
و در تظنیمات دیفالت cxs تیک های مربوط به اسکن ها رو کمی افزایش بدید ؛ linux binary... windows...regex
taha_2011
July 26th, 2014, 23:49
Win.Trojan.Downloader

چنین فایلی آپلود میشه گویا؛ این فایل ممکنه توسط افزونه های وردپرس از دایرکتوری home/mail ایجاد بشه
برای جلو گیری از آپلود تروجان در دایرکتوری های ما قبل public_html ؛ در کامند لاین cxs ؛ --www رو حذف کنید.
و در تظنیمات دیفالت cxs تیک های مربوط به اسکن ها رو کمی افزایش بدید ؛ linux binary... windows...regex
انجام شد ولی فایده نداره و باز هم آپلود میشه!
mhiizadi
July 27th, 2014, 01:50
انجام شد ولی فایده نداره و باز هم آپلود میشه!

اگر مقدوره فایل آپلودی رو در این جا قرار بدید یا برای بنده پ.خ نمایید تا فایل رو بررسی کنم و خدمتتون عرض کنم ؛ شاید اصلا ویروس نباشه..
taha_2011
July 27th, 2014, 04:28
اگر مقدوره فایل آپلودی رو در این جا قرار بدید یا برای بنده پ.خ نمایید تا فایل رو بررسی کنم و خدمتتون عرض کنم ؛ شاید اصلا ویروس نباشه..
فعلا که پاک کردم فایل رو به محض اینکه دوباره آپلود شد ارسال میکنم خدمتتون
Yas-Host
July 27th, 2014, 04:37
برای بنده هم ارسال کنید.

- - - Updated - - -

برای بنده هم ارسال کنید.
meysam021
July 27th, 2014, 05:16
آیا فایلی توی هاست هم آپلود میشه یا فقط از طریق همون مسیر.
منظور توی روت سایت ها
taha_2011
July 27th, 2014, 05:18
آیا فایلی توی هاست هم آپلود میشه یا فقط از طریق همون مسیر.
منظور توی روت سایت ها
فایل ها توی قسمت میل 2-3 تا هاست تا حالا آپلود شده
mhiizadi
July 28th, 2014, 13:43
فایل ها توی قسمت میل 2-3 تا هاست تا حالا آپلود شده

فقط در یک هاست هست یا در تمامی هاست های موجود بر روی سرور ؟
با وب سایت https://support.waytotheweb.com/index.php در میان بزارید ؛ ده ها مورد داشتیم که به خوبی راهنمایی انجام شده و حل کردند برامون.
taha_2011
July 28th, 2014, 15:19
در تمامی هاست ها میتونه آپلود کنه.
لایسنس میل اسکنر خریداری شده و درحال کانفیگ هست
کلا کانفیگ امنیتی رو دادم به configserver.com برامون انجام بدن ببینیم مشکل حل میشه یا نه.
نتیجه رو در همین تاپیک اعلام خواهم کرد.
secure_host
August 3rd, 2014, 03:09
با سلام
آیا با کانفیگ امنیتی configserver.com مشکل برطرف شده است ؟
در صورتی که برطرف نشده است.در صورت تمایل اطلاعات سرور را ارسال نماید تا بررسی امنیتی شود.
با تشکر
taha_2011
August 4th, 2014, 12:35
سلام
بله. با کانفیگ میل سرور توسط خود کانفیگ سرور . کام مشکل حل شده است فعلا
ممنون