سلام ...
سایت من دچار تروجان kryptik شده ... کسی از عزیزان می تونه برای حذف این ویروس کمک کنه ... خیلی از فایلام این ویروس رو گرفته و من هر کاری می کنم دوباره بر می گرده ویروس ...
متشکر

این تروجان در ماههای اخیر بیشتر از طریق ftp در اسکریپتهای یک سایت اینجکت میشه. پیشنهاد می کنم اول از همه رمز عبور تموم حسابهای ftp هاست خودتون رو ریست کنید. از مدیر سرورتون هم بخواین لاگهای ftp رو بررسی کنند برای دسترسی های مشکوک به ftp هاستتون. اگر دستکاریها از طریق ftp انجام شده باشه ip هکر به احتمال زیاد از یکی از کشورهای فرانسه، آمریکا یا آلمان هست. اگر دستکاری از طریق ftp انجام شده باشه کارتون خیلی مشکل میشه چون ظاهرا این هکرها اطلاعات ftp رو از هک سیستم شخصی شما یا سرور ***ی که باهاش برای کانکت شدن به سرویس ftp در گذشته استفاده کرده اید(بر فرض استفاده) بدست میارند. اگر vps دارین و از طریق اون با ftp به هاستتون وصل میشه احتمال اینکه اطلاعات ftp رو از هک vps بدست آورده باشند زیاد هست.

اگر دستکاری از طریق ftp انجام نشده باید، بررسی کنین، حفره امنیتی سایت که از طریقش هکرها اقدام به اینجکت این کدها در سایت میکنن رو پیدا کنید و اونو مسدود کنین. بعد از اون میتونین اسکرپیت ها رو از تروجان پاکسازی کنین. مدیر سرور شما می تونن در این مورد به شما کمک زیادی بکنن.

ماشالا هاستینگی که ازش هاست گرفتیم پشتیبانیش افتضاح هست ... دو روز یه بار جواب میده ...طبق گفته شما من پسورد ها رو عوض کردم ... چه کاری دیگه ای از دست خودم بر میاد که انجام بدم ؟
متشکر

در اولین قدم باید مشخص بشه که اینجکت کدهای تروجان از چه طریقی انجام شده. این موضوع نیاز به بررسی لاگهای دسترسی هاستتون داره. اگه مدیر سرور به شما کمک نکنه در این مورد کار خیلی سخت میشه. چون اگر دسترسی از طریق ftp بوده باشه دایره مشکل وسیعتر میشه و از محدوده هاست و اسکریپتهای سایتتون فراتر میره و مربوط میشه به امنیت سیستم های شخصی مورد استفاده شما یا سرورهای اختصاصی مجازی خارجی که برای اتصال به هاستتون استفاده می کنین. بهتره اول از مدیر سرور بخواین لاگهای ftp رو حتما بررسی کنن.

اگر که تروجان اینجکت شده تروجان JS/Kryptik باشه و طراحی کد اینجکت شده توسط هکرها تغییر داده نشده باشه، شناسایی اسکریپتهای آلوده از طریق اجرای دستور زیر در شاخه روت سایت توسط مدیر سرور قابل شناسایی هست:




grep -rIs --include=*.php sRetry -l .

این دستور اسکریپتهای php آلوده شده رو در ترمینال سرور لیست میکنه. در صورت وجود اسکرپیتهای آلوده مدیر سرور میتونه اسکریپتها رو از طریق دستور زیر پاکسازی کنه:




grep -rIsl --include=*.php sRetry . | awk -v q="'" '{print "perl -i.infected -pe " q "undef $/; s/if \\(\\!isset\\(\\$sRetry\\)\\).*?curl_close\\(\\$st CurlHandle\\)\\;.*?\\?\\>/?\\>/ms" q " " q $0 q }'


البته قبلش مدیر سرور باید کد اینجکت شده رو بررسی کنه و در صورت نیاز دستور بالا رو اصلاح کنه ولی در ۹۰ درصد مواقع دستورات بالا برای شناسایی و پاکسازی کافی هست.

دوست عزیز ... هاستینگ که هیچ کمکی به ما نمی کنه !!! ولی مشکل رو خودمون دیروز طبق گفته های شما درست کردیم ... تقریبا متوجه شدیم از کجا هک صورت گرفته و اونا رو از سایت حذف کردیم ... فقط مسئله ای که هست هنوز در بلک لیست گوگل هستیم .. در گوگل وبمستر نیز هم عضو شدیم و فایل html مربوط را آپلود کردیم ولی هنوز خبری از خارج شدن از بلک لیست نیست ... این پیغام رو هم داده توی گوگل وبمستر Severe health issues are found on your site