ویروس یا بدافزار تکامل یافته gambular | مقصر کیست ؟

[meisam222]

سلام خدمت تمامی دوستان عزیز ؛

دو روزی بود که سایتم با بدافزار خطرناک " دریام " مورد حمله قرار گرفته بود ؛

این Malware از روی gambular نوشته شده و در تخریب و تکثیر یه سرو گردن بالاتر از والد خودش هست!

حتی توو سایت های انگلیش زبان هم مطلبی راجع به این بد افزار پیدا نکردم ٫ اما بالاخره با خوندن چندین مقاله که گوگل پیشنهاد داده بود و تلاش خودم ٫ موفق به حذف کامل این بدافزار خطرناک شدم ... اما :

- از شما دوستان می خوام بپرسم که مشکل از کدوم ناحیه بوده :

+ کامپیوتر خودم ( من از آنتی ویروس اوست که به روز هست استفاده می کنم و فایروال pctools )
+ یا از شرکت هاستیگ که مسایل امنیتی رو رعایت نکرده ( البته در یکی از مقالات نوشته بود در 99% موارد شرکت های هاستینگ این مشکل رو از ناحیه خودشون نمی دونند

اسکریپی که استفاده می کنم اخرین نسخه است و دسترسی config رو هم رو 600 گذاشته بودم

اسم شرکت هاستینگ رو فعلا جایی مطرح نمی کنم ، اما می خوام بدونم شما علت رو کجا می بینید ؟

[Woshka]

یه موقع که انتی ویروس نداشتی ویروس اومده و ویروسی کرده
از هاستینگ نمیشه گفت هستش
چون این ویروس خودش رو در دیتابیس ذخیره می کنه
و همچنین از function هایی اتفاده می کنه که می تونید در php.ini ببندید که هاستینگ می تونست ببنده ولی اگر این کار رو می کرد هاستتون با اختلال رو به رو می شد
شما zend & ion cube رو رو هاستت هم ببندی بهتره

ولی وقتی ویروسی بشه خیلی سخت میشه پاک سازیش کرد

[HematYar]

اسم کامل این بد افزار رو میشه بفرمایین ؟

[meisam222]

این malware که هم به نوعی تروجان هست و هم اسپای وار و هم مثل ویروس تکثیر می شه ؛ تنها خوبی که داره به دیتابیس سایت و فایل های زیپ و رار کاری نداره !

این بدافزار 95% فایل های index.html و فایل بررسی گوگل که در روت گذاشید و 100% فایل های config.php و configuration.php و database.php ، رو از فایلهای مدیریت محتوا (همچنین ماژول و کامپوننت و 100% فایهای جاوایی که در محیط کاربری سایت و هسته مدیریت محتوا را آلوده می کنه .. در فایلهای php‌کد رو به اول فایل اضافه می کند و در فایلهای Js و HTML اسکریپتی رو بعد از تگ body قرار می دهد

البته هسته اصلی این ویروس فایلی است به نام : imggif.php که در پوشه images مدیریت محتوا و تمام الحاقاتی که استفاده می کنید قرار می گیرد البته بیرون از root سایت ، یعنی پوشه tmp و cache سی پنل رو هم آلوده می کند که باید چک کنید و بهتر است برای پاک کردن اول از همین دو پوشه شروع کنید ؛

Avast این رو به نام تروجان Win32-Kates-BP[trj] شناسایی می کنه
برنامه :Malwarebyte هم می تونه در پاکسازی احتمالی سیستم شما کمک کننده باشه

** سایت من رنگ 4 رو توو گوگل داره و بعد از 2 روزی که توو لیست سیاه بودم امرور بالاخره از لیست سیاه خارج شدم( یعنی ویروس کامل شد )

+ هدف من از طرح این سوال درخواست برای فهمیدن علت اصلی و رفع اشکال احتمالی است تا مجدد شکار این Malware خطرناک نشم .. ا

البته من حالا سخت ترین دسترسی رو برای فایل های Php و js گذاشتم ٫ دیگه چیکار کنم ؟ آیا به نظر شما هاست و تغییر بدم ؟

[HematYar]

والا منم چنین مشکلی رو داشتم با تفاوت اینکه ویروسی که من داشتم در فایل های هاست هیچ مشکلی به وجود نمی اورد و فقط دیتابیس رو آلوده کرده بود . با نرم افزار Malwarebyte هم سیستم رو اسکن کردم هم فایل های هاست رو اما چیزی شناسایی نمیشد و فقط انتی ویروس هاست ( ClamAV ™ ) فایل بک اپ دیتابیس رو ویروسی شناسایی میکرد .

حتی تیبل هایدیتابیس رو تک تک اسکن کردم با همون ClamAV اما هیچی چیزی شناسایی نمیکرد و فقط فایل دیتابیس یعنی مجموعه تیبل ها رو ویروسی شناسایی میکرد .

تحقیق که کردم متوجه چند چیز شدم . یکی اینکه این ویروس امکان داره از طریق نر مافزار FTP وارد هاست بشه و روی دیتابیس بشینه . بعضی از نسخه های Cute Ftp که کرک میشه این مشکل رو داره .

یا اینکه از طریق سرور منتقل بشه که اینم من چندین بار حتی با دیتابیس سالم و عاری از هر گونه مشکلی روی سرور های متعددی چک کردم اما بعد از مثلا" 4 روز به طرز مشکوکی دوباره آلوده میشد !

بازم بررسی کردیم و متوجه شدیم که این موارد به عنوان False Positive Detection عنوان میشه و مربوط به اشتباهات تشخیص نرم افزار هست . اما بازم قطعیتی نیست که بگیم دقیقا" مشکل این هست !

[meisam222]

شما فایل های config.php یا configuration.php و index.php سایت و چک کردید کدی php که اولش این هست :

کد:

 <?php eval(base64_decode

بهشون اضافه نشده ؟ فایل های جاوا چطور ، اسکریپت یا iframe ناشناسی به آخرشون اضافه نشده ؟
آیا گوگل سایت شما رو سایت خطرناک معرفی می کنه ؟

این Malware علاقه زیاد برای قرار گرفتن در پوشه ها tmp و ثبت وقایع سایت و هاست داره تا بعد از کلی تلاش شما در حذفش ، مجدد از روی خودش نمونه بسازه و در هاست تزریق کنه

* وقتی به هاست نفوذ می کنه هدفش کل هاست هست نه سایت اصلی تان ٫ یعنی تمام زیر دامنه ها و فولدر هایی که شامل فایل های php هست و آلوده می کنه *

--شما Table‌ session رو در دیتابیس فعلی خالی کنید ( فقط محتویاتش رو ) و از کل دیتابیس Backup بگیرید و حالا دیتابیس جدیدی بسازید و بک آپی که گرفته بودید توش ایمپورت کنید

حالا مشخصات جدید در فایل config سایت وارد کنید

اینم باید اضافه کنم من ابتدا وقتی مشکل و فهمیدم و می خواستم حذف کنم شروع کرد به برداشتن کدها و حذف فایل های آلوده ،‌کلی وقت گذاشتم ولی بعد چند ساعتی دوباره روز از نو می شد ..بعد متوجه شدم این بدافزار خارج از روت و در فایلهای cpanel خونه کرده و با بررسی تک تک فایلهای Cpanel ، حتی اونهایی که اصلا فکرشم نمی کردم تونستم در چندین جا پیداش کنم

پس اومدم اولی این قسمت رو کاملا ترمیم کردم و بعد سریع اومدم کل روت سایت به جز فایلهایی که برای دانلود گذاشته بودم و پوش images ( البته قبلش اون فایل imggif.php و index.htm رو از توش پاک کردم )

پاک کردم و آخرین نسخه مدیریت محتوا ر ا به هاست انتقال دادم و اکستراکت کردم و شروع کردم به نصب و پس از نصب به PHPMyadmin رفتم و بعد از پاک کردن تمام Table های جدید ، بک آپی که قبلا از دیتابیس داشتم رو توش import کردم ... حالا 2 روزی هست که مشکل و حل کردم و امروز گوگل سایتم را ایمن تشخیص داد

[HematYar]

تمام این راهی که شما رفتید رو بنده چندین بار رفتم ولی بعد از حدود 4 روز تا یک هفته دوباره مشکل قبلی به وجود میومد ! حتی چندین بار سرور ور عوض کردم و یا هاست رو ریست کردم اما بازم ....

ولی جالب اینجا بود که حتی گوگل هم سایت رو مخرب شناسایی نکرد !

هیچ کدوم از انتی ویروس ها هم نتونستن اون ویروسی که ClamAV شناسایی میکرد رو شناسایی کنند !

[meisam222]

بدافزاری که سایت ما دچارش شده بودیم ٫ طبق تحقیقی که کردم هدف هاشو به صورت رندمی بین سایت های که بازدیدکننده دارند ٫ انتخاب می کرد ، از کوچک ترین باگ احتمالی برای inject کردن کد در فایلهای مورد علاقه استفاده می کرد

اگر سایت شما از طرف گوگل به عنوان سایت خطرناک شناسایی نشد به طور حتم سایت شما با ویروس gambular و یا خانواده این بدافزار ، آلوده نشده ،.. شاید هم همون خطای نرم افزاری در تشخیص باشه یا یک نوع از هک از طرف شخصی که هدف مشخصه اش سایت شما است ..

در هر صورت دوستان عزیز ؛

-- آیا در حل این مشکل شرکت وب هاستینگ هیچ مسئولینی ندارد؟

-- آیا نباید Backup هفتگی از سایت داشته باشند ؟

-- نظر شما در تغییر شرکت هاستینگ چیه ؟ ا( لبته من تا قبل این جریان ازشون رضایت نسبتا خوبی داشتم)

منتظرم ..

ممنون از راهنمایی

[meisam222]

نظری ندارید ؟

- یعنی همه چی درست بود و مقصر 100% ی این جریان خودم بودم ؟!

- من الان چندین ساله سایت دارم و 2 تا از سایتهام با رنک 4 از گوگل و الکسای خوب فعالند ... تواین چندساله هک نشده بودم ( سعی کردم تمام نکات امنتی رو رعایت کنم )

حالا می خوام با پی بردن به علت جریان ؛ رفع نقص کنم وگرنه هیچ قصد دیگری ندارم

[HematYar]

در حقیقت نمیشه گفت مقصر کی هست . چون امکان داره این ویروس از طریق خودتون به هاست انتقال داده شده باشه و یا اینکه از سایت های دیگه روی سرور منتقل شده به سایت شما ....

بک اپ هفتگی هم دیگه بستگی به کیفیت و خدمات هاستینگ مربوطه داره . ( شما کجا میزبانی میشید در حال حاضر ؟ )

منم تو این جریانات 3 تا سرور عوض کردم ولی بازم مشکل پیش اومد . سیستم خودمم که کامل کامل اسکن شده و بدون مشکل بود . حالا دوباره چرا این طور شد رو خدا میدونه . که بهتر است بزاریم به حساب همون تشخیص اشتباه نرم افزار . چون اخرشم نفهمیدیم مشکل از کجا بود و چرا و ....

حتی من با چندت ا از متخصص های امنیتی هم صحبت کردم ولی چیزی دستگیرشون نشد که نشد !

تو این شرایط که نه نرم افزار میتونه بگه مشکل کجاس چون نمیتونه تشخیص بده ویروس رو , نه متخصص امنیتی میتونه بگه جریان چیه , و همه چیز هم از نظر امنیتی اوکی هست , دیگه به کجا میشه شک کرد و بررسی کرد ؟ اونجاهایی هم که شما گفتین رو من چک کردم هیچ اثری از اون چیزایی که شما گفتین وجود نداشت .

همیشه سعی کنید جای معتبر و مطمین از همه لحاظ میزبانی بشید . حتی اگر قراره خیلی بیشتر پول بدید . البته اگر سایتتون براتون ارزش داشته باشه .

یا علی