پاسخ : تروجان بر روی سرور
اون مقاله رو کامل خوندم. واقعاً مقاله جامعی بود.
خلاصه:
ممکنه ویروس از طرف کامپیوتر شما به صفحات تزریق شده باشه؛ یا ممکنه از طرف سرور وارد شده باشه. به فرض اینکه شما فقط صفحات استاتیک دارید و هیچ اسکریپت دینامیکی رو سایتتون نیست، این کارها رو انجام بدید:
الف) ابتدا مشخص کنید که تروجان به چه شکل روی صفحات شما تاثیر گذاشته. یعنی به بعضی از صفحات شما به صورت رندم، کد جاوااسکریپت یا فریم اضافه کرده؟
=========================
ب) مشخص کنید که سرور هاستتون چیه؟ ویندوز یا لینوکس؟ (احتمالاً لینوکس است)
=========================
پ) قدم اول فرض بر این می گیریم که ویروس از طریق کامپیوتر شخصیتون، کدها رو به صفحات تزریق کرده باشه بنابراین:
- ابتدا مطمئن بشید که کامپیوتر شخصیتون ویروسی نیست. (اگه بتونید ویندوز رو عوض کنید که خیلی بهتره)
- کل صفحات استاتیک رو روی سرور زیپ کنید. سپس فایل زیپ رو روی کامپیوترتون دانلود کنید.
- حالا اینترنتتون رو دیسکانکت کنید.
- تمام صفحات استاتیک رو یک به یک با برنامه های ویرایش متن مانند ++notepad یا دریم ویور باز کنید و به دنبال کد مخرب بگردید و اونو پاک کنید و صفحه رو ذخیره کنید. (پاسخ قسمت الف رو بدید تا بهتر بگم دنبال چی بگردید. ولی عموماً کدهای مخرب در تگ های iframe , script , embed , meta خودشون رو تزریق می کنند.)
- بعد از بررسی تمام فایل ها و پاکسازی کدهای مخرب، تمامی صفحات رو مجدداً زیپ (و نه RAR) کنید.
- حال به اینترنت متصل بشید و به هاستتون لاگین کنید. سپس تمامی فایل های موجود روی هاستتون رو کامل پاک کنید، حتی سطل آشغال سرور (Trash) رو هم پاک کنید. توجه خیلی مهم: فایل .htaccess رو که مخفی است رو حتماً پاک کنید.
- پسورد اکانت های FTP و هاستتون رو تغییر بدید.
- دو صفحه HTML ساده با نام index.html و te.html با محتوای زیر بسازید و روی هاستتون آپلود کنید.
نمیشه کد HTML اینجا گذاشت! علائم زیر رو جایگزین کنید:کد:(!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd") (html) (head) (script type="text/javascript" src="http://l.yimg.com/a/combo?metro/g/uicontrib/yui/yui_3.4.0.js")(/script) (script type="text/javascript") var SESSIONURL = ""; (/script) (meta http-equiv="Content-Type" content="text/html; charset=UTF-8;charset=utf-8" /) (link rel="stylesheet" type="text/css" href="test.css" /) (style type="text/css") .brTag1 { height: 0px; font-size: 0px;} (/style) (title)TEST PAGE(/title) (/head) (body) (div class="test") (p align="center")TEST(/p) (a href="http://www.google.com")Google(/a) (/div) (/body) (/html)
به جای ( علامت
- روی هاستتون فایلی با نام .htaccess ایجاد کنید. (چیزی داخلش وارد نکنید)
- اگه میتونید چند ساعت هاست رو به همین حال (بدون صفحات Html) رها کنید. و به اصطلاح بگذارید سایتتون داون باشه. بعد از چند ساعت مجدداً به هاستتون لاگین کنید و بررسی کنید که کد مخربی به دو صفحه بالا اضافه شده یا نه؟ و همچنین بررسی کنید تغییری در .htaccess ایجاد شده یا خیر؟
- اگه کد مخرب اضافه نشده بود، فایل زیپ حاوی فایلهای پاکسازی شده روی کامپیوترتون رو به هاستتون منتقل کنید و اونو اکسترکت کنید.
(پ.ن: البته به علت اینکه ممکنه به ایمیل ها و آمار سایتتون احتیاج داشته باشید، نگفتم که پوشه های tmp و ایمیل و آمار سایت رو پاک کنید.)
=========================
ت) ممکنه تروجان از روی سرور کدها رو تزریق کرده باشه. که بعد از اینکه مراحل بالا رو انجام دادید و اگه دوباره کدهای مخرب ظاهر شدند، باید بعد از چند تست دیگه، اگه مشکل حل نشد، از طریق مدیر سرور پیگیری کنید.
پاسخ با نقل قول