تروجان بر روی سرور

[hamid2day]

هاست من از چند روز قبل دچار خرابی شد
از گوگل وب مستر ایمیل اومده دو تا تروجان روی سرور هست
من هر چی میگردم چیزی نیست.
هر چند ساعت خودشود در یک فایل نشون میده و سایت ریراکت می کنه روی سایت های بدافزار
امروز از طریق گوگل مسدود شدم و اعلان این سایت موجب آلوده شدن هستو میده
جالب اینجاست توی htaccess چند سایت دیگه کپی میشه و هر وقت من پاک می کنم بعد از چند دقیقه باز کد ها درونش هست.
گوگل این توضیحاتو برای من می فرسته
StopBadware - Tips for Cleaning & Securing Your Website

جالب اینجاست در صفحاتی هست که من اصلا آپدیتی نداشتم و قبلش به خوبی کار می کرد.

حالا مشکل چه جوری باید بر طرف کنم.

[Reza.exe]

احتمالا سیستم شما ویروسی هست و همین عامل سبب دسترسی شخصی دیگر به هاست شما شده که توانسته صفحات را الوده کنه
ب

[hamid2day]

سیستم را اسکن کردم و پسبورد را عوض

[najvahost]

معمولا این مشکل در فایلهای index.php وجود دارد.
لطفا خط آخر این فایلها را بررسی کنید و حذف کنید و سپس سطح دسترسی تمام فایلهای PHP که نیاز به بروز رسانی خودکار ندارند را 400 کنید.
مشکل رفع خواهد شد.

موفق باشید

---------- Post added at 10:47 AM ---------- Previous post was at 10:46 AM ----------

لطفا رمز عبور هاست خود را تغییر دهید.
تمام دسترسی های ftp را حذف کنید.

[best74op]

پیشنهاد می کنم، اگه مطمئنید که کامپیوتر شخصیتون ویروسی نیست،

- کل اسکریپت + فایلهای PHP + Html + htaccess رو از روی هاست پاک کنید. (مطمئن بشید که فایلهای Hidden هم پاک بشه)

- اسکرپیت رو مجدداً از سایت اصلیش دانلود و آپلود کنید.

- اسکرپیت رو به دیتابیس وصل کنید. (به نظر من نیازی به پاک کردن دیتابیس نیست.)

[hamid2day]

تمام صفحات استاتیک هست.
و با پسوند HTML - htm
جالبتر اینکه مثلا امروز در فایل iran.hrm هست. بررسی می کنم می ببینم داخل کد چیزی نیست.پاک می کنم کل فایلو..بعد از چند ساعت میره روی فایل teh.htm هی می چرخه.
هر چقدر htaccess پاک می کنم ساخته میشه محتویاتش را پاک می کنم باز کد های داخلش ظاهر میشه
اینو گوگل وب مستر معرفی می کنه میگه راهنمایی هاشو بخون من سر در نمیارم

How to remove "This site may harm your computer" from Google search results

[best74op]

اون مقاله رو کامل خوندم. واقعاً مقاله جامعی بود.

خلاصه:
ممکنه ویروس از طرف کامپیوتر شما به صفحات تزریق شده باشه؛ یا ممکنه از طرف سرور وارد شده باشه. به فرض اینکه شما فقط صفحات استاتیک دارید و هیچ اسکریپت دینامیکی رو سایتتون نیست، این کارها رو انجام بدید:

الف) ابتدا مشخص کنید که تروجان به چه شکل روی صفحات شما تاثیر گذاشته. یعنی به بعضی از صفحات شما به صورت رندم، کد جاوااسکریپت یا فریم اضافه کرده؟

=========================

ب) مشخص کنید که سرور هاستتون چیه؟ ویندوز یا لینوکس؟ (احتمالاً لینوکس است)

=========================

پ) قدم اول فرض بر این می گیریم که ویروس از طریق کامپیوتر شخصیتون، کدها رو به صفحات تزریق کرده باشه بنابراین:
- ابتدا مطمئن بشید که کامپیوتر شخصیتون ویروسی نیست. (اگه بتونید ویندوز رو عوض کنید که خیلی بهتره)

- کل صفحات استاتیک رو روی سرور زیپ کنید. سپس فایل زیپ رو روی کامپیوترتون دانلود کنید.

- حالا اینترنتتون رو دیسکانکت کنید.

- تمام صفحات استاتیک رو یک به یک با برنامه های ویرایش متن مانند ++notepad یا دریم ویور باز کنید و به دنبال کد مخرب بگردید و اونو پاک کنید و صفحه رو ذخیره کنید. (پاسخ قسمت الف رو بدید تا بهتر بگم دنبال چی بگردید. ولی عموماً کدهای مخرب در تگ های iframe , script , embed , meta خودشون رو تزریق می کنند.)

- بعد از بررسی تمام فایل ها و پاکسازی کدهای مخرب، تمامی صفحات رو مجدداً زیپ (و نه RAR) کنید.

- حال به اینترنت متصل بشید و به هاستتون لاگین کنید. سپس تمامی فایل های موجود روی هاستتون رو کامل پاک کنید، حتی سطل آشغال سرور (Trash) رو هم پاک کنید. توجه خیلی مهم: فایل .htaccess رو که مخفی است رو حتماً پاک کنید.

- پسورد اکانت های FTP و هاستتون رو تغییر بدید.

- دو صفحه HTML ساده با نام index.html و te.html با محتوای زیر بسازید و روی هاستتون آپلود کنید.

کد:

(!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd")
(html)

(head)
(script type="text/javascript" src="http://l.yimg.com/a/combo?metro/g/uicontrib/yui/yui_3.4.0.js")(/script)

(script type="text/javascript")
var SESSIONURL = "";
(/script)

(meta http-equiv="Content-Type" content="text/html; charset=UTF-8;charset=utf-8" /)
(link rel="stylesheet" type="text/css" href="test.css" /)

(style type="text/css")
.brTag1 {
  height: 0px;
  font-size: 0px;}
(/style)
(title)TEST PAGE(/title)
(/head)

(body)
(div class="test")
(p align="center")TEST(/p)
(a href="http://www.google.com")Google(/a)
(/div)
(/body)
(/html)

نمیشه کد HTML اینجا گذاشت! علائم زیر رو جایگزین کنید:
به جای ( علامت

- روی هاستتون فایلی با نام .htaccess ایجاد کنید. (چیزی داخلش وارد نکنید)

- اگه میتونید چند ساعت هاست رو به همین حال (بدون صفحات Html) رها کنید. و به اصطلاح بگذارید سایتتون داون باشه. بعد از چند ساعت مجدداً به هاستتون لاگین کنید و بررسی کنید که کد مخربی به دو صفحه بالا اضافه شده یا نه؟ و همچنین بررسی کنید تغییری در .htaccess ایجاد شده یا خیر؟

- اگه کد مخرب اضافه نشده بود، فایل زیپ حاوی فایلهای پاکسازی شده روی کامپیوترتون رو به هاستتون منتقل کنید و اونو اکسترکت کنید.

(پ.ن: البته به علت اینکه ممکنه به ایمیل ها و آمار سایتتون احتیاج داشته باشید، نگفتم که پوشه های tmp و ایمیل و آمار سایت رو پاک کنید.)

=========================

ت) ممکنه تروجان از روی سرور کدها رو تزریق کرده باشه. که بعد از اینکه مراحل بالا رو انجام دادید و اگه دوباره کدهای مخرب ظاهر شدند، باید بعد از چند تست دیگه، اگه مشکل حل نشد، از طریق مدیر سرور پیگیری کنید.

[hamid2day]

بله این سایت واقعا عالی هست
چرا که هم گوگل پیشنهاد می کنه مرور بشه و هم مدیریت سرور پیشنهاد اینو داد

دقیق در مورد همه چی توضیح داده
25YearsofProgramming.com - Open source programs, databases, spreadsheets, macros

و حالبتر اینکه شما هم به خوبی ترجمه کردید...
ترجمه شما را باید اجرا کنم.

[abolfazlgoodarzi]

هاست من از چند روز قبل دچار خرابی شد
از گوگل وب مستر ایمیل اومده دو تا تروجان روی سرور هست
من هر چی میگردم چیزی نیست.
هر چند ساعت خودشود در یک فایل نشون میده و سایت ریراکت می کنه روی سایت های بدافزار
امروز از طریق گوگل مسدود شدم و اعلان این سایت موجب آلوده شدن هستو میده
جالب اینجاست توی htaccess چند سایت دیگه کپی میشه و هر وقت من پاک می کنم بعد از چند دقیقه باز کد ها درونش هست.
گوگل این توضیحاتو برای من می فرسته
StopBadware - Tips for Cleaning & Securing Your Website

جالب اینجاست در صفحاتی هست که من اصلا آپدیتی نداشتم و قبلش به خوبی کار می کرد.

حالا مشکل چه جوری باید بر طرف کنم.

سلام. ابتدا فایل های جاوااسکریپت خود رو دوباره آپلود کنید و دسترسی آن ها رو کمتر کنید.
فایل های HTML رو چک کنید و از پیوست نشدن Iframe و فایل جاوااسکریپت اضافه مطمئن بشید.
به گوگل گزارش بدید که مشکل حل شده!