السلام عليكم
اخوتي في سوالف ارجو المساعدة
لدي في سكربت الوورد بريس الخاص بموقعي
هذا الفايروس يظهر في مكافح الفيروسات كاسبر سكاي
+
زواري قلوا بنسبة معينة
بحثت عن الكود في هذا الموضوع
http://www.swalif.net/softs/swalif54/softs309638/
ولم اجده
| |
السلام عليكم
اخوتي في سوالف ارجو المساعدة
لدي في سكربت الوورد بريس الخاص بموقعي
هذا الفايروس يظهر في مكافح الفيروسات كاسبر سكاي
+
زواري قلوا بنسبة معينة
بحثت عن الكود في هذا الموضوع
http://www.swalif.net/softs/swalif54/softs309638/
ولم اجده
والله نفس المشكلة عندي !
عندي Microsoft Internet Security
ما اعرف المشكلة, احترت !
__________________
مدونتي: المظفر بالله
لم يجعل الله لك الاختيار في جنسيتك او على أي ارض تولد, ولا في عروبتك, لكن ترك لك الاختيار في دينك, فدعك من العصبية الجاهلية على أساس الجنسية او العروبة, فالفضل بينكم بالتقوى.
اخي منير .
ابحث في ملف function و ملف setting و دائما ما تكون التعديلات و الاضافات في نهاية الملف .
و ان شاء الله تحصلها .
او لو سوي عرض للملفات حسب اخر تاريخ للتعديلات . و راح يظهر لك الملفات التي تم اختراقها و التعديل عليها .
خالص الود
__________________
العاب
العاب سبونج بوب العاب اكشن العاب بن 10 العاب دورا
اللهم اشفي امي و عافها يارب العالمين انك قدير علي كل شئ .
__________________
مدونتي: المظفر بالله
لم يجعل الله لك الاختيار في جنسيتك او على أي ارض تولد, ولا في عروبتك, لكن ترك لك الاختيار في دينك, فدعك من العصبية الجاهلية على أساس الجنسية او العروبة, فالفضل بينكم بالتقوى.
الفيروس Trojan.JS.Redirector.ux له أكثر من مسمى حسب نوع برنامج المكافح
هذا تقرير عن الفيروس وقائمة بالمكافحات التي كشفته
https://www.virustotal.com/file/bc98...21c1/analysis/
أحد الذين أصيبو بالفيروس وجد المشكلة في الملف functions.php
حيث كان في محتواه كود مشبوه
يقوم هذا الملف بإظهار كود javascript ضار في الفوتر
عليك التأكد من سلامة ملفات موقعك
أحد المكافحات التي أكتشفت الفيروس كما ترى في الرابط السابق مكافح أسمه ClamAV
وهذا المكافح قد تجده في لوحة السيبنل وقد لاتجده حيث أنه لايأتي تلقائيا بل على مدير السيرفر تركيبه
عموما إذا كان موجود ستجده داخل اللوحة بهذا الشكل
أضغط عليه حتى يعمل سكان لملفات موقعك ويحدد لك بالضبط أين يوجد الكود
التعديل الأخير تم بواسطة alotaiby ; 01-04-2012 الساعة 05:48 PM
فعلاً وجدت الكود كما هو موجود في الصورة !الفيروس Trojan.JS.Redirector.ux له أكثر من مسمى حسب نوع برنامج المكافح
هذا تقرير عن الفيروس وقائمة بالمكافحات التي كشفته
https://www.virustotal.com/file/bc9896f623e71e89c4669cbc57781bb3521c642288496bcec0703a9a094021c1/analysis/
أحد الذين أصيبو بالفيروس وجد المشكلة في الملف functions.php
حيث كان في محتواه كود مشبوه
يقوم هذا الملف بإظهار كود javascript ضار في الفوتر
عليك التأكد من سلامة ملفات موقعك
أحد المكافحات التي أكتشفت الفيروس كما ترى في الرابط السابق مكافح أسمه ClamAV
وهذا المكافح قد تجده في لوحة السيبنل وقد لاتجده حيث أنه لايأتي تلقائيا بل على مدير السيرفر تركيبه
عموما إذا كان موجود ستجده داخل اللوحة بهذا الشكل
أضغط عليه حتى يعمل سكان لملفات موقعك ويحدد لك بالضبط أين يوجد الكود
حذفته , واعدت تركيب المدونة الياً من اللوحة, لنرى ما ان كان سيعود او لا
وهذا رابط ممكن يفيد : http://wordpress.org/support/topic/c...recting-trojan
التعديل الأخير تم بواسطة المظفر بالله ; 02-04-2012 الساعة 01:00 PM
__________________
مدونتي: المظفر بالله
لم يجعل الله لك الاختيار في جنسيتك او على أي ارض تولد, ولا في عروبتك, لكن ترك لك الاختيار في دينك, فدعك من العصبية الجاهلية على أساس الجنسية او العروبة, فالفضل بينكم بالتقوى.
نفس المشكله والى الان قاعد ادور
واكثر من مدونه ضربت عندي بسببه
__________________
Host.jo
screen -ls Love You
مهندس برمجيات
ماجستير نظم امن وحمايه المعلومات
الحمدلله عرفنا أين يوجد الكود الضار بالضبط
والأمر الآخر
نريد نقاش حول مصدر دخول الكود الضار إلى ملفات الموقع
عندي أكثر من أحتمال سأذكرها بعدما أشوف آرائكم
المشكله صارت معاي من اسبوعين تقريباً
حطيت الحل لها في مدونتي + اللي حلوا المشكله الهوست نفسه ماقصروا (تقدر تكلم الاستضافه اللي راكب عليها موقعك واهما يحلون المشكله بدون مقابل، استضافتي HostGator بنفس اليوم نظفوا الملفات من هالكود الخبيث)
وهذا الحل
http://www.q8ieng.com/?p=1657
بالتوفيق
__________________
سبحان الله وبحمده
> "كتبي، لعلها تفيدك!" *جديد
> "مدونتي، تصويري.." | LaZqA
ماذكرناه فيما سبق مجرد حلول للمشكلة
لكن لو بحثنا عن مسبب المشكلة
وقلنا من اللذي أدخل الكود الضار في المدونه؟
وعلى فكرة أنا باحث في مجال الأمن المعلوماتي وأملك قدرة عالية في الإختراق والوقاية منه
وهذه ثلاثة فروض إحتمالية من عندي لسبب المشكلة الأساسي:-
الفرضية الأولى: وجود ثغرة في السيرفر تجعل المهاجم يتمكن من تشغيل أداة داخل السيرفر تقوم بالبحث في مساحات المواقع المستضافة عن ملف functions.php وتزرع الكود الضار فيها تلقائيا .
الحدث الذي يدعم هذه الفرضية: من هنا
الفرضية الثانية: إحتمال أن يكون برنامج FTP المستخدم لرفع الأسكربت والبلوجنز محقون بأكواد ضارة تحقن نفسها تلقائيا في ملفات المواقع التي يتم الإتصال بها بالبرنامج .
الحدث الذي يدعم هذه الفرضية: من هنا
ذكر في الرابط أنه البرنامج يقوم بحقن كود لجلب صفحة ضارة داخل صفحة موقعك وذلك بإستخدام وسم iframe
الفرضية الثالثة: أحد ملفات الـ Plugins أو القوالب المستخدمه في الووردبرس يحتوي على أوامر تقوم بتحرير الملف functions.php وإضافة الكود الضار
يلاحظ دائما أ كثير من إضافات الووردبرس تكون مشفرة تشفيرة قوية تجعل الكود غير مفهوم
أنا أعتقد ربما يكون بعضها محتواه هكذا
كل الفرضيات السابقة جبتها من عندي وصدق أحدها أو عدمه علمه عند اللهكود PHP:eval(gzinflate(base64_decode('أوامر تقوم بحقن الكود الضار في ملفات موقعك')));
التعديل الأخير تم بواسطة alotaiby ; 02-04-2012 الساعة 11:21 PM
صارت معي من فترة طويلة، والسبب أني قمت برفع ملفات من برنامج FileZilla من جهاز صديقي وكان كل مرة أشيل الكود يرجع بسبب حفظ الفيروس لكلمة سر لوحة تحكمي، ما نفذته هو تغيير كلمة مرور لوحة التحكم ودخلت على مدير الملفات من خلال المتصفح وليس من خلال برامج وما رجع.
للأسف مشكلتها بالنسبة لي كانت بسيطه وعن عدم مبالاة..
كنت أدري ان جهازي رفيجي مصاب بالفيروسات بل بالملايين منها!! ولكنني قمت بالدخول الى لوحة تحكم الووردبريس وبدأت بكتابة موضوع بسيط ثم حفظته بالـDraft
وبعدها، يالله حيّه الكود الخبيث :funny:
حسب كلام الاستضافه ان "تم معرفة رقمي السرّي" للوحة التحكم.. وكنت متيقن انها من جهاز صاحبي، حيث الفايروسات ترثع به بلا حسيب ولا رقيب
__________________
سبحان الله وبحمده
> "كتبي، لعلها تفيدك!" *جديد
> "مدونتي، تصويري.." | LaZqA
إضافات مهمه
إضافات وورد بريس للتشييك على هالاكواد الخبيثة
http://wordpress.org/extend/plugins/tac/
و
http://wordpress.org/extend/plugins/exploit-scanner/
مشكورين اخوتي
تم استبدال الملفات وتظهر لي انها اختفت
علماً بأن الكثير من الاكواد المذكورة لم اجدها في الملفات
حصلت معي قبل ذلك في موقع لعميل
وكانت المشكلة في ملف single.php
أيّ :: ان الكود ليس شرطا ً أن يكون في ملف function.php ..
__________________
لا اله الا الله . . . محمّد رســول الله
ضوابط المشاركة
رد مع اقتباس
المشاركة الأصلية كتبت بواسطة alotaiby 
