النتائج 1 إلى 6 من 6

الموضوع: كود غريب في كافة ملفات php على السيرفر

  1. #1
    مُجَاهِد سابقاً
    تاريخ التسجيل
    Apr 2004
    المشاركات
    12,000

    كود غريب في كافة ملفات php على السيرفر



    السلام عليكم ..

    وجدت سبام غير طبيعي من خلال السيرفر، تواصلت مع الشركة واخبروني بمصدر السبام، الغريب انه لا يوجد احد غيري يدير الموقع.
    ايضاً لاحظت اختفاء بعض الملفات من السيرفر، ظننت ان المشكلة من خلال سيرفر قواعد البيانات mysql، بعد الفحص واستعادة باك اب، عمل الموقع بدون مشاكل، لاحظت شيء غريب وهو وجود مثل هذا الكود في كافة ملفات php على السيرفر

    لا ادري اذا مرت على احد نفس المشكلة؟؟





    __________________
    استخدم خاصية تنبيه المشرفين للضرورة وعند ملاحظة موضوع يخالف قوانين منتديات سوالف وسيتم مراجعة الموضوع او المشاركة المبلغ عنها على الفور


  2. #2
    مُجَاهِد سابقاً
    تاريخ التسجيل
    Apr 2004
    المشاركات
    12,000


    احد الحلول الذي وجدته عند بحثي عن نفس الكود..

    How to fix a hacked WordPress site with code injected on top of every PHP file

    لم اجرب الحل، من يعطينا شرح الكود الحل؟؟ مثلا الامر المستخدم اريد شرحة حتى لا يكون هنالك اي سلبيات للأمر.





    __________________
    استخدم خاصية تنبيه المشرفين للضرورة وعند ملاحظة موضوع يخالف قوانين منتديات سوالف وسيتم مراجعة الموضوع او المشاركة المبلغ عنها على الفور

  3. #3
    عضو فعال جدا
    تاريخ التسجيل
    Mar 2008
    المشاركات
    2,485


    الرابط ليس له علاقه بالموضوع في اعتقادي ولكن اضف الملف هنا والكود والمشكله وضح اكثر اخي الكريم






  4. #4
    مُجَاهِد سابقاً
    تاريخ التسجيل
    Apr 2004
    المشاركات
    12,000


    مرحباً أخي، المعذرة المشرف قام بحذف الكود، لان مكافح الفيروسات يعتبره كود خبيث.

    مرفق صورة من الكود:
    الاســـم:	php.jpg
المشاهدات: 431
الحجـــم:	1.00 ميجابايت





    __________________
    استخدم خاصية تنبيه المشرفين للضرورة وعند ملاحظة موضوع يخالف قوانين منتديات سوالف وسيتم مراجعة الموضوع او المشاركة المبلغ عنها على الفور

  5. #5
    عضو جديد
    تاريخ التسجيل
    May 2007
    المشاركات
    2

    Icon1 البحث عن مصدر اللسبام بسيرفرك



    اهلا وسهلا بك اخوي
    ببساطة يمكنك معرفة مصدر spam من خلال تنفيذ الأمر التالي من الشيل

    كود:
    grep cwd=\/home\/ /var/log/exim_mainlog | cut -d' ' -f3 | sort -n | uniq -c; grep X-PHP-Script /var/spool/exim/input/*/*-H | awk '{print $3}' | sort | uniq -c | sort -nr;
    سيعرض اليك هذا الكود مسارات الارسال وبجوار كل مسار ستجد عدد الايميلات بالشكل التالي

    كود:
          1 cwd=/home/alel
          1 cwd=/home/all/vb
          4 cwd=/home/dall/vb
         59 cwd=/home/fol/vb
        239 cwd=/home/kml/vb
          1 cwd=/home/ml/vb
         60 cwd=/home/prl
     105460 cwd=/home/protvntyfourteen
         14 cwd=/homic
          2 cwd=/home/shml/vb
         24 cwd=/home/sese
       4690 cwd=/home/bbe
    هذا على سبيل المثال وستجد ان أكبر مسار يصدر منه ايميلات حسب المذكور اعلاه هو

    كود:
     105460 cwd=/home/protvntyfourteen
    توجه لهذا المسار وقم بفحص كافة ملفات البرمجة .php ان وجدت واحذف الملفات التي لا تعرفها

    يجب عليك فحص سيرفرك باستخدام maldet

    لمعرفة المزيد عن كيفية تنصيبه واعداده اتبع الشرح في الرابط التالي

    http://www.traidnt.net/vb/traidnt2024488/









  6. #6
    عضو جديد
    تاريخ التسجيل
    Apr 2010
    المشاركات
    4


    ببساطة
    الكود الظاهر هو عبارة عن Shell Inj يحقنه الهكر لكي يعود الى الموقع يوما ما
    الحلول تفحص الملفات و احذف الكود بقراءة Log الخاص بك و لا تنسى فحص لوحات التحكم سيبانل و whm و غيرها
    لانو في عدة طرق لعمل rootkit لاختراق السيرفر مجددا

    بالتوفيق لك





    __________________
    المصمم جعفر
    MR.DJAFER DESIGN





ضوابط المشاركة

  • لا تستطيع إضافة مواضيع جديدة
  • لا تستطيع الرد على المواضيع
  • لا تستطيع إرفاق ملفات
  • لا تستطيع تعديل مشاركاتك
  •  
0
أضف موقعك هنا