محبوبترینها
نمایش جنگ دینامیت شو در تهران [از بیوگرافی میلاد صالح پور تا خرید بلیط]
9 روش جرم گیری ماشین لباسشویی سامسونگ برای از بین بردن بوی بد
ساندویچ پانل: بهترین گزینه برای ساخت و ساز سریع
خرید بیمه، استعلام و مقایسه انواع بیمه درمان ✅?
پروازهای مشهد به دبی چه زمانی ارزان میشوند؟
تجربه غذاهای فرانسوی در قلب پاریس بهترین رستورانها و کافهها
دلایل زنگ زدن فلزات و روش های جلوگیری از آن
خرید بلیط چارتر هواپیمایی ماهان _ ماهان گشت
سیگنال در ترید چیست؟ بررسی انواع سیگنال در ترید
بهترین هدیه تولد برای متولدین زمستان: هدیههای کاربردی برای روزهای سرد
در خرید پارچه برزنتی به چه نکاتی باید توجه کنیم؟
صفحه اول
آرشیو مطالب
ورود/عضویت
هواشناسی
قیمت طلا سکه و ارز
قیمت خودرو
مطالب در سایت شما
تبادل لینک
ارتباط با ما
مطالب سایت سرگرمی سبک زندگی سینما و تلویزیون فرهنگ و هنر پزشکی و سلامت اجتماع و خانواده تصویری دین و اندیشه ورزش اقتصادی سیاسی حوادث علم و فناوری سایتهای دانلود گوناگون
مطالب سایت سرگرمی سبک زندگی سینما و تلویزیون فرهنگ و هنر پزشکی و سلامت اجتماع و خانواده تصویری دین و اندیشه ورزش اقتصادی سیاسی حوادث علم و فناوری سایتهای دانلود گوناگون
آمار وبسایت
تعداد کل بازدیدها :
1828830235
مواظب ویروس باشید (مهم ) -
واضح آرشیو وب فارسی:سایت ریسک: مواظب ویروس باشید (مهم ) foranyone 27 مهر 1388, 15:03سلام حدود چند سالی هست که یک ویروس سرورها و وبسایت ها رو آلوده میکنه و معمولا به خاطر وجود باگ در CMS ها این قضیه اتفاق می افته . در این پست قصد دارم راجع به این ویروس و تجربیاتی که تو این زمینه بدست آوردم صحبت کنم ، امیدوارم مفید باشه . اساس عملکرد : داخل پوشه ی images یک فایل ساخته میشه به اسم gifimg.php ( البته معمولا به این نام ) داخل این فایل یک کد php وجود داره که با base64 کدگزاری شده محتوای ساده ای داره ! متغیر $_POST[e] براش ارسال میشه ( یعنی هر کدی ممکنه برا این فایل سند شه و آدم رو بدبخت کنه . چون در عمل یک کد ساده php نوشته شده متاسفانه قوی ترین آنتی ویروس های سرور هم نمیتونن تشخیصش بدن! بعد از یه مدت به ابتدا ی اکثر فایل های یک تکه تک جاوااسکریپت یا php اضافه میشه که دو کار تا الان دیدم باهاش انجام میدن : اولی اضافه شدن یک iframe به سایت شما (شاید به قصد افزایش بازدیدشون با تکنیک ویروسی) دومی : دانلود شدن یک فایل ویروسی به کامپیوتر بازدید کننده و ویروسی شدن کامپیوتر . حالا اگه این کاربر طراح وب باشه و به FTP مشتریهاش مدام کانکت شه مشتری ها هم در معرض آلوده شدن هستند . در ضمن کاربرایی که آنتی ویروس دارن چون با مراجعه به سایت ویروس براشون دانلود میشه آنتی ویروس اجازه ورود به سایت نمیده ! بعد از یه مدت گوگل هم به کابرا اخطار میده اگه سایتتون مشهور باشه شدیدا ضرر میکنید. گام اول پاکسازی : وارد FTP شید و هر فایلی رو که تاریخ تغیرش با بقیه فایل ها فرق میکنه باز کنید و تکه کد اضافه شده به ابتدای فایل و انتهای فایل رو پاک کنید . گام دوم : در صورتی که مشکل حل نشد ( که معمولا با گام یک دوباره سایت آلوده میشه)، نسخه ی جدید CMS رو نصب کنید چون معمولا باگش حل شده ! یعنی همه ی فایل ها رو پاک کنید و آپلود کنید . گام سوم : همه ی پسوردها رو تغیر بدین . اگر بازم تا این مرحله مشکلتون حل نشد ! از همه چی بک آپ بگیرید به مسئول سرور بگین اکانت شما رو پاک و دوباره ایجاد کنه ! روش پیشگیری : * این ویروس در قدم اول فایل های config جاوا اسکریپت و هرفایلی که تو اسمش function یا setting یا ..... باشه رو آلوده میکنه . برنامه نویسان عزیز لطفا لهجه ی برنامه نویسیشون رو تغیر بدن چه ایرادی داره همه ی فایل ها و فولدرهامون فینگلیش نام گزاری شن ؟ ( نترسین کلاس کار نمیاد پائین ) * از پسوند js استفاده نکنید !! فایل جاوااسکریپت رو با یه پسوند دیگه نام گزاری کنید مثلا php و : <script language="javascript" type="text/javascript" src="main.php"></script> * هنگام اتصال به اف تی پی یا مدیریت سایت یا پنل هاست و .... اکیدا توصیه می شود صفحه ی دیگری باز نکنید (حتی سایت خودتان و یاهو مسنجر )چون ممکن است سایت دیگر که مشغول بازدید آن هستید سایت شما را هم ویروسی کند . ( اصلی ترین راه ویروسی شدن) * هنگام مطالعه ایمیل ها هرگز ایمیل های مشکوک یا ایمیل هایی که فرستنده ی آن را نمیشناسید باز نکنید ! و روی اسپم کلیک کنید و یا بدون خواندن آن را حذف نمائید . مطمئن باشید اگر نامه ی مهمی را اشتباهی پاک کرده باشید فرستنده ی آن دوباره با شما تماس خواهد گرفت . * روی کامپیوتر خود همیشه آنتی ویروس داشته باشید توصیه میشود از ناد سی و دو یا کسپر اسکای آخرین نسخه آپدیت شده استفاده نمایئد . در ضمن اسمارت سکیوریتی ناد خیلی قدرتمندتره . آپدیت مسمتر و روزانه آنتی ویروس شدیدا توصیه می شود . * از مرورگر اینترنت اکسپلورر استفاده نکنید به جای آن از فایرفکس نسخه ی 3.5 به بالا استفاده کنید . فایرفاکس اجازه نمی دهد شما سایت های ویروسی را باز کنید و تا حد زیادی از ویروسی شدن شما جلوگیری میکند.(البته با همکاری گوگل و نه همون لحظه ی ویروسی شدن ) *چنانچه متوجه شدید سایت شما آلوده است ، یا صفحات لود نمیشوند یا هر خطا و ارور دیگری رخ میدهد هیچ کدام از صفحات دیگر سایت را رفرش نکنید . این مسئله باعث خواهد شد تا ویروس روی صفحات دیگر سایت هم تاثیر بگذراد . از کامپیوترهای مشکوک به ویروس وارد مدیریت سایت خود نشوید . * بعد از ورود به مدیریت حتما با کلیک روی خروج از سایت خارج شوید . * حتما بعد از دانلود فایل از اینترنت یا گذاشتن سی دی در سی دی رام یا اتصال فلش مموری به کامپیوتر محتویات آن را با آنتی ویروس اسکن کنید . این مطالب رو ( البته یکم ساده ترش رو ) برا مشتری هاتون ایمیل بزنید تا رعایت کنند . اگه ویروسی شن تقصیر خودشونه . لطفا اگر شما هم تجربه ای در این مورد دارید توضیح بدین تا هرکی این پست رو میخونه مشکلاتش حل شه :rose: BehrouzPc 27 مهر 1388, 18:54مرکز بازیابی و حمله این نوع ویروس ها از داخل پوشه images و فایلی با نام image.php می باشد و یا نام دیگر ، یک راه ساخت این فایل به صورت دستی و بدون محتوا می باشد و دسترسی اون رو روس 0000 قرار دهید توجه این کار بهتره در تمامی پوشه ها با نام images انجام بشه و یا اصلا پوشه ای با این نما هیچ جای از سایتتون نسازید اسامی رو مثل اسامی رو به رو انتخاب کنید : pix,funx, به روایتس استفاده از فینگلیش و یا نام های نا متعارف نکته اصلی استفاده از نرم افزارهای AntiMalware می باشد که راه اصلی ورود این نوع از ویروس ها را به کامپیوتر شما می بندد از نرم افزار های FTP کرک شده به هیچ عنوان استفاده نکنید ، 80 درصد این آلودگی ها از کرک نرم افزار ناشی می شود باز هم اگه نکته ای یادم بیاد می نویسم:green: ziXet 27 مهر 1388, 19:33ممنون از اینکه تجربیاتت رو در اختیار بقیه قرار میدی! اما: اولی اضافه شدن یک iframe به سایت شما (شاید به قصد افزایش بازدیدشون با تکنیک ویروسی) قطعا هدفشون بالا بردن بازدیدشون نیست! اونا با استفاده از این iframe یک کد js رو تو صفحه لود میکنن تا بتونن کوکی های کاربرهارو به سرقت ببرن.( XSS Attack) موفق باشید foranyone 27 مهر 1388, 20:48یک راه ساخت این فایل به صورت دستی و بدون محتوا می باشد و دسترسی اون رو روس 0000 قرار دهید من به این نتیجه رسیدم که سطح دسترسی زیاد جوابگو نیست 644 یعنی readonly ! ولی مالک اجازه ی write داره ! چون کد php روی سرور اجرا میشه میتونه پرمیژن رو تغیر بده و بنویسه پس این روش تاثیری نداره . از نرم افزار های FTP کرک شده به هیچ عنوان استفاده نکنید تا وقتی نرم افزار های open source هست چرا کرک شده! به همه ی دوستان استفاده از FireFTP رو پیشنهاد میکنم (حجم 600 کیلو بایت !!! اکستنشن محبوب فایرفاکس) اونا با استفاده از این iframe یک کد js رو تو صفحه لود میکنن تا بتونن کوکی های کاربرهارو به سرقت ببرن.( XSS Attack) خدا بکشتشون امیر جان :green:نمیدونستم ممکنه تا این حد نامرد باشن !:green: BehrouzPc 28 مهر 1388, 09:09روش قرار دادن دسترسی رو 0000 جواب می دهد زیرا اگه به کد مربوط به ویروس نگاه کنی در صدرتی که فایل وجود داشته باشه اصلا اقدامی برای ساخت اون انجام نمی ده ، یعنی به صورت کلی راه شناخت سایت شما به عنوان آلوده شدن برای ویروس وجود این فایل می باشد نه محتوا و... البته این روش رو توی یکی از سایتهایی خارجی که به ویروس پرداخته بود هم خونده بودم و دقیقا این راه رو یک روش پیشگیری از ویروس نام برده بود. موفق باشید foranyone 28 مهر 1388, 11:10روش قرار دادن دسترسی رو 0000 جواب می دهد زیرا اگه به کد مربوط به ویروس نگاه کنی در صدرتی که فایل وجود داشته باشه اصلا اقدامی برای ساخت اون انجام نمی ده ، یعنی به صورت کلی راه شناخت سایت شما به عنوان آلوده شدن برای ویروس وجود این فایل می باشد نه محتوا و... البته این روش رو توی یکی از سایتهایی خارجی که به ویروس پرداخته بود هم خونده بودم و دقیقا این راه رو یک روش پیشگیری از ویروس نام برده بود. موفق باشید ویروس میتونه فایل رو به یک اسم دیگه بسازه ! مثلا برای سرور من با نام gifimg.php ساخته شده بود ! پس اگر من فایلی با عنوان image.php میساختم و کارهایی که شما گفتین رو انجام میدادم بازم بی فایده بود ! اصلا ویروس میتونه چک کنه که اگر فایل gifimg6.php وجود داره gifimg7 رو بررسی کنه ! یعنی مثلا با یک while ! بالاخره میتونه فایل مورد نظرش رو ایجاد کنه و به اهداف شومش برسه ! به خاط همین من فکر میکنم این کار سودی نداشته باشه !! (متاسفانه ) BehrouzPc 28 مهر 1388, 11:50البته این جوری که گویاست از این نوع ویروس ها چندین تا وجود داره روش من در مورد یکی از نوع عای ویروس می باشد که فقط فایلی با نام image.php در پوشه images می سازه و با نام دیگری این کار روی نمی کنه ، توصیه بنده هم در را بطه با همون نوع بود و هست ، که البته سایع تر هم می باشد به دلیل این که این نوع ویروس توی کرک های تعداد زیادی از نرم افزارهای FTP که افراد تازه کار نیز زیاد از آن استفاده می کنند دیده شده است به راحتی میشه کد ویروس رو برگردوند و کارهایی که می تونه انجام بده رو چک کرد راستی یه راه حل برای این ویروس خود ویروس که با دست کارس میشه کارش رو برعکس کرد و خودش گندهای رو که خودش زده پاک کنه برای این کار اول باید اون کدی که Eval شده رو برگردونیم و ویرایش کنیم و بعد از حل شدن مشکل تمامی فایل ها اقدام به حذفش کنیم این کار برای مواردی که کار به صورت دستی سخت می باشد توصیه می شود البته هیچ وقت حتی با معکوس کردن کد اون رو باقی نزارید چون گوگل شما را به عنوان سایت غیر امن معرفی می کنه ، بعد از حل شدن مشکل پاکش کنید foranyone 28 مهر 1388, 22:03متاسفانه کد php برای image.php پست میشه و eval میشه به خاطر همین نمیشه فهمید چی براش ارسال شده ! مگر اینکه بیایم در ادامه image.php هرچی بهش ارسال میشه تو دیتابیس ذخیره کنیم تا بیشتر از کاراش سر دربیاریم :green: LordEfazati 29 مهر 1388, 20:14سیستم مامبو رو من دیدم که این رو زیاد دچار میشه Cute Ftp, Filezilla, Smart Ftp هیچ فرقی نمی کنه با همه اینها شده :mad: به نظر من آدم زیپ کنه تو سرور اکسترکت کنه اطلاعاتو بهتره foranyone 29 مهر 1388, 20:19سیستم مامبو رو من دیدم که این رو زیاد دچار میشه Cute Ftp, Filezilla, Smart Ftp هیچ فرقی نمی کنه با همه اینها شده :mad: به نظر من آدم زیپ کنه تو سرور اکسترکت کنه اطلاعاتو بهتره برا نرم افزار FTP از اکستنشن فایرفاکس استفاده کنید (FireFTP):rose: فکر میکنم مشکل بیشتر مربوط به باگ خود CMS میشه نه نرم افزار FTP ! LordEfazati 29 مهر 1388, 20:29باگ سی ام اس ها هست ولی ftp ها هم چیزی برا چک کردن ندارن من اکستنشن فایرفاکس نزدم ببینم اما عادی ندارن :) YTERROR 24 آبان 1388, 20:07تاپیک مهم شد .... لطفا پستهای اسپم نزنید ممنون
این صفحه را در گوگل محبوب کنید
[ارسال شده از: سایت ریسک]
[مشاهده در: www.ri3k.eu]
[تعداد بازديد از اين مطلب: 526]
-
گوناگون
پربازدیدترینها