تور لحظه آخری
امروز : یکشنبه ، 4 آذر 1403    احادیث و روایات:  امام صادق (ع):شيطان ، در عالِمِ بى بهره از ادب بيشتر طمع مى كند تا عالِمِ برخوردار از ادب . پ...
سرگرمی سبک زندگی سینما و تلویزیون فرهنگ و هنر پزشکی و سلامت اجتماع و خانواده تصویری دین و اندیشه ورزش اقتصادی سیاسی حوادث علم و فناوری سایتهای دانلود گوناگون شرکت ها

تبلیغات

تبلیغات متنی

صرافی ارکی چنج

صرافی rkchange

سایبان ماشین

دزدگیر منزل

تشریفات روناک

اجاره سند در شیراز

قیمت فنس

armanekasbokar

armanetejarat

صندوق تضمین

Future Innovate Tech

پی جو مشاغل برتر شیراز

لوله بازکنی تهران

آراد برندینگ

خرید یخچال خارجی

موسسه خیریه

واردات از چین

حمية السكري النوع الثاني

ناب مووی

دانلود فیلم

بانک کتاب

دریافت دیه موتورسیکلت از بیمه

طراحی سایت تهران سایت

irspeedy

درج اگهی ویژه

تعمیرات مک بوک

دانلود فیلم هندی

قیمت فرش

درب فریم لس

زانوبند زاپیامکس

روغن بهران بردبار ۳۲۰

قیمت سرور اچ پی

خرید بلیط هواپیما

بلیط اتوبوس پایانه

قیمت سرور dl380 g10

تعمیرات پکیج کرج

لیست قیمت گوشی شیائومی

خرید فالوور

بهترین وکیل کرج

بهترین وکیل تهران

خرید اکانت تریدینگ ویو

خرید از چین

خرید از چین

تجهیزات کافی شاپ

بی متال زیمنس

ساختمان پزشکان

ویزای چک

محصولات فوراور

خرید سرور اچ پی ماهان شبکه

دوربین سیمکارتی چرخشی

همکاری آی نو و گزینه دو

کاشت ابرو طبیعی و‌ سریع

الک آزمایشگاهی

الک آزمایشگاهی

خرید سرور مجازی

قیمت بالابر هیدرولیکی

قیمت بالابر هیدرولیکی

قیمت بالابر هیدرولیکی

لوله و اتصالات آذین

قرص گلوریا

نمایندگی دوو در کرج

خرید نهال سیب

وکیل ایرانی در استانبول

وکیل ایرانی در استانبول

وکیل ایرانی در استانبول

 






آمار وبسایت

 تعداد کل بازدیدها : 1833307858




هواشناسی

نرخ طلا سکه و  ارز

قیمت خودرو

فال حافظ

تعبیر خواب

فال انبیاء

متن قرآن



اضافه به علاقمنديها ارسال اين مطلب به دوستان آرشيو تمام مطالب
archive  refresh

مواظب ویروس باشید (مهم ) -


واضح آرشیو وب فارسی:سایت ریسک: مواظب ویروس باشید (مهم ) foranyone 27 مهر 1388, 15:03سلام حدود چند سالی هست که یک ویروس سرورها و وبسایت ها رو آلوده میکنه و معمولا به خاطر وجود باگ در CMS ها این قضیه اتفاق می افته . در این پست قصد دارم راجع به این ویروس و تجربیاتی که تو این زمینه بدست آوردم صحبت کنم ، امیدوارم مفید باشه . اساس عملکرد : داخل پوشه ی images یک فایل ساخته میشه به اسم gifimg.php ( البته معمولا به این نام ) داخل این فایل یک کد php وجود داره که با base64 کدگزاری شده محتوای ساده ای داره ! متغیر $_POST[e] براش ارسال میشه ( یعنی هر کدی ممکنه برا این فایل سند شه و آدم رو بدبخت کنه . چون در عمل یک کد ساده php نوشته شده متاسفانه قوی ترین آنتی ویروس های سرور هم نمیتونن تشخیصش بدن! بعد از یه مدت به ابتدا ی اکثر فایل های یک تکه تک جاوااسکریپت یا php اضافه میشه که دو کار تا الان دیدم باهاش انجام میدن : اولی اضافه شدن یک iframe به سایت شما (شاید به قصد افزایش بازدیدشون با تکنیک ویروسی) دومی : دانلود شدن یک فایل ویروسی به کامپیوتر بازدید کننده و ویروسی شدن کامپیوتر . حالا اگه این کاربر طراح وب باشه و به FTP مشتریهاش مدام کانکت شه مشتری ها هم در معرض آلوده شدن هستند . در ضمن کاربرایی که آنتی ویروس دارن چون با مراجعه به سایت ویروس براشون دانلود میشه آنتی ویروس اجازه ورود به سایت نمیده ! بعد از یه مدت گوگل هم به کابرا اخطار میده اگه سایتتون مشهور باشه شدیدا ضرر میکنید. گام اول پاکسازی : وارد FTP شید و هر فایلی رو که تاریخ تغیرش با بقیه فایل ها فرق میکنه باز کنید و تکه کد اضافه شده به ابتدای فایل و انتهای فایل رو پاک کنید . گام دوم : در صورتی که مشکل حل نشد ( که معمولا با گام یک دوباره سایت آلوده میشه)، نسخه ی جدید CMS رو نصب کنید چون معمولا باگش حل شده ! یعنی همه ی فایل ها رو پاک کنید و آپلود کنید . گام سوم : همه ی پسوردها رو تغیر بدین . اگر بازم تا این مرحله مشکلتون حل نشد ! از همه چی بک آپ بگیرید به مسئول سرور بگین اکانت شما رو پاک و دوباره ایجاد کنه ! روش پیشگیری : * این ویروس در قدم اول فایل های config جاوا اسکریپت و هرفایلی که تو اسمش function یا setting یا ..... باشه رو آلوده میکنه . برنامه نویسان عزیز لطفا لهجه ی برنامه نویسیشون رو تغیر بدن چه ایرادی داره همه ی فایل ها و فولدرهامون فینگلیش نام گزاری شن ؟ ( نترسین کلاس کار نمیاد پائین ) * از پسوند js استفاده نکنید !! فایل جاوااسکریپت رو با یه پسوند دیگه نام گزاری کنید مثلا php و : <script language="javascript" type="text/javascript" src="main.php"></script> * هنگام اتصال به اف تی پی یا مدیریت سایت یا پنل هاست و .... اکیدا توصیه می شود صفحه ی دیگری باز نکنید (حتی سایت خودتان و یاهو مسنجر )چون ممکن است سایت دیگر که مشغول بازدید آن هستید سایت شما را هم ویروسی کند . ( اصلی ترین راه ویروسی شدن) * هنگام مطالعه ایمیل ها هرگز ایمیل های مشکوک یا ایمیل هایی که فرستنده ی آن را نمیشناسید باز نکنید ! و روی اسپم کلیک کنید و یا بدون خواندن آن را حذف نمائید . مطمئن باشید اگر نامه ی مهمی را اشتباهی پاک کرده باشید فرستنده ی آن دوباره با شما تماس خواهد گرفت . * روی کامپیوتر خود همیشه آنتی ویروس داشته باشید توصیه میشود از ناد سی و دو یا کسپر اسکای آخرین نسخه آپدیت شده استفاده نمایئد . در ضمن اسمارت سکیوریتی ناد خیلی قدرتمندتره . آپدیت مسمتر و روزانه آنتی ویروس شدیدا توصیه می شود . * از مرورگر اینترنت اکسپلورر استفاده نکنید به جای آن از فایرفکس نسخه ی 3.5 به بالا استفاده کنید . فایرفاکس اجازه نمی دهد شما سایت های ویروسی را باز کنید و تا حد زیادی از ویروسی شدن شما جلوگیری میکند.(البته با همکاری گوگل و نه همون لحظه ی ویروسی شدن ) *چنانچه متوجه شدید سایت شما آلوده است ، یا صفحات لود نمیشوند یا هر خطا و ارور دیگری رخ میدهد هیچ کدام از صفحات دیگر سایت را رفرش نکنید . این مسئله باعث خواهد شد تا ویروس روی صفحات دیگر سایت هم تاثیر بگذراد . از کامپیوترهای مشکوک به ویروس وارد مدیریت سایت خود نشوید . * بعد از ورود به مدیریت حتما با کلیک روی خروج از سایت خارج شوید . * حتما بعد از دانلود فایل از اینترنت یا گذاشتن سی دی در سی دی رام یا اتصال فلش مموری به کامپیوتر محتویات آن را با آنتی ویروس اسکن کنید . این مطالب رو ( البته یکم ساده ترش رو ) برا مشتری هاتون ایمیل بزنید تا رعایت کنند . اگه ویروسی شن تقصیر خودشونه . لطفا اگر شما هم تجربه ای در این مورد دارید توضیح بدین تا هرکی این پست رو میخونه مشکلاتش حل شه :rose: BehrouzPc 27 مهر 1388, 18:54مرکز بازیابی و حمله این نوع ویروس ها از داخل پوشه images و فایلی با نام image.php می باشد و یا نام دیگر ، یک راه ساخت این فایل به صورت دستی و بدون محتوا می باشد و دسترسی اون رو روس 0000 قرار دهید توجه این کار بهتره در تمامی پوشه ها با نام images انجام بشه و یا اصلا پوشه ای با این نما هیچ جای از سایتتون نسازید اسامی رو مثل اسامی رو به رو انتخاب کنید : pix,funx, به روایتس استفاده از فینگلیش و یا نام های نا متعارف نکته اصلی استفاده از نرم افزارهای AntiMalware می باشد که راه اصلی ورود این نوع از ویروس ها را به کامپیوتر شما می بندد از نرم افزار های FTP کرک شده به هیچ عنوان استفاده نکنید ، 80 درصد این آلودگی ها از کرک نرم افزار ناشی می شود باز هم اگه نکته ای یادم بیاد می نویسم:green: ziXet 27 مهر 1388, 19:33ممنون از اینکه تجربیاتت رو در اختیار بقیه قرار میدی! اما: اولی اضافه شدن یک iframe به سایت شما (شاید به قصد افزایش بازدیدشون با تکنیک ویروسی) قطعا هدفشون بالا بردن بازدیدشون نیست! اونا با استفاده از این iframe یک کد js رو تو صفحه لود میکنن تا بتونن کوکی های کاربرهارو به سرقت ببرن.( XSS Attack) موفق باشید foranyone 27 مهر 1388, 20:48یک راه ساخت این فایل به صورت دستی و بدون محتوا می باشد و دسترسی اون رو روس 0000 قرار دهید من به این نتیجه رسیدم که سطح دسترسی زیاد جوابگو نیست 644 یعنی readonly ! ولی مالک اجازه ی write داره ! چون کد php روی سرور اجرا میشه میتونه پرمیژن رو تغیر بده و بنویسه پس این روش تاثیری نداره . از نرم افزار های FTP کرک شده به هیچ عنوان استفاده نکنید تا وقتی نرم افزار های open source هست چرا کرک شده! به همه ی دوستان استفاده از FireFTP رو پیشنهاد میکنم (حجم 600 کیلو بایت !!! اکستنشن محبوب فایرفاکس) اونا با استفاده از این iframe یک کد js رو تو صفحه لود میکنن تا بتونن کوکی های کاربرهارو به سرقت ببرن.( XSS Attack) خدا بکشتشون امیر جان :green:نمیدونستم ممکنه تا این حد نامرد باشن !:green: BehrouzPc 28 مهر 1388, 09:09روش قرار دادن دسترسی رو 0000 جواب می دهد زیرا اگه به کد مربوط به ویروس نگاه کنی در صدرتی که فایل وجود داشته باشه اصلا اقدامی برای ساخت اون انجام نمی ده ، یعنی به صورت کلی راه شناخت سایت شما به عنوان آلوده شدن برای ویروس وجود این فایل می باشد نه محتوا و... البته این روش رو توی یکی از سایتهایی خارجی که به ویروس پرداخته بود هم خونده بودم و دقیقا این راه رو یک روش پیشگیری از ویروس نام برده بود. موفق باشید foranyone 28 مهر 1388, 11:10روش قرار دادن دسترسی رو 0000 جواب می دهد زیرا اگه به کد مربوط به ویروس نگاه کنی در صدرتی که فایل وجود داشته باشه اصلا اقدامی برای ساخت اون انجام نمی ده ، یعنی به صورت کلی راه شناخت سایت شما به عنوان آلوده شدن برای ویروس وجود این فایل می باشد نه محتوا و... البته این روش رو توی یکی از سایتهایی خارجی که به ویروس پرداخته بود هم خونده بودم و دقیقا این راه رو یک روش پیشگیری از ویروس نام برده بود. موفق باشید ویروس میتونه فایل رو به یک اسم دیگه بسازه ! مثلا برای سرور من با نام gifimg.php ساخته شده بود ! پس اگر من فایلی با عنوان image.php میساختم و کارهایی که شما گفتین رو انجام میدادم بازم بی فایده بود ! اصلا ویروس میتونه چک کنه که اگر فایل gifimg6.php وجود داره gifimg7 رو بررسی کنه ! یعنی مثلا با یک while ! بالاخره میتونه فایل مورد نظرش رو ایجاد کنه و به اهداف شومش برسه ! به خاط همین من فکر میکنم این کار سودی نداشته باشه !! (متاسفانه ) BehrouzPc 28 مهر 1388, 11:50البته این جوری که گویاست از این نوع ویروس ها چندین تا وجود داره روش من در مورد یکی از نوع عای ویروس می باشد که فقط فایلی با نام image.php در پوشه images می سازه و با نام دیگری این کار روی نمی کنه ، توصیه بنده هم در را بطه با همون نوع بود و هست ، که البته سایع تر هم می باشد به دلیل این که این نوع ویروس توی کرک های تعداد زیادی از نرم افزارهای FTP که افراد تازه کار نیز زیاد از آن استفاده می کنند دیده شده است به راحتی میشه کد ویروس رو برگردوند و کارهایی که می تونه انجام بده رو چک کرد راستی یه راه حل برای این ویروس خود ویروس که با دست کارس میشه کارش رو برعکس کرد و خودش گندهای رو که خودش زده پاک کنه برای این کار اول باید اون کدی که Eval شده رو برگردونیم و ویرایش کنیم و بعد از حل شدن مشکل تمامی فایل ها اقدام به حذفش کنیم این کار برای مواردی که کار به صورت دستی سخت می باشد توصیه می شود البته هیچ وقت حتی با معکوس کردن کد اون رو باقی نزارید چون گوگل شما را به عنوان سایت غیر امن معرفی می کنه ، بعد از حل شدن مشکل پاکش کنید foranyone 28 مهر 1388, 22:03متاسفانه کد php برای image.php پست میشه و eval میشه به خاطر همین نمیشه فهمید چی براش ارسال شده ! مگر اینکه بیایم در ادامه image.php هرچی بهش ارسال میشه تو دیتابیس ذخیره کنیم تا بیشتر از کاراش سر دربیاریم :green: LordEfazati 29 مهر 1388, 20:14سیستم مامبو رو من دیدم که این رو زیاد دچار میشه Cute Ftp, Filezilla, Smart Ftp هیچ فرقی نمی کنه با همه اینها شده :mad: به نظر من آدم زیپ کنه تو سرور اکسترکت کنه اطلاعاتو بهتره foranyone 29 مهر 1388, 20:19سیستم مامبو رو من دیدم که این رو زیاد دچار میشه Cute Ftp, Filezilla, Smart Ftp هیچ فرقی نمی کنه با همه اینها شده :mad: به نظر من آدم زیپ کنه تو سرور اکسترکت کنه اطلاعاتو بهتره برا نرم افزار FTP از اکستنشن فایرفاکس استفاده کنید (FireFTP):rose: فکر میکنم مشکل بیشتر مربوط به باگ خود CMS میشه نه نرم افزار FTP ! LordEfazati 29 مهر 1388, 20:29باگ سی ام اس ها هست ولی ftp ها هم چیزی برا چک کردن ندارن من اکستنشن فایرفاکس نزدم ببینم اما عادی ندارن :) YTERROR 24 آبان 1388, 20:07تاپیک مهم شد .... لطفا پستهای اسپم نزنید ممنون




این صفحه را در گوگل محبوب کنید

[ارسال شده از: سایت ریسک]
[مشاهده در: www.ri3k.eu]
[تعداد بازديد از اين مطلب: 529]

bt

اضافه شدن مطلب/حذف مطلب







-


گوناگون

پربازدیدترینها
طراحی وب>


صفحه اول | تمام مطالب | RSS | ارتباط با ما
1390© تمامی حقوق این سایت متعلق به سایت واضح می باشد.
این سایت در ستاد ساماندهی وزارت فرهنگ و ارشاد اسلامی ثبت شده است و پیرو قوانین جمهوری اسلامی ایران می باشد. لطفا در صورت برخورد با مطالب و صفحات خلاف قوانین در سایت آن را به ما اطلاع دهید
پایگاه خبری واضح کاری از شرکت طراحی سایت اینتن