اعلام ویروسی شدن توسط اسمارت سکیوریتی

[mehrdadkey2 10]

سلام سایت بنده به تروجانی به نام JK/Kryptik.AKI آلوده شده است.

الان متوجه شدم که جوملا ایران نیز به این ویروس آلوده شده است.

[ATTACH=CONFIG]3597[/ATTACH]

لطفا راهنمایی بفرمایید. متشکرم

[Pooyan Afzali 41]

درود دوست عزیز

اسم صحیح JS/Kryptik.AKI

این تشخیص fasle positive هست و واقعی نیست

چون عملکرد برخی کد های جاوا اسکریپت به گونه ای هست که بعنوان کد مخرب شناسایی میشند توسط آنتی ویروس ها و میتونید توی خود برنامه ساب میت کنید گزارش خطا رو تا بررسی مجدد کنند

علت اصلی این قضیه هم اینه اکثر طراحان وب برای حفاظت از سورس هاشون میاد کد میکنند فایل هاشونو که سورس اصلی قابل تشخیص نباشه و از اونجایی که ویروس ها و کد های مخرب هم

برای عدم شناسایی میان کد میشند ابزار های امنیتی همچین کد هایی رو معمولا به عنوان کد مخرب میشناسند

مطمئنا سایت شما و همین انجمن یک یا چند فایل رو توسط متد خاصی اومد کد کرده که آنتی ویروس شما هم به اشتباه اونو کد مخرب دونسته چرا که متدی که استفاده شده مشابه متد کد کردن فایل های مخرب هست

پس نگران نباشید

[mehrdadkey2 10]

با مسئول هاستم در این مورد صحبت کردم.

جواب مسئولین هاست :

با سلام خدمت شما

برررسی لاگهای دسترسی اف.تی.پی سرویس مشخص کرده که فایلهای زیر در تاریخ های 26 آوریل و 5 می توسط دو آدرس آی.پی از کشور فرانسه دستکاری و به کدهای مخرب آلوده شده اند.

/home2/amoozesh//domains/amoozeshonline.com/public_html/administrator/index.php

/home2/amoozesh//domains/amoozeshonline.com/public_html/cache/index.html

/home2/amoozesh//domains/amoozeshonline.com/public_html/cli/index.html

/home2/amoozesh//domains/amoozeshonline.com/public_html/components/index.html

/home2/amoozesh//domains/amoozeshonline.com/public_html/counter.php

/home2/amoozesh//domains/amoozeshonline.com/public_html/google24e2aef8d1f50651.html

/home2/amoozesh//domains/amoozeshonline.com/public_html/images/index.html

/home2/amoozesh//domains/amoozeshonline.com/public_html/includes/index.html

/home2/amoozesh//domains/amoozeshonline.com/public_html/index.php

/home2/amoozesh//domains/amoozeshonline.com/public_html/language/index.html

/home2/amoozesh//domains/amoozeshonline.com/public_html/libraries/index.html

/home2/amoozesh//domains/amoozeshonline.com/public_html/logs/index.html

/home2/amoozesh//domains/amoozeshonline.com/public_html/media/index.html

/home2/amoozesh//domains/amoozeshonline.com/public_html/modules/index.html

/home2/amoozesh//domains/amoozeshonline.com/public_html/phocadownload/index.html

/home2/amoozesh//domains/amoozeshonline.com/public_html/phocadownloadpap/index.html

/home2/amoozesh//domains/amoozeshonline.com/public_html/plugins/index.html

/home2/amoozesh//domains/amoozeshonline.com/public_html/templates/atomic/index.php

/home2/amoozesh//domains/amoozeshonline.com/public_html/templates/baran/index.php

/home2/amoozesh//domains/amoozeshonline.com/public_html/templates/beez_20/index.php

/home2/amoozesh//domains/amoozeshonline.com/public_html/templates/beez5/index.php

/home2/amoozesh//domains/amoozeshonline.com/public_html/templates/index.html

/home2/amoozesh//domains/amoozeshonline.com/public_html/templates/mw_moderntak/index.php

/home2/amoozesh//domains/amoozeshonline.com/public_html/templates/mw_moderntak/template.php

/home2/amoozesh//domains/amoozeshonline.com/public_html/templates/shaper_helix/index.php

/home2/amoozesh//domains/amoozeshonline.com/public_html/templates/shaper_zaara/index.php

/home2/amoozesh//domains/amoozeshonline.com/public_html/templates/system/index.php

/home2/amoozesh//domains/amoozeshonline.com/public_html/templates/yougrids/index.php

/home2/amoozesh//domains/amoozeshonline.com/public_html/tmp/index.html

/home2/amoozesh//domains/amoozeshonline.com/public_html/vyJw3fsG81tfnNERS4KFQTB72IQ.html

اسکریپتهای

/home2/amoozesh/domains/amoozeshonline.com/public_html/templates/baran/index.php

/home2/amoozesh/domains/amoozeshonline.com/public_html/templates/shaper_helix/index.php

/home2/amoozesh/domains/amoozeshonline.com/public_html/templates/yougrids/index.php

/home2/amoozesh/domains/amoozeshonline.com/public_html/templates/shaper_zaara/index.php

/home2/amoozesh/domains/amoozeshonline.com/public_html/templates/mw_moderntak/template.php

/home2/amoozesh/domains/amoozeshonline.com/public_html/templates/mw_moderntak/index.php

به بدافزار

JS/Kryptik

آلوده شده بودند. این فایلها از این بدافزار پاکسازی شدند.

کدهای

iframe

اضافه شده به فایلهای

html

نیز حذف شدند.

لاگهای دسترسی هکرها را می توانید در فایل زیر مشاهده کنید.

http://uploadtak.com/images/w6863_hacklog.zip

با توجه به بروز این مشکل یکی از احتمال های زیر وجود دارد.

۱. سیستمهای مورد استفاده شده برای اتصال به سرویس ها آلوده به بدافزارهای سرقت اطلاعات می باشد و این موضوع باعث سرقت اطلاعات لاگین شما توسط هکرها شده است.

۲. اکانت ایمیل پنل کاربری شما مورد نفوذ هکرها قرار گرفته و اطلاعات سرویس ها از این طریق سرقت شده است.

۳. در صورت استفاده از وی.پی.ان پروکسی برای اتصال به دایرکت ادمین یا اف.تی.پی، سرویس مورد استفاده شما مورد نفوذ هکرها واقع شده و اطلاعات لاگین با مانیتورینگ ترافیک این سرویس ها سرقت شده است.

[Pooyan Afzali 41]

درود

بنابر این ممکنه شما افزونه ها و یا قالبتونو از جایی دانلود کردید که سورس اصلی سیستم رو دستکاری و کد مخرب رو اضافه کردند

چون احتمالاتی که هاستینگ شما در اخر اوردند یکم بعید هست چرا که اگه کسی به اون اطلاعات در اون سه حالت دسترسی پیدا کنه فقط نمیاد

کدهای سایتتونو دستکاری کنه خیلی کارای قشنگ تر و بهتر و فجیع تر میتونسته انجام بده یکی رو هوا بردن سرور !

ویرایش شده در اردیبهشت 92 توسط Pooyan Afzali