رفتن به مطلب

آیا وردپرس واقعا ویروسی شده؟


پست های پیشنهاد شده

دوستان سلام

کامپیوتر من قبلا ویروسی شده بود ولی مشکلی نداشت تا اینکه دیروز باز چندتا ویروس جدید از طریق فلش وارد کامپیوترم شدند و همچی رو زدند داغون کردند. ویندوز(8) بالا می یومد ولی اصلا هیچی پیدا نبود (فقط یه صفحه سیاه میومد) که با task manager می شد computer را باز کرد و باهاش کار کرد ولی من دیگه ویندوز رو عوض کردم و آنتی ویروس node 32 را نصب و آپدیت کردم. حالا که خواستم وارد داشبورد سایت وردپرسیم بشم نود 32 گفت که داخل آدرس dnoj.ir/wp-admin یک تروجان هست. آیا واقعا سایتم ویروسی شده؟ باید چیکارش کنم؟ (با آنتی ویروس cpanel هم وقتی چکش می کنم هیچ ویروسی پیدا نمی کنه)

تصویری از قرنطینه نود32 (به اولین مورد توجه کنید)

post-412-0-41781400-1374671083_thumb.png

ویرایش شده توسط سعید شعبانی
لینک به ارسال

چجوری چک کردید؟

با این سایت

http://sitecheck.sucuri.net/results/www.dnoj.ir

من خودمم آنت ویروس اویرا دارم سایت های ویروسی رو شناسایی میکنه اجازه ورود نمیده

سایتتون سالمه

لینک به ارسال

نود 32 ویروس شناس تحت ویندوزه سایت وردپرسی روی لینوکس فعاله اگر هم تروان در سایتتان باشه که نود بشناسه در فضای سایت نمی تونه عمل کنه ولی می تونه با فایلهاتون به سیستم کاربران منتقل بشه

لینک به ارسال

با این سایت

http://sitecheck.suc...lts/www.dnoj.ir

من خودمم آنت ویروس اویرا دارم سایت های ویروسی رو شناسایی میکنه اجازه ورود نمیده

سایتتون سالمه

این سایت که گفتین مطمئن هستین درسته

من رفتم زدم همه چیزو درست نشون میداد الا این :

Outdated software:

WordPress version outdated: Upgrade required.

در صورتی که من دارم از جدیدترین نسخه استفاده می کنم 3.5.2

مشکل از چیه :D

لینک به ارسال

نود 32 ویروس شناس تحت ویندوزه سایت وردپرسی روی لینوکس فعاله اگر هم تروان در سایتتان باشه که نود بشناسه در فضای سایت نمی تونه عمل کنه ولی می تونه با فایلهاتون به سیستم کاربران منتقل بشه

خوب اگر واقعا یک تروجان داخل هاست باشه حتی اگر به هاست هم آسیبی وارد نکنه و فقط وارد سیستم کاربرا بشه باز هم خطرناک هست.

تصویر زیر را ببینید چجوری می تونم این تروجان رو پیدا و پاکش کنم؟

post-412-0-66148100-1374773735_thumb.png

لینک به ارسال

من چشمم خیلی ضعیفه قاعدتا باید نشانی دقیق فایل را بده و چون تروجان ویندوز غیر فعاله می تونید به راحتی حذفش کنید مجددا تولید نمی شه مگر اینکه مجددا از راهی که وارد شده بود امکان ورود پیدا کنه

(نود خیلی مطمئن نیست یه سایت آنتی ویروس آنلاین بود اگر اسم یا آدرسش یادم اومد براتون می گذارم)

لینک به ارسال

پوشه ادمین سایتتون رو با این آنتی ویروس چک کنید روی دکمه بروس که زدید به جای انتخاب فایل آدرس پوشه را بنویسید

یادتان باشد که فقط فضای پوشه اصلی اسکن می شود و برای هر زیر پوشه باید همین روال تکرار شود

https://www.virustotal.com/en/

لینک به ارسال

با همین سایت چک کردم همه آنتی ویروس ها گفتند که مشکلی نداره فقط Sophos آنتی ویروس گفته سایت مخرب هست. این هم گزارش کاملش


Sophos URL description
URL subjected to threat Troj/JSRedir-GS.
Websense ThreatSeeker URL category
Uncategorized.
Quttera domain information
See Quttera report
Sophos domain information
The URL host was subjected to threat Troj/JSRedir-GS.
Sucuri SiteCheck domain information
Full threat report
Webutation domain information
Safety score.............: 95
Adult content............: no
Verdict..................: safe
Take a look at the full Webutation review.
URL after redirects
http://dnoj.ir/
Network location to IP address resolution
176.9.109.114
Response code
200
Response headers
via: HTTP/1.1 GWA
x-powered-by: PHP/5.2.17
x-google-cache-control: remote-fetch
vary: Accept-Encoding
server: LiteSpeed
connection: close, keep-alive
date: Thu, 25 Jul 2013 21:16:08 GMT
content-type: text/html; charset=UTF-8
x-pingback: http://dnoj.ir/xmlrpc.php
Response content SHA-256
389a53482471d0f7f5a06b5b553e3afd1904cf9e63a26773b8c13f4e171efe17
Google trends for the term dnoj:
See full report

حالا این تروجانی (Troj/JSRedir-GS) که گفته رو باید از کجا پیداش کنم؟

ویرایش شده توسط سعید شعبانی
لینک به ارسال

ظاهرا در پوشه admin و داخل یک فایل html به نام file.html

داخل هاست هرچی گشتم فایلی به اسم file.html نبود ولی فقط یک فایل با اسم file.php در مسیر زیر هست


/wp-admin/includes/file.php

این فایل برای خود وردپرس هست؟ باید پاکش کنم یا فقط ویرایشش کنم؟

لینک به ارسال

بله این فایل در واقع تنظیمات آپلود سنتر وردپرسه

من چشمم ضعیفه این چیزی بود که از تصویری که گذاشتید دیدم به ارور رجوع کنید آدرس دارد

لینک به ارسال

اگر من این فایل (file.php) را با فایل اصلی (که از سایت وردپرس می گیریم) اون جایگزین کنم مشکلی پیش نمیاد؟

لینک به ارسال

/***/****/public_html/wp-content/themes/dnoj/index.php

http://dnoj.ir/wp-admin/js/common.js

این فایل ها رو چک کنید ببینید کد مشکوکی توی اونها نیست!

لینک به ارسال

من نمی دونم کدوم کد می تونه مشکوک باشه شما چک کنید لطفا


var showNotice, adminMenu, columns, validateForm, screenMeta;
(function($){
// Removed in 3.3.
// (perhaps) needed for back-compat
adminMenu = {
init : function() {},
fold : function() {},
restoreMenuState : function() {},
toggle : function() {},
favorites : function() {}
};
// show/hide/save table columns
columns = {
init : function() {
var that = this;
$('.hide-column-tog', '#adv-settings').click( function() {
var $t = $(this), column = $t.val();
if ( $t.prop('checked') )
that.checked(column);
else
that.unchecked(column);
columns.saveManageColumnsState();
});
},
saveManageColumnsState : function() {
var hidden = this.hidden();
$.post(ajaxurl, {
action: 'hidden-columns',
hidden: hidden,
screenoptionnonce: $('#screenoptionnonce').val(),
page: pagenow
});
},
checked : function(column) {
$('.column-' + column).show();
this.colSpanChange(+1);
},
unchecked : function(column) {
$('.column-' + column).hide();
this.colSpanChange(-1);
},
hidden : function() {
return $('.manage-column').filter(':hidden').map(function() { return this.id; }).get().join(',');
},
useCheckboxesForHidden : function() {
this.hidden = function(){
return $('.hide-column-tog').not(':checked').map(function() {
var id = this.id;
return id.substring( id, id.length - 5 );
}).get().join(',');
};
},
colSpanChange : function(diff) {
var $t = $('table').find('.colspanchange'), n;
if ( !$t.length )
return;
n = parseInt( $t.attr('colspan'), 10 ) + diff;
$t.attr('colspan', n.toString());
}
}
$(document).ready(function(){columns.init();});
validateForm = function( form ) {
return !$( form ).find('.form-required').filter( function() { return $('input:visible', this).val() == ''; } ).addClass( 'form-invalid' ).find('input:visible').change( function() { $(this).closest('.form-invalid').removeClass( 'form-invalid' ); } ).size();
}
// stub for doing better warnings
showNotice = {
warn : function() {
var msg = commonL10n.warnDelete || '';
if ( confirm(msg) ) {
return true;
}
return false;
},
note : function(text) {
alert(text);
}
};
screenMeta = {
element: null, // #screen-meta
toggles: null, // .screen-meta-toggle
page: null, // #wpcontent
init: function() {
this.element = $('#screen-meta');
this.toggles = $('.screen-meta-toggle a');
this.page = $('#wpcontent');
this.toggles.click( this.toggleEvent );
},
toggleEvent: function( e ) {
var panel = $( this.href.replace(/.+#/, '#') );
e.preventDefault();
if ( !panel.length )
return;
if ( panel.is(':visible') )
screenMeta.close( panel, $(this) );
else
screenMeta.open( panel, $(this) );
},
open: function( panel, link ) {
$('.screen-meta-toggle').not( link.parent() ).css('visibility', 'hidden');
panel.parent().show();
panel.slideDown( 'fast', function() {
panel.focus();
link.addClass('screen-meta-active').attr('aria-expanded', true);
});
},
close: function( panel, link ) {
panel.slideUp( 'fast', function() {
link.removeClass('screen-meta-active').attr('aria-expanded', false);
$('.screen-meta-toggle').css('visibility', '');
panel.parent().hide();
});
}
};
/**
* Help tabs.
*/
$('.contextual-help-tabs').delegate('a', 'click focus', function(e) {
var link = $(this),
panel;
e.preventDefault();
// Don't do anything if the click is for the tab already showing.
if ( link.is('.active a') )
return false;
// Links
$('.contextual-help-tabs .active').removeClass('active');
link.parent('li').addClass('active');
panel = $( link.attr('href') );
// Panels
$('.help-tab-content').not( panel ).removeClass('active').hide();
panel.addClass('active').show();
});
$(document).ready( function() {
var lastClicked = false, checks, first, last, checked, menu = $('#adminmenu'), mobileEvent,
pageInput = $('input.current-page'), currentPage = pageInput.val();
// when the menu is folded, make the fly-out submenu header clickable
menu.on('click.wp-submenu-head', '.wp-submenu-head', function(e){
$(e.target).parent().siblings('a').get(0).click();
});
$('#collapse-menu').on('click.collapse-menu', function(e){
var body = $(document.body);
// reset any compensation for submenus near the bottom of the screen
$('#adminmenu div.wp-submenu').css('margin-top', '');
if ( $(window).width() < 900 ) {
if ( body.hasClass('auto-fold') ) {
body.removeClass('auto-fold');
setUserSetting('unfold', 1);
body.removeClass('folded');
deleteUserSetting('mfold');
} else {
body.addClass('auto-fold');
deleteUserSetting('unfold');
}
} else {
if ( body.hasClass('folded') ) {
body.removeClass('folded');
deleteUserSetting('mfold');
} else {
body.addClass('folded');
setUserSetting('mfold', 'f');
}
}
});
if ( 'ontouchstart' in window || /IEMobile\/[1-9]/.test(navigator.userAgent) ) { // touch screen device
// iOS Safari works with touchstart, the rest work with click
mobileEvent = /Mobile\/.+Safari/.test(navigator.userAgent) ? 'touchstart' : 'click';
// close any open submenus when touch/click is not on the menu
$(document.body).on( mobileEvent+'.wp-mobile-hover', function(e) {
if ( !$(e.target).closest('#adminmenu').length )
menu.find('li.wp-has-submenu.opensub').removeClass('opensub');
});
menu.find('a.wp-has-submenu').on( mobileEvent+'.wp-mobile-hover', function(e) {
var el = $(this), parent = el.parent();
// Show the sub instead of following the link if:
// - the submenu is not open
// - the submenu is not shown inline or the menu is not folded
if ( !parent.hasClass('opensub') && ( !parent.hasClass('wp-menu-open') || parent.width() < 40 ) ) {
e.preventDefault();
menu.find('li.opensub').removeClass('opensub');
parent.addClass('opensub');
}
});
}
menu.find('li.wp-has-submenu').hoverIntent({
over: function(e){
var b, h, o, f, m = $(this).find('.wp-submenu'), menutop, wintop, maxtop, top = parseInt( m.css('top'), 10 );
if ( isNaN(top) || top > -5 ) // meaning the submenu is visible
return;
menutop = $(this).offset().top;
wintop = $(window).scrollTop();
maxtop = menutop - wintop - 30; // max = make the top of the sub almost touch admin bar
b = menutop + m.height() + 1; // Bottom offset of the menu
h = $('#wpwrap').height(); // Height of the entire page
o = 60 + b - h;
f = $(window).height() + wintop - 15; // The fold
if ( f < (b - o) )
o = b - f;
if ( o > maxtop )
o = maxtop;
if ( o > 1 )
m.css('margin-top', '-'+o+'px');
else
m.css('margin-top', '');
menu.find('li.menu-top').removeClass('opensub');
$(this).addClass('opensub');
},
out: function(){
$(this).removeClass('opensub').find('.wp-submenu').css('margin-top', '');
},
timeout: 200,
sensitivity: 7,
interval: 90
});
menu.on('focus.adminmenu', '.wp-submenu a', function(e){
$(e.target).closest('li.menu-top').addClass('opensub');
}).on('blur.adminmenu', '.wp-submenu a', function(e){
$(e.target).closest('li.menu-top').removeClass('opensub');
});
// Move .updated and .error alert boxes. Don't move boxes designed to be inline.
$('div.wrap h2:first').nextAll('div.updated, div.error').addClass('below-h2');
$('div.updated, div.error').not('.below-h2, .inline').insertAfter( $('div.wrap h2:first') );
// Init screen meta
screenMeta.init();
// check all checkboxes
$('tbody').children().children('.check-column').find(':checkbox').click( function(e) {
if ( 'undefined' == e.shiftKey ) { return true; }
if ( e.shiftKey ) {
if ( !lastClicked ) { return true; }
checks = $( lastClicked ).closest( 'form' ).find( ':checkbox' );
first = checks.index( lastClicked );
last = checks.index( this );
checked = $(this).prop('checked');
if ( 0 < first && 0 < last && first != last ) {
checks.slice( first, last ).prop( 'checked', function(){
if ( $(this).closest('tr').is(':visible') )
return checked;
return false;
});
}
}
lastClicked = this;
// toggle "check all" checkboxes
var unchecked = $(this).closest('tbody').find(':checkbox').filter(':visible').not(':checked');
$(this).closest('table').children('thead, tfoot').find(':checkbox').prop('checked', function() {
return ( 0 == unchecked.length );
});
return true;
});
$('thead, tfoot').find('.check-column :checkbox').click( function(e) {
var c = $(this).prop('checked'),
kbtoggle = 'undefined' == typeof toggleWithKeyboard ? false : toggleWithKeyboard,
toggle = e.shiftKey || kbtoggle;
$(this).closest( 'table' ).children( 'tbody' ).filter(':visible')
.children().children('.check-column').find(':checkbox')
.prop('checked', function() {
if ( $(this).closest('tr').is(':hidden') )
return false;
if ( toggle )
return $(this).prop( 'checked' );
else if (c)
return true;
return false;
});
$(this).closest('table').children('thead, tfoot').filter(':visible')
.children().children('.check-column').find(':checkbox')
.prop('checked', function() {
if ( toggle )
return false;
else if (c)
return true;
return false;
});
});
$('#default-password-nag-no').click( function() {
setUserSetting('default_password_nag', 'hide');
$('div.default-password-nag').hide();
return false;
});
// tab in textareas
$('#newcontent').bind('keydown.wpevent_InsertTab', function(e) {
var el = e.target, selStart, selEnd, val, scroll, sel;
if ( e.keyCode == 27 ) { // escape key
$(el).data('tab-out', true);
return;
}
if ( e.keyCode != 9 || e.ctrlKey || e.altKey || e.shiftKey ) // tab key
return;
if ( $(el).data('tab-out') ) {
$(el).data('tab-out', false);
return;
}
selStart = el.selectionstart;
selEnd = el.selectionend;
val = el.value;
try {
this.lastKey = 9; // not a standard DOM property, lastKey is to help stop Opera tab event. See blur handler below.
} catch(err) {}
if ( document.selection ) {
el.focus();
sel = document.selection.createRange();
sel.text = '\t';
} else if ( selStart >= 0 ) {
scroll = this.scrollTop;
el.value = val.substring(0, selStart).concat('\t', val.substring(selEnd) );
el.selectionstart = el.selectionend = selStart + 1;
this.scrollTop = scroll;
}
if ( e.stopPropagation )
e.stopPropagation();
if ( e.preventDefault )
e.preventDefault();
});
$('#newcontent').bind('blur.wpevent_InsertTab', function(e) {
if ( this.lastKey && 9 == this.lastKey )
this.focus();
});
if ( pageInput.length ) {
pageInput.closest('form').submit( function(e){
// Reset paging var for new filters/searches but not for bulk actions. See #17685.
if ( $('select[name="action"]').val() == -1 && $('select[name="action2"]').val() == -1 && pageInput.val() == currentPage )
pageInput.val('1');
});
}
// Scroll into view when focused
$('#contextual-help-link, #show-settings-link').on( 'focus.scroll-into-view', function(e){
if ( e.target.scrollIntoView )
e.target.scrollIntoView(false);
});
// Disable upload buttons until files are selected
(function(){
var button, input, form = $('form.wp-upload-form');
if ( ! form.length )
return;
button = form.find('input[type="submit"]');
input = form.find('input[type="file"]');
function toggleUploadButton() {
button.prop('disabled', '' === input.map( function() {
return $(this).val();
}).get().join(''));
}
toggleUploadButton();
input.on('change', toggleUploadButton);
})();
});
// internal use
$(document).bind( 'wp_CloseOnEscape', function( e, data ) {
if ( typeof(data.cb) != 'function' )
return;
if ( typeof(data.condition) != 'function' || data.condition() )
data.cb();
return true;
});
})(jQuery);

لینک به ارسال

چرا کل پوشه WP-ADMIN رو دوباره آپلود نمیکنید که خیالتون راحت شه ؟

لینک به ارسال

چرا کل پوشه WP-ADMIN رو دوباره آپلود نمیکنید که خیالتون راحت شه ؟

اگر اینکارو کنم هیچ مشکلی پیش نمیاد؟ (بازدید هایی که در زمان جایگزینی فایل ها وارد سایت شوند چی می بینند؟)

لینک به ارسال

کل زمان جایگزینی کمتر از یک دقیقه خواهد بود و در این یک دقیقه وارد ادمین سایت نمی توان شد

در ضمن قبلا هم عرض کردم نود32 خیلی قابل اطمینان نیست

لینک به ارسال

کل زمان جایگزینی کمتر از یک دقیقه خواهد بود و در این یک دقیقه وارد ادمین سایت نمی توان شد

در ضمن قبلا هم عرض کردم نود32 خیلی قابل اطمینان نیست

پس من تمام پوشه wp-admin را حذف کنم و از سورس اصلی پوشه دست نخورده wp-admin را جایگزینش کنم؟ بخشید انقدر تاکید می کنم ولی می خواهم مطمئن بشم که برای خود وردپرس مشکلی پیش نیاد.

ویرایش شده توسط سعید شعبانی
لینک به ارسال

به گفتگو بپیوندید

هم اکنون می توانید مطلب خود را ارسال نمایید و بعداً ثبت نام کنید. اگر حساب کاربری دارید، برای ارسال با حساب کاربری خود اکنون وارد شوید .

مهمان
ارسال پاسخ به این موضوع ...

×   شما در حال چسباندن محتوایی با قالب بندی هستید.   حذف قالب بندی

  تنها استفاده از 75 اموجی مجاز می باشد.

×   لینک شما به صورت اتوماتیک جای گذاری شد.   نمایش به صورت لینک

×   محتوای قبلی شما بازگردانی شد.   پاک کردن محتوای ویرایشگر

×   شما مستقیما نمی توانید تصویر خود را قرار دهید. یا آن را اینجا بارگذاری کنید یا از یک URL قرار دهید.

×
×
  • اضافه کردن...