مشاهده پست های بی پاسخ | مشاهده موضوعهای فعال تاریخ امروز پنجشنبه 19 جولای, 2018 2:44 pm



پاسخ به موضوع  [ 3 پست ] 
 ویروس گامبلار Gumblar چیست؟ 
نویسنده پیام
آواتار کاربر

عضو: دوشنبه 16 ژوئن, 2008 11:28 am
پست ها: 39
پست ویروس گامبلار Gumblar چیست؟
چند وقتی است سرتاسر اینترنت پر شده است از ویروس فوق العاده مهلکی به نام گامبلار !

در کمتر سایتی می توانید راجع به این ویروس چیزی بیابید چه برسد به اینکه راه حلی برایش وجود داشته باشد .

ابتدا بگذارید ببینیم کار این ویروس چیست .
این ویروس خود را خارج از هاست و بدون داشتن دسترسی به هاست و ftp در فایلهای سایت کپی می کند .

شاید اکنون این به ذهن شما رسیده باشد که " خوب پاکش می کنیم " . این ویروس غیر قابل پاک شدن است مگر اینکه خیلی سریع و کامل عمل کنید!!!

این ویروس چند حالت دارد :

1 ) برای فایلهای html : کدی که در فایلهای ساده html وجود دارد که بخصوص در فایلهای معروفی چون index به چشم میخورد . این کد پس از تگ body دیده می شود .

2 ) برای فایلهای php : کدی که در فایلهای php وجود دارد که بخصوص در فایلهای معروفی چون index , function , config زیاد به چشم میخورد . این کد اولین کد در فایل php می شود


3 ) برای فایلهای js : این ویروس خودش را در فایلهای جاوا نیز کپی می کند و آنها را نیز چک نمائید .


این ویروس چند نوع دارد :
1 ) همانی که در بالا توضیح داده شد
2 ) همین ویروس ولی با استفاده از iframe


اگر نوع اول ویروس را گرفتید که بسیار خوشحال باشید . چرا که تنها سایتتان ویروسی شده و هرچند سخت اما قابل درمان است .

اگر نوع دوم ویروس را گرفتید که شخصا پیشنهاد می کنم قید سایت خود را بزنید و کلا بروید دنبال کار دیگری !

در نوع دوم علاوه بر بلایایی که بخاطر ویروس بر سر شما می آید یک حادثه بسیار تلخ رخ می دهد و آن این است که گوگل سایت شما را سایتی تشخیص می دهد که ویروس پخش می کند و سایت شما را بن می کند !

اگر این مشکل را نیز بتوانید حل کنید ( که خودتان نمی توانید و باید یک متخصص سئو این کار را انجام دهد ), دیگر چیزی در گوگل به اسم سایت شما وجود ندارد ! یعنی تمامی زحماتی که کشیده بودید تا رتبه مناسبی در گوگل بگیرید بر بارد رفته است .
توجه داشته باشید که گوگل این موضوع را خیلی سریع متوجه می شود و بدون اینکه چیزی بگوید عمل می کند . یعنی کاری ندارد که شما مقصر هستید یا نه ! سایت شما هک شده یا خودتان این کار را کرده اید ! کلا فقط یک چیز را می داند و آن اینکه سایت شما فقط باید مسدود شود !!!

اگر سایت شما به این ویروس از نوع دوم گرفتار شود در کمتر از یک نصف روز در گوگل ویروس شناخته خواهید شد و این جمله در بالای تمام نتایجی که سایت شما در گوگل بیاورد نشان داده می شود :

This site may harm your computer

یا در جستجو به زبان فارسی:

این وبگاه ممکن است به رایانه شما آسیب وارد نماید.

گوگل اینها را malware نامیده که معنای آن تقریبا بدافزار می شود .

پس همین الان سایت خود را باز کرده و دنبال این کدها باشید . یافتن آنها ساده است در همان ابتدای کدها قابل مشاهده است .بخصوص به دنبال iframe باشید . در این بخش ممکن است آی فریمی را مشاهده نمائید که ابعاد آن بسیار کوچک باشد که قابل مشاهده نباشد .

تابحال مشاهده نشده که سایتهایی که با دات نت یا asp کلاسیک ساخته شده اند آلوده به این ویروس شده باشند . اما کار از محکم کاری عیب نمی کند .



این ویروس چه می کند ؟

اگر وارد سایتی شدید و ناگهان متوجه شدید یک فایل pdf از چنین آدرسی http:// gumblar . cn/rss/?id=2 می خواهد دانلود شود یا باز شود مطمئن باشید که سایت یک نوعی از این ویروس را گرفته است .تابحال هیچ کسی متوجه نشده که اگر این فایل اجرا شود چه اتفاقی می افتد ! این سایت را در مرورگر خود به عنوان لیست سیاه قرار دهید ( هر چند که فایده ای هم ندارد ) .

این ویروس اولین کاری که می کند این است که لود شدن سایت را کند می کند , درست به مانند زمانی که سایت در حال bandwidth تمام کردن است یا خیلی شلوغ است . مسلما نویسنده این ویروس نیات شومی در سر دارد . چرا که تابحال خرابکاری خاصی در کامپیوتر کسی صورت نگرفته است . یقینا صاحب ویروس قصد دارد تا ویروس را به کامپیوترهای زیادی تزریق کند و در یک اقدام ناگهانی خرابکاری خاصی را انجام دهد که میلیونها نفر متضرر آن شوند .



این ویروس چگونه وارد سایتها شده است ؟

در این مبحث نظریه ها و فرضیه های گوناگون و زیادی ارائه شده است .

1 ) اولین نظریه این را عنوان می کند که این شخص سایت را هک کرده و این ویروس را وارد سایت می کند !
آیا چنین چیزی با منطق سازگار است ؟ مگر یکی دو سایت است ؟ هزاران سایت در سرتاسر جهان آلوده به این ویروس شده اند .
2 ) دومین نظریه بر این استوار است که این می تواند یکی از حملات بات نتی ( مثلا DDos ) باشد که این قدری می تواند درست باشد اما چرا تنها بعضی از سایتها ( البته فعلا ) دچار این مشکل شده اند ؟
3 ) نظریه سوم عنوان می کند که این ویروس برنامه های کار با FTP را آلوده می کند و هر فایلی که از طریق این برنامه ها آپلود می شود این ویروس خودش را به آنها می افزاید . این نظریه تا حدودی منطقی به نظر می رسد اما پس از بررسیهای کارشناسی این بحث رد شد . بعضی از صاحبان سایت با SFTP فایلها را آپلود می کردند پس چرا آنها ویروس را گرفتند .

آنتی ویروسهای بزرگی که به هر چیزی شک می کنند چرا برنامه ای را که نا خود آگاه روی کامپیوتر دانلود شده , نصب شده و اجرا شده را شناسایی نکرده اند ؟

4 ) چهارمین نظریه که بهترین آنها نیز می باشد انگشت اتهام را به سمت و سوی هاستینگها نشانه می روند که همانا صحیح است .
اینکه تنها بعضی از سایتها آلوده می شوند . اینکه هیچ کس نمی داند چگونه این ویروس وارد سایتشان شده است . و یکی دو دلیل دیگر مظنون شماره یک این ماجرا را سرورهای ضعیف هاستینگ می داند .

اگر سرور هاستینگ سروری با ایمنی بالا باشد هرگر دچار چنین مشکلی نخواهید شد .
وای به روزی که یکی از وبلاگ ها چنین ویروسی را بگیرند .

نکته جالب اینجاست که آمار آلوده شدن سایتهای ایرانی به این ویروس بسیار زیاد است .
آنچه که اثبات می کند مشکل از طرف هاستینگها می باشد و سرور ویروس گرفته است این است که :

زمانی که شما ویروس را کاملا از سایت خود پاک می کنید و سطوح دسترسی فایلها را نیز تغییر می دهید این ویروس در کمتر از 48 ساعت به سایت شما باز می گردد . اما این بار به شکلی بسیار خطرناک تر !

ویروس تغییر شکل می دهد و دوباره به سایت شما حمله می کند . تنها در صورتی که سرور ویروسی باشد این امکان برای ویروس بوجود می آید .



مرکز فعالیت این ویروس چیست ؟

مرکز فعالیت این ویروس در سایت شما یک چیز است . فایلی به نام image.php !!!
ویروس این فایل را در تمامی فولدرهایی که نام imgaes دارند کپی می کند . حال هرچند بار نیز که شما کدها را از فایلهای خود حذف کنید باز هم نمایان خواهند شد . چراکه این فایل دستور ساخت آنها را می دهد .

راه چاره چیست ؟

همیشه پیشگیری بهتر از درمان است . چه این ویروس را گرفته باشید و چه نگرفته باشید این کارها را انجام دهید .

در چنین مواقعی است که ارزش بک آپها مشخص می شود , اگر بک آپ دارید که هیچ اما اگر ندارید :

1 - یک فایل خالی به نام image.php می سازید .

2 - این فایل را با فایلی که در فولدر imgaes در سایتتان وجود دارد جابجا می کند و سطح دسترسی آن را جوری تنظیم می کنید که در آن write وجود نداشته باشد .

3 - کدهای مذکور را از فایلهای سایتتان پاک کرده و سطح دسترسی این فایلها را نیز طروی تنظیم می کنید که در آن write وجود نداشته باشد .

4 - تمامی فایلهایی که یا به نام های زیر هستند یا این نامهای در قسمتی از نام آنها وجود دارد را چک می کنید :
index.php
index.htm
index.html
functions.php
script.js
config.php
setting.php
db.php


پنجشنبه 16 جولای, 2009 5:19 pm
مشخصات شخصی
آواتار کاربر

عضو: دوشنبه 16 ژوئن, 2008 11:28 am
پست ها: 39
پست Re: ویروس گامبلار Gumblar
به هیچ عنوان سایت هایی که آلوده هستند را باز نکنید چون ویروس گومبلار (Gumblar) از طریق خواندن صفحه سایت هم وارد کامپیوتر شما می شود!

اگر مدیر سایت هستید و سایت شما آلوده شده:

از طریق جستجو کل فایل های فولدر را بررسی کنید. برای فایل های php و html یک کد جاوای ناخوانا اضافه می کنه که راحت می شه فهمید و برای php هم درست اول کدها اضافه می شه
می تونید با replace all همه کدهای اضافی رو پاک کنید


پنجشنبه 16 جولای, 2009 5:25 pm
مشخصات شخصی
آواتار کاربر

عضو: دوشنبه 16 ژوئن, 2008 11:28 am
پست ها: 39
پست Re: ویروس گامبلار Gumblar
ویروس جدید کاربران گوگل را هدف می‌گیرد

ویروس کامپیوتری جدیدی به نام گومبلار (Gumblar) کاربران سرویس جستجوی گوگل را مورد هدف قرار داده ‌است.
به گزارش گاردین، این ویروس از نقاط آسیب‌پذیری امنیتی نرم‌افزار آکروبات ریدر و فلش پلیر برای نفوذ به کامپیوتر کاربر استفاده می‌کند. زمانی که کاربر قصد استفاده از جستجوی گوگل را دارد این ویروس وی را به سایت‌هایی می‌کشاند که نرم ‌افزارهای مخربی را به کاربر تحمیل می‌کنند و یا حاوی حملات فیشینگ هستند.

این اولین باری نیست که گومبلار در اینترنت شناسایی می‌شود ولی سازندگان آن تغییراتی در ساختارش ایجاد کرده‌اند. این ویروس کدهای عملیات خود را از وب‌سایتی در چین دریافت می‌کند و از تکنیک‌هایی بهره می‌برد که شناسایی سرور آن را غیر ممکن می‌سازد. خه‌ای از این ویروس مرورگر کروم گوگل را نیز مورد هدف قرار داده‌است و لیست سایت‌های مشکوک این مرورگر را از کار می‌اندازد.

حضور گومبلار در اینترنت در هفته گذشته 2.5 درصد افزایش یافته و این ویروس 42 درصد کدهای مخرب وب‌سایت‌ها را تشکیل می‌دهد. افزایش فعالیت این ویروس در اینترنت تیم دولتی اورژانس کامپیوتر آمریکا (CERT)، وابسته به وزارت امنیت داخلی این کشور را مجبور به انتشار بیانه‌ای برای مقابله با تهدیدات آن کرد.
هم‌اکنون تنها راه مقابله با این ویروس، استفاده از نرم‌افزارهای معتبر امنیتی و دریافت فایل‌های به‌روزرسانی ویندوز، آکروبات ریدر و فلش پلیر است.

همشهری آنلاین


پنجشنبه 16 جولای, 2009 5:31 pm
مشخصات شخصی
مشاهده پست های قبلی:  نمایش بر اساس  
پاسخ به موضوع   [ 3 پست ] 

افراد آنلاین

کاربر حاضر در این تالار : - و 1 مهمان


شما نمی توانید در این تالار موضوع جدید باز کنید
شما نمی توانید در این تالار به موضوع ها پاسخ دهید
شما نمی توانید در این تالار پست های خود را ویرایش کنید
شما نمی توانید در این تالار پست های خود را حذف کنید
شما نمی توانید در این تالار ضمیمه ارسال کنید

جستجو برای:
پرش به:  
cron
استفاده و نقل از مباحث سایت، فقط با ذکر منبع و لینک سایت میکرورایانه مجاز است.
Copyright © 2006 - 2010 MicroRayaneh - Powered by phpBB © phpBB Group
Valid CSS2 Valid XHTML 1.0
طراحی سایت : میکرو رایانه