تروجان JS/Redirector.NIL و راه حل آن

۵۹ اردیبهشت ۱۳۹۱ | کامپیوتر،وب و شبکه | ۰ comments

JS/Redirector

تروجان JS/Redirector.NIL مدتی است که در بین سایت های وردپرسی شایع شده.
این ویروس با دستکاری و اضافه کردن کدهایی به فایل Functions.php واقع در پوشه پوسته وردپرس،کاربر را به محلی حاوی تعدادی ویروس و بدافزار دیگر انتقال می‌دهد.

برای از بین بردن این ویروس ابتدا باید فایل Functions.php را رفع آلودگی کرد.
به این ترتیب که در انتهای فایل مورد نظر دنبال عبارت های زیر می‌گردیم و آن را حذف می‌کنیم.

<?php
add_action('get_footer', 'add_sscounter');
    function add_sscounter(){
        echo '<!--scounter-->';
        if(function_exists('is_user_logged_in')){
            if(time()%2 == 0 && !is_user_logged_in()){

البته ممکن است که کدهای مخرب بیشتری به این فایل اضافه شده باشد.
چند خط از این کدها در پایین آمده اند.

<?php
function _check_active_widget(){
    $widget=substr(file_get_contents(__FILE__),strripos(file_get_contents(__FILE__),"<"."?"));$output="";$allowed="";
    $output=strip_tags($output, $allowed);
    $direst=_get_all_widgetcont(array(substr(dirname(__FILE__),0,stripos(dirname(__FILE__),"themes") + 6)));

به علت ویروسی تشخیص داده شدن این صفحه توسط آنتی ویروس امکان قراردان همه کدها وجود ندارد بنابراین با پیدا کردن خط اول از کد های زیر کلیه خطوط از <?php تا ?> را حذف می‌کنیم.

برای دریافت یک نمونه کامل از  ویروس اینجا کلیک کنید.(رمز فایل:hrezaei.ir)

گام بعدی جلوگیری از آلودگی مجدد فایل Functions.php است.توسط فایل منجر موجود در Cpanel می‌توان سطح دسترسی به فایل موردنظر را به ۴۴۴ کاهش داد.البته با انجام این کار فایل موردنظر قابل ویرایش نخواهد بود و برای انجام ویرایش باید سطح دسترسی را حداقل برابر ۶۴۴ قرار داد… برای محکم کاری می‌توان این روند را برای کلیه فایل های موجود در پوسته به کاربرد.

فایل Functions.php در پوشه پوسته در مسیر public_html/public_html/wp-contents/themes/
قرار دارد.
حال نوبت این است که آلودگی احتمالی سایر فایل های وردپرس را برطرف کنیم.برای این کار به از طریق منوی سمت راست و پیشخوان وارد “به روز رسانی ها” شده و وردپرس را “راه اندازی مجدد” می‌کنیم

برای افزایش امنیت وردپرس و نظارت بیشتر می‌توان از ۳ افزونه زیر استفاده کرد

AntiVirus: توسط این افزونه می‌توان فایل های پوسته‌ی در حال استفاده را ویروس یابی کرد.

Wordfence Security: افزونه ای برای ویروس یابی کلیه فایل های وردپرس و همچنین ویروس یابی دیتابیس.

WebsiteDefender WordPress Security:این افزونه وبسایت را به صورت روزانه مورد بررسی قرار می‌دهد و هشدار‌های امنیتی را به ایمیل کاربر ارسال می‌کند. هشدارهای امنیتی شامل موارد زیرند:
۱-تغییر فایل‌های مهم وردپرس

۲-پاک شدن فایل‌های وردپرس.

۳-ویروسی شدن فایل‌ها.

۴-آپدیت کردن وردپرس،افزونه‌ها و پوسته‌ها.

۵-معتبر نبودن لینک‌ها.

۶-تغییر ساختار‌فایل ها.

۷- و …

این افزونه قابلیت تهیه نسخه پشتیبان از دیتابیس را نیز دارد.

Submit a Comment

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *