טוב לאחר שבוע מפרך והרבה חדשות טובות כולל ילדה חדשה בבית, חוזרים לעניינים,  והאמת היא שהתלבטתי מאוד על מה לכתוב – מכוון שיש כל כך הרבה דברים ראויים אבל הזמן קצר. אז היה לי איזה רעיון שכבר כמה שבועות אני גלגלתי בראש ושקלתי אם לכתוב עליו או לא שעיקרו הוא, מתודה להשיג לעצמכם המון קישורים על ידי הפצה של תבניות וורדפרס מוזרקות עם קוד מוצפן של קישורים שקשה מאוד להפטר ממנו, כמובן ללא שום גרימת נזק למשתמש אלא פשוט כמה אמצעים לוודא שה"קרדיט" שלכם לא יוסר.


אבל באופן לא צפוי, רצה הגורל – וכפי שאומרת כותרת הפוסט Karma Is a Bitch, והמחשב שלי חטף RootKit אכזרי שבנוסף לכל הבלאגן שהוא עשה לי במחשב הוא גם… הזריק לי קוד, מאוד מאוד דומה לזה שרציתי לכתוב עליו – אל כמעט כל האתרים שהיו מחוברים למחשב שלי ב-FTP באותו הזמן של "הזיהום". ולכן החלטתי מה שנקרא בלשון העם "לעשות תשובה" ולחזור אל הנושא מכוון אחר – ולכן, מה שהייתי רוצה לכתוב עליו עכשיו הוא מתודה מאוד מאוד פשוטה איך לנקות הזרקות של קודים או וירוסים לאתרים שלכם.

אני בטוח שאין פה אחד שיש לו יותר מכמה אתרים יותר מכמה שנים שלא בילה כמות מכובדת של זמן או בזבז כסף על נקיונות שמטרתם להסיר הזרקות קוד ווירוסים שונים ומשונים שתקפו את האתרים שלו, אם זה בגלל בעיות אבטחה בשרת של חברת האחסון, וירוסים במחשב, פלאגינים פרוצים, או CMSים שלא עודכנו כמו שצריך. אז גם אני עשיתי את זה לא מעט, וכשמדובר כל פעם בנקיון של 100+ אתרים מדובר במשימה שגוזלת זמן רב מאוד וכמובן מעצבנת, וזה מבלי להזכיר בכלל את האפשרות של פספוסים שגורמים לקודים הזדוניים לחזור שוב.

אז מה בעצם החידוש כאן שמצריך לכתוב עליו בכלל?

לפני החידוש נגיד ככה, שבהנחה וחברת האחסון שלכם לא מנקה לכם את הוירוסים\קודים זדוניים במידה ותקפו את האתרים שלכם, תהיה לכם אחת מהאפשרויות הבאות כדי לנקות אותם:

א) להשכיר מישהו שינקה את האתרים שלכם – שזה כמובן יעלה לכם לא מעט כסף.
ב) לנקות ידנית – שזה כמובן יקח לכם לא מעט זמן וכאב ראש.
ג) למצוא סקריפט שינקה את האתרים שלכם – אפשרות מעולה, רק שלכו תמצאו סקריפט לאיזה וירוס שהיום זה היום הראשון שלו בשוק או וירוס שמישהו שינה 3 אותיות מהקוד שלו, דבר שמספיק כדי להפוך את סקריפט הניקוי שלכם ללא יעיל.

אז כפי שידוע למי שזה לא הביקור הראשון שלו פה, אנחנו פה אוהבים אפשרויות אוטומטיות ואין לנו כוח לשבור את הראש כל פעם מחדש על אותן בעיות – לכן הפעם התמזל מזלי למצוא סקריפט שינקה לכם כל וירוס, כל קוד זדוני, כל Iframe וכל הזרקת קישורים שאתם רק יכולים לחשוב עליה – לא משנה אם הוירוס הזה יצא היום בבוקר או שמישהו שינה לו את הקוד.  כל מה שאתם צריכים בשביל זה הוא את הקוד מקור PHP או JS של הוירוס או שניהם -  כדי להשיג זאת בדרך כלל מה שאתם צריכים לעשות הוא להתסכל בקובץ Index.php שלכם ופשוט לעשות קופי פייסט על הקוד החשוד, אם אתם לא יודעים לעשות את זה – השתמשו באפשרות א' מהסעיף הקודם.

ואיך הוא עושה את זה?

הוא עושה את זה בצורה כל כך פשוטה שהאמת בא לי פשוט למות על כל הזמן שבזבזתי עד היום, ואני בטוח שכמה וכמה מהקוראים שלנו יכולים ליצור סקריפט כזה בחמש דקות עבודה אבל כדאי מאוד להכיר אותו או לפחות את הרעיון שלו, תאמינו לי אתם לא יודעים כמה זמן זה יכול לחסוך לכם ביום צרה.

נעשה את זה בשלבים:

1) מוצאים את הקוד הזדוני שלנו בשתי דרכים, מסתכלים בקובץ PHP על קוד המקור במקרה שלנו זה יהיה משהו כזה:
אמנם בתמונה הוא קצת חתוך אבל בגדול זה קוד שבודק מה UA שנכנס אליכם לאתר – אם זה גולש או מנוע חיפוש, שואב קישורים מאיזה אתר זדוני אחר ומציג אותם לבוטים של מנועי החיפוש, משתמשים רגילים לא יראו כלום.

2) מסתכלים בקוד המקור – VIEW SOURCE של האתר ומוציאים ממנו את הסקריפט הזדוני. אצלנו הפלט של הקוד מהסעיף הקודם יראה משהו כזה (זאת רק ההתחלה של השורה):

מבחינתנו שני הקודים האלו יכולים להיות כל דבר אחר,  העיקר שתדעו את קוד המקור של הוירוס והפלט, זה הכל.  הסיבה שכדאי לרשום גם את הפלט היא שהוירוסים לעיתים מפיצים את עצמם גם לקבצי HTML באתרים ולא רק קבצי PHP וכדומה ולכן כדאי גם לחפש עקבות כאלו.

3) הולכים לאתר הזה: Malicious Code Cleaner Malware Remover Script ורוכשים את הסקריפט שלהם ב-27$ או משהו כזה. (אני לא אפילייט שלהם, אין להם אפילייט, אני פשוט שמח מאוד מהזמן שהסקריפט הפשוט שלהם חסך לי לכן הוא יקבל ממני את מלא הפרגון)

4) מעלים את הסקריפט לשרת ומנווטים אליו עם הדפדפן :

yourdomain.com/mr/mr.php

5) ופשוט עוברים לפי השלבים פה, להכניס את הקוד, לוחצים על Search & Clean וגמרנו.

יותר קל מזה אי אפשר לבקש, וזה פשוט ימצא את כל הקבצים בכל הספריות ותתי הספריות שמכילים את הקוד הזה ויחליף את הקוד שהזנתם ב"כלום" ולמעשה יעיף לכם את הוירוס, כך שחסכנו לעצמנו את הצורך להביא כל פעם סקריפט אחר שמתאים לוירוס אחד, אלא לטפל בכל וירוס עתידי בעזרת הסקריפט הזה (כמובן שעדיף להמנע מהוירוסים מראש אבל תמיד כדאי להיות מוכן…) למצוא את הקוד החשוד זה ממש לא בעיה.

עוד כמה נקודות שהייתי רוצה לציין לגבי סקריפט "חיפוש כזה":

* ראיתי שעל אחסונים שפועל בהם מצב של PHP safe_mode זה לא ממש עובד אז כדאי לבקש מחברת האחסון לבטל את זה.
* ערך מוסף של סקריפט חיפוש פשוט כזה – רוצים לשנות משהו בקבצים שלכם ואין לכם מושג באיזה קובץ הוא נמצא? תמיד ניתן לנצל את הסקריפט הזה וללחוץ על "חיפוש רגיל" מעולה אם יש לכם איזה קישור פוטר מעצבן שמוחבא בתבנית ובא לכם להעיף אותו או שבא לכם לבדוק באיזה קובץ ממוקמת פיסת קוד כלשהי ואין לכם כוח לחפש במליון ואחד קבצים.
* חיפוש הקוד ה-Case Sensitive.
* הכי חשוב:  לא לשכוח לתקן את הבעיה שבגללה הוירוס הגיע מראש! לשנות סיסמאות FTP, לעדכן את ה-CMSים\פלאגינים החשודים ולהעיף מהמחשב את הוירוסים.

בתקווה ששבוע הבא נחזור לעסוק בנושאים קצת יותר עסיסיים – אךבקיצור נאמר שזה היה פוסט לא הכי קשור לנושאים שלנו, אבל מטרת העל שלי היא לחסוך לאנשים זמן כסף וכאב ראש -  ואם זה יסייע למישהו במקרה כזה, אז עשיתי את שלי :)

VN:F [1.9.18_1163]

מה דעתכם על הפוסט?

דירוג: 10.0/10 (1 הצבעה )

VN:F [1.9.18_1163]

דירוג: +1 (מתוך 1 הצבעה)

Karma Is a Bitch - וירוסים באתרים?, 10.0 out of 10 based on 1 rating


שתפו אותנו בפייסבוק גוגל ובטוויטר!
אהבתם את מה שקראתם? הכניסו את כתובת המייל שלכם
והרשמו לעדכונים כדי שתהיו הראשונים לקבל את המידע שאף אחד לא מספר לכם: