مشاهدة النسخة كاملة : فايروس في موقع الجماعة؟؟
aliyassine 25-01-2008, 16:26 السلام عليكم ورحمة الله وبركاته
بسم الله الرحمن الرحيم
عندي مشكلة عندما أتصفح الصفحة الأولى من موقع الجماعة، اذ سرعان ما يقوم " الكاسبر سكاي " بتنبيهي على أن هناك فايروس .
فهل هذا الأمر صحيح ؟ و هل يحصل معكم نفس الشيء ؟ أم أن المشكل عندي في الجهاز !!
http://rafi3.free.fr/uploaded/1690/157.png
http://rafi3.free.fr/uploaded/1690/175.png
أرجو المساعدة و لكم جزيل الشكر
السلام عليكم ورحمة الله وبركاته
رأيت مثل هذا المشكل مع 2 من الإخوة هذا الأسبوع.
ما اسم بنامج الحماية المشغل لديك؟
aliyassine 25-01-2008, 17:02 وعليكم السلام ورحمة الله وبركاته
برنامج الحماية عندي هو " الكاسبر سكاي " الشهير ، كما هو مبين في الصورتين أعلاه ..
و هذه صورة عن الواجهة للكاسبر الذي أستعمله :
http://rafi3.free.fr/uploaded/1690/11124454455555.png
تحياتي اليك أخي الكريم
من بين الإخوة الذين واجهتهم المشكلة له مثل هذا البرنامج
وأظن أن المشكل في التحديث الأخير للبرنامج والله أعلم.
وأنا أيضا نفس المشكل بل أخت أخرى استنتجت نفس الشيء
ان كان أخي الكريم المشكل من الكاسبرسكاي 07
فـأنا أستعمل الكاسبرسكاي 06 ونفس المشكل
اخوتي لقد واجهت نفس المشكل و قد راسلت الاخوة المشرفين على الموقع و اظن و الله أعلم انه تم اختراق الموقع و ساخبركم لمادا:
1- الكاسبر سكاي
2- هدا الفيروس مرة موجود و مرة غير موجود
3- ادا طلبت موقع الجماعة الان يرسلني الى موقع ال msn
4-يتغير اسم الفيروس كل مرة ( وهو سكربت ضسح على ما أظن) فاصبح اليوم متلا
http://77.221.133.188/.if/go.html?5331bc
5-اليوم دخلت الى موقع الجماعة aljamaa.com فظهرت لي كل البيانات في الموقع حتى قاعدة البيانات و هي من نوع الاكسس
أظن ان هناك خطر حقيقي
انا الان استعمل هدا الرابط ريتما يحل المشكل
http://xstrefa.info/cgi-bin/nph-proxy.pl/000100A/http/aljamaa.net
abdelkader 26-01-2008, 12:59 بسم الله الرحمن الرحيم
السلام عليكم ورحمة الله وبركاته
جزاكم الله كل خير إخوتي الكرام
موقع الجماعة والحمد لله في إطار الصيانة لهذا اليوم
aljinane 27-01-2008, 21:12 السلام عليكم ورحمة الله وبركاته
أكرمكم الله على غيرتكم على موقعنا الحبيب
لكن أاكد لكم أن الموقع لم يخترق و المرجوا عدم ترويج مثل هذه الأخبار الغير الصحيحة.
abdelkader 27-01-2008, 21:32 بسم الله الرحمن الرحيم
السلام عليكم ورحمة الله وبركاته
مشكور أخي الكريم على مرورك الطيب
ولكن الإخوة لم يروجوا لأي إختراق للموقع
فقط قالوااا أن هناك فيروس وهذا طبيعي
لأن أي موقع أو منتدى الا وتجد به فيروس..ولكن يكون غير ضار
مشكور أخي الكريم مرة أخرى على إطلالك
وأهلا وسهلا بك
aljinane 27-01-2008, 21:49 السلام عليكم ورحمة الله وبركاته
أكرمك الله أخي الحبيب إنما أردت توضيح الأمر وردا على أخي :
اخوتي لقد واجهت نفس المشكل و قد راسلت الاخوة المشرفين على الموقع و اظن و الله أعلم انه تم اختراق الموقع و ساخبركم لمادا:
1- الكاسبر سكاي
2- هدا الفيروس مرة موجود و مرة غير موجود
3- ادا طلبت موقع الجماعة الان يرسلني الى موقع ال msn
4-يتغير اسم الفيروس كل مرة ( وهو سكربت ضسح على ما أظن) فاصبح اليوم متلا
http://77.221.133.188/.if/go.html?5331bc
5-اليوم دخلت الى موقع الجماعة aljamaa.com فظهرت لي كل البيانات في الموقع حتى قاعدة البيانات و هي من نوع الاكسس
أظن ان هناك خطر حقيقي
وأشكرك على ترحيبك أخي
وفقكم الله
بارك الله فيك أخي و مرحبا بك بين اخوتك
لم أحاول أخي الترويج لأي شيء بل بالعكس ناقشت الامر مع بعض الاخوة منهم الأخ أشرف فقلنا ربما سكريبت عادي و المشكل في الكاسبر سكاي
لكن الامر تطور و اتسعت رقعت المتضررين و الدي يجعلني الان متأكد هو ان الرابط الاخير الدي ظهر لي عند طلب الموقع و هو
http://77.221.133.188/.if/go.html?5331bc
تم اكتشافه في مجموعة من المواقع و هو الان قيد الدراسة حسب ما وجدت
متلا هدا موضوع في احد المنتديات عن هدا الرابط ( اكتب متلا 77.221.133.188 في google و سترى ان مجموعة من الناس عانوا من نفس المشكل )
بسم الله الرحمن الرحيم
حياك الله اخي ضيف
اولا هذا الكود هو كود ****** واحيانا يكون الكود في صورة javascript والكود يرتبط برابط لموقع يحمل الي جهاز المتصفح للموقع او الصفحة المصابة ملف malware مضر بالجهاز.
سبب الاصابة للمواقع هو ثغرة اكتشفت في لوحات التحكم الشهيرة cpanel حسب المواضيع المنتشرة علي الانترنت وحسب اعتراف شركة cpanel نفسها بال exploit وقد استغلها صاحب ال malware لهذا الغرض.
وقد اكتشفت اخيرا انها ايضا لا تقتصر علي cpanel بل وجد ايضا ثغرة في لوحة تحكم plesk و webmin/usermin لكن لم اتابع الا الترقيع من شركة cpanel وتأكدي من اصابة ال plesk بهذه الثغرة اصابة احد المواقع الكبري بنفس الثغرة رغم استعماله plesk لا cpanel.
الاصابة الخبيثة :
الموقع الذي عليه ال Malware خبيث حيث يعمل بكود php لا برابط مباشر مع ال Malware ففي بعض الاوقات لا يعمل ال Malware في كود ال php ويكتفي بان يظهر لك الرابط هذا الشكل او كما في حالة الرابط الذي اضفته يظهر لك كلمة test page وهذا يوحي بان الموقع غير مصاب في المشاهدة العادية وبعض الاوقات يتم التحويل الي malware ويتم تحميلها لجهاز الزائر للموقع.
الشي المضحك انه يمكن ان يتم استهداف موقعك اكثر من مرة مما يسبب فساد ال ****** القديم وعمل واحد جديد مما يوحي بعشوائية الضربات للمواقع.
الملفات المصابة :
من متابعتي لهذا ال Malware الناتج من الثغرة تبين ان الثغرة لا تصيب جميع ملفات الموقع بل تصيب الاتي
index.*
اي اي ملف اسمه index باي امتداد
login.*
ايضا اي ملف اسمه login باي امتداد
واتوقع انه ايضا يصيب اي ملف اساسي علي ال web server مثل default وغيرها
تفحص سريع :
عليك تفحص الموقع الخاص بك خصوصا ملفات index و login عن اي كود ****** غير مرغوب فيه وخاصه ما يحوي رابط به ip ومثله كود ال javascript.
ليس معني عدم وجود رسالة تحذير من ال antivirus خلو موقعك من ال malware بل يجب ان تشاهد كود ال html الخاص بالصفحات هذه للتأكد من خلو موقعك.
لا تنسي الترقيع لهذه الثغرة من cpanel او ابحث عن الترقع ايضا من Plesk
في الغالب تجد ان الكلام عن exploit لل ie.
والمشكلة ان غالب الكلام عن المشكلة لا عن المسبب لها وهو الثغرة في لوحات التحكم للمواقع فستجد دائما الكلام عن الexploit لل ie لا عن السبب في اصابة المواقع بهذا الكود سواء ال ****** او ال javascript مما وضع بعض اصحاب المواقع وشركات الاستضافة في حيرة حتي cpanel لم تتحدث عن الارتباط المباشر بين هذه الثغرة والاكواد الاضافية في المواقع.
و نقاشات أخرى في منتديات أجنبية يمكن الاطلاع عليها لمعرف سبب قلقي و هدا طبيعي للحب الدي اكنه للجماعة و الخوف من المكر و الكيد الدي يحاك لها ليل نهار .
و رغم كل هدا فضلت ان أقول انني أظن أن الموقع قد أخترق و لم أأكد دلك
و أشكرك على غيرتك و تخوفك
بسم الله الرحمن الرحيم
السلام عليكم ورحمة الله وبركاته
شكراً لك اخي الكريم
السلام عليكم ورحمة الله وبركاته
بورك فيك أخي الكريم
توضيح قيم :)
جاريتينو 07-02-2008, 11:23 بسم الله الرحمن الرحيم شكراً لك اخي الكريم...........
بارك الله فيكم اخوتي و شكر الله مروركم الطيب
بالنسبة للمشكل فقد تم اصلاحه و الحمد لله
|