امنیت دیجیتالتکنولوژی و فناوری

حذف بدافزار deloton و defpush از سایت های وردپرس

آموزش حذف ویروس deloton.com و defpush.com از سایت های وردپرس

مدتی هست که بدافزاری با آدرس deloton.com و defpush.com بر روی سایت های وردپرس پیدا شده که اقدام به باز کردن نوتیفیکیش و صفحات پاپ اپ می کند و تا کنون سایت های زیادی را آلوده کرده است. و حتی اجازه نمی دهد که کاربر بر روی لینک های سایت قربانی و آلوده شده کلیک کند. در نتیجه بازدید سایت را به شدت کاهش می دهد. این بدافزار بسیار باهوش عمل می کند فقط زمانی ظاهر می شود که کاربر از موتورهای جست جوگیر مثل گوگل، یاهو، بینگ، یاندکس و .. وارد سایت شما شده باشد. اگر شما به صورت مستقیم آدرس سایت آلوده شده به بدافزار را در مرورگر وارد کنید. این ویروس و یا بدافزار مشاهده نمی شود. که این مورد امکان شناسایی و تشخیص آن را برای مدیران سایت سخت تر می کرد.

مثلا نمونه آدرس های زیر که این ویروس به آنها اشاره می کند

https://defpush.com/ntfc.php?p=1567910&r=h

http://deloton.com/afu.php?zoneid=1365143&var=1515609

موقع ورود کاربر به سایت از طریق موتورهای جست جو ابتدا یک نوتیفیکیشن مشابه تصویر زیر بر روی صفحه سایت در موبایل یا قسمت سمت راست بالای سایت در کامپیوتر ظاهر می شود که از کاربر می خواهد یکی از گزینه ها را انتخاب کند. در صورتی که کاربر گزینه allow را کلیک کنید. یک صفحه پاپ اپ باز می شود. و در نهایت شما را به صفحه تبلیغات دلخواه هدایت می کند. و در صورتی که گزینه Deny را کلیک کند. باز هم به بازدید کننده اجازه نمی دهد تا بر روی لینک های دلخواه درون سایت کلیک کند . و پیغام های دیگری نیز ظاهر می شود. به گونه ای که بازدید کنند را مجبور به ترک سایت می کند.

هدف این بدافزار کسب بازدید و کلیک تبلیغاتی از سایت های قربانی و آلوده شده است.

شناسایی این بدافزار و ویروس از سایت های وردپرس به متخصص امنیتی نیاز داشت که بتواند کدها وردپرس و افزونه ها آن را به درستی شناسایی و فایل های مخرب را پیدا کند.

برای مثال چند روز پیش برای یکی از مشتریان سئوی ما چنین مشکلی پیش آمد سایت پربازدیدی داشت که توسط این بدافزار آلوده شده بود.

این کاربر به مدت دو ماه درگیر این بدافزار بود چندین بار اقدام به حذف و نصب وردپرس، افزونه ها ، قالب کرده بود. از چندین شرکت و متخصص امنیتی کمک گرفته بود. در انجمن های امنیت سایبری این مشکل را نیز مطرح کرده که کسی نتوانست راه حلی دائمی برای حذف این بدافزار به ایشان ارائه کند.

مشکل آنجا بود که اکثر افرادی که از آنها کمک گرفته بود فکر می کردند که دیتابیس این سایت به بدافزار آلوده شده است.

یا بعضی از آنها می گفتند که مشکل از افزونه های نال شده وردپرس هست در صورتی که مشکل ربطی به افزونه ها نداشت حتی چندین بار افزونه های وردپرس را حذف و از دوباره نصب کرد. حتی قالب و خود وردپرس را. اما باز هم مشکل حل نشده بود.

How to Remove Deloton.com from wordpress site

تا اینکه این مشکل را با ما مطرح کردند.

پس از بررسی های فراوان متوجه شدم که این بدافزار در دیگر سایت های موجود بر روی سرور آن سایت نیز فعالیت می کند و مشکل ربطی به افزونه و قالب ندارد.

در نتیجه با تلاش زیاد سه فایل مخرب در پوشه wp-includes وردپرس تمامی سایت های موجود بر روی سرور کشف کرده ایم. که سه فایل به اسم های زیر ایجاد کرده.

wp-vcd.php
wp-tmp.php
wp-feed.php

**در صورتی که سایت شما به این تروجان آلوده است در اولین اقدام وردپرس سایت و سایت های دیگه روی هاست خود را بررسی کنید فایل های بالا را سریعا پاک کنید.

و برای اطمینان کامل فایل functions.php قالب سایت خود را چک کنید چنانچه که کدهای مخرب به آن اضافه شده آنها را پاک کنید. یا از فایل بکاپ قالب استفاده کنید

 

که بررسی هر سه فایل نشان دهد به آدرس های ذکر شده زیر اشاره می کنند

https://defpush.com/ntfc.php?p=1567910&r=h
http://deloton.com/afu.php?zoneid=1365143&var=1515609

نکته دیگر اینکه این بدافزار نه تنها وردپرس رو آلوده می کند بلکه فایل functions.php قالب سایت را هم آلوده می کند و چندین خط کد مشابه زیر به اول فایل فانکشن قالب اضافه می کند.

مشابه کدهای زیر که اشاره به سه فایل ذکر شده در پوشه wp-includes وردپرس داشته اند.

پس از شناسایی و حذف این کدها از وردپرس و قالب مشکل برای همیشه حل شده.

در ادامه بررسی ها متوجه شده ایم. که یکی از قالب های موجود بر روی سرور که از سایت های مطرح فروش قالب (ذکر نمی شود ) خریداری کرده اند. به این بدافزار آلوده بوده. و برای اطمینان از اینکه مشکل مربوط به آن قالب هست. قالب رو از آن سایت دوباره دانلود کرده ایم. متوجه شده ایم که نه تنها این قاب بلکه سایر قالب هایی که در آن سایت به فروش می رسد نیز به این بدافزار آلوده هستند.

هر چند مدیران سایت ذکر نشده ادعا می کنند که از این موضوع کاملا بی اطلاع بودند

دوستان اگر چنین مشکلی دارند و با استفاده از آموزش بالا حل نشد با ما تماس بگیرید.

 

برچسب ها

آریو اشراقی راد

از بچه ی خون گرم جنوب (خوزستان) - با اشتراک گذاری و معرفی مطالب سایت به دوستان خود در شبکه های اجتماعی ما را حمایت کنید ID تلگرام asdownload1@

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

بستن