تمت الإفادة موقع للفحص

[Jasmin74]

السلام عليكم إخوتي الكرام،
يتعرّض موقع للهاك بشكل متكرر - مع أنه موقع عادي جدا- والآن تمت ازالة جميع الملفات والموقع يحتوي فقط على ملفين اثنين فقط، كلما اردنا ازالتهما او تعديلهما او استبدالهما، كانت النتيجة ان يعودوا الى ما كانوا عليه
index.php
و
.htaccess

الموقع هو

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

الhost هو bluehost وهم يزعمون انهم لا يملكون antimalware لمكافحة الmalware الموجود

فما رأيكم؟

 

[Jasmin74]

هذا هو محتوى ملف Index.php

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

 

[إيمان هندسة]

عليكم السلام

فحص الموقع لم يفضي إلى أي نتيجة
أعتقد المشكلة من السرفر

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

الكود الذي قدمته هو برنامج نصي PHP يؤدي مجموعة متنوعة من الوظائف المتعلقة بإدارة موقع الويب وأمانه
و يتضمن أيضًا بعض التعليمات البرمجية التي يُحتمل أن تكون ضارة

فيما يلي تفصيل لما يبدو أن البرنامج النصي يفعله:
يضبط الحد الأقصى لوقت التنفيذ على 3600 ثانية ويتجاهل عمليات الإلغاء التي يقوم بها المستخدم

يعرّف متغيرًا يسمى $ xmlname يحتوي على سلسلة مشفرة بعنوان URL

تحديد ما إذا كان يتم الوصول إلى صفحة الويب الحالية عبر HTTP أو HTTPS وتعيين البروتوكول المناسب

يعرّف دالة تسمى drequest_uri () تسترد URI للطلب

يعرّف متغيرًا يسمى $ goweb يحتوي على الإصدار الذي تم فك ترميزه من $ xmlname

تحدد وظيفة تسمى is_https () تتحقق مما إذا كان يتم الوصول إلى صفحة الويب عبر HTTPS

يسترجع مضيف HTTP وإعدادات لغة المستخدم للتحقق
مما إذا كان قد تم تمرير معلمة كلمة المرور في سلسلة الاستعلام وتنفيذ إجراءات متنوعة بناءً على قيمتها
بما في ذلك إضافة خريطة موقع إلى ملف robots.txt والكتابة إلى ملف PHP

يحدد العديد من الوظائف الإضافية مثل: ping_sitemap () و disbot () و doutdo ()
والتي تُستخدم في اختبار اتصال محركات البحث والتحقق من برامج الروبوت وتنفيذ طلبات HTTP على التوالي

يرسل طلب HTTP إلى خادم بعيد ويخرج الاستجابة مع بعض معالجة الأخطاء الإضافية

الخلاصة:
السلوكيات الضارة المحتملة: الكتابة إلى ملف PHP بناءً على معلمات سلسلة الاستعلام
والتي يمكن استخدامها لإدخال تعليمات برمجية ضارة إلى موقع الويب الخاص بك
استخدام وظيفة ignore_user_abort () ووظيفة التجزئة sha1 () لمصادقة كلمة المرور
بالإضافة إلى ذلك النص يبدو غامضًا مما يزيد من صعوبة فهم الغرض الحقيقي منه وسلوكه

هل محتوى ملف Index.php كامل؟

في الواقع الملف عبارة عن نصان منفصلان مدمجان معًا:
الجزء الأول من البرنامج النصي هو نص PHP يبدو أنه تم ترميزه باستخدام ترميز URL(يحتوي على سلسلة مشفرة بعنوان URL)
ثم يتم فك تشفير هذا البرنامج النصي المشفر وتنفيذه في الجزء الثاني من البرنامج النصي وهو ملف إقلاع قياسي من WordPress

لا يمكن تحديد الغرض الدقيق للنص البرمجي المشفر بدون مزيد من المعلومات

 

[Jasmin74]

شكرا لكم، بل ألفشكر.
المشكلة انه كل ما نحذف الملف يرجع هو نفسه.
وهو يحتوي على malware.

 

[Jasmin74]

وانا بحاجة لanti malware للموقع ككل.
فهل يوجد يا ترى؟

 

[إيمان هندسة]

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

أغلب الخدمات في هذا المجال مدفوعة
كما أنها من صلاحيات وواجبات الخدمة المستضيفة للموقع
إنتظر رداً من باقي الأعضاء الكرام

حظاً طيباً وفقك الله

 

[Jasmin74]

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

شكرا لك أختي الكريمة،

نعم للأسف شركة bluehost لا تملك antimalware ول مدفوع فعلينا الذهاب إلى third party وسؤالي ان كان هناك جهة مجانيّة ممكن أن توّفر هذه الخدمة.

 

[إيمان هندسة]

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

It is free for 90 days and later the basic starting plan per month
المصدر:

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي