lostyazilim
tr.link

Sitemde virus var çözemiyorum

32 Mesajlar 6.966 Okunma
acebozum
tr.link

Batuhan Batuhan Kendine webmaster Kullanıcı
  • Üyelik 08.05.2011
  • Yaş/Cinsiyet 28 / E
  • Meslek Öğrenci
  • Konum Ankara
  • Ad Soyad B** B**
  • Mesajlar 3455
  • Beğeniler 783 / 1009
  • Ticaret 1, (%100)

Optimus adlı üyeden alıntı

Hocam header da bu kod anormal değil mi?

#c3284d#
echo(gzinflate(base64_decode("dVr9c9vG0f5X5B8yoExIxn0DEU8d17E3O3tx7PP7mq2X/TNbrj8PO9
#/c3284d#

kısalttım kodu buraya yazarken bu şekilde satırlarca uzayıp gidiyor.

kodu bulduk ama kaynağı bulamadık nereden geliyor bilgisayarıma bulaşmamış sunucuda ya da bir eklentinin js inde olabilirmi? Bu kodu daha önce gören birileri varmı acaba?



Base 64 ile şifrelenmiş büyük ihtimalle iFrame kodu. Daha önce de söylediğim gibi, hosting sağlayıcınızdan sunucuyu taramasını isteyin. Daha sonra temiz tema dosyalarını cPanel File Manager ile atın
 

 

elektronikssl
webimgo

Maziliguney Maziliguney Makine Müh. Kullanıcı
  • Üyelik 01.08.2011
  • Yaş/Cinsiyet 35 / E
  • Meslek Makine Müh.
  • Konum Tekirdağ
  • Ad Soyad A** M**
  • Mesajlar 237
  • Beğeniler 46 / 58
  • Ticaret 6, (%100)
Aynen işte asıl sorun (virüs) orası.

#c3284d#
echo(gzinflate(base64_decode("dVr9c9vG0f5X5B8yoExI xn0DEU8d17E3O3tx7PP7mq2X/TNbrj8PO9
#/c3284d#


Bu kısmı tamamen silip tekrar at ftp.ye. Muhtemelen themes klasörünün içindeki diğer tema dosyalarının header.php.lerinde de vardır benzer kodlar. Onları da temizlersen sıkıntı kalmaz :)
 

 

#Blog'canım: maziliguney.com
Reklam, tanıtım yazısı, link vs için iletişime geçebilirsiniz.

TheChucky TheChucky WM Aracı Kullanıcı
  • Üyelik 09.04.2012
  • Yaş/Cinsiyet - /
  • Meslek
  • Konum
  • Ad Soyad ** **
  • Mesajlar 21
  • Beğeniler 0 / 3
  • Ticaret 2, (%100)
tek çözümü var arkadaşım oda eğer yedek aldıysan onu kurcan kurmadan öncede tüm herşeyi temizleyeceksin herşey iderken ftpdeki herşeyi yani wordpress i tekrar kuracaksın ve son yedeği koyacaksın yoksa mümkünatı yok düzelmez ve onu yapanda virüs değil eklenti önüne gelen eklentiyi kurma banada olmuştu yedeğin yoksa kurtarma şansın yok yedek derken dosyaların yedeği eğer temada oynama yapmadıysan yani ilk hali gibiyse temayı tekrar 0dan kurabilirsin önce db nin yedeğini al gz formatında sıfıdan kurduktan sonra onu içer aktarırısn wordpress in içinden alma yedeği db yi oluşturduğun bölümden phpmyadmin den alcaksın yedeği hadi kolay gelsin
kulturelbellek

kişi bu mesajı beğendi.

Yrlmz Yrlmz WM Aracı Kullanıcı
  • Üyelik 24.12.2011
  • Yaş/Cinsiyet 37 / E
  • Meslek Kamu
  • Konum Konya
  • Ad Soyad ** **
  • Mesajlar 794
  • Beğeniler 24 / 137
  • Ticaret 5, (%100)
hay bu virüsleri yayanın... zor bir durum... öncellikle 777 izinli dosyalarınızı kontrol edin .777li tüm dosyalarınıza bulaşmıştır muhtemelen.

ayrıca şuradan da bi taratın sitenizi
 

 

Elbet birgün...
wmaraci
wmaraci

cavoz cavoz WM Aracı Kullanıcı
  • Üyelik 13.03.2011
  • Yaş/Cinsiyet 38 /
  • Meslek
  • Konum
  • Ad Soyad ** **
  • Mesajlar 34
  • Beğeniler 0 / 11
  • Ticaret 6, (%100)
sonra tüm ftp dosyalarını pc'ne indir.
sonra tüm bu dosyalarda bahsettiğin kodları arat. "advanced find and replace" programını kullanabilirsin. text dosyalarının içeriğini de arar.
tüm bu kodları temizle. bu sırada pc'nin de temiz olduğuna emin ol.
sadece temizlediğin dosyaları ftpden üzerine yazdır.
son olarak şuradan kontrol et siteni. temiz diyorsa gerçekten temizdir:)

http://sitecheck.sucuri.net/scanner/
 

 

Optimus Optimus Optimus Kullanıcı
  • Üyelik 26.07.2012
  • Yaş/Cinsiyet 43 / E
  • Meslek Bilişim / İnternet
  • Konum İstanbul Anadolu
  • Ad Soyad M** D**
  • Mesajlar 380
  • Beğeniler 55 / 103
  • Ticaret 13, (%100)
Şu şekilde önüne geçebildim,

Virüs bir yerden temaya bulaşıyor bende temanın dosya izinlerini kısıtladım yazma iznini kapattım ve cpanelden yeni temayı yükledim zipli olarak sonra zip i açıp temayı aktif ettim. Şimdilik sorun yok fakat bu kodun nerede barındığını tespit edemedim. Yedeğim olmadığı için yükleyemiyorum zaten gerekte kalmadı.
Gerçekten ilginç bir durum aslında her eklentiyi kurmam hatta eklenti bile kurmadım uzun zamandır ama yinede bulaştı.
Google bile kara listeye aldı sitemi ama 1 gün sonra bildirimde bulundum şimdi temiz.
Securi.net ten de tarama yaptım taramayı başarıyla geçti.

Sonuç: Virüs bilgisayarımda barınıyormuş ve ftp programıyla hosta dosya gönderirken temaya kendini yazıyormuş.

Bir çok antivirüs denedim hiç biri bulmadı en son eset nod 32 ile tarattım birkaç trojan ve Malware tabanlı virüsler buldu tümünü temizledim.

Tek sorun tema internet explorer da düzgün görünmüyor yenisini yüklememe ve hiç virüs, zararlı kod olmamasına rağmen bunuda çözersem iştamamdır.

Kimsenin başına gelmez umarım epey sıkıntılı bir durum oldu Allahtan zararsız atlattık.
 

 

eyhabi eyhabi WM Aracı Kullanıcı
  • Üyelik 01.06.2011
  • Yaş/Cinsiyet 35 / E
  • Meslek Özel Sektör
  • Konum
  • Ad Soyad H** Ç**
  • Mesajlar 67
  • Beğeniler 11 / 2
  • Ticaret 0, (%0)
Kardeş aynı problem bendede mevcut bende dediğin gibi bir yapıyım bakalım düzelicekmi

Teşekkürler
 

 

Optimus Optimus Optimus Kullanıcı
  • Üyelik 26.07.2012
  • Yaş/Cinsiyet 43 / E
  • Meslek Bilişim / İnternet
  • Konum İstanbul Anadolu
  • Ad Soyad M** D**
  • Mesajlar 380
  • Beğeniler 55 / 103
  • Ticaret 13, (%100)

reis05 adlı üyeden alıntı

Kardeş aynı problem bendede mevcut bende dediğin gibi bir yapıyım bakalım düzelicekmi

Teşekkürler

Explorer da siteyi görüntüleyip sağ tuş tıklayarak kaynağı görüntüleyip bakabilirsiniz.
Header bölümünde bir çok tuhaf karakter görünüyor olması lazım. O kodları kaldırabilirsen (header.php nin içinde silerek) düzeliyor. Umarım çözülür geçmiş olsun
 

 

eyhabi eyhabi WM Aracı Kullanıcı
  • Üyelik 01.06.2011
  • Yaş/Cinsiyet 35 / E
  • Meslek Özel Sektör
  • Konum
  • Ad Soyad H** Ç**
  • Mesajlar 67
  • Beğeniler 11 / 2
  • Ticaret 0, (%0)
Kardeş teşekkürler.

O konuda sıkıntı yok, sıkıntı şu o kodlar silinsede ertesi gün tekrar oluşuyor.
 

 

lordgaga lordgaga WM Aracı Kullanıcı
  • Üyelik 24.08.2012
  • Yaş/Cinsiyet 42 / E
  • Meslek muhasebe
  • Konum Antalya
  • Ad Soyad ** **
  • Mesajlar 28
  • Beğeniler 1 / 3
  • Ticaret 3, (%100)
"Advanced Find and Replace" programı ile iframe diye tema klasörünü hatta ftp deki bütün klasörlerini taratın. mutlaka iframe girmiştir hocam. zamanında bende çok çektim.
 

 

wmaraci
wmaraci
Konuyu toplam 3 kişi okuyor. (0 kullanıcı ve 3 misafir)
Site Ayarları
  • Tema Seçeneği
  • Site Sesleri
  • Bildirimler
  • Özel Mesaj Al