İframe Çılgınlığı! Web Sitelerdeki Virüs Problemi

[leonidas90]

Merhaba arkadaşlar..Günler önce joomla tabanlı siteme girdiğimde antivirüs programım deli gibi uyarılar vermeye başladı.Araştırdım filan sonunda siteme iframe virüsü bulaştığını anladım.Elimde yedeklerde olmadığı için tek tek temizlemek durumunda kaldım.Uyguladığım adımları sıralıyorum;

-Hemen ftp şifremi vs değiştirdim

-Joomla CHMOD ayarlarımı düzelttim..(Klasörler 755,dosyalar 644 olmak üzere)

-Siteyi bilgisayarıma indirdim ve Find&Replace adlı programı kullanarak 'iframe' terimini sitenin tamamında arattım.Yaklaşık 10 kadar virüs bulup kodu bulaştığı dosyadan sildim.

Fakat nedense FileZilla bir kısım dosyaları indiremedi epey denememe rağmen bazı dosyalarda hata verdi.Siteyi tekrar upload ettiğmde iframeden kurtulmuştum.(En azından bi çoğundan)

Fakat farklı antivirüsler hala sitede trojan var diyor.Başka ne yapabilirim arkadaşlar iframeden başka ne bulaşmış olabilir?

Site dosyalarını tarattığımda norton antivirüs 20-30 kadar scriptde trojan olduğunu söylüyor.Fakat bu tarz antivirüsler bildiğim kadarıyla dosyayı düzeltmek yerine direk siliyor bu da elbette siteye zarar verir.

Bu günlerde oldukça popüler bir virüs bildiğim kadarıyla yakında sizinde başınıza gelebilir.Ben ve daha birçok site sahibine yardımcı olması açısından bildiklerinizi yazarsanız sevinirim.Teşekkürler..

(İframelerden tamamen kurtulduğumu farzedin başka ne tarz bi temizlik yapabilirim.?.)

 

[leonidas90]

Yokmu arkadaşlar bi fikri olan? Ayrıca hangi bölümde bu yazı webmaster başlığı altında göremiyorum

 

[keyloger]

veritabanı kullanıyorsan veritabanınında da iframe kelimesini aratabilirsin.

 

[leonidas90]

Veritabanında virüs bulaşmaz diyen kullanıcılar yüzünden kontrol etme gereksinimi duymamıştım.Birazdan onuda kontrol ediyim.

Ama sanki şu an ki problem iframeden farklı bişey.Asıl öğrenmek istediğimde o bu sitelere yalnızca iframe mi bulaşıyor? Daha farklı virüs/trojan var mıdır? Varsa nasıl saptanır.?.Sende çok şey istiyorsun demeyin

 

[leonidas90]

Evet arkadaşlar olayı nerdeyse çözdüm şu sıralar çok popüler olduğu için yaptıklarımı yazıyorum ihtiyacı olanlar için

Siteyi olduğu gibi filezilladan indirmiş ve Advenced Find&Replace programı sayesinde qpi kodunu aratıp bulduklarımın tamamını silmiştim ilk taramamda.Fakat problem burada başlamış zaten her nasıl olduysa virüsler bulaştıkları dosyalara kopyalama yasağı koymuşlar.Yani siteyi aslında tamamen bilgisayarıma indirmemişim.

Neyse açtım gmaili yazdım host şirketime dosyaların çoğunu indiremiyorum diye.Onlarda saolsunlar hemen siteyi zipleyip bana yolladılar.Zip dosyasını açıp tekrar qpi yada iframe kodlarını arattım.Bide ne görüyüm meğer bulaştığı dosya sayısı 650 nin üzerindeymiş Hemen kodları temizledim program sayesinde.Norton ile de taradım bi güzel o da 2 tane trojan buldu.

Şu an tekrar upload ediyorum bakalım siteye hasar verecek dosyalar silmediysem ne mutlu bana İşte böyle..Başına gelipte altından kalkamayan varsa yazsın yardımcı olmaya çalışırım İyi günler..

 

[RKYuckeN]

abicim virüs mirüs konuşuyosunuz acaba bu konu ne hakkında abilerim söylermisiniz ...

 

[xismailaydin]

Merhaba Leonidas,

Öncelikle siteni virüslerden temizlediğin için tebrik ederim.

Ancak sitende ne kadar virüs olursa olsun, sitene giren kullanıcılar virüs uyarısı alıp antivirüsleri dosyaları silse de bu silme işlemi senin FTP'nde olmaz.
Iframe zararlıları bilgisayarın yerel dosyaları arasına sızmaya çalışır ve antivirüs dosyayı yerel bilgisayardan siler.
Tabi virüsleri temizlemezsen Google ve diğer arama motorları siteni bloklayabilir ki en kötüsü de bu olur.

Ayrıca kendi siten de olsa müşterinin sitesi de olsa her zaman fiziksel yedeğini tutmak ve sık sık yedek almak en mantıklı çözümdür.
Hangi sistemi kullanırsan kullan, sisteminde olmasa bile aynı sunucudaki başka bir sitede olan bir virüsün senin FTP'ne de sızması olasıdır.

Bu tür sıkıntılı durumlarda hosting panelindeki yedeğiniz de çöp olduğundan, her zaman fiziksel yedekle çalışmak daha mantıklıdır.

Fiziksel yedeğini aldığınız dosyaları da şifreleyerek sıkıştırırsanız, dosyaların bulunduğu yerel bilgisayarınıza virüs bulaşsa bile sitenizin fiziksel yedeği içine sızamaz.

Bir Joomla! kullanıcısından başka bir Joomla! kullanıcısına tavsiyeler tadında oldu biraz

 

[leonidas90]

Ne demek çok daha iyi oldu Fakat silme işlemi ftpnde olmaz kısmını anlayamadım Benim nortonla temizlemekten kastım hostun bana gönderdiği zipli dosya idi.Bu dosyayı alır almaz ftpdeki siteye ait bütün dosyaları sildim.Ardından fiziksel yedek te temizliği yaptıktan sonra ftp ye tekrar upload ettim.Yani anlamadığım kısım hostda hala virüs olabilir mi? Öyle ise bunu nasıl temizlerim?

Bu arada pek hatırlamadınız galiba bu siteyi kurmak için sizden epey yardım almıştım Ne günlerdi ya 2bucuk 3 yıl geçti nerdeyse Hatta sitenin sol üstündeki gokgunlugu.com yazısını size yazdırmış bile olabilirm tam hatırlamıyorum Siteyide vermiş oldum ama bu reklama girmez sanırsam

Yeniden teşekkürü bir borç bilrim..İyi günler.

 

[leonidas90]

Ya arkadaşlar kurtuldum filan diye seviniyodum hala var heralde sitede virüsler Burnumdan geldi ya daha ne yapayım.Anasayfada filan bi problem cıkmıyoda foruma girince norton 'Web Atacker Mass İnjection' diye hata veriyo hemen.Ney yapayım var mı fikriniz.qpi,iframe gibi terimleri arattığmda bi sonuç çıkmıyor artık.Farklı bişey var galiba.Nortondan baktığımda bazı resim dosyalarını ve faviconu gösteriyor virüslü diye ama elimdeki yedekleri taratınca bişey bulmuyor adi :/

 

[skys]

Dostum sorun kullandığın eklentilerdede olabilir. Joomlanın eklenti olayını tam bilmiyorum ama eğer eklentileri forumlardan vs vs joomla resmi sitesi hariç bir yerden indirdiysen onları silip joomlanın sitesinden indirmeyi deneyebilirsin.Ayrıca small_hayta arkadaşımın dediği gibi sunucudaki başka bir sitedende bulaşıyor olabilir. Onun için bu konu hakkındaki en sağlıklı çözümü hosting firmandan alabilirsin seni ne kadar ilgilendiriyorsa onlarıda o kadar ilgilendiriyor.

 

[ShadowFix]

Bu konu iyi oldu, bizim siteyede bulaştı ne illet bişeymiş yaa, arkadaşım temizledi ama siteye girerkenki uyarı kalkmamıştı, bende google ye iletişime geçtim, uyarı kalktı, şimdi ise tekrar dediğiniz gibi hosting firmasından dosyaları isteyeceğiz bakalım ondanda çıkacakmı virüs, şu eklentilerede bakarız, Hadi hayırlısı

 

[xismailaydin]

Ne demek çok daha iyi oldu Fakat silme işlemi ftpnde olmaz kısmını anlayamadım Benim nortonla temizlemekten kastım hostun bana gönderdiği zipli dosya idi.Bu dosyayı alır almaz ftpdeki siteye ait bütün dosyaları sildim.Ardından fiziksel yedek te temizliği yaptıktan sonra ftp ye tekrar upload ettim.Yani anlamadığım kısım hostda hala virüs olabilir mi? Öyle ise bunu nasıl temizlerim?

Bu arada pek hatırlamadınız galiba bu siteyi kurmak için sizden epey yardım almıştım Ne günlerdi ya 2bucuk 3 yıl geçti nerdeyse Hatta sitenin sol üstündeki gokgunlugu.com yazısını size yazdırmış bile olabilirm tam hatırlamıyorum Siteyide vermiş oldum ama bu reklama girmez sanırsam

Yeniden teşekkürü bir borç bilrim..İyi günler.

Evet, Hatırladım Ankara'daydım ben o zaman

Neyse, sitende sorun devam ediyor sanırım. Sitenin tüm fiziksel yedeklerini al bilgisayarına. Daha sonra hosting firmandan hesabını sildirip tekrar eklemelerini iste. Böylece hostun seninle ilgili kısmındaki virüslerden tamamen kurtulursun.

Ayrıca sitende kullandığın tüm eklentileri kontrol et. Gereksiz ya da az kullanılan, kalabalık yapan eklentilerden kurtul. Eski eklentilerden de kurtul. Güncellemen mümkünse güncelle, değilse sil; kullanma eski eklentileri de. Çünkü 3-4 yıl önce sağlam olan kod mantığı şu an sitelerde sıkıntı çıkarabiliyor.

Sonra yenilenmiş hosting hesabına siteni tekrar yükle. Yerel bilgisayarında virüs bulmadıysan, yenilenmiş hostinginde de virüs olmayacaktır. Ancak dediğim gibi sunucudaki diğer sitelerden geliyorsa virüs, hostinge bildirmelisin. Tabi bildirimden önce dediklerimi yapman, hosting firmasının senin siteni suçlamasının önüne geçecektir.

Bilgine.

İyi çalışmalar.

 

[leonidas90]

Evet arkadaşlar mutlu sona ulaştım Sanırım sorun hosting firmasının dosyalarında idi.Silip yeniden yüklemelerini istedim saolsunlar 15dk da hallettiler Sizde de bu problem varsa ve bi türlü kurtulamıyorsanız bide bunu deneyin.Tekrar teşekkürler..

 

[ACK Web Tasarım]

Merhaba arkadaşlar sitemde öncelikle Web attack: Mass iframe injection attack sorunu yaşıyordum hallettim fakat şuan da Web attack: Mass iframe injection website sorunu alıyorum yardımcı olabilecek var mı ?​

 

[Rockco]

Tüm yorumları okumadım ama panelden yedek almanı öneririm filezilla dan indiremediğin dosyalarda indirilmiş olur çok eskiden benim başımada gelmişti cuteftp progrmını kullandığım için bende db yi yedekledim dosyaları filan panelden çektim bilgisayarı formatladım elimdeki antivirüslerle tarattım sonra ftp ye atıp sitemi tekrar kurdum dbmi yükledim hemen ardından vb dosyalarını yeniden internetten indirip ftpme attım ondan sonra sorun çıkmadı bilgisayarınıda formatlamanı öneririm

 

[SDN Okuru]

ben olayi tam olarak anlayamadim ama gmail hesabima virus bulasti ve farkli pclere chrome indirdikten sonra mail hesabimi girince surekli ana tarayicim brothersoft oluyor. bu virusten nasil kurtarabilirim gmail hesabimi?