iframe virüsü

[oenderrr]

merhabalar

bilgisayarıma iframe virüsü bulaşmış durumda ve şu anda yaptığım bir siteyi etkiliyor. öncelikle söyleyeyim: windows kullanmıyorum, herhangi bir korsan yazılım kullanmıyorum, sunucum da linux sunucu. yani dosyalar hiç bir şekilde windows ortamına girmeden sunucuya gidiyor ve orada çalışıyor ama sürekli silmeme rağmen yeniden orada yeniden oluşuyor. bilgisayarımı tarayıp temizlemem lazım. bunun için yazılmış bir virüs tarayıcı var mı?

[tasy]

bu dosyayı silerken nasıl ve nereden siliyorsunuz? web tabanlı (cpanel gibi) bir panel aracılığıylamı? Bir diğer husus ssh ile erişebiliyorsanız bilgisayara root olarak silmeyi deniyiniz. Virüsler hakkında pek bilgim olmsada bir kaç öneri babında belirtmek istedim...

[oenderrr]

dosya silmiyorum
bu virüs direk ftp ye bulaşıyor, işin kötüsü de ftp şifresini ele geçirip onu kullanarak sürekli olarak anasayfaya

Kod Seç Genişlet


<iframe src="http://xxxx.net/?click=12345" width=1 height=1 style="visibility:hidden;position:absolute"></iframe><div class="teklif_3">


sildiğim şey bu yazı

yazısını ekliyor. bu yazı olduğu için de siteye girerken malware detected uyarısı alıyorum. işin ilginç yanı iframe olarak eklenen sitelerin adları sürekli değişiyor. geçen gün ruisjob du bugün maislex olmuş falan. clamav ı kurdum ama işe yarar mı acaba. şimdi tarayıp bir şey bulabilecek mi diye tarayacağım.

bu virüsün kötü tarafı  linux için yazılmış bir virüs, çin ve rusya menşeili. yani benim linuxum var banane diyemiyoruz. sorun da burada.

[tasy]

yine tam bir çözüm olmayacak kusuruma bakmayın ama aklıma bir şey daha geldi, ftp şifresini değiştirseniz acaba bir gelişme olurmu!!!


Düzeltme: şöyle bir link buldum belki işinize yarıyabilir. tıklayın

[Felâsife]

Bu virüs'lerden Pardus altında bir Joomla siteden ben de çok temizledim.
Vakti zamanın da önceki adminimiz MS kullanıcısı ve bir şekilde bulaştırmış bunlardan ve admin işlerine bende el atınca bana bu iframe virüslerini de sil dedi

Zaten site Localdeydi, burada ki yöntemle (6. mesaj) hepsini sildim.

Orada ki program Wine ile açılıyor ve <iframe src= diye başlayan tüm satırları tespit ediyor veya isterseniz siliyor.

Şu an tam olarak neler yaptığımı unuttum 4-5 ay oldu
Öncelikle sunucuda ki tüm dosyaları masa üstüne indirin, ve işlemlerinizi masa üstünden yapın.
Sonra ftp şifrenizi filan değiştirip temizlenmiş dosyaları geri atarsınız olur biter.
Ama önce ftp de ki virüslü dosyaları silmeniz lazım, tabii her ihtimale karşı yedekleme yapınız.
Zaten Linux kullanıyorsanız geri bulaşma riski yok merak etmeyin, bu virüsler MS altında çoğalıyorlarmış

Ayrıca yok ben Linux ile bu sorunu halledeyim derseniz Enixma Mayıs ayı sayısında kurtulma çözümleri anlatılmış.

[oenderrr]

@mono bana windows altında bulaşmış olma olasılığı 0. bu bilgisayarda 2 aydır windows hiç yok. daha önce bulaştı desek, ki zaten sanmıyorum olacağını, her gün kendini yeniden yazdıran bir virüs nasl olur da 2 ay hiç bir işlem yapmaz. bir de verdiğin sayfadaki (r10) program sanırım windows altında çalışıyor.

[Sherlock Holmes]

@mono bana windows altında bulaşmış olma olasılığı 0. bu bilgisayarda 2 aydır windows hiç yok. daha önce bulaştı desek, ki zaten sanmıyorum olacağını, her gün kendini yeniden yazdıran bir virüs nasl olur da 2 ay hiç bir işlem yapmaz. bir de verdiğin sayfadaki (r10) program sanırım windows altında çalışıyor.

Belirtilen Programı .wine ile çalıştırmayı deneyin.
Windovvs programların Ubuntu ortamında nasıl çalıştırılacağına dair yeterli başlık mevcut. (wine configürasyon vs.)
Kolay gelsin 

[Felâsife]

@mono bana windows altında bulaşmış olma olasılığı 0. bu bilgisayarda 2 aydır windows hiç yok. daha önce bulaştı desek, ki zaten sanmıyorum olacağını, her gün kendini yeniden yazdıran bir virüs nasl olur da 2 ay hiç bir işlem yapmaz. bir de verdiğin sayfadaki (r10) program sanırım windows altında çalışıyor.

O program Wine ile çalışıyor, süreli bir program (galiba 1 ay) ama işinizi görürsünüz.
Okuduklarımıza göre o virüs, sunucudan da veya eklediğiniz bir eklentiden de bulaşabiliyormuş.

[oenderrr]

peki benim asıl sorunum o virüsü ftp programımdan silmek. onu nasıl yapacağım, clamav ile tarıyorum ama bir icraat yok, kullandığım ftp programına ait klasörleri (filezilla) tamamen silsem acaba kurtulmuş olur muyum

[Felâsife]

Bildiğim kadarıyla olmazsınız.
O virüsü antivirüslerle değilde, elle silmeniz gerekiyormuş.

Filazillayı tamamen silip-kurmakla kurtulacağınızı da sanmıyorum, zira bu virüslü linkler sunucuda ki .php gibi dosyalara kendini ekliyor ve çoğalıyorlarmış.

[tasy]

Düzeltme: şöyle bir link buldum belki işinize yarıyabilir. tıklayın

Yapmanız gereken virüslü index'leri açıp içindeki kodu silip ftp şifresini değiştirmek. Yukarda verdiğim linkte ne yapılması gerektiği anlatılmakta. Verdiğim linktekileri yaptığınız halde sorununuz devam etmektemi??

[oenderrr]

@tasy teşekkürler ama, o işlemleri zate yapmıştım. ama virüs ftp programına bulaşıyor zaten. yani şifremi de değiştirdiğimde tekrar ele geçiriyor. bir de şunu farkettim. yeni dosya yüklediğim dizinlerde yapıyor sadece bunu. yani o dizine dosya atmazsam bir şey yapamıyor. şimdi her şeyi sıfırlayıp yeni bir ftp programı ile yüklemeyi deneyeceğim. bakalım ona da bulaşabiliyor mu yeniden. herhalde 1-2 gün bir değişiklik olmazsa sorun yoktur. ona göre tekrar haber veririm.

üçünüze de çok teşekkürler arkadaşlar. (bu arada yıllarca windows altında virüs yemeyip linuxda virüs yemek de benim kaderimmiş. ne bahtsız adamım ya )

[erginemr]

İlginçtir, bu virüsü Google'dan arattırdığımda Windows altında genelde cr***li CuteFTP programıyla yayıldığı belirtilmiş, çözüm olarak da Linux ve FileZilla kullanılması önerilmiş:
http://www.hell-world.org/ownz/iframe-virusu-ve-php-html-dosyalarindan-temizlenmesi/
http://doctus.org/iframe-viruslerine-linux-altinda-cozum-t37750.html
http://forum.joomlatr.org/okumadan-gecmeyin-iframeden-kurtulma-yollari-ve-t15911.html

Acaba diyorum, dosyaları attığınız sunucuya başka biri de Windows altından erişmiş ve virüsü bu şekilde sunucuya bulaştırmış olabilir mi? Ve acaba sunucuda Windows mu, yoksa Linux mü çalışıyor?

[oenderrr]

ftp şifreleri sadece bende var, cuteftp yi de herhalde 7-8 senedir kullanmıyorum. ilginç olanı ise bu virüs herkesin tüm dosyalarına bulaşırken bende ise sadece anasayfa olabilme özelliğine sahip sayfalara bulaşmış (main, index, defaul vs. ile başlayanlar) yine başka bir ayrıntı kod php sayfalarına kendini echo "...." şeklinde bulaştırırken html sayfalarına, normal html kodu atıyor. sayfa da ayırıyor yani çakal sanırım virüsü biraz geliştirip linux altında da çalışacak şekle soktular. daha doğrusu bu virüs zaten linux suncularda çalışıyordu ama linux masaüstlerine de bulaşır hale getirdiler. bakalım dünden beri bir sorun yok. 1 gün daha bir vaka olmazsa yırttık demektir. olmazsa bir format sorunu çözecek.

not: nasıl bulaştığıyla ilgili, az da olsa şöyle bir olasılık da mevcut:müşterilerim yönetim panellerine girip resim ve pdf dosyaları ekleyebiliyorlar. belki de bu dosyalara bulaşıp o şekilde sunucuya sızmış olabilir. ya da bir ihtimal de paylaşımlı sunucu olduğu için başkasının dosylarından benim siteme atlıyor da olabilir. ama bu ihtimalleri hesaba katmamamın nedeni ftp ile içeriğini değiştirmediğim dizinlerde hiç bir sorun olmaması. yani ftp ile sunucuya dosya yüklediğim zaman o klasördeki anasayfayfayı oluşturan dosyada kod oluşuyor. bir de hemen de oluşmuyor. 1-2 gün bekleyip sonra oluşuyor....

[eren]

Bu virüs korsan Cute FTP yazılımı ile bulaşıyor. Linux altında herhangi bir işlevi yok, eğer sunucu Linux ise çoğalması imkansız. Bu virüsle çok uğraştım bende zamanında. Sunucuya erişim hakkı olan kişilerden şüphe edin.

[hanzala]

peki sitenizin bulunduğu hosting firmasındaki başka sitelerde böyle bir sorun varmı. editörlüğünü yaptığım bir sitede bizde buna benzer bir sorun yaşamıştık fakat sonra anlaşıldıki biz ne kadar temizlesekde servera bulaşmış bir virüs vardı ve tüm ağları dolaşıyordu. özellikle ana sayfa index siniz beyaz hale dönüyorsa mutlaka server sağlayıcınızla görüşmenizde fayda var derim. Sorun sizden kaynaklanmıyor olabilir.