En son olarak izmirpolis sitesinin başına gelen olaya sebep olan şey bir virüsten ibarettir. Bu virüsün adı iframe virüsüdür. Kısaca virüsün çalışma şeklini ve nasıl temizleme yapılacağını anlatmaya çalışacağım. Bu iş için öncelikle bir adet programcığa ihtiyacınız var. Google'da Advanced Find and Replace yazarak aratıp edinebilirsiniz bu programcığı.
Bu virüsün yayılıp zarar vermesine sebep olan 3 yol vardır:
1- Null script kullanımı
2- Null program kullanımı
3- Justin TV ve Youtube izleme için kullanılan Dns'ler başı çekiyor.
Aşağıda vereceğim iki Dns özellikle bu virüsün yayılmasında en etkili dnslerdir.
212.58.3.2
212.58.4.2
Yukarıda verdiğim DNS'leri kullanmanız durumda oluşacak zarar şu şekilde gözlemlenir:
1- Virüs önce sisteminizi ele geçirir.
2- Kayıtlı FTP programındaki site şifreleri ile sisteminize giriş için anahtarı eline alır.
3- Tasarımı yapılan site dosyalarının içeriğini değiştirir.
Hangi dosyaların içerikleri nasıl değiştirilir?
index.php (asp)
main.php (asp)
header.php (asp)
Footer.php (asp)
index.html (htp)
admin.php (asp)
İçeriklerine IFrame ekleyerek google'ın sitenizi zararlı site kategorisine sokmasını sağlar.
Nasıl temizleriz?
1- Öncelikle FTP sitelerinizin şifrelerini değiştirmeniz gerekmektedir. Bu şifreleri hiçbir programın kaydetmediğinden emin olmalısınız.
2- Kendi bilgisayarımıza adam gibi bir antivirüs kuruyoruz. Tercihen Kaspersky Antivirüs ile sisteminizi taratınız. Muhtemelen 10'dan az olmayacak sayıda solucan ve türevleri bu virüs sayesinde sisteminize sızmıştır. Bunların temizlendiğinden kesin emin olun.
3- Bilgisayarınızın masaüstüne bir klasör oluşturun ve ftp sitenizin içeriğini bu klasöre kopyalayın.
4- Yukarıda daha önce belirttiğim programcığı (Advanced Find and Replace) çalıştırın ve browse yazan yere masaüstünde bulunan web içeriğinizin olduğu dizini gösterin.
5- Search Query kısmına 'iframe' yazıp Execute butonuna tıklayın. IFrame içeriklerini dikkatlice kontrol edip zararlı istekleri temizledikten sonra FTP sitenize tekrar yüklemeniz gerekmektedir.
6- FTP programı ile yüklemenizi yaptıktan sonra virüsün zarar verebileceği dosyalarınızın izinlerini chmod 444 olarak değiştirin. Son olarak FTP şifrenizi değiştirmenizde fayda var.
7- Son aşama ise sitenizin güvenilir olduğunu Google amcaya belirtme kısmıdır. Bu iş için http://www.google.com.tr/webmastertools adresini ziyaret edip sitenizin temiz olduğunu Google amcaya blirtmelisiniz. Takip eden 2 hafta içerisinde muhtemelen siteniz eski sağlığına kavuşacaktır :)
Örnek zararlı kod:
< i_ f r a m e src='http://x.x.x.x/logo/index.php' style='border:0px solid gray;' WIDTH=0 HEIGHT=0
FRAMEBORDER=0 MARGINWIDTH=0 MARGINHEIGHT=0 SCROLLING=no>
Dipnot: Yukarıdaki kodda iframe kelimesini ve ip adresini değiştirmek zorunda kaldım.
Bu sorunu engellemenin en kısa yolu windows kullanmayı bırakmaktır :)
Bu virüsün yayılıp zarar vermesine sebep olan 3 yol vardır:
1- Null script kullanımı
2- Null program kullanımı
3- Justin TV ve Youtube izleme için kullanılan Dns'ler başı çekiyor.
Aşağıda vereceğim iki Dns özellikle bu virüsün yayılmasında en etkili dnslerdir.
212.58.3.2
212.58.4.2
Yukarıda verdiğim DNS'leri kullanmanız durumda oluşacak zarar şu şekilde gözlemlenir:
1- Virüs önce sisteminizi ele geçirir.
2- Kayıtlı FTP programındaki site şifreleri ile sisteminize giriş için anahtarı eline alır.
3- Tasarımı yapılan site dosyalarının içeriğini değiştirir.
Hangi dosyaların içerikleri nasıl değiştirilir?
index.php (asp)
main.php (asp)
header.php (asp)
Footer.php (asp)
index.html (htp)
admin.php (asp)
İçeriklerine IFrame ekleyerek google'ın sitenizi zararlı site kategorisine sokmasını sağlar.
Nasıl temizleriz?
1- Öncelikle FTP sitelerinizin şifrelerini değiştirmeniz gerekmektedir. Bu şifreleri hiçbir programın kaydetmediğinden emin olmalısınız.
2- Kendi bilgisayarımıza adam gibi bir antivirüs kuruyoruz. Tercihen Kaspersky Antivirüs ile sisteminizi taratınız. Muhtemelen 10'dan az olmayacak sayıda solucan ve türevleri bu virüs sayesinde sisteminize sızmıştır. Bunların temizlendiğinden kesin emin olun.
3- Bilgisayarınızın masaüstüne bir klasör oluşturun ve ftp sitenizin içeriğini bu klasöre kopyalayın.
4- Yukarıda daha önce belirttiğim programcığı (Advanced Find and Replace) çalıştırın ve browse yazan yere masaüstünde bulunan web içeriğinizin olduğu dizini gösterin.
5- Search Query kısmına 'iframe' yazıp Execute butonuna tıklayın. IFrame içeriklerini dikkatlice kontrol edip zararlı istekleri temizledikten sonra FTP sitenize tekrar yüklemeniz gerekmektedir.
6- FTP programı ile yüklemenizi yaptıktan sonra virüsün zarar verebileceği dosyalarınızın izinlerini chmod 444 olarak değiştirin. Son olarak FTP şifrenizi değiştirmenizde fayda var.
7- Son aşama ise sitenizin güvenilir olduğunu Google amcaya belirtme kısmıdır. Bu iş için http://www.google.com.tr/webmastertools adresini ziyaret edip sitenizin temiz olduğunu Google amcaya blirtmelisiniz. Takip eden 2 hafta içerisinde muhtemelen siteniz eski sağlığına kavuşacaktır :)
Örnek zararlı kod:
< i_ f r a m e src='http://x.x.x.x/logo/index.php' style='border:0px solid gray;' WIDTH=0 HEIGHT=0
FRAMEBORDER=0 MARGINWIDTH=0 MARGINHEIGHT=0 SCROLLING=no>
Dipnot: Yukarıdaki kodda iframe kelimesini ve ip adresini değiştirmek zorunda kaldım.
Bu sorunu engellemenin en kısa yolu windows kullanmayı bırakmaktır :)
2 yorum:
ilk önce temiz bir PC ki bu virüsü temizlemek o kadar kolay değil. Kullandığımız anti virüs programları dosya koruma bazında olduğundan dolayı bazı kısımları atlıyor ve görmüyor. Bu sistemde bulunan virüslerin tam yapıları şu şekilde bredolap.aa veya rustock.nim şeklinde geliyor diğer adları botnetlog.11 ve agentbot ki bu dosylar temp dosyları sistem32 içerisinde dirvers klasörünün içindeki bölümleri işgal ediyorlar. Kendilerini başka partitionlara, yani hdd nin başka bölümlerinde kopyaladıkları içinde görülmüyor veya anti virüs programları ile tespitide mümkün olmuyor. Bunun için luncher özelliği olan bi virüs temizleyici ile temizlemeniz gerek. Dr. Web ( ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe )kullanmanızı önerebilirim. Ücretsiz bir yazılım sizide fazla uğraştırmayacaktır. İndirin ve temizleyin cinsinde birşey. Temizlikten sonra virüsten etkilenmişenizki öle olacak windowsunuz düzgün çalışmayacak ve hatta çökebilir de. Zaten windowsunuzu yeniden kurmanızı tavsiye ederim.
Katkınız için teşekkür ederim.
Yorum Gönder