Iframe virus problem Ve Çözümü ( resolved )(durnosy, deisvop , clifedo,clifedo ,brugeni..)
Thursday, May 28, 2009 20:09Bir kaç önceydi, ilk bu problem başıma geldiğinde ne yapacağımı bilemeyerek panige kapılıp ftp ‘ de ki butun dosyaları temızleyıp kurtulmayı denemıstım. O zaman sadece bir tek ftp host’a sızmıştı virus. Oncelikle belirtim bu bir bilgisayar bir virusu, hack yada çeşitli web methodlarıyla sisteme atılmış bir script değil . Cute ftp programını crack lemeye kalktığınız zaman crackten bulaşıyor. Çoğu virus programı tanıyamıyor yada tanıdığında çok geç oluyor. Virus sizin ftp bilgilerini çoktan uzaktaki bir servera maillemiş yada aktarmış oluyor.
Tekrar başıma geldiğinde sorun benim çok daha büyüktü. Koca bir serverın ftpsine sızmıştı scriptler butun index.html, index.php ,config.php , config.html , mail.html , mail.php dosyalarına çoktan yerleşmiş ve googleda sitelerin bir çoğunu engelemişti bile. Ufak bir araştırma yapıp virusun ne olduğunu anlamaya çalıştım.Gördümki forumlarda ve yazılarda bu sorunu yaşayan çok insan olmasına rağmen kimse detaylı açıklamamıl. Bundan sonrasını ve nasıl çözdüğümü adım adım anlatmaya çalışım.
1) Bilgisayarı temizleyin. Virus bilgisayarınızda olduğunda tekrardan ftpye yayılıcaktır. Benim için eski backuplarımı açmak çözüm oldu. Cute ftp ve cracklarından uzak durun 
Ücretsiz bir çözüm olan WinSCP en az cuteftp kadar iyi ve sorunsuz bir ftp yazılımı.
2) FTP şifrelerini değişin. O servera bağlanan sizin kulandığınız bütün ftp şifrelerini acil olarak değiştirin. Virusun yayılması durucaktır.
3) Temizlik Başlasın. Virusu temizlediğimize , ftp şifrelerimizi değiştirdiğimize göre bahar temizliğine hazırız. Öncelikle bu virus klasik find and replace methodlarıyla malesef temizlenemiyor. com/?click=171722 tarzinda iframeler yerleştirdiği için , tek ftp li ve az dosyalı durumlarda bilgisayara indirip iframe diye aratıp temizlemek kısa ve iyi bir çözüm olucaktır. Ancak , benim gibi server sahibi veya çok fazla dosya sahibi insanlar için bu eziyet ve bitmeyen bir işkence oluyor. Çözümün bundan sonraki kısmı için ssh yetkisi gerekli.
a) Scriptin bulaştığı dosyaları tespit edin. Linux e ssh ile bağlanarak ekteki komutu çalıştırın bu komutun çalıştığı dizine viruslu dosyaların bir listesini ve bulunan kelimelerin satırındaki kodları bir liste olarak kaydedicektir.Ben PHP ve html dosyaları için ayrı ayrı liste oluşturmayı seçtim.
find -name “*”.php -type f -print0 | xargs -0 grep iframe > list_php.txt
find -name “*”.html -type f -print0 | xargs -0 grep iframe > list_html.txt
b) Sorunlu dosya listesi elinizde olduğuna göre listelere bir gözatıp gerekli olabilecek yerleri listelerden çıkarın.
c) Aşağıdaki script dosyasını oluşturduğunuz listeler ile aynı dizine upload edin. (Upload etmeden önce hangi listeyi kulanmak istiyorsanız script dosyası içinden liste adını değişin.
d) upload işleminden sonra ssh ile scripti çagırın
php virus_fixer.php
Sonuç olarak butun işlemleri doğru yaptı iseniz herşeyin yoluna girdiğini görüceksiniz. Yapamayan anlamayan sorun yaşayan arkadaşlar yorum bırakabılırler yardımcı olmaya çalışırım……
