iframe meselesi

Şu yeni patch çok iyi oldu teşekkürler. buradaki konuya ilişkin olarak vbseo un kullanıcılarını yanlız bıraktığı kanaatindeyim. Zira sadece patch yayınlama ile kodları düzeltmek yetersiz , server lara yüklenen iki dosya varki (bunu araştırmalar sonucunda buldum vbseo ekibinede pm atmama rağmen bir cevap alamadım, zamanımız olursa bakarız bir cevap değildir.) zaco.php ve doit_js.php resim - ve eklenti dizinlerine yerleştirilmiş habire 2-3 gün ara ile header ve bazı template lere iframe ekliyorlarmış.

customvatar, attachment, customprofilepics klasörlerinde bu dosyayı arayın tüm bu klasörler içindeki jpg|.gif|.attach|.jpeg uzantılı dosyaları inceleyin.

Sonuç google dan aranınca sitemiz için şimdi uyarı çıkmaya başladı. "Uyarı- bu siteyi ziyaret etmek bilgisayarınıza zarar verebilir! " şeklinde.

Yılların emeği şüphesiz bu şekilde bitmez ama vbsseo ekibinin hatasından kaynaklanan sorunların kökten çözülmesi hususunda daha ayrıntılara girmesi gerekirdi.

Şimdi kim ayıklayacak pirincin taşını bakalım.

Ozkan bey , serverınızda yeralan dosyaların kontrolü bizim değil sizin yapmanız gereken bir olgudur.

şüphesiz öyle ama ben bundan bahsetmiyorum , sizin kritik güncelleme duyurunuzda da bahsetiğiniz üzere "Dün gece rapor edilen bir güenlik açığı sonrasında yeni bir vBSEO versiyonu ve eski versiyonlar için patchler yayınladık.
"

Size rapor edilen açığın en azından nelere sebebiyet verdiği yada meydana gelen hasardan nasıl kurutulanacağı hususunda yardımcı olmanız gerekirdi (vbseo ekib için söylüyorum) yada açık hususunda başımıza gelebikeceklerden bahsedilebilir ve önlem alınması istenebilirdi.

Zira açığın şekli ve kime nasıl zarar verebileceği kapalı bir kutu görüntüsünde.

Ayrıca lisanslı üyelerinize bu güvenlik açığıile duyurularıda sanırım yapmadınız zira tesadüfen daha önce yazdığım bir yazıya cevap gelm,ş ona bakmakiçin uğradığımda gördüm.

Kusura bakmayın ancak bilgi veremeyiz . Neticede bilgi vermemiz hemen güncelleme yapmayan kullanıcıları riske eder. Webmaster olarak sitenizde kullandığınız programlarda bir açık varsa server kontrolu yapmak sizin vazifenizdir bizim değil.

Sevgili mert,

Hemen güncelleme yapmayan kullanıcıların riske edilmesi hususunda hem fikiriz bunda tartışılacak bir durumda zaten olamaz.

Yanlız benim bahsetmek istediğim olay farklı , takdir edersinizki kullandığımız vbseo scripti yardım sitesi olan bu mekana günlük uğrayamayabiliriz. Benim sıkıntm işt bu noktada , güncelleme yapılıyor amabiz buraya rutin uğramadığımız için habersiz kalıyoruz. Bu noktaya değiniyorum tespit edilir edlmez lisanslı üyelerinize güncelleme çağrısınd bulunabilirdiniz.

Anlatmak istediğim sıkıntı bu , bunun haricinde ise negatif hiç bir düşüncem yoktur.

Bu arada hızlı bir çalışma ile google ın kara listesinden çıkartı site.

Bu konuda e-posta gönderildi.

10 gündür iframe virüsü ile resmen boğuşuyorum.

Özkan Bey'in dediği gibi lisanslı kullanıcılar uyarılabilirdi.
En azından bundan nasıl kurtulmamız gerektiği anlatılabilirdi.
Kendi kısıtlı bilgi ve çabalarımızla bulmamız gerekti bunun çözümünü ki birçok kişi de çözememiştir.
Bende tam emin değilim çözüp çözmediğime. Beklemedeyim şuan.
Yarın sabah tekrar virüs uyarısı alabilirim sitemde.

Malesef iframe i hala çözemedik, 2 dosya bulmuştum 1. mesajımda da belirttiğim üzere ama header a 2 günde bir halen iframe yazılıyor siliyorum ftp yi kapatıyorum yine yazılıyor. Bu demek oluyorki server da bir şeyler var.

İçeriğini vbseo bildiğinden dolayı ekipten yardım istemiştimki buda lisanslı olarak bu scripti kullananlara verilmesi gereken bir destekti.

Aşağıdaki konulara bakmanızı öneririm.

Iframe MYSQL Injection (http://centiyo.com/in.cgi?default)

Sitemde Truva Atı var... (son mesaj)

Sn. xsamet ,

Verdiğiniz linkde zaten burada benim yazdığım 1. mesajı içeriyor....

chmod u 777 olan klasörler seçiliyor , son zamanlarda clinscript klasörü içindeki vbulletin_global.js dosyası bozuluyor ve truva atı bildirimi geliyor.

Orjinal dosyayı bozup header dan başlamak üzere bir kod yerleştiriyor. Dosyayı silip yeniden vbulletin_global.js dosyasının yüklemek gerekiyor.

En azından bende böylesi durum meydana geliyor tek bu kaldı , 2-3 günde bir hortluyor bu durum, sizdede varsa dosya chmod unu 444 yapın.

Ama bu kez 2 katı büyüklükte aynı isimi içeren 3.8.3 versiyonun dosyası yükleniyor bu kez forumdaki ikonlar ve combobox lar kayboluyor. Şimdi bunun üzerinde çalışıyorum. Klasör yazma izni (clientscript) 755 den düşürürsenizde bu kez bazı hatalar alınıyor.

Ama halen ciddi şüphelerim var zira belli bir düzende gerçekleşiyor buda cron dan kaynaklanıyor gibi.

Zaman zaman admin paneldeki "sistem kontrolü" yaparak orjinal dosyaları kontrol edebilirsiniz.

Bu virüsten kurtulmuş biri olarak tavsiyelerimi yazıyım,

öncelikle vbseonun, son çıkardığı patchleri mutlaka uygulayın.
ARdından ftpde customvatar, attachment, customprofilepics isimli klasörlerin içini hatta yazılabilir tüm klasörlerinizin içini kontrol edin. Bu klasörlerden en az 1inin içinde en az 1 tane resim dosyalarıyla benzer adda fakat uzantısı .php dosya göreceksiniz. Bu dosya(lar)yı silin.

Ben bunları uyguladım ve birdaha bu virüsle karşılaşmadım

1. mesajda belirtmiştim , ara sırada vbulletin_global.js dosyasının boyutunu kontrol ediniz.