Forum Dosyalarına Bulaşan iframe Virüsleri Temizleme

Started by Minare, July 11, 2009, 07:24:17 PM

Previous topic - Next topic

Minare

selamunaleykum

Forum dosyalarının tamamına iframe virüsü bulaşmış olan arkadaslar oldu. Bunlar çoğu kere veritabanının yedegini alıp, yeniden forumu bu veritabanı üzerine kurdular. Ve önceki modifikasyonları ya da tasarımları kayboldu. Çoğu da binbir eziyet bütün dosyalardan iframe kodunu silmeyi denedi. Kimi farkında olmadan bazı dosyalarda bu iframe virusunu unuttu, kimi saatlerini harcayıp bu virusu bütün dosyalardan elimine etti.

Önerdiğim çözüm ise basit. FTP kullanarak bütün dosyaları bilgisayarınıza indirin. Buradaki programı indirin ve kurun. Ardından indirdiginiz forum klasörünü seçip bütün dosyalarda otomatik iframe virüsünü taratın ve tek tusla hepsini silin. Ardından forum klasörünü tekrar ftp ye yükleyin.

Programla ilgili sıkıntısı olan pm atsın. Daha açık konusmuyorum.

Selametle

emrefba3

sağol kardesım ben bi siteyi kurtardım bi site hâla bu virüs var ben bıle gırmıyorum antivirüs uyarıyor ve ftp ye girince bu virüs pc ye bulasaca k  onun için napcaz

Minare

Virus dedigin iframe virus degil mi? Yukarıda ne yapılacagını yazdım zaten. İframe ise bulaşacak bir şey yok. O bir yazı sadece, o yazıda bulunan adrese tıklamadıkca virus bulasmaz bilgisayarına.

Örnek:

<iframe src="viruslü adres" open=.. .....>

Bu iframe kodu bilgisayara zarar vermez. Ancak iframe hedef sitesi açılırsa zarar verir

selametle

emrefba3

Quote from: Minare on July 11, 2009, 08:00:20 PM
Virus dedigin iframe virus degil mi? Yukarıda ne yapılacagını yazdım zaten. İframe ise bulaşacak bir şey yok. O bir yazı sadece, o yazıda bulunan adrese tıklamadıkca virus bulasmaz bilgisayarına.

Örnek:

<iframe src="viruslü adres" open=.. .....>

Bu iframe kodu bilgisayara zarar vermez. Ancak iframe hedef sitesi açılırsa zarar verir

selametle
anladım tskler

emrefba3

iframe bulaşan bir siteye girdigimde virüs bana da bulasır mı ?

Minare

Quote from: emrefba on July 17, 2009, 06:57:38 PM
iframe bulaşan bir siteye girdigimde virüs bana da bulasır mı ?

Iframe'in açacağı bağlantı sadece reklam bağlantısı ise virus girmez. Ama iframe linki virüs ise ve antivirus yoksa, bağlantıyı kesmez ise evet açan kişinin bilgisayarına da bulaşır. 

emrefba3

Quote from: Minare on July 17, 2009, 07:16:41 PM
Quote from: emrefba on July 17, 2009, 06:57:38 PM
iframe bulaşan bir siteye girdigimde virüs bana da bulasır mı ?

Iframe'in açacağı bağlantı sadece reklam bağlantısı ise virus girmez. Ama iframe linki virüs ise ve antivirus yoksa, bağlantıyı kesmez ise evet açan kişinin bilgisayarına da bulaşır. 
antivirüs uyardı ben kapadım ativirüsü ozaman bulastı desene acaba aynı uyaran antivirüs temizler mi

emrefba3


emrefba3


abraham_

Değerli paylaşımınız için çok teşekkür ederim..
Çok yardımcı odu bu program bana günlerdir dosyaları tek tek araya araya bi hal oldum...

emrefba3

ama dosyaları ftp den yollamak yerine tar.gz diye uzantılı olarak sıkıştırdım ve bcakup klasörüne attım fakat directadminden document error tarzı bi hata aldım....

Alpay

Bazı ifareme kodları php lerin içini bozuyor.

ben gecen unutkanlıkla 777 bıraktıgım index.php nin Themes.ph den sonra ifare kodu eklendigini gördüm ve php verisini kapatma kodu ?> bile yoktu sonunda kısacası themes.ph<ifarem.... diye gidiyor index.php nın sonu.

Bu sizin verdiginiz temizleme güzel bir şey ama böyle durumlarda pek işe yaramayacaktır.

Minare

Quote from: Alpay on July 18, 2009, 08:21:21 AM
Bazı ifareme kodları php lerin içini bozuyor.

ben gecen unutkanlıkla 777 bıraktıgım index.php nin Themes.ph den sonra ifare kodu eklendigini gördüm ve php verisini kapatma kodu ?> bile yoktu sonunda kısacası themes.ph<ifarem.... diye gidiyor index.php nın sonu.

Bu sizin verdiginiz temizleme güzel bir şey ama böyle durumlarda pek işe yaramayacaktır.

Hayır aslında işe yarar.

Bu program sadece silme işlemi yapmıyor, aynı zamanda replace özelliği var.

Örnegin index.php dosyanda şöyle bir kod var:

Themes.ph

Hemen ardında iframe gömülmüş ve şöyle olmus:

Themes.ph[iframe....

Bu durumda yine verdigim programla bütün dosyalardan tek tusla temel olan themes.ph kodunun tamamını eskisi ile değişebilirsiniz.

Yani içi bozulan php kodunu, eski bozulmamış php kodu ile değiştirebilirsiniz.

Selametle

Alpay

Hmm index.php~ bundan mı bakıyor eski kodu ?

index.template.php de farklı boardindex.template.php de farklı yerlere yerleşyor sonucunda


Minare

Quote from: Alpay on July 18, 2009, 09:08:51 AM
Hmm index.php~ bundan mı bakıyor eski kodu ?

index.template.php de farklı boardindex.template.php de farklı yerlere yerleşyor sonucunda



Demek istedigim virus kodu her dosyaya kendini ayrı koymuyor degil mi?

yani php kodunun içi de bozulsa en fazla bir ya da iki farklı şekilde dosyaları bozar. index.php yada boardindex temp php deki bozuklugu tesbit edip bütün dosyalara aynı replace işlemini uygularsak yine aynı kolaylıkla kurtulabiliriz.

Yine virusu ararken bu program kullanılabilir, iframe olarak arama yapınca bi iki dosya kontrolunden sonra kac farklı sekilde iframe virüsünün eklendigini bulabiliriz.  Sonrada silme yada değiştirme işlemi uygulayabiliriz.


Alpay

Hmm yok öyle degil demek istedigim şu;

Adam öyle bir ifareme eklemiş ki

ifaremeyi silsen bile php kapanmıyor

Örnek :

index.php nin sonu
// Get the function and file to include - if it's not there, do the board index.
if (!isset($_REQUEST['action']) || !isset($actionArray[$_REQUEST['action']]))
{
// Catch the action with the theme?
if (!empty($settings['catch_action']))
{
require_once($sourcedir . '/Themes.php');
return 'WrapAction';
}

// Fall through to the board index then...
require_once($sourcedir . '/BoardIndex.php');
return 'BoardIndex';
}

// Otherwise, it was set - so let's go to that action.
require_once($sourcedir . '/' . $actionArray[$_REQUEST['action']][0]);
return $actionArray[$_REQUEST['action']][1];
}

?>


Böyle oluyor :
Quote
// Get the function and file to include - if it's not there, do the board index.
   if (!isset($_REQUEST['action']) || !isset($actionArray[$_REQUEST['action']]))
   {
      // Catch the action with the theme?
      if (!empty($settings['catch_action']))
      {
         require_once($sourcedir . '/Themes.ph
<iframe=sdfnsdıofgnsduıoşbnoşngsdg></iframe>


Şimdi diyorum ki iframe yi oradan silsen zaten yine hatalı olacak umarım acıklayabilmişmdir.

Ama diyorsan ki bunu bile düzeltiyor o zaman helal olsun ;D

abraham_

öyle bir durumda da artık en yakın dönemde almış olduğumuz yedeğn index.ph veya inex.template.php dosyasıyla bozlmuş dosyayı değişiriz...

Minare

Aslında cevap sorunun içinde.

Adam bu hale getirmişse yapman gereken bu kodu :

// Get the function and file to include - if it's not there, do the board index.
   if (!isset($_REQUEST['action']) || !isset($actionArray[$_REQUEST['action']]))
   {
      // Catch the action with the theme?
      if (!empty($settings['catch_action']))
      {
         require_once($sourcedir . '/Themes.ph
<iframe=sdfnsdıofgnsduıoşbnoşngsdg></iframe>


bununla değiştirmek:

// Get the function and file to include - if it's not there, do the board index.
   if (!isset($_REQUEST['action']) || !isset($actionArray[$_REQUEST['action']]))
   {
      // Catch the action with the theme?
      if (!empty($settings['catch_action']))
      {
         require_once($sourcedir . '/Themes.php');
         return 'WrapAction';
      }

      // Fall through to the board index then...
      require_once($sourcedir . '/BoardIndex.php');
      return 'BoardIndex';
   }

   // Otherwise, it was set - so let's go to that action.
   require_once($sourcedir . '/' . $actionArray[$_REQUEST['action']][0]);
   return $actionArray[$_REQUEST['action']][1];
}

?>


yine aynı programla.

Yanlış anlamadık inş.  :P

Özgür

Eğer iframe eklenen bölümden sonraki tüm kodları silmişse yedek kullanmaktan başka çare yok gibi. Her dosya için bunu yapamayacağın için (her dosyada her fonksiyon farklı) bu programla yapmak imkansız.
So Long

Minare

Quote from: [Daydreamer] on July 18, 2009, 04:43:30 PM
Eğer iframe eklenen bölümden sonraki tüm kodları silmişse yedek kullanmaktan başka çare yok gibi. Her dosya için bunu yapamayacağın için (her dosyada her fonksiyon farklı) bu programla yapmak imkansız.

Hımm, her dosyadaki kodlar farklı, her dosyanın bir ucundan tutmuşsa virüs yapacak bir şey yok. Anladım burasını. Haklısınız.

Advertisement: