iframe virüsü ve Saldırgan Site damgalamasından kurtulmanın yolu
Yaklaşık 2-3 haftadır bir çok yerde karşılaştığımız bu sorunun kaynağının ne olduğu konusunda bir çok makale okudum. Çözümler okudum uygulamalar yaptım sonuç olarak konuyu şöyle özetleyebiliriz.
Çeşitli yollardan bize musallat olan virüs(aslında pek virüs mantığı ile hareket etmiyor.) Sistemimizdeki ftp bilgilerini alıp bu bilgiler üzerinden sitelere otomatik olarak bir iframe kodu ekliyor. Genellikle index.xxx ve default.xxx isimli dosyalara otomatik olarak eklenen bir iframe kodu bu. Eklenen bu iframe kodu bazen boş bir sayfayı açarken bazende malware olarak adlandırılan kullanıcının bilgisayarına sızan bir virüs yükletmeye çalışıyor. Eklenen bu iframe genelde gizli olarak kodlandığı için(visibility:hidden) göremiyoruz.
Belli bir süre sonra Google siteyi tararken bu kodlamayı görüyor ve linki takip edincede siteden virüs yayılmaya çalışıyor diye sitenizi Saldırgan Site sınıflandırmasını sokuyor.
Saldırgan Site sınıfına giren sitemiz Google Chrome ve Firefox ile sitemize açmayan kişilere yukarıdakine benzer bir ekran ile karşılık verecektir ve kullanıcılar sitenize erişemeyecektir.
Peki biz bu işten nasıl kurtulacağız. İlk olarak siteden bu kodları arayıp(genelde body etiketi sonrasına eklendiği için bulmak kolay.) bulup kaldıracağız. Ayrıca bilgisayarımızı sağlam bir virüs taramasından geçirip, tüm ftp şifrelerimizi değiştirmeyi unutmayalım.
Bir sonraki adım olarak google’un saldırgan site listesinden çıkmak için Google Webmaster Tools‘una gireceğiz.
Siteye girdikten sonra sırası ile(İngilizce seçili olarak girdiğiniz farz ederek devam edeceğim. İşlerin hızlı yürümesi için İngilizceyi tercih etmenizi öneririm)
- Add Site deyip sitemizi ekleyeceğiz. http://www.orneksite.com/
- Continue basıp ilerleyince karşımıza Site verification sayfası çıkacak. Sitenin bize ait olup olmadığını kontrol için
- Burada iki tür doğrulama isteniyor bizden Meta tag ve HTML file diye iki yolumuz var. Ben Meta tag’i seçip ilerliyorum.
- Site bize bir meta etiketi veriyor. Bu kodu alıp sitemize(<head>…</head> arasına) ekliyoruz. Sadece ana sayfaya eklemek yeterli.
Sonra sitenin bize ait olduğunu anlayan goole bize sitemizin saldırgan site olarak listelendiğini söylüyor ve bundan kurtulmak için bir çare gösteriyor.
Request a review linkine tıklıyoruz. İşaret kutucuğunu işaretleyip metin girdi alanına bir cümlelik bir durum beyan ediyoruz.
Bu işlemlerden sonra google yaklaşık olarak 2-3 saat içinde sitemizi saldırgan site listesinden çıkarıyor.
Kaynaklar
- http://sites.google.com/site/webmasterhelpforum/en/faq-malware-and-hacked-sites
- http://www.cogzidel.com/blog/2009/07/malware-affects-your-google-listing-google-webmaster-tools-will-save-you/
merhaba. iframe virüsü maalesef benim siteme de girdi ve beni uzun bir süre uğraştırdı. İlk başta okudugum makalelerde dosya izinlerini değiştirmemiz gerektiğinden bahsediyordu. Dosya izinlerini 444 yaptıktan sonra bir süre virüs girmedi ama maalesef kesin çözüm olmadığını anladım :( sitem joomla altyapısında olduğundan dolayı eklentilerin, modüllerin vs. index.php ve index.html dosyalarının hepsini teker teker değiştirmek zorunda kaldım [ilk başta teker teker değiştiriyordum fakat bu bela yedek ile ftpde yüklü olan dosyaları senkronize eden programı öğrenmeme de yardımcı oldu :) ] virüs daha sonra iframe şeklinde değil div açarak kendini dosyalara eklemeye başladı. Virüsten kurtulmak için bulduğum en son kurtulma yöntemi sanırım işe yaradı. Virüsün ftp programında kaydettiğimiz şifre sayesinde sürekli olarak siteye girdiğini okuduğum bir makaleden sonra artık şifremi programa kaydetmiyorum. Sanırım 2 aydırda sitemde virüse rastlamadım :)
ftp şifrenizi değiştirdiniz ve virüsü sildiğiniz halde hala iframe ekleniyorsa hosting şirketinizi uyarın onlarda sistemi bir kontrol etsin.
lanet virüs sitelerimin içine etti. pcye format attım. tüm virüsleri temizledim. ftp şifrelerini değiştirdim. bu sabah bi baktım kaynakta yine iframe var. kurtulmanın yolu yok heralde :s
Ben düzelttim. Sitedeki herşeyi Cpanelden sildim. Ardından NOD32 ile tarama yaptım 3 trojan çıktı, sildim. Ardından direk sunucu yöneticisine mail attım ve şifreyi değiştirmesini söyledim (şifre değişimini başka bir bilgisayardan yaparsanız daha iyi olur.). İnternet tarayıcılarını kapattım. Çerezleri ve geçmişi sildim. Ardından tekrar tarama yaptım. Temiz çıktığını görünce de hiçbir tarayıcı açmadan (Messenger dahiL) Filezilla kullanarak dosyaları gönderdim. Ardından kurulumumu WordPress güvenlik önlemlerini alarak yaptım. En önemli güvenlik eklentilerini kurdum. Bu arada saldırganın ip adresini bulup CPanel'den onu da banladım. Şu an için hiçbir sorun yok. Zaten yabancı bir blogcu ile ortak çalıştım. Onun blogunda da şu an hiçbir sorun yok. Tavsiye ederim size de…
Makaleniz için teşekkürler. Dediklerinizin çoğunu yaptım. Üstüne bir de saldırganın IP'sini bulup banladım. Yeniden kurulum yaptım. Geçici anasayfa koydum. Bugün bir kalktım site yok. OpenDNS açılıyor. Neden olabilir? Virüsle alakası var mıdır? Yoksa sponsorumla mı görüşmeliyim?
Sizin dns ayarlarınıza erişmesi zor. Bu iframe virüsünden kaynaklandığını sanmıyorum
Şu anda DNS sorunum çözüldü ancak sponsorumla görüştüm. Resellerindeki bir site saldırı alıyormuş. Sanırım benim sitem bu. Şu an da bir de virüs taraması yapıyorum ve iki tane sızma (infiltration) buldu. Umarım FTP şifremi çalan ahlaksızlar bunlardır :)
Bu arada hostng değişikliğine gitsem sorunum devam eder mi çok merak ediyorum. Biliyorsanız veya bilen varsa cevap yazarsanız/yazarlarsa çok sevinirim. İyi günler…
WebDeneyimleri.com'a da bulaşmış. Yeni bir sunucuda bir alana taşıyacaktım, virüs bahane oldu :)
Teşekkürler hocam, çok faydalı bir makale..
[...] Web Site Fahri Hayrioğlu yazmış: Son haftalarda birçok blogcu arkadaşımızın başına gelen acı sorun.. Google’dan “Saldırgan site” muamelesi görmek.. ›› Iframe virüsü ve saldırgan site damgalanmasından kurtulmanın yolu [...]
sitenizin ana sayfasını index.aspx / index.html / default.aspx / default.html yerine başka bir isimle değiştirirseniz de çözüm oluyor, anladığım ve incelediğim kadarıyla index ve default ile başlayan sayfalara musallat oluyor bu virüs …
Sayfada makalede hiç bir yerde seçim yapamıyoruz. Bilinçli olarak mı böyle yaptınız. İçerikk çalınmasın hesabı.
İsteyerek yaptığım bişey hatta istemediğim bir şey. Muhtemelen hightlight evolved eklentisinin yaptığı bir şey. Eklentide işime yarıyor kaldıramıyorum ve sorunun çözümünüde bulamadım.
sorunu çözdüm meğer bu intenseDebate yorum eklentisinin katmanından kaynaklanıyormuş. position:static yapınca oldu
Demek bu meret bizim okulun sayfasına da bulaşmış. Ben de üniversite sayfasında ne hikmettir diye düşünmüştüm.
Ben onlara haber vereyim en iyisi. Bu yazını referans göstereyim de düzeltsinler.
Teşekkürler.