Bu yazım da WebMasterlar için tehlike arz eden iFrame virüsünün ne olduğu, nereden bulaştığı ve nasıl temizleneceği hakkında bilgiler vereceğim. Umarım sorununuza çözüm olur. Eğer bu virüse bulaştıysanız aşağıdaki başlıkları takip ederek okumanızı tavsiye ediyorum.
iFrame Virüsü Nedir?
iFrame Virüsü sitenizden veri çekmek için yazılmış bir virüstür. Bu virüsler sitenizin dosyalarına temel html kodu olarak yerleşirler. Sitenizin bütün dosyalarına bulaşmayan iFrame virüsünün bulaştığı dosyalar:
index.html, index.php, index.asp, default.asp, default.aspx gibi anasayfa dosyaları ve login.php, account.php gibi açık kaynak kodlu çoğunlukla var olan sayfalardır.
iFrame Virüsü Nasıl Bulaşır?
Eğer sitenize iFrame Virüsü Bulaşmışsa yazıyı okumaya geçmeden önce, zaman kaybetmeden FTP şifrenizi değiştirmenizi tavsiye ediyorum. Bu virüsün birkaç bulaşma yöntemi vardır. Bunları açıklayacak olursak;
-Bilgisayarınıza bulaşmış zararlı bir yazılım
Daha önce internetten indirdiğiniz bir program bilgisayarınızda kayıtlı FTP şifrelerini bularak yada siz girdiğinizde kaydederek virüsü dağıtan saldırgana ulaştırabilir. Hatta bazı virüsler doğrudan tarayıcınıza yerleşerek girdiğiniz her türlü veriyi toplayabilmektedir.
-Kötü amaçlı DNS’ ler
Telekomünikasyon Kurumu’nun internet sitelerini yasaklamaya başlaması ve gündelik hayatın vazgeçilmezlerinden (Vikipedi en büyük örnek) olan pek çok sitenin yasaklı siteler arasına girmesiyle herkes bu yasağı delmenin yolunu aramaya başladı. Bu yollar arasında en kolayı ve etkilisi hepinizin de bildiği gibi “DNS değiştirme” yöntemi oldu. Bu yöntem beraberinde başka tehlikeleri de getirdi. Bazı kötü amaçlı DNS sunucular çok hızlı ve başarılı olmalarının yanında kullananların gizli verilerini de toplamaktadırlar. Eğer yasak sitelere girmek için DNS değiştiriyorsanız ve sitenize sıklıkla virüs giriyorsa kötü amaçlı bir DNS kullanıyor olabilirsiniz. OpenDNS kullanabileceğiniz hızlı ve güvenilir DNS adreslerindendir.
-Tahmin edilmesi kolay FTP şifresi
Kolay bir şifre, bir iFrame virüsünün işine yarayacaktır. Saldırgan rastgele şifre denemesiyle “123456” gibi bir şifreyi çok rahat bulabilir ve sitenize daha hızlı sızabilir. Bu yüzden FTP şifrelerinizi, şifre oluşturma sitelerinden oluşturmanızı öneriyorum.
– Hatalı yazma izinleri
Web sitelerinin düzgün çalışabilmesi için bazı dosyaların güvenlik ayarları daha düşük olmalıdır. Özellikle açık kaynak kodlu CMS sistemlerinde (portal, forum, blog vs.) bazı dosya ve klasörlerine tam yazma izni verilmesi gerekir. Yazma izinlerini tek tek değiştirmek biraz zaman alıcı ve sıkıcı geldiği için site sahipleri tüm dosyalara yazma izni verip bu sıkıntıdan kurtulmak ister. Ancak bu sistemin güvenliğini en alt seviyeye indirir ve kötü amaçlı kişiler tarafından saldırıya açık hale gelirler. Bu yüzden sadece gereken dosya yada klasörlere izin verip, diğerlerine sadece Okuma (Read) izni verilmelidir.
iFrame Virüsü Nasıl Temizlenir?
İşlemlere başlamadan önce lütfen FTP şifrenizi değiştiriniz.
1. Yol: Kaynak dosyaları sitedekilerin üzerine yazdırmak
Eğer bilgisayarınızda sitenize ait temiz dosyalar varsa onları FTP üzerinden sunucuya yükleyerek virüsleri temizleyebilirsiniz. Burada dikkat edilmesi gereken FTP’den dosyalar aktarılırken en başta sorulan “var olan dosyaları değiştirmek istiyor musunuz?” sorusuna “Evet”, “Var olan dosyaların üzerine yaz” gibi dosyaların değiştirilmesini sağlayacak cevaplar verilmesidir. Açık kaynak kodlu sistemlerde kaynak kodlar elinizde yoksa bile internetten bulabilirsiniz. Dikkat etmeniz gereken sitenizin sürümü ile yükleyeceğiniz sürümün aynı olmasıdır. Yani eğer siteniz Joomla 1.5.13 sürümü ise yükleyeceğiniz dosyalar da 1.5.13 olmalıdır. Aksi halde sisteminiz bozulabilir. Bu tür açık kaynak kodlu sistemlerde veriler veritabanında saklandığından dosyalar değişince site bozulmaz. Ancak dosyaları silmeden üzerine yazdırmanız gerektiğini gözden çıkarmayınız. Virüsleri tam olarak temizlemek için temalar, modüller gibi tüm dosyaların üstüne yazdırılması gerekmektedir. Eğer sitenizde henüz virüs yoksa en kısa zamanda tüm dosyalarınızı bilgisayarınıza indirin ve bir kenarda saklayın. Virüs girmesi durumunda doğrudan bunları FTP alanına yüklemeniz sayesinde tüm virüsler silinecektir.
2. Yol: Virüslü kodların bulunması ve temizlenmesi
2. yöntem ise doğrudan virüslerin temizlenmesi yöntemidir. Bu yöntem biraz daha uzmanlık isteyen bir yöntemdir. Eğer ne yaptığınızı bilmiyorsanız kendiniz yapmayınız. Bu işlem için öncelikle sitenizin tüm dosyalarını bilgisayarınıza indirmeniz gerekmektedir. Ayrıca dosya içeriklerinde arama yapabilen ve istenilen bölümlerin topluca değiştirilmesini sağlayan bir programa da ihtiyacınız vardır. iFrame virüslerinin ortak yönünün bir html etiketi olan iFrame?i kullanıyor olmaları olduğunu söylemiştir. Sitenizin tüm dosyalarının bulunduğu klasörde toplu içerik tarama yapmanızı sağlayan programı kullanarak ?<iframe? kelimesini (sadece tırnak içi) arattığınızda <iframe ile başlayan tüm kodlar gösterilir. Sonuçları incelediğinizde;
<iframe src=?http://siteadi.com/?page=321432
benzeri bir kod görürseniz işte bu sitenizdeki virüstür. page=321432 gibi olan kısım sitenizin farklı yerlerinde farklı bir sayı olabilir. O yüzden o kısmı aramaya dahil etmemeniz daha başarılı bir arama yapmanızı sağlar. siteadi.com sizin bilgilerinizi toplayan sitenin adresidir. Bu virüsleri bulduktan sonra yine toplu düzenleme sağlayan programı kullanarak dosyalarınızdaki tüm virüslü kodları sildirmeniz gerekir. Tüm virüsleri temizledikten sonra bu dosyaları tekrar FTP alanınıza yüklemeniz gerekmektedir.
Bazı toplu tarama programları: Adobe Dreamwaver, Advanced Find&Replace, GrepWin
iFrame Virüsü Temzilendikten Sonra
Virüs temizlendikten sonra son bir işlem daha yapmanız gerekebilir. Eğer sitenize girildiğinde Firefox yada Google Chrome tarayıcılarında Saldırgan Site uyarısı çıkıyorsa Google Webmaster Aracını kullanarak sitenizin temizlendiğini Google?a bildirmelisiniz. Bu işlemden sonra ortalama 1 gün içerisinde siteniz normale dönecektir. Eğer henüz saldırgan site olarak işaretlenmemişseniz yapmanız gereken bir işlem yoktur.
Sonuç
iFrame virüsleri son zamanların en büyük problemidir ve tüm site sahipleri etkilenmektedir. iFrame virüsleri ile ilgili yanlış bilinen bir konu Hosting’inizdeki bir başka siteden virüsün bulaşmasıdır. iFrame virüsleri normal bilgisayar virüsleri gibi sunucuyu etkisi altına almaz. Sadece FTP bilgileri bilinen yada yanlış yazma izinleri olan siteye bulaşabilir.
Zaman zaman sitenizin yedeğini alarak bu tür saldırı durumlarında sitenizi kolaylıkla eski haline getirebilirsiniz.
Kaynak: http://wiki.garantiserver.com
Yine güzel içerikli , kaliteli bir yazı olmuş tebrik ederim . Gerçekten de bu tür virüs vakaları insanların başlarına çok büyük dertler açabiliyor , veri kayıplarına sebep olabiliyorlar.Bunlardan biri olan iFrame i yenebilmeyi gayet güzel açıklamışsın. Çözülebilecek farklı virüs vakaları için de farklı yazılar bekliyoruz 🙂 .
Çok tehlikeli bir virüs gerçekten güzel bir açıklama olmuş teşekkürler.
Bu virüs yüzünden bilgisayarımız üzerindeki yaptığımız tüm işlemler kayıt altına alınıyor. Güzel ve açıklayıcı bir yazı olmuş. Ellerinize sağlık.
Şu virüslerden ne çektik yeminle. Her yıl başka başka şeyler çıkıyor.
Ya heralde en çok bu virüsü yazanlar küfür yiyodur garanti. Gram sevmiyorum şu virüsü. Allah kimsenin başınada vermesin
gerçekten de çok tehlikeli bir virüs, virüs hakkında her şeyi en ince detayına kadar anlatmışsınız elinize sağlık güzel yazı olmuş.
Güzel bi yazı olmuş elinize sağlık. Benim başıma gelmez demeyin internet dünyası bu. İnternete bağlı olan hiçbir aygıt güvende değildir.