2 gündür bu akıllı virüsle uğraşıyorum nerden bulaştığını halen anlamış değilim, antivirüs programım normalde canavar gibi her şeye atlamasına rağmen nedense bunu bulamadı. Bu virüsle uğraşmaktan wordpress tema yapımına biraz ara verdim.

r10′ da bakınırken çözüm yolunun anlatan bir konuya girdim. Ben anlatsamda aynı şeyleri yazacağım için direk alıntı yapayım dedim.
Sitedeki index.html, index.php gibi dosyalarına bu virüsün kendini eklediği ve silinmesi konusunda zorluklar çıktığı yazılmış. Benimde bir ara başıma gelmişti. R10′ daki ilk makalemi de bu lanet iframe’ i temizlemeye yönelik yazayım dedim.

Çeşitli versiyonları olsa da temeli aynıdır. Aşağıdaki önerileri uygulayıp yüksek olasılıkla kurtulabilirsiniz.

Dikkat: Google sitede virüsü görürse sizi hemen sıralamalarda aşağılara atabilir. Birde aramalardaki başlığın altında “Dikkat bu site zararlıdır” yazabilir.
Bunun Google kaynaklı kullanıcı sayısına büyük darbe indireceği aşikardır.

Bu virüs nedir, ne yapar?
!!! – index.html, index.php gibi index adlı dosyalarına bu virüsün yukarıdaki gibi iframe kodu ekler. Bu kod virüsün yayılmasını sağlar. İndex dosyalarını görüntüleyen herkese virüs bulaşır.

******Gelen bir uyarıyı ekleyeyim istedim makaleye.
Virüsün yeni versiyonu default.html, default.php ve diğer default adlı dosyalara da bulaşıyormuş eğer varsa bunları da temizleyiniz.

!!! – Ftp programlarındaki kayıtlı şifreleri alarak siz virüsü bilgisayardan ve FTP’nizden sildiğinizde kendini yeniden ekler. (Özellikle CuteFTP varsa)
!!! – Bir çok antivirüs programını atlatmaktadır. Uyarı veriyorlar ama hayır diyene kadar çoktan yazılmış oluyor bilgisayarda gerekli yerlere.
!!! – Bir versiyonunun bilgisayardaki olan index.php vs dosyalarına da bulaşabildiği söyleniyor.

Virüs bulaştı, nasıl kurtulunabilir?
1 – Virüsü kaptığınızı anladığınızda internet bağlantınızı virüsü silinceye kadar kapatın. FTP programlarında kayıtlı şifreniz varsa saniyeler içerisinde yayılmaya başlıyor. Eğer kayıtlı şifre yoksa FTP’ye bulaşmıyor, sadece bilgisayarı etkiliyor.

2 – Antivirüs ve spyware taraması yaptırın. Örn; Son güncelliğiyle bir Kaspersky ve Spy Sweeper tavsiyem. Yoksa ücretsiz AVG ile Ad-aware’yi deneyin. Taramada çıkanları temizleyin ama bitmedi.
Muhtemel virüs çıkabilecek yerlere bakın. Aşağıdaki klasörlere gelip değiştirme tarihine göre dosyaları sıralarsanız kalmışsa virüs exelerini görebilirsiniz.Sabit bir ismi yok her geldiğinde rastgele bir isim alıyor exeler. Çok emin değilseniz silmeyin. Silinmezse bilgisayarı güvenli modda açıp silin.

Windows
Windows\system32
Documents and Settings\Kullanıcı Adınız\Local Settings
Documents and Settings\Kullanıcı Adınız\Local Settings\Application Data

3 – CuteFTP tarzı programlarıdaki kayıtlı şifreleri silin. Mesela kullanıcı adı ve ftp adresi kalır. Şifreyi yanlış yazarsanız her açılışta şifreyi sorar, bu aşamada birazdan yeni belirleyebileceğimiz şifreyi yazın.

4 – Virüs temizliğini yaptığınıza eminseniz internet bağlantınızı açın.
ŞİMDİ TARAYICIYLA HİÇ BİR SİTEYE GİRMEYİN. KENDİ SİTENİZ DAHİL. Çünkü virüsü son kaptığınız site ya da virüsün yeni bulaştığını sitelerinizden hemen tekrar alabilirsiniz virüsü.
(tabi güvenilir siteler hariç google vs. ama şu anda amaç virüsü temizlemek )

Sitenizin FTP şifrenizi cPanel’den veya diğer admin yönetim paneline girerek değiştirin. Bunu yaparken siteniz.com/cpanel veya nasıl giriyorsanız o şekilde girin. Virüs bulaşan sitelerin anasayfaları görüntülemekten kaçının.
Şimdi ben şifremi çok severim ama yeni şifre napacam diye düşünüyorsanız fazla düşünmeyin olağan şifrenizin sonuna “?” gibi özel bir karakter, bir harf ya da bir rakam ekleyin, geçin.
Ama FTP şifrelerinizde hem harf hem rakam hemde /%’!^%(!/ tarzı özel karakterlerin ve en az 8-10 hane olması güvenlik açısından önemlidir. (Örn; 4!6k5+a%ak)

5 – Şifreyi değiştirdik. Bilgisayarımız temiz, FTP şifremiz değişti. Ama virüs hala sitemizde. FTP’ye girin tabi şifreyi kaydetmeden. index.html, index.php, index.xxx tarzı tüm dosyaları açıp en üstteki kodun benzerini arayın bulun ve silin.
Eğer dosyalarınız çoksa ücretsiz NOTEPAD2‘yi kullanıp silmekte hız kazanabilirsiniz. Virüsün bulaştığı bir index dosyasından kodu kopyalayın. Daha sonra Notepad2’de Edit > Replace (Ctrl+H kısayolu)’i açın.
Search String yazan yere kodu yazın, alt tarafı aynı şekilde boş bırakın ve Replace All’a tıklayın.
Kod silindi. Bilgisayarınızdaki dosyalara bulaşmışsa index diye aratın çıkan her dosyayı bu şekilde temizleyin.
Eğer bilgisayarınızda sitenizin temiz yedeği varsa direk üstüne atabilirsiniz. Ama bitmedi okumaya devam edin.

Dikkat : H
osttaki sadece www veya public_html dizinleri değil hosttaki diğer index dosyalarına da bulaşıyor. Bu dizinleri de tarayıp index.xxx dosyalarından silin.
örneğin; /tmp/webalizerftp ve /tmp/webalizer’deki index.html dosyaları.

6 – Şimdi bilgisayarımızda virüs yok, bilgisayardaki dosyalarımızda virüs yok. ftp şifremiz değişti, siteden de virüs yok.
Kısacası şu anda bu virüsten etkilenmeyen birisiyle aynı durumda olmalısınız.

Dikkat :
Eğer bu adımları tam olarak yaptığınız halde işe yaramadıysa bilgisayarınıza format atıp, hostunuzun sıfırlanmasını sağlayıp(hesabın kapatıp tekrar açılması), sitenizi sıfırdan tekrar kurmayı deneyiniz.

Bu virüse karşı önlemler nelerdir?
!!! – Benim başıma gelmez demeyin, önlem alın. Hergün girdiğiniz, aylarca virüssüz yayın yapan birisi virüsü kapar ve hemen sizi de etkileyebilir.

!!! – Kesinlikle FTP şifrelerinizi programlarda bırakmayın. Şifreleri aklınızda tutamıyorsanız bir kağıda,cep telefonunuza yazın. Eğer virüs girerde şifre değiştirmek zorunda kalırsanız sürekli kullandığınız şifrenin sonuna bir iki karakter daha eklemeniz yeterlidir, daha kolay ezberlersiniz. abc123 şifrense abc123? yapmak gibi…

!!! – Düzenli yedek alın. Site ve scriptlerinizin son hallerinin yedeklerini bulundurun. Şifreli RAR dosyalarında veya DVD’lerde tutun. Olaki bir olay oldu hemen yedekleri yükleyerek müdahale edebilirsiniz. Diğer türlü uzun uğraşlar gerekiyor. !!! – İnternette dolaşırken en azından güncellenmiş bir antivirüs programı bulundurun. Ek olarak anti-spyware programı da size yardımcı olacaktır. Ücretli olarak Kaspersky ve Spy Sweeper. Ücretsiz olarakta AVG Free ve Ad-Aware kullanabilirsiniz. Kaynak: r10.net

Yorumlar

  1. ugur dedi ki:

    Teşekkürler Yusuf Bey bende gecçen gün bu illetle uğraştım ve Allahtan hostum her gün yedek alıyordu 2 gün önceye dönüp hallettim.Hostm bilgilendirmişti ne yapmam gerektiğini silme işlemleri için.
    senin yazıda çok faydalı olmuş

  2. Yusuf Uyanık dedi ki:

    Hostu halletmek pek problem gibi gözükmedi bana sadece indexleri defaultlarla değiştirdim, tek sorun pc den tamamen temizleyebilmektir onuda başarabildim..

    Teşekkürler.