Bir süredir yaygınlaşmaya başlayan ve pek çok web sitesinin olumsuz etkilendiği IFRAME Virüsü hakkında
IFRAME Virüsü nedir?
Virüslü bilgisayarlardan siteye FTP ile giriş yapan bilgisayarlarda ftp
girişi yapılan sitelerin index, default ve/veya tüm dosyalara zararlı
bir IFRAME kodu yerleştirir. Virüs, sitenize giren kullanıcıların
bilgisayarlarına virüs bulaştırmayı amaçlamaktadır.
Zararlı IFRAME Virüsü sitelere genellikle FTP üzerinden bulaşmaktadır.
Nasıl bulaşır :
1. Saldırgan öncelikle güncel antivirus yazılımları ile korunmayan bilgisayarınıza bir virus bulaştırır.
2. Bilgisayarınıza Bulaştırılan virüsun amacı bilgisayarınızdaki FTP Programında şifrenin saklandığı dosyayı ve/veya ftp şifrenizi çalmaktır . FTP bilgileri çalındıktan sonra, saldırgan dilediği zaman ftp girişi yapıp, sitenizin index.*, default.* veya tüm dosyalarınızın html taglarının arasına (genellikle sayfanın sonuna) iftame veya script tagı yerleştirir.
IFRAME tagı sayfanızın html tagları arasında gizlenir. Sayfanızı ziyaret eden kullanıcılara virus bulaştırmayı amaçlamaktadır.
IFRAME Virüsü sitenizdeki php, asp veya asp.net
kod açıklarından da bulaşabilir. Sitenizdeki dosya ve klasörlerin yazma
izinlerinin açık olmasını kullanarak dosyalarınıza bulaşabilir.
IFRAME kod örnekleri:
PHP- Kodu:
<IFRAME src='http://siteadresi/index.php' style='border:0px solid gray;' WIDTH=0 HEIGHT=0 FRAMEBORDER=0 MARGINWIDTH=0 MARGINHEIGHT=0 SCROLLING=no>IFRAME>
echo "";
Korunmak için yapmanız gerekenler:
1. Ftp erişimi olan kullanıcılarınızı belirleyin
2. FTP şifrenizi değiştiriniz.
3. Bilgisayarınızda güncel bir antivirüs yazılımı kullanınız.
4. FTP şifrenizi otomatik girişe ayarlamayın veya FTP girişlerinden sonra şifrenizi değiştiriniz.
5. IFRAME Virüsü sitenizdeki php, asp veya asp.net
kod açıklarından bulaşmış olabilir. Bundan korunmak için kontrol
panelinizden dosyalarınızın yazma izinlerini kaldırınız, sadece gerekli
dosya veya klasörlerinize yazma izni veriniz. Linux sunucularımızdan
hizmet alıyorsanız FTP programınızdan özellikle index.* ve default.* dosya izinlerini 444 (read/okuma) olarak ayarlayınız.
Sitelerinizi kontrol ediniz:
Sitenizdeki index.*, default.* dosyalarını bilgisayarınıza indirip html
kodlarını gözden geçiriniz. Index.* ve/veya default.* dosyalarınız
temiz ise virüs bulaşmamış demektir. Virüs öncelikle bu dosyalara
bulaşır. Ancak yine de diğer doslarınızın güncellenme tarihlerini
gözden geçiriniz.
Zararlı kod bulaşmış dosyalarınızı temizleyiniz.
IFRAME
Virüsü bulaşan siteler Google arama motoru ve Firefox tarayıcısı
tarafından saldırgan site olarak sınıflandırılır. Bu sitelere giriş
izni verilmez.
Siteniz Google'da saldırgan site olarak listeleniyorsa:
IFRAME
Virüsü bulunan site google arama sonuçlarında saldırgan site olarak
gösterilir. Bunu düzeltmek için şunları yapabilirsiniz:
1. http://www adresine giriş yapınız.
2. Gmail hesabınız veya yeni bir hesap ile giriş yapınız.
3. Sitenizi ekleyerek doğrulayınız.
4. Sitenizi doğruladıktan sonra, kötü amaçlı yazılım uyarısına
tıklayarak, zararlı kodların bulaştığı sayfaları görün ve
sayfalarınızdan zararlı kodları temizleyin.
5. Sol menüden Siteyi tekrar değerlendirme seçeneğine tıklayın
6. Sitenizde bulunan zararlı kodları kaldırdığınızı ve tekrar değerlendirmelerini rica ediniz.
7. Siteniz birkaç gün içinde saldırgan site olmaktan çıkarılacaktır !