Son zamanlarda birçok siteye tebelleş olan IFRAME virüsü, bu sitelerin Google arama sonuçlarında zararlı site olarak nitelendirilmesine neden oluyor. Eğer siz veya sitenizin bulunduğu sunucudaki site sahiplerinden herhangi biri ücretli FTP programlarının crack edilmiş sürümlerini kullanıyorsa sitelerinize IFRAME atılması, farklı sitelere yönlendirmek/popup açtırmak vs. gibi amaçlar için JS kodlarının eklenmesi kaçınılmaz bir hal alıyor.

Son IFRAME kabusu pepsi virüsü, ekolay ve turkticaret’in yeni projesi adhood’a da bulaşmıştı yanlış hatırlamıyorsam.

Eğer bu IFRAME virüsü sitelerinizden birine veya birkaçına bulaşmış ise kurtuluş için yapmanız gereken birkaç adım var:
1. Bilgisayarınızın temiz olduğuna emin olun.
2. Sunucunuza bir virüs taraması yaptırıp temizleyin/temizletin.
3. Sunucuda bulunan sitelerin FTP şifrelerini değiştirin.
4. Crack edilmiş FTP programları kullanmayın.
5. Sitenizin ana ve alt dizinlerini; dosyalarınıza erişime olanak verebilecek yabancı dosya atılmış olabileceği ihtimalini göz önünde bulundurarak tarayıp şüphelendiğiniz dosyaları inceleyin/inceletin.

Bu 5 adımdan herhangi birini atladığınız takdirde yaptığınız temizlik ve çabalar pek bir anlam ifade etmeyecek ve virüs sitelerinize tekrar bulaşacaktır. O nedenle adımların herhangi birini atlamadan uygulamalısınız.

Konu ile ilgili olarak biraz önce Markum’dan bir bilgilendirme maili aldım. Her ne kadar kendileri ile bir ticari bağım olmasa da yaptıkları bu çalışmanın takdire şayan olduğunu belirtmeden geçemeyeceğim. Nitekim konuyu epey derinlemesine irdeleyip güzel bir doküman hazırlamışlar. Bu dokümanı, kendilerine teşekkürlerimle birlikte yazımın ekinde yayınlıyorum…

Web sitelerini tehdit eden IFRAME Virüsü hakkında önemli duyuru!

Bir süredir yaygınlaşmaya başlayan ve pek çok web sitesinin olumsuz etkilendiği IFRAME Virüsü hakkında sizi bilgilendirmek istiyoruz.

IFRAME Virüsü nedir?

Virüslü bilgisayarlardan FTP girişi yapılan sitelerin index, default ve/veya tüm dosyalara zararlı bir IFRAME kodu yerleştirir. Virüs, sitenize giren kullanıcıların bilgisayarlarına virüs bulaştırmayı amaçlamaktadır.

Zararlı IFRAME Virüsü sitelere genellikle FTP üzerinden bulaşmaktadır.

Nasıl bulaşır :

1. Saldırgan öncelikle güncel antivirus yazılımları ile korunmayan bilgisayarınıza bir virus bulaştırır.
2. Bilgisayarınıza Bulaştırılan virüsun amacı bilgisayarınızdaki FTP Programında şifrenin saklandığı dosyayı ve/veya ftp şifrenizi çalmaktır . FTP bilgileri çalındıktan sonra, saldırgan dilediği zaman ftp girişi yapıp, sitenizin index.*, default.* veya tüm dosyalarınızın html taglarının arasına (genellikle sayfanın sonuna) iftame veya script tagı yerleştirir.

IFRAME tagı sayfanızın html tagları arasında gizlenir. Sayfanızı ziyaret eden kullanıcılara virus bulaştırmayı amaçlamaktadır.

IFRAME Virüsü sitenizdeki php, asp veya asp.net kod açıklarından da bulaşabilir. Sitenizdeki dosya ve klasörlerin yazma izinlerinin açık olmasını kullanarak dosyalarınıza bulaşabilir.

IFRAME kod örnekleri:

<IFRAME src='https://siteadresi/index.php' style='border:0px solid gray;' WIDTH=0 HEIGHT=0 FRAMEBORDER=0 MARGINWIDTH=0 MARGINHEIGHT=0 SCROLLING=no></IFRAME>

echo "<IFRAME src=\"http://siteadresi\123" width=1 height=1 style=\"visibility:hidden;position:absolute\"></IFRAME>";

Korunmak için yapmanız gerekenler:

1. FTP şifrenizi değiştiriniz.
2. Bilgisayarınızda güncel bir antivirüs yazılımı kullanınız.
3. FTP şifrenizi otomatik girişe ayarlamayın veya FTP girişlerinden sonra şifrenizi değiştiriniz.
4. IFRAME Virüsü sitenizdeki php, asp veya asp.net kod açıklarından bulaşmış olabilir. Bundan korunmak için kontrol panelinizden dosyalarınızın yazma izinlerini kaldırınız, sadece gerekli dosya veya klasörlerinize yazma izni veriniz. Linux sunucularımızdan hizmet alıyorsanız FTP programınızdan özellikle index.* ve default.* dosya izinlerini 444 (read/okuma) olarak ayarlayınız.

Sitelerinizi kontrol ediniz:

Sitenizdeki index.*, default.* dosyalarını bilgisayarınıza indirip html kodlarını gözden geçiriniz. Index.* ve/veya default.* dosyalarınız temiz ise virüs bulaşmamış demektir. Virüs öncelikle bu dosyalara bulaşır. Ancak yine de diğer doslarınızın güncellenme tarihlerini gözden geçiriniz.

Zararlı kod bulaşmış dosyalarınızı temizleyiniz.

IFRAME Virüsü bulaşan siteler Google arama motoru ve Firefox tarayıcısı tarafından saldırgan site olarak sınıflandırılır. Bu sitelere giriş izni verilmez.

Siteniz Google’da saldırgan site olarak listeleniyorsa:

IFRAME Virüsü bulunan site google arama sonuçlarında saldırgan site olarak gösterilir. Bunu düzeltmek için şunları yapabilirsiniz:

1. http://www.google.com/webmasters/tools/ adresine giriş yapınız.
2. Gmail hesabınız veya yeni bir hesap ile giriş yapınız.
3. Sitenizi ekleyerek doğrulayınız.
4. Sitenizi doğruladıktan sonra, kötü amaçlı yazılım uyarısına tıklayarak, zararlı kodların bulaştığı sayfaları görün ve sayfalarınızdan zararlı kodları temizleyin.
5. Sol menüden “Siteyi tekrar değerlendirme” seçeneğine tıklayın …
6. Sitenizde bulunan zararlı kodları kaldırdığınızı ve tekrar değerlendirmelerini rica ediniz.
7. Siteniz birkaç gün içinde saldırgan site olmaktan çıkarılacaktır !

IFRAME Virüsü hakkında bilgi için:
http://www.google.com.tr/search?sourceid=navclient&aq=8&oq=IFRAME+&hl=tr&ie=UTF-8&rlz=1T4GGLL_trTR333TR333&q=IFRAME+vir%c3%bcs%c3%bc

Saygılarımızla,
Markum.net Ekibi

Popüler internet tarayıcısı Firefox, son sümü 3.5’i bildiğimiz gibi geçtiğimiz günlerde yayınladı. Ara versiyonlarda sorun olmamasına rağmen büyük çaplı versiyon geçişlerinde eklenti uyumsuzlukları yaşandığı için Firefox’u yükseltmeye pek gönüllü değildim. Sürekli kullandığım ve elim-ayağım diyebileceğim eklentilerden birinin veya birkaçının çalışmaması durumunda sıkıntı çekecektim.

Bu tür kaygılar içinde birkaç gün güncelleme yapmadım. Ancak daha fazla dayanamayıp Firefox’u 3.5 versiyonuna yükselttiğimde aslında korkulacak bir durumun olmadığı gördüm. Birkaç eklenti haricinde diğer eklentiler sorunsuz çalışıyordu.

Çalışmayan eklentilerin içinde bir tanesi hariç diğerleri önemsiz şeylerdi ve geliştiricilerin keyifleri eklentilerin uyumlu versiyonlarını çıkartana kadar bekleyebilirdi. Ancak SearchStatus eklentisinin çalışmaması daha doğrusu çalışıyor gibi durup da hem PageRank, hem de Alexa değerlerini göstermemesi açıkçası canımı biraz sıkmadı değil. Zira dolaştığım sitelerin Google PageRank değerini görmek web alışkanlıklarımın arasına girmişti.

Hemen alternatif eklentiler için ufak bir araştırma yaptım ve Stephane Queraud tarafından geliştirilen Google Pagerank Status eklentisini buldum. Fakat bu eklentinin geliştirilmesine epey bir zaman ara verilmişti ve  Firefox Eklenti Dizininde de eklentinin Firefox 3.5 sürümü ile uyumsuz olduğu yazılıydı.

Birkaç tane daha başarısız araştırma ve eklenti girişimi yaptıktan sonra ellerim boş bir halde yine Google Pagerank Status’a geri döndüm. Eklentiyi indirip yaptığım birkaç ufak değişiklikle tarayıcı uyumsuzluğunu giderip gideremeyeceğimi merak edip şansımı denedim. Eklentiyi yükleyip tarayıcımı yeniden başlatınca eklentinin sorunsuz çalıştığına şahit olup sevindim.

İçinizde SearchStatus mağduru olan varsa ziyaret ettiğiniz sitenin Google PageRank değerini durum çubuğunda gösteren alternatif eklenti Google Pagerank Status’u deneyebilir.

Eklentiyi bilgisayarınıza kaydedip sonra kurmak istiyorsanız aşağıdaki bağlantıyı kullanabilirsiniz. Dosyayı bilgisayarınıza kaydettikten sonra isterseniz Firefox üzerine sürükleyerek, isterseniz de Dosya – Dosya Aç (Ctrl + O) adımlarını takip edip kaydettiğiniz dosyayı seçerek yükleyebilirsiniz.

  Google Pagerank Status (37,8 KiB)

Direkt kurulum yapmak için ise aşağıdaki bağlantıya tıklayıp birkaç saniye bekledikten sonra Şimdi kur butonuna basın.

  Google Pagerank Status direkt kurulum (37,8 KiB)

Firefox 3.5 için PageRank eklentisi

NOT: Siz de kendi sitenizden bu tür kurulum dosyaları paylaşıyor ve Firefox’un eklentiyi varsayılan işlem olarak yüklemesini istiyorsanız .htaccess dosyanıza şu kodu eklemeniz yeterli olacaktır.

AddType application/x-xpinstall .xpi

Hayli zaman önce yazdığım şu yazıda ücretsiz elektronik posta hizmetlerinden Windows Live Mail ile Yahoo Mail’in betasını karşılaştırmıştım. Bu iki hizmetin de uygulama olarak birbirlerine benzemeleri yeni nesil eposta hizmetlerinin ne şekilde olacağı veya olması gerektiği hakkında bize ufak da olsa bilgiler verdi denebilir. Bu hizmetlerde öne çıkan en belirgin birkaç özellik; uygulamaların Outlook yapısında olmaları ve her seferinde sayfaların yeniden yüklenmesi yerine lüzum görülen yerlerin yüklenmesi mantığı ile geliştirilen AJAX uygulamaları içermesi.

Başına gelen hack olayını bile görmezden gelen, sunduğu hizmetlerin hep taklit olması ile eleştirilen Türkiye’nin en büyük portallarından Mynet de verdiği eposta hizmetini Windows Live Mail ve Yahoo Mail’in hayli zaman önce geçtikleri yukarıda bahsettiğim kalıba sokmaya karar vermiş. Kısa zaman önce görsel olarak değişikliğe giden Mynet Email, bu değişikliğin pek de yeterli ve doyurucu olmadığına (ki gerçekten de gereksizdi) karar vermiş olmalı ki bu tür bir yola başvurdu.

Görünüm olarak mavi tonları tercih eden Mynet’in beta aşamasındaki yeni eposta hizmeti Mynet Email Beta da özellik olarak Yahoo’nun yeni nesil posta hizmetine daha çok benziyor. Mynet Email Beta incelendiğinde, özelleştirilmiş sağ tuş işlevleri ve eskiye nazaran daha göze hitap eden görünümü ile rakipleriyle yarışta geri kalmama düşüncesinin ön plana çıktığı gözlemleniyor.

Son zamanlarda dağıtmaya başladığı ücretsiz blog (günlük) hizmetinde WordPress altyapısını kullandığını belirtmediği için (daha sonra düzenleme yaptı) eleştiri oklarının hedefi haline gelen, yıllar önce haber sitelerinin bile vermeye başladığı video hizmetine yine kısa bir zaman önce el atan Mynet’in öngörü anlamında pek de iyi bir yetiye sahip olmadığı açıkça görülüyor.

Umarım büyük para ve umutlarla kurulan bu dev Türk bilişim şirketi daha akılcı ve akıllı yönetim mantalitesiyle kopya çekmekten fikir üretecek, kendi standartlarını, kriterlerini oluşturacak düzeye gelir de biz de eleştirmek yerine milletimiz adına kendileriyle göğsümüzü gere gere övünürüz.