Virüs zincirleri

Webmasterların zararlı nitelikteki kodu daha hızlı bulup silebilmesi için Yandex, kullanıcının tarayıcısından virüslü sitenin sayfasına bakıldığında zararlı nitelikteki kodun yüklendiği barındırıcı zincirleri hakkında bilgiler sunar.

Bu bilgi, sitenin hangi sayfasındaki blok aracılığıyla zararlı nitelikteki kodun yüklendiğini belirleyebilir.

Örneğin zincir şu görünümdeyse:

Sitenin zararlı nitelikteki kodu yaymaması için aşağıdaki işlemlerden birini yapmak gereklidir:

  • infected-2.htm sayfasında etiket, marthamio.cu.cc belirmesine neden olan veya bu siteye yönlendirme yapılmasına neden olan web sunucusu sayfasının veya komut programının bir bölümünü silmek (<script>, <iframe>);

  • marthamio.cu.cc sitesinin sahiplerinden groogle.cu.cc/?said=3333&q=facebook adresinden blok yükleyen blokları yayınlamayı kesmesini istemek;

  • aroymac.cu.cc/main.php?page=362ae50582a6bb40 kaynağından zararlı nitelikteki kodun yayılmasını durdurmak.

Sayfaya marthamio.cu.cc adresinden blok yükleyen veya ona yönlendirme yapan etiketi kaydeden zararlı nitelikteki web sunucusu kodu okunmaz olabilir:

  • Kötü niyetli olarak anlaşılmaz veya okunmaz yapılmış olabilir. Kendi yazmadığınız; özellikle gereksiz yapıdaki komut programı parçalarını arayın;

  • Şifreli; anlamsız sembol satırlarında böyle öğeler bulunabilir ve eval, base64_decode, gzuncompress, gzinflate, ob_start, str_rot13, assert, create_function, preg_replace işlevleri kullanılabilir;

  • Yapı görünümünde .htaccess ve diğer yapısal web sunucusu dosyalarının içinde, komut programı dili yorumlayıcısı, şablon ve CMS ayarı şeklinde gizlenmiş olabilir.

  • Dinamik olarak web sunucusu tarafından yükleniyor olabilir (php-işlevi file_get_contents, curl_exec ve benzerleri).

Web sunucusundaki zararlı nitelikte kod silindikten sonra şu nedenlerden tekrar belirebilir:

  • Web sunucusunda back road olması;

  • web sunucusu parolasının (FTP, SSH), barındırıcı yöneticisi panelinin veya CMS'nin riski altında olması;

  • Kullanıcının root parolasının değiştirilmesiyle veya gerekli yetkiye sahip kullanıcı eklenmesiyle;

  • Webmaster'ın bilgisayarında kullanılarak silme işlemi yapılabilecek, webmaster'ın adına web sunucusuna komut verilebilecek veya site içeriğini değiştirebilecek arka kapı veya bot bulunması.

Web sunucusundaki zararlı nitelikteki kod benzeri yöntemlerle okunmaz hale getirilebilir. eval, document.write, document.location, document.URL, window.location, window.navigate yapıları kullanılabilir, DOM öğeleri tekrar belirlenebilir; <object>, <embed> etiketleri yardımıyla nesne yüklenebilir, ActiveX oluşturulabilir, yüklenen nesnelerin yardımıyla sayfa kodu değiştirilebilir. Bunun dışında komut programlarının uzunluğuna ve işlem satırlarının gerekliliğine dikkat edin. Örneğin birkaç satırın birleştirilmiş veya uzatılmış olabilir.