İçinde Wordpress

WordPress site başka siteye yönleniyor! Nasıl temizlerim? Çözümü burada!

Bugün arkadaşımda rastladığım word press bloglarına bulaşan saçma sapan bir yönlendirme virüsünün nasıl temizleyebileceğinizi anlatacağım.

Eğer word press bloğunuz başka siteye yönleniyorsa, anasayfada düzgün fakat iç sayfalarda bir anda http://yes.mefound.com/?said=3333g&q= veya xxx.com/seo.php gibi bir sayfaya yönleniyorsa sizinde bloğunuza bu virüs bulaşmış demektir.

Bu virüsün bir kaç çeşidi var bu yüzden bir kaç dosya ya bakmanız ve bu dosyalarda ‘ eval(…) ‘ ile başlayan kod var ise silmeniz gerekmektedir.

Öncelikle FTP şifrenizi mutlaka değiştirin! Nasıl değiştireceğinizi bilmiyorsanız yazılımcınıza veya siteyi yaptırdığınız kişi ile irtibat kurunuz.

Şu dosyaları notepad ile açın ve içinde arayın ;

wp-config.php
wp-load.php
wp-settings.php

Eğer yoksa kullandığınız tema içerisinde yani şuradaki dosyalara bakın;

wp-content/themes/TEMANIZIN ADI/ header.php, footer.php,index.php ve functions.php dosyalarına bakın yine bu kod varsa silin.

ve son olarak eğer bulamadı iseniz;

wp-includes/js/tinymce/utils/gen_validatorv31.php içerisinde en altta ; eval(‘x16… ‘ ) diye başlayan kodu silin.

Güncelleme

Eğer yukarıdaki işlemler işe yaramadıysa geçenlerde karşılaştığım başka bir yönlendirme virüsüne yakalanmışsınız demektir. Ama merak etmeyin çözümü şöyle;

Bu lanet virüs öncelikle bir çok dosyaya bulaşabiliyor. FTP ye baglanıp tüm dosyalarınızı bilgisayarınıza indirip arama yağmanız ve çıkan sonuçları silmeniz en doğrusudur. Benim baktığım wordpress bloğunda bazı dosyalarda;

wp-content/plugins/akismet/akismet.php
wp-includes/js/intro.php

bu dosyalar içerisinde;

$nwsydaxbl = array(‘rVqJVyLH8/9XiG9flN8ad3oumB’,’jyFRWUDUfEAdEkjwfDcA7H4xBw’,’s//7r7u …

ile başlayıp;

eval($lvtza($ljnz(implode(”,$nwsydaxbl)))); ile biten bir koca bir paragrafı bulun ve silin.

Ayrıca wp-content/uploads/2012 veya 2011 klasörleri içerisinde .htaccess ve uzantısı .php olan dosyaları silin.

 

Muhtemelen bloğunuz eski haline gelecektir.

 

Yorum Yaz

Yorum

22 Yorumlar

  1. Adamsın.. adamın dibisin.. server’ı çekettik bulamadık. her yolu denedik.. facebooktaki arkadaşlarımızdan rica ederek arama motoruna şu kelimeyi yaz sonuca tıkla bakalım nereye gidiyor diye.. amerika, london ve korede arama yaptırıp milletin nereye yönlendiğini anlamaya çalıştık. Benim bilgisayarımda sadece benim siteni başka bir bahis sitesine yönlenirken buldum. Komşunun bilgisayarında baktım siteye gidiyor. Bu saçmalık içinde boğulmak üzereyken sabaha karşı senin yazını okudum. Cpanele girerek dediklerini aynen yapıp kurtuldum. Facebooktan da seni ekledim kurtarıcımla arkadaş olmak bana onur verecektir. Şu anda sana saygı duyuyorum arkadaşım..

  2. Hocam öncelikle teşekkür ederim oldukça başarılı bir paylaşım olmuş dediğiniz yolları inceledim eval leri sildim düzelmesini bekliyecem artık.Benimde sitem google aramasında çıkıyo linke tıklayınca bing.com a yönleniyo kafaları yiycem umarım düzelir çookkk teşekkürler bu evalleri sildikten sonra başka işlem gerekiyormu hocam

    • Merhaba,

      eval(xx şeklinde başlayan kodu bulup sildiyseniz farklı bir işlem yapmanıza gerek yok fakat tedbir olarak bir süre daha takip etmenizi öneririm. Virüs geliştikçe farklı yerlere bulaşarak kendini çoğaltıyor.

  3. konuyu biraz hortlatmış olucam ama yardımınız lazım arkadaslar.banada aynı şey oluyor ama o yazdıgınız dosyalari bulamıyorum tam olarak nerde arama yapabilicegimi yazabilirseniz cok sevinirim.tesekkürler simdiden

  4. Benim 3 senedir gayet güzel giden web sitem vardı. Ancak yaklaşık 1.5 ay evvel tema değiştirdim ve geçen hafta hosting firmam güvenlik sebebi ile hizmetimi durdurana kadar hiçbir şeyden haberim yoktu. WordPress ile yaptığım bu site 300bin tane html uzantılı dosya ile doluydu. ftp ile bir çoğunu temizledim ama başa çıkamadım. daha sonra 4 haziran itibari ile bu dosyaların yüklendiğini görüp hosting firmamdan daha önceki bir tarihten geri yükleme yapmasını rica ettim. Oldukça fazla kayıp görsel dosyası olsa da sitem temizlenmişti.

    Böyle düşünürken bugün yine bir dış siteye reklam amaçlı yönlendirme gördüm ve artık benim bilgi düzeyimi aşıyor. lütfen yardım edin ….

  5. Hocam benimde bir wordpress sitem var sadece index sayfamda bu sıkıntı var beni yabancı bir siteye yönlendiriyor farklı illerdede giriş yaptık hepsinde aynı sorun var. Googleden siteyi aratıp girince farklı siteye yönleniyor ancak sitenin adını yazarak direk girersem siteye girebiliyorum. sitem index harici tüm linkler sağlam ana sayfayı googleden aratarak girdiğimde bu sıkıntı karşıma çıkıyor. Yardımlarınız Bekliyorum

    • Virüs farklı dosyalara bulaşmış olabilir. WordPress virüsleri her zaman aktif değildir kendilerine en işe yarayan durumda farklı siteye yönlendirme yaparlar. Google dan gelen ziyaretçiyi avlamak gibi. Sorun devam ediyormu hala ?

  6. selam aynı dert benim başımda 8 aydır var fakat artık isyan ettim eski tasarımı html tekrar geri döndürdüm. Ama sorunum hala devam ediyor üstat yani o kod ile alakası olmayan html dosyalarıma nasıl geçti anlamadım yada google.com un mu güncellemesi gerekiyor bilemedim

  7. benimde herkes gibi böyle bir problemim var hocam sitem bu http://www.bor****.com diye tasarımı değiştim olmadı tarama yaptım buluyor ama başka nerede var onu bilemediğim için devam ediyor sorun 3 aydır bu sorunla uğraşıyorum bi el atsanız hocam:)

    • yavuz bey merhaba,

      Bu tarz virüsler bir kez bulaştımı tema dışındaki dosyalara da sıçrar ve tema değişikliği bir işe yaramaz. Dosyalar üzerinde daha derin bir analiz yapmak gerekir. Eğer ftp bilgilerini bana mail atabilirseniz ben gerekli analizi yapıp sonuçlarını sizinle paylaşabilirim. Daha önce bu şekilde benzer sorunu olan arkadaşlarımızın sitesini kurtardık.

  8. Merhabalar Erkan Bey,

    Benimde 3 seneden beri kullandığım wordpress sitem var. Tema değişikliğinden sonra sitemde anormalikler oldu. (virus bulaşmış) Ftp şifremi değiştirdim, dosyaları guncelledim, tek tek tarattım, Host firmam bildirdim bazı dosyalarda virus bulundu düzelttik dediler. Bir süreden beri düzgün gidiyordu sonra tekrar sıkıntı verdi. 5-6 günden beri googleden dönüşler düştü ve reklam sayfalarına yönlendiğini gördüm araştırırken sizin yazınıza rasladım ve incelediğimde setting sayfasında eval(..) ile başlayan kodu buldum ve sildim. Bakalım düzelecek mi? yada başka sayfalarda varmı bir kaç gün daha kontrol edeceğim. Verdiğiniz bilgiler çok faydalı oldu çok teşekkür ederim.

  9. Merhaba,

    Son 2 aydır bu sıkıntıyı cekiyorum. eval(..) ile başlayan bir kod bazen header a bazen wp-settings bazen de wp-config bulaşıyor, siliyorum. Sitedeki tüm php leri kontrol ettim. Kod hiç bir yerde çıkmadı. Ancak bir kaç gün sonra tekrar hortluyor. Site dünzgün calışır gibi görünürken pat diye başka sitelere yönlendiği bilgilerini alıyorum. Önerileriniz varsa alabilir miyim.

    İyi çalışmalar dilerim

    • Merhaba,

      Sorun ftp bilgilerinizin kopyalanması durumu olabilir. İnternet üzerinde böyle bir sürü bot var. Eğer yanlışlıkla cuteftp vs. gibi crackli bir ftp programı kullandıysanız veya farklı bir virüs olan bir bilgisayarda ftp baglantısı yaptı iseniz bu botlar ftp bilgilerinizi kaydetmiş olabilirler. Mantığı çok basit belli aralıklarla tüm ftp lere bağlanıp index.php, default.php vs. gibi dosyalara eval() ile başlayan kodu tekrar yerleştiriyorlar.

      Çözüm olarak ftp bilgilerinizi önce değiştirin. Filezilla gibi bir ftp client i kullanın. Sonra eval araması yapıp bulduklarınızı temizleyin. Tekrarlanmayacağını düşünüyorum. Sonuçlarını yazarsanız memnun olurum, iyi çalışmalar.