HTML/TrojanDownloader.Agent
Önceki yazımda da dedigim gibi google amca tarafından fena halde fişlenmiş durumdayım. Öyleki bu fişlenmeninde büyük etkisi ile tekrardan blog hayatına geri dönüş yaptım. Ben konuyu dallandırıp budaklandırmadan "HTML/TrojanDownloader.Agent" olarak belirledigim konumuza dönelim. Başlarda google amcanın fazlalık kod veya benzeri nedenlerden dolayı beni fişledigini düşünmüş olsam da bu akşam gerçek nedeni anladım. ve karşınızda "HTML/TrojanDownloader.Agent"
Bu akşam üstü siteme girdigimde ilk defa NOD32 uyarı verdi, daha dogrusu o sırada 3 siteye eş zamanlı giriş yaptıgımdan hangisinden geldigini bilmedigim aşagıda görülen uyarıyı aldım.
3 site arasında sıra ile sayfa yenileme yaptıgımda bilin bakalım hangi siteden geliyordu bu uyarı? Tebrikler, bildiniz. ozkanyildiz.com azimle saga sola saldırmaya devam ediyordu… En azından sorunun ne oldugunu tam olarak bildigim icin (tabi başka birşey yok ise) artık biraz daha rahattım.
İlk olarak sayfanın kaynak’ını açarak wp-stats araması yaptım. Sonuç şekilde görüldügü gibi idi;
Hoş biraz görülmesi zor ama kesin olan şu ki "1408" filmine dair yazmış oldugum yazının sonuna bu kod eklenmişti ve habersiz habersiz arka planda işlemekteymiş. Nelere neden olmuştur bilmiyorum ama yeni şeylere neden olmaması için öncelikli olarak tüm eklentilerimi kaldırdım (salak’ım ya ben, durup duruken sayfa okunma sayacını sıfırladım ama iş işten geçmişti) ardından bir güzel wordpress 2.3 versiyonuna terfi ettim ve kullanışlı oldugunu düşündügüm eski 2 eklentim ile birlikte HTML Purified kurdum. Yogurttan agzı yanan biri olarak başta XSS olmak üzere artık alışmam gerektigini düşündügün versiyon güncelleme donanımımıda yanıma katıp daha emin olarak yere bastıgımı bildirmek isterim…
Artık sıra affedip etmeme kararını verecek olan büyügümüz olan google amcamızındır…
Etiketler : Google, HTML Purified, HTML/TrojanDownloader.Agent, nasıl temizlenir, nod32, TrojanDownloader, wordpress iframe
Diyecekleriniz mi var? Buyrun buradan ekleyin rss'mize eşlik edip yeni yazıları yakından takip edin.
Ocak 29th, 2008 saat 10:16
Hee tamam işte..
1408 ile ilgili diyecektim de aklıma gelmemişti sanırım..
Yoksa gelmişmiydi de ben mi hatırlayamıyordum..
Neyse işte ya, halisünasyoın görmediğime sevindim, bi denetim varmış işte..
Hadi hayırlısı olsun..
Ocak 30th, 2008 saat 19:24
nice job..conn me:D
Ocak 30th, 2008 saat 20:35
@Altan
Açıkcası kodu ilk buldugumda aklıma gelen bana söylemiş oldugun “sitene girerken ekledigin bir activex nedeniyle zorlanıyorum” oldu. 1408 son yazıydı, 4 aylık yoklugumda ve versiyon güncelmeme özelligimden yararlanılmış
diger bir yandan 1408 den başka bir yazıya eklenmeside abes olurdu 
Filmin kehaneti devam ediyor…
@macchiaveli
Thanks buddy, i hope i’ll work for you. but i didnt understand why “conn me”
you?
Şubat 25th, 2008 saat 14:08
Eeee dediğin gibi süten ağzı yanan yoğurdu üfleyerek yermiş. GYeni versiyon çıkar çıkmaz ilk fırsatta güncelleme yapmak önemli. Kimin ne zaman eski sürümün açıklarını kullanacağı belli olmaz.
Geçmiş olsun.
Şubat 25th, 2008 saat 15:10
Teşekkürler Genç Haritacı, haftalık veritabanı yedegi ve ara ara ftp yedekleme derken şu aralar en azından herhangi bir durumda geriye dönüşüm kolay olacak dökümanlara sahibim. Ve dedigin gibi güncellemeler, yeni versiyon çıkar çıkmaz kurmaya özen gösteren biri olup çıktım. ki ne kadar uyuşuk oldugumu tanıyanlar bilir…
Nisan 24th, 2008 saat 13:33
Selamlar Özkan,
bu illetin tıpatıp aynısi ile B film yazıları yazdığım blogumda karşılaştım. Güle oynaya yayın hayatımıza devam ederken. Nod32′nin verdiği uyarı ve akabinde yaptığım Google arasında Öteki Sinema’nın "bilgisayara zarar veren bir site" olarak afişlendiğini görmek beni çok üzdü. ama esprili ve çözümsel yazınız neticesinde gerekli başvuruları yaparak 2 gün içinde uyarının kalkmasını sağladım. Bu trojan sitemdeki bir yazının içine gizlenmişti. yazıyı yazan benim ve bu kötülüğü kimin ve neden yaptığını çok merak ediyorum doğrusu… Bazı forumlarda shell yemekten falan bahsediliyor. Acaba tekrar aynı durumla karşılaşmamak için nasıl bir kalkan uygulamalı?
Mayıs 1st, 2008 saat 02:26
Merhaba Murat,
Bilemiyorum ne kadar etkili ama başıma gelen olaydan sonra http://urbangiraffe.com/plugins/html-purified/ adresinden ulaşabileceginiz eklentiyi kurdum. Ve güncellemeleride zamanında yapmaya çalışıyorum, bu tam bir çözümmüdür açıkcası bende bilmiyorum.