10 Kasım 2014 Pazartesi

ads_boxy iframe virüsü temizleme - thisisonesplashforclicktocloseidhere iframe


Merhabalar su aralar bu arkadaş ile mücadele veriyorum.

Haberatv.com Kuzhaber.com habermatish.com bu sitenin sahibi para yetmemişki google reklamlarını iframe ile bulaştırıyor. Ki google'ın bunu pek hoş karşlayacagınıda tahmin etmiyorum.

Şikayette bulundum. Biz hakkımız neyse ona razı olalım bu arkadaş ise böyle kötü oyunlara başvursun. Tek kelime ile rezillik. Allah gözünüzü doyursun.

<div id="ads_boxy"><div style="position:fixed;z-index:999900;top:50%;left:50%;margin-top:-125px;margin-left:-150px;width:300px;height:250px;background-color:#fff;border:4px solid #444;-moz-box-shadow:0 0 12px 4px #888;-webkit-box-shadow:0 0 12px 4px #888;box-shadow:0 0 12px 4px #888;-webkit-border-radius:4px;border-radius:4px;" id="thisisonesplashforclicktocloseidhere"><iframe src="http://kuzhaber.com/gads/show_ads.php?format=gads_300x250" width="0" height="0" frameborder="0" scrolling="no" style="display: none !important; visibility: hidden !important; opacity: 0 !important;"></iframe><a href="javascript:hideADSnow()" id="clickonME" style="position:absolute;top:-8px;right:-7px;display:block;width:29px;height:29px;background:transparent url(http://3.bp.blogspot.com/-2pNyEIhTbiU/UWJ-FMsZktI/AAAAAAAAUKg/3FPcPp0CNko/s1600/close-button.png) no-repeat top left;"></a></div></div>
Web sayfalarında dolaşırken, içeriğinde Google AdSense reklamlarının olduğu, aşağıdaki gibi bir iFrame görünmeye başladı. Önce Google Chrome eklentilerimi, sonra arka plan işlemlerini kontrol ettiğimde olağan dışı bir şeye rastlayamadım.

adsbox-01

iFrame nesnesini incelediğimde aşağıdaki şekilde bir HTML kodu içerdiğini gördüm. Peki bu kod, tarayıcı eklentisinden ya da başka bir uygulamadan gelmiyorsa nereden geliyordu?
<div style="position:fixed;z-index:999900;top:50%;left:50%;margin-top:-125px;margin-left:-150px;width:336px;height:280px;background-color:#fff;border:4px solid #444;-moz-box-shadow:0 0 12px 4px #888;-webkit-box-shadow:0 0 12px 4px #888;box-shadow:0 0 12px 4px #888;-webkit-border-radius:4px;border-radius:4px;" id="thisisonesplashforclicktocloseidhere"><iframe src="http://sonanlikhaber.com/gads/show_ads.php?format=gads_336x280" width="0" height="0" frameborder="0" scrolling="no" style="display: none !important; visibility: hidden !important; opacity: 0 !important; background-position: 0px 0px;"></iframe><a href="javascript:hideADSnow()" id="clickonME" style="position:absolute;top:-8px;right:-7px;display:block;width:29px;height:29px;background:transparent url(http://3.bp.blogspot.com/-2pNyEIhTbiU/UWJ-FMsZktI/AAAAAAAAUKg/3FPcPp0CNko/s1600/close-button.png) no-repeat top left;"></a></div>

İnternet bağlantımdaki yavaşlamayı da göz önünde bulundurarak DNS ayarlarımı kontrol ettim. ADSL modemden Google Public DNS (8.8.8.8 / 8.8.4.4) olarak atanan DNS'ler 31.3.252.85 / 31.3.252.81 olarak değiştirilmiş.  Modemin arayüzüne giriş yapmaya çalıştığımda da yerinde yeller esmesine şaşırmadım. ADSL modeme ciddi bir müdahele söz konusu!

ads_boxy-02

Peki kim nasıl olur da şifrelenmiş, güvenlik duvarı ile korunan bir modeme dışarıdan müdahale edebilir? Biraz araştırma yaptığımda, özellikle eski model TP-LINK modemleri etkileyen, Zynos / ROM-0 olarak bilinen bir güvenlik açığının olduğunu öğrendim.

Çözümü


1. Hızlı çözüm olarak, internet ayarlarınıza girerek DNS'lerinizi 8.8.8.8 / 8.8.4.4 olarak ayarlayın.

2. ADSL modeminize Hard Reset atarak, internete bağlamadan, ethernet kablosu aracılığıyla gerekli konfigürasyonları yapın.

3. Modeminizin Firmware'ini güncelleyin.

4. Yönetici panelini WAN erişimine kapatın.

5. 80 numaralı portu aşağıdaki şekilde olduğu gibi LAN üzerinde kullanılmayan bir IP'ye yönlendirin.

forward

Alt Bilgi Kaynağı Kaynağı: Mrtcll.com