Genel Linux

Sitelerde kxcdn virüsü

Sitelerde kxcdn virüsü

Merhabalar bugün bir sunucumuzda yaşamış olduğum kxcdn virüsünden bahsetmek istedim. Sitelerde kxcdn virüsü genelde hazır portallarda kurulan eklentiler ile gelmektedir.  Google üzerinden aramalarda yaklaşık olarak ( Yaklaşık 11.100 ) kayıt bulunmaktadır ve Antivirüs firmaları buna karşılık olarak tedbir almaktadır.

Ama sunucularımızda bunları engellemek kolay olmamak ile beraber sitemizin hitinde ve kullanıcı girişlerinde kayıplar yaşarken, belli başlı antivirüs sistemleri bizleri kara listesine almaktadır.

 

[code]
Berna-3118.kxcdn.com is a dangerous website involved in causing many troubles for computer users, especially those in the United States of America. The purpose of such pop-ups is to trick you into thinking your computer is horribly infected. There’s some truth in this, of course. Pop-ups from berna-3118.kxcdn.com resource cannot appear by themselves. They’re the result of adware enabled in your computer at this moment. However, they do not intend to help you but rather to make you waste your money in favor of cyber frauds.
All such alerts are very dangerous. You may be easily tricked into transferring money in favor of hackers who simply hunt for your money. It is not recommended that you interact with any of such pop-ups. Do not call any toll-free numbers as they recommend.
The message reported through berna-3118.kxcdn.com pop-ups presents this sort of scam:
Message from webpage
Your system has detected possible suspicious activity. Please call the toll-free number below for a Microsoft-Certified technician to help you resolve the issue:
855-335-3633.
For your safety, please do not open Internet browser to avoid data corruption to the registry of your operating system.
Please contact support at the toll-free helpline 855-335-3633.
You may also suddenly see another strange pop-up from site, which will ask you to specify your username and password for access to your computer account. Here is what this pop-up could mention:
Windows Security
iexplore.exe
The server computer-virusfix.com is asking for your user name and password. The server reports that it is from Please call (855)-411-1602 (toll free) to unlock your computer which will be provided by the Microsoft technician.
Warning: Your user name and password will be sent using basic authentication on a connection that isn’t secure.
Again, stay away from participating in this online scam you see in fake alerts. This is extremely dangerous. Your PC may become infected with a lot of other dangerous programs and you may end up transferring money into the pockets of cyber frauds. What you should do immediately is to follow this automatic removal guide to remove spyware from your PC.
[/code]

bazı yabancı kaynaklardan alınan yazılardır. Ama bunların hiç biri sizin sunucunuzdaki sorunu çözmemektedir.

Centos sunucu kullananlar -benim gibi- clamav ile tarama yapmalarına rağmen herhangi bir virüs bulunmamasına şaşırmaması gerek çünkü bunları virüs olarak algılamamaktadır. Sitelerde kxcdn virüsü olayınıda ilk defa yaşadığım için araştırmak uzunda sürmedi değil 🙂

Hemen kolları sıvadım ve sitenin orjinal bir virüslü hali ile yedek alıp taşınma sırasındaki yedekleri yükledim ” geçicici çözüm olmasını istediğim için” fakat buda benim işimi görmedi taşırkende sıkıntılı gelen dosyalarımız varmış. Devamında neler yapabilirim diye sunucu üzerinde bulunan sitemin dosyalarına bakmaya başladım.

Linux üzerinde en sevdiğim komut olan

[code]find . | xargs grep ‘kxcdn’ -sl[/code]

komutunu çalıştırıp bu dosyalar nerede diye bakmak istedim baktımki cache üzerinden geliyor bunla genellikle ilk olarak cache klasörümü komple temizledim ve sayfamı refresh ettim. Fark ettimki sayfalar yüklenme aşamasında cache yaparken linkleri replace ediyor.
Site yöneticisi olan arkadaşım ile konuşurken yoast hariç tüm eklentilerini kapat dedim, tekrar kontrol ettikten sonra fark ettiğim artık replace işlemini yapmıyor. Arkadaşımdan admin bilgilerini alarak sistem üzerindeki eklentilere bakayım dedim sonuç aşağıdaki gibi 🙂

Screenshot from 2016-05-29 17:27:29

allah ne verdiyse kurulmuş :)). Bu olaydan vazgeçmemizde gerek aslında her eklenti sağlıklı ve güvenli değildir kesinlikle, daha sonra cache klasörünü ve eklentilerdeki sıkıntı olan eklentiyi temizledikten sonra sadece site üzerinde yoast bıraktım ve site sağlıklı şekilde çalışıyor.

Ama index kayıpları ve google üzerinde düşüşleri düzeltmek için zaman harcanması gerekli. Sizde her eklentinin sağlıklı olduğunu düşünmeyin ilk olarak indirme sayılarına ve ne kadar sıkılıkla güncelleme yapıyor bunlara bakın ondan sonra eklentilerini kurun derim. Sitelerde kxcdn virüsü yaygınlaşmadan önce mutlaka önlemlerinizi alın.

Bunu Oyla post

Leave a Comment

Your email address will not be published.

You may also like

%d blogcu bunu beğendi: