2022 yılının aralık ayında yerel bir haber sitesi “site otomatik olarak başka yere yönlendiriliyor” şikayeti ile bana ulaştı. Siteye hızlıca göz attığımda reklam engelleyici eklenti bulunan tarayıcımda bir sorun yaşamadığımı fakat diğer tarayıcı ile giriş yaptığımda çeşitli +18 içerik ve bahis alanındaki sitelere yönlendirildiğini gözlemledim.

View-source: ile sitenin kaynak kodlarını kontrol ederken en başa tutturulmuş track[.]violetlovelines[.]com yönlendirmeli javascript dosyasını gördüm.

Bu malware çoğu malware’de olduğu gibi güncelleme yapılmamış tema/eklentiler ya da ücretli temaların kaçak versiyonları ile siteye sızan, ardından çeşitli reklam kampanyaları veya kötü niyetli yazılım indirmenize olanak sağlayan adreslere yönlendirmek için sitenizi ele geçiriyor.

PublicWWW kaynaklarına göre 9.000’den fazla site bu virusten etkilenmiş.

Yıllardır bu tür virüsler, güncellenmesi yapılmamış tema ve eklentiler ile yayılıyor. Bir benzer sızıntı dalgası “way.specialblueitems[.]com” adresi ile yayılmış ve hala daha 6.000’den fazla siteyi etkisi altında tuttuğunu biliyoruz.

WordPress izinsiz yönlendirme “track[.]violetlovelines[.]com” nasıl engellenir?

Sitenizin kaynak kodunu inceledikten sonra (view-source:siteadı.com) eğer sizde track[.]violetlovelines[.]com yönlendirmesi ile karşılıyorsanız öncelikle index.php dosyasına göz atmalısınız. Basit bir script kodu genellikle burada konumlandırılıyor.

WordPress ana kök dizininde .js uzantılı dosyaları ele geçiren bu virüs kaynak dosyası tamamen temizlenmeden ortadan kalkmıyor ve .index.php dosyasına sızan bu kodu kaldırsanız bile tekrardan ortaya çıkabiliyor. Bize yardım için ulaşan yerel haber sitesinden 18.000’den fazla bu virüsten etkilenmiş .js uzantılı dosya temizledik. Özellikle css/colors dosya dizini içerisine blue.php dosyası ile index.php dosyasına otomatik olarak yönlendirme kodu ekleyebildiklerini gözlemledim. Klasör içerisine gizlenmiş blue.php dosyasını sildikten ve index.php dosyasını eski haline getirdikten sonra site tekrar aktif bir hale geldi.

Özellikle wp-includes/js klasörü içerisinde bulunan jquery.js, jquery-migrate.min.js, wp-emoji-release.min.js. dosyaları gözden geçirmenizi öneriyoruz.

Arka Kapı (Backdoors) Temizliği

Yukarıdaki adımları takip ederek sitenizi virüsten temizlemiş olabilirsiniz fakat bu tür sızıntılarda genellikle bir arka kapı bırakılır. Bu arka kapılar (backdoors) ile kötü niyetli kişiler rahatlıkla sitenize erişim sağlayabilir ve aynı virüs ile tekrar karşılaşabilirsiniz. Benim gözlemlediğim bu virüste, wp-reset.php dosyasına eklenmiş bir arka kapı kodu buldum.

Sızıntı ve Dev Reklam Kampanyası

Site sahipleri tarafından güncellenmemiş tema ve eklentiler ile kötü niyetli kişiler dev reklam kampanyası oluşturmuş durumda. Özellikle bahis, +18 sitelere yönlendirme yapan bu virüs aynı zamanda virüs hizmeti veren sahte sitelere, keylogger barından indirme bağlantılarına da yönlendirme yapıyor. Bu sorun aynı zamanda geliştiricileri tarafından ” terk edilmiş” tema ve eklentilerin de payı büyük.

Bu dev reklam kampanyasının bir diğer ayağı ise Tarayıcı Güncellemeleri. Kullanıcılar virüs sızmış sitelere giriş yaptıklarında yönlendirildikleri “Tarayıcınızı Güncelleyiniz” başlıklı sitelerde indirdikleri tarayıcı eklentileri ile şifrelerini, kaydedilmiş diğer bilgilerini doğrudan kötü niyetli kişilere teslim ediyor. Güvenliğini sağladığım yerel haber sitesinin yönlendirmiş olduğu güvenlik eklentisi, +100.000 Firefox ve +90.000 Chrome kullanıcısı tarafından daha önce indirildiğini gözlemledim. Bu eklentiler ile özellikle yaygınlaşan tarayıcıya eklenen kripto cüzdanlarını hedef alırken aynı zamanda sahte yazılım satarak da insanları kandırıyor.

Virüs ve Sızıntılardan Nasıl Korunuruz?