İyinet'e Hoşgeldiniz!

Türkiye'nin En Eski Webmaster Forum'una Hemen Kayıt Olun!

Kayıt Ol!

Sitesine Trojan bulasanlarin dikkatine - StopBadware

L

Loi

0
İyinet Üyesi
Katılım
13 Kasım 2006
Mesajlar
6,192
Reaction score
44
Konum
localhost
Merhaba arkadaslar,
Az once sitelerimden bir kacina trojan bulastigini farkettim ve hemen incelemelere basladim. Isletim sistemimin guvenlik konusunda hicbir problemi olmadigina emin oldugum icin Server tarafinda inceleme yapmaya basladim. Sunucumdada trojan olmadigini farkettigim an FTP loglarini incelemek aklima geldi ve sonuca ulastim. FTP sifreleriniz daha once caliniyor ve kisa bir sure sonra topluca ftp hesabiniza girilip index icine trojan yaymak icin javascript ekleniyor.

Kısaca, daha once sitelerine trojan bulasanlar varsa acil olarak sunucularinin FTP servisini durdurup, acount şifrelerini ivedi bir sekilde degistirmeli.


Kolay gelsin.
 
B

ByRON

0
İyinet Üyesi
Katılım
29 Mayıs 2007
Mesajlar
1,412
Reaction score
2
Konum
"Türkiye"
yok benim sifrelerde değişmis bir sey yapamıyorum.
Edit:
Bu arada benim siteme bulasan virüste bir site adresi var.
 
T

TuRKuaZz

0
İyinet Üyesi
Katılım
20 Ocak 2005
Mesajlar
564
Reaction score
1
Konum
Kerkük
Benimde başıma geldi. Küfürlü dosya yazdım ftpye sonra birşey olmadı. :D

Ama birşey dikkatimi çekmişti, site msn.com üzerinden içerik çekip ie kitleniyordu.
 
iyinet

iyinet

Root
Admin
Hosting Firması
Katılım
2 Eylül 2002
Mesajlar
5,028
Reaction score
63
Konum
Sakarya
Bu sadece shared hosting kullananlarda mi oluyor, yoksa dedicated lerde de ayni sorunla karsilasabilirmiyiz?
 
L

Loi

0
İyinet Üyesi
Katılım
13 Kasım 2006
Mesajlar
6,192
Reaction score
44
Konum
localhost
Benimki dedicated, kisaca konu şu;
Sisteminize bulasan trojan ftp sifrelerini bi yere gonderip sakliyor. Halbuki biz text editorlerinin kontrol edildigini dusunuyorduk velhasili siz bilgisayarinizdan ve sitelerinizden trojani temizlediginizi dusunuyorsunuz ancak 1 ay kadar sonra calinan sifreler kullanilarak FTP deki indexlere zararli kodlari tekrar ekliyorlar. FTP loglarinda bana ait olmayan IP adreslerinin girisini ve index dosyasi uzerinde degisiklikler yaptigi gordum.

Sonuc olarak, sisteminize bulasmis olan trojani temizlemis olsaniz dahi FTP sifrelerinizi kesinlikle degistirmeniz gerekmektedir. Bu islemi yapmadan once FTP Servisini stop etmeyi unutmayin.
 
R

Raiden

0
İyinet Üyesi
Katılım
13 Ocak 2005
Mesajlar
339
Reaction score
0
aynı sorun bende de var proftpd loguna nerden bakıoz ben bulamadım... ayrıca bitdefender kurup tarama yaptım

/var/www/vhosts/bellus.com.tr/httpdocs/tr/formlar/oneri.php infected: Trojan.IFrame.H

gibi sonuçlar vermekte...

ftp şifrelerini tek seferde değiştirme gibi bi olay var mı acaba ? hepsi aynı şifre olsa da olur problem olmaz?

şimdiden teşekkürler
 
L

Loi

0
İyinet Üyesi
Katılım
13 Kasım 2006
Mesajlar
6,192
Reaction score
44
Konum
localhost
Raiden' Alıntı:
aynı sorun bende de var proftpd loguna nerden bakıoz ben bulamadım... ayrıca bitdefender kurup tarama yaptım

/var/www/vhosts/bellus.com.tr/httpdocs/tr/formlar/oneri.php infected: Trojan.IFrame.H

gibi sonuçlar vermekte...

ftp şifrelerini tek seferde değiştirme gibi bi olay var mı acaba ? hepsi aynı şifre olsa da olur problem olmaz?

şimdiden teşekkürler
Genişletmek için tıkla ...
Ben cpanel araciligi ile tek tek degistirdim. Ayrica bizdeki iframe kodlari sadece index lerde vardi.
 
R

Raiden

0
İyinet Üyesi
Katılım
13 Ocak 2005
Mesajlar
339
Reaction score
0
ben sitelerime şu şekilde bulaşıyor


<script>..</script>
 
R

Raiden

0
İyinet Üyesi
Katılım
13 Ocak 2005
Mesajlar
339
Reaction score
0
arkadaşlar

bitdefender da bdc --disinfect dosya dediğimde failed hatası alıom bunun sebebi ne olabilir lütfen yardım...
 
B

bello

0
İyinet Üyesi
Katılım
6 Mart 2008
Mesajlar
58
Reaction score
0
aynı sorun 2-3 gündür benim sitelerimde de var nasıl çözeceğiz bu durumu?
 
B

Buldun

0
İyinet Üyesi
Katılım
8 Ocak 2005
Mesajlar
50
Reaction score
0
Virus bilgisayara bulasiyo

Arkadaslar bu virus bilgisayara bulasiyor.O virusle tüm ftp sifreleri caliniyor.Benim bulabildigim tek caresi Kspersky virus programiyla bilgisayari taratmak ve sitelerdeki tüm dosyalari taratip tekrar yüklemek.
Tabii sifreleri degistirmekmek.En garantiside ftp programina sifreyi kaydetmemek.Bunuda FileZilla ftp programiyla yapabildim.
 
iyinet

iyinet

Root
Admin
Hosting Firması
Katılım
2 Eylül 2002
Mesajlar
5,028
Reaction score
63
Konum
Sakarya
Peki bu FTP sifrelerini calan virus yada trojan bilgisayara nasil bulasiyor?
Exe icinde mi geliyor, email ile mi? Nasil?
Kaspersky gibi programlar bulasmadan bunu yakalayamiyorlar mi?
 
S

*siber*

0
İyinet Üyesi
Katılım
20 Temmuz 2005
Mesajlar
2,014
Reaction score
1
Konum
about:blank
Loi' Alıntı:
o zamanda ftp ye root sifresi ile girmeden düzenleme yapamazlar. Root sifresinide ele gecirtirlerse o zaman vay hallerine.
Genişletmek için tıkla ...

Root ile ftp erişimi yapılamaz. Başka bir protokol kullanılırsa bilemem.

Ftp logları windows da saklı tutulduğu için ftp şifrelerini almak virüslerce çok basit. Bu dertten müzdarip olanlar için geçici bir yöntem dediğim şekilde yapılabilir.
 
B

Buldun

0
İyinet Üyesi
Katılım
8 Ocak 2005
Mesajlar
50
Reaction score
0
iyinet' Alıntı:
Peki bu FTP sifrelerini calan virus yada trojan bilgisayara nasil bulasiyor?
Exe icinde mi geliyor, email ile mi? Nasil?
Kaspersky gibi programlar bulasmadan bunu yakalayamiyorlar mi?
Genişletmek için tıkla ...

Benim bilgisayara link sitelerimden birisine ekledileri siteyi kontrol ederken o siteden bulastirdilar sonrada tüm sitelerimde birkac dosyaya bu kodu eklediler.O zaman Kaspersky programida yoktu.
 
L

Loi

0
İyinet Üyesi
Katılım
13 Kasım 2006
Mesajlar
6,192
Reaction score
44
Konum
localhost
iyinet' Alıntı:
Peki bu FTP sifrelerini calan virus yada trojan bilgisayara nasil bulasiyor?
Exe icinde mi geliyor, email ile mi? Nasil?
Kaspersky gibi programlar bulasmadan bunu yakalayamiyorlar mi?
Genişletmek için tıkla ...

Bu virus yine web üzerinden bulaşıyor, kaspersky bunu virus olarak tanımlamıyor ancak zararlı olabilecegini belirtip blockluyor. JS ile trojan-downloader gibi bir yazilim once sisteme bulaşuyor daha sonra exe yi çekip sisteminizde çalışıyor. Bazıları text editörlerine bulaşarak olası web dosyalarına(php asp htm html js) kendini ekliyor ve siz text editorlerinde bu zararlı kodu göremiyorsunuz.

Bu aralar bu trojanlarcilar işi daha profesyonel bir hale getirip, CuteFTP gibi yazilimlarin encode edilmis ftp sifre ve usernamesleri decode ederek kendilerine gonderiyor. Text editoru yolu ile bulasamasa bile FTP yolu ile kendisini bulastiriyor.

Acikcasi cok kötü bir zamandayiz antivirusler bu kadar cok yazilip cizilen viruslere engel olamiyorlar. Ben FTP islemleri icin size Linux isletim sistemlerini tercih etmenizi oneriyorum.
 
iyinet

iyinet

Root
Admin
Hosting Firması
Katılım
2 Eylül 2002
Mesajlar
5,028
Reaction score
63
Konum
Sakarya
Bulastiktan sonra Kaspersky ile taratinca PC den temizleniyor mu?
(Sitelere FTP ile bulastigini biliyorum)
 
Cevap yazmak için giriş yap yada kayıt ol.

Türkiye’nin ilk webmaster forum sitesi iyinet.com'da forum üyeleri tarafından yapılan tüm paylaşımlardan; Türk Ceza Kanunu’nun 20. Maddesinin, 5651 Sayılı Kanununun 4. maddesinin 2. fıkrasına göre, paylaşım yapan üyeler sorumludur.

Backlink ve Tanıtım Yazısı için iletişime geçmek için Skype Adresimiz: .cid.1580508955483fe5

Üst