Anti-Gumblar scripti guncellendi

Cpanel/Pure-FTP/Clamav kullanan Linux sunucular yazdigimiz iframe/javascript/gumblar saldirisi engelleyici script guncellendi. Artik daha yetenekli bir yazılım haline geldi. Pure FTP nin upload sonrasi bu scripti calistirmasi nedeniyle malesef ilk dosyayi kaybediyoruz. Ancak bu bulasmadan sonra;

1 ) Viruslu dosya sizin belirlediginiz karantina dizinine atilir
2 ) Eger clamav bu dosyada virus bulamazsa, gumblar saldirilarinin karakteristik kelimelerinden olusturulan patern ile text ( html, php, asp gibi ) dosyalarda tarama yapilir. ( .cn:808x/tx.cgi... vb.) kelimeler aranir.
3 ) Hesabin sifresi degistirilir
4 ) Viruslu dosyayi upload edenin IP adresi ( CSF, APF gibi firewall uygulamalariyla ) bloklanir.
5 ) Saldiran kisinin o an bosta olan veya faal baglantisi kesilir
6 ) Butun bu islemlerle ilgili bir alarm/bildiri maili belirlediginiz adrese gonderilir

http://www.oxio.net/anti_gumblar/

http://www.oxio.net/anti_gumblar/anti_gumblar.tar.gz

Latest Release - 20090813

Elinize sağlık da benim gibi bilmeyenler için gumblar ın ne olduğunu açıklayabilirmisiniz.

sitelerinizin google tarafindan sakincali site olarak gosterilmesine neden olan seyler.

Ilk olarak gumblar.cn adli site ile yayildigi icin bu adi aldi.

FTP sifrelerinizin makinaniza bulasan bi trojan tarafindan calinarak botnet sahibine gonderilmesi ve bu sitelerin dosyalarina


seklinde kodlarin eklenmesi esasina dayanir. Bu sayede siteniz artik virus dagitan bir site haline gelir ve google tarafindan zararli yazilim dagitan site olarak isaretlenir. Firefox, Chrome ve Opera ile giren butun ziyaretciler ekranda kocaman kirmizi bi yazi gorur.

Sizin karizma da kirmizi kalemle cizilir...

Aslinda hosting firmasi bu isten birinci seviyede sorumlu degildir. Cunku FTP sifresini caldiran musteridir. Ancak hosting firmasi buna tedbir alirsa daha $ukela olur...

Anladım, açıklama için teşekkürler.
Peki Kaspersky gibi internet güvenlik araçları bunu henüz tesbit edemiyorlar mı?

Ediyorlar ama bu sizinle ilgili bir güvenlik aşaması oluyor, örneğin benim 50 müşterim var kimi zaman kendi sitelerinde ufak değişiklikleri kendileri yapmak istiyor ve onların bilgisayarlarındaki trojanlar müşterilerin ftp' ye bağlanmasından sonra sunucuya geçiyor sonrada müşteri arayıp niye benim sitem böyle oldu diyor bu sunucu tabanlı bir koruma bence çok güzel tebrikler

Anti Gumblar Scripti Güncellendi

Release Changelog - 20090902
- ) ftp_clamscan.sh dosyasi artik kaldirildi
- ) Kullanici adi bulma fonksiyonundaki hatalar giderildi
- ) FTP baglantisi kesme ozelligi yenilendi
- ) Ayar ( config ) bolumu ayri dosyaya alindi. ( ftp_clamscan_config.php )
- ) Log dosyasi /var/log/ftp_clamscan.log olarak ( veya siz ne isterseniz o sekilde ) calisabiliyor
- ) Karantina klasoru /quarantine/clamav/ oldu ( veya siz nerede isterseniz orada da olur )
- ) Bazi kucuk fixler yapildi

Detay icin : http://www.oxio.net/anti_gumblar/

bende bilmiyordum gumblar olayını eyw