Merhabalar;
Oncelikle bu yazacaklarim web sahiplerini ve sunucu sahiplerini ilgilendirmektedir.
Web Sahipleri: Sitelerinize Virusler (Trojanlar .*tj-.*inf.*swa) Genelde Kullanmakta oldugunuz bir (phpnuke, vbulletin, phpbb, joomla, xoops vb) scriptlarinizda uyelerinize profil yada post imzalarini, konulara cevap bolumlerini acik tuttugunuz zaman bulasmaktadir. Cogu webmaster kullanmakta bulundugu systemin iyi oldugunu ve acik olmadigini dusunmektedir. Gunumuzde artik trojanlar, sql aciklari artik systemimize postlarimizdanda bulasmaktadir. Trojanlara Mark* (acik code gizleme) yapilabiliyor. Ornegin: ( <? 44d5.*conf*cmds444aydi55s44d44 ?> md* Seklinde.
Bir cok webmaster sitesinde virus oldugu zaman peniye kapalip hali hazirda kurmus oldugu systemini korkudan hemen kaldiriyor. Artik Buna bir son verelim arkadaslar birakin trojanlar, sql.inj lar artik sizden korksun.
Hosting Sirketleri: Yukarida belirttigim sekilde yer alanlar icin sizler genelde kullanmakta oldugunuz whm yada plesk root vb. panellerinizden virus scann cekiyorsunuz ama bir sonuc elde edemiyorsunuz ettiginiz sonuclarda %85 verim aliyorsunuz ve ertesi gun tekrar scann yaptiginizda ayni systemde virusun barindigini goruyorsunuz. Ve cpu'da cok fazla kasma meydana geliyor. Paniye kapilip makinanizi formata gonderiyor yada formatliyorsunuz. Artik buna bir son verelim virusun sunucunuzda hangi dosyaya uzantisi her ne olursa olsun nereye bulasmissa bunu tesbit edip dogrudan suncuudan kaldirabilirsiniz. Bu islemi gerceklestirirken shh'den virus bulasmis dosyayi kaldirmanizi tavsiye ederim. Manuel olarak silmeyiniz. Manuel silimlerde trojanlar kendisini etc uzerinden bagli bulundugu makinada bulunan diger weblere objelemektedir.
Webmasterlar Site Sahipleri: Sitenizin dosyalarina bulasan trojanlari assagida verecegim code ile arattirdikdan sonra hosting sirketiniz ile mutlaka kontakt kurunuz kendiniz manuel olarak kaldirmayiniz.
1.) Yukarda belirtmis bulundugum codenin adini kafaniza gore verin artik ne yaparsaniz misal ben kurulumunu gerceklestirdigim reflerime (o7.php) seklinde kayit ediyorum.
2.) Yukarida belirttigim metni txt olarak kayit edin dosya ismini virus.txt yapabilirsiniz. ve chmod ayari kesinlikle 0644 olmalidir. yazilim izni vermeyiniz.
2 Dosyayida hostunuzda her hangi bir klasorde saklayabilirsiniz. Bir haftada bir 1.) nci kisimda yer alan codeyi calistirirsaniz iyi olur. hem hosting sirketinize destek olmus olur. hemde ziyaretcilerinizin sitenizde rahat bir sekilde iceriginize erisimini saglarsiniz.
Virus.txt dosyasinda yer alanlar guncel trojan besleyen ve gonderen weblerdir. ben bunlari engelledim sizinde bildiginiz webler var ise ekleyebilirsiniz. saygi ve sevgilerle.
tugay
Oncelikle bu yazacaklarim web sahiplerini ve sunucu sahiplerini ilgilendirmektedir.
Web Sahipleri: Sitelerinize Virusler (Trojanlar .*tj-.*inf.*swa) Genelde Kullanmakta oldugunuz bir (phpnuke, vbulletin, phpbb, joomla, xoops vb) scriptlarinizda uyelerinize profil yada post imzalarini, konulara cevap bolumlerini acik tuttugunuz zaman bulasmaktadir. Cogu webmaster kullanmakta bulundugu systemin iyi oldugunu ve acik olmadigini dusunmektedir. Gunumuzde artik trojanlar, sql aciklari artik systemimize postlarimizdanda bulasmaktadir. Trojanlara Mark* (acik code gizleme) yapilabiliyor. Ornegin: ( <? 44d5.*conf*cmds444aydi55s44d44 ?> md* Seklinde.
Bir cok webmaster sitesinde virus oldugu zaman peniye kapalip hali hazirda kurmus oldugu systemini korkudan hemen kaldiriyor. Artik Buna bir son verelim arkadaslar birakin trojanlar, sql.inj lar artik sizden korksun.
Hosting Sirketleri: Yukarida belirttigim sekilde yer alanlar icin sizler genelde kullanmakta oldugunuz whm yada plesk root vb. panellerinizden virus scann cekiyorsunuz ama bir sonuc elde edemiyorsunuz ettiginiz sonuclarda %85 verim aliyorsunuz ve ertesi gun tekrar scann yaptiginizda ayni systemde virusun barindigini goruyorsunuz. Ve cpu'da cok fazla kasma meydana geliyor. Paniye kapilip makinanizi formata gonderiyor yada formatliyorsunuz. Artik buna bir son verelim virusun sunucunuzda hangi dosyaya uzantisi her ne olursa olsun nereye bulasmissa bunu tesbit edip dogrudan suncuudan kaldirabilirsiniz. Bu islemi gerceklestirirken shh'den virus bulasmis dosyayi kaldirmanizi tavsiye ederim. Manuel olarak silmeyiniz. Manuel silimlerde trojanlar kendisini etc uzerinden bagli bulundugu makinada bulunan diger weblere objelemektedir.
Webmasterlar Site Sahipleri: Sitenizin dosyalarina bulasan trojanlari assagida verecegim code ile arattirdikdan sonra hosting sirketiniz ile mutlaka kontakt kurunuz kendiniz manuel olarak kaldirmayiniz.
Kod:
<?
// o7 Dedicated Genel Tarama
// [email protected]
$path = $_SERVER['DOCUMENT_ROOT'];
$debug = true;
$extensions = Array();
$extensions[] = 'htm';
$extensions[] = 'html';
$extensions[] = 'tml';
$extensions[] = 'txt';
$extensions[] = 'php';
$extensions[] = 'hp4';
$extensions[] = 'hp5';
$extensions[] = '.pl';
// CODELER ILE OYNAMAYINIZ
// declare variables
$report = '';
// output html headers
renderhead();
// set counters
$dircount = 0;
$filecount = 0;
$infected = 0;
// load virus defs from flat file
if (!check_defs('virus.def'))
trigger_error("Virus.def vulnerable to overwrite, please change permissions", E_USER_ERROR);
$defs = load_defs('virus.def', $debug);
// scan specified root for specified defs
file_scan($path, $defs, $debug);
// output summary
echo '<h1>Tarama tamamlandi</h2>';
echo '<div id=summary>';
echo '<p><strong>Taranan Klasor:</strong> ' . $dircount . '</p>';
echo '<p><strong>Taranan Dosya:</strong> ' . $filecount . '</p>';
echo '<p class=r><strong>Virus Bulasan:</strong> ' . $infected . '</p>';
echo '</div>';
// output full report
echo $report;
function file_scan($folder, $defs, $debug = true) {
// hunts files/folders recursively for scannable items
global $dircount, $report;
$dircount++;
if ($debug)
$report .= '<p class="d">Scanning folder $folder ...</p>';
if ($d = @dir($folder)) {
while (false !== ($entry = $d->read())) {
$isdir = @is_dir($folder.'/'.$entry);
if (!$isdir and $entry!='.' and $entry!='..') {
virus_check($folder.'/'.$entry,$defs,$debug);
} elseif ($isdir and $entry!='.' and $entry!='..') {
file_scan($folder.'/'.$entry,$defs,$debug);
}
}
$d->close();
}
}
function virus_check($file, $defs, $debug = true) {
global $filecount, $infected, $report, $extensions;
// find scannable files
$scannable = 0;
foreach ($extensions as $ext) {
if (substr($file,-3)==$ext)
$scannable = 1;
}
// compare against defs
if ($scannable) {
// affectable formats
$filecount++;
$data = file($file);
$data = implode('\r\n', $data);
$clean = 1;
foreach ($defs as $virus) {
if (strpos($data, $virus[1])) {
// file matches virus defs
$report .= '<p class="r">Infected: ' . $file . ' (' . $virus[0] . ')</p>';
$infected++;
$clean = 0;
}
}
if (($debug)&&($clean))
$report .= '<p class="g">Clean: ' . $file . '</p>';
}
}
function load_defs($file, $debug = true) {
// reads tab-delimited defs file
$defs = file($file);
$counter = 0;
$counttop = sizeof($defs);
while ($counter < $counttop) {
$defs[$counter] = explode(' ', $defs[$counter]);
$counter++;
}
if ($debug)
echo '<p>Loaded ' . sizeof($defs) . ' virus definitions</p>';
return $defs;
}
function check_defs($file) {
// check for >755 perms on virus defs
clearstatcache();
$perms = substr(decoct(fileperms($file)),-2);
if ($perms > 55)
return false;
else
return true;
}
function renderhead() {
?>
<html>
<head>
<title>Virus-Trojan Arama</title>
<style type="text/css">
h1 {
font-family: arial;
}
p {
font-family: arial;
padding: 0;
margin: 0;
font-size: 10px;
}
.g {
color: #009900;
}
.r {
color: #990000;
font-weight: bold;
}
.d {
color: #ccc;
}
#summary {
border: #333 solid 1px;
background: #f0efca;
padding: 10px;
margin: 10px;
}
#summary p {
font-size: 12px;
}
</style>
</head>
<body>
<?
}
?>
</body>
</html>
1.) Yukarda belirtmis bulundugum codenin adini kafaniza gore verin artik ne yaparsaniz misal ben kurulumunu gerceklestirdigim reflerime (o7.php) seklinde kayit ediyorum.
Kod:
Crazy Toolbar IE Exploit crazy-toolbar.com
JS.Scob.Trojan 217.107.218.147
Liber Inc. Exploit advadmin.biz
Liber Inc. Exploit Advtraff.biz
Liber Inc. Exploit bettersearch.biz
Liber Inc. Exploit Connect2cash.biz
Liber Inc. Exploit Crazy-toolbar.com
Liber Inc. Exploit Drugs-shop.biz
Liber Inc. Exploit Onlyfreevideo.com
Liber Inc. Exploit pizdato.biz
Liber Inc. Exploit private-iframe.biz
Liber Inc. Exploit private-toolbar.biz
Liber Inc. Exploit saksyphotos.biz
Liber Inc. Exploit myiframe.biz
Liber Inc. Exploit private-dialer.biz
Liber Inc. Exploit cash4me.biz
Liber Inc. Exploit newiframe.biz
Liber Inc. Exploit traffi4sale.biz
Liber Inc. Exploit traffic2cash.biz
Liber Inc. Exploit vse-moe.biz
Liber Inc. Exploit web-res.biz
Liber Inc. Exploit web-result.biz
Liber Inc. Exploit antiblock.biz
Liber Inc. Exploit sp2admin.biz
Liber Inc. Exploit sp2fucked.biz
Liber Inc. Exploit admin2cash.biz
Liber Inc. Exploit coolsearch.biz
Liber Inc. Exploit Web-res.biz
Santy Worm NeverEverNoSanity
Santy Worm WebWorm
2.) Yukarida belirttigim metni txt olarak kayit edin dosya ismini virus.txt yapabilirsiniz. ve chmod ayari kesinlikle 0644 olmalidir. yazilim izni vermeyiniz.
2 Dosyayida hostunuzda her hangi bir klasorde saklayabilirsiniz. Bir haftada bir 1.) nci kisimda yer alan codeyi calistirirsaniz iyi olur. hem hosting sirketinize destek olmus olur. hemde ziyaretcilerinizin sitenizde rahat bir sekilde iceriginize erisimini saglarsiniz.
Virus.txt dosyasinda yer alanlar guncel trojan besleyen ve gonderen weblerdir. ben bunlari engelledim sizinde bildiginiz webler var ise ekleyebilirsiniz. saygi ve sevgilerle.
tugay