İyinet'e Hoşgeldiniz!

Türkiye'nin En Eski Webmaster Forum'una Hemen Kayıt Olun!

Kayıt Ol!

Sunucuda Dosyalarina Virus/sql.inj Bulasanlar Icin

O

OIYI

0
İyinet Üyesi
Katılım
15 Temmuz 2008
Mesajlar
124
Reaction score
0
Merhabalar;

Oncelikle bu yazacaklarim web sahiplerini ve sunucu sahiplerini ilgilendirmektedir.


Web Sahipleri: Sitelerinize Virusler (Trojanlar .*tj-.*inf.*swa) Genelde Kullanmakta oldugunuz bir (phpnuke, vbulletin, phpbb, joomla, xoops vb) scriptlarinizda uyelerinize profil yada post imzalarini, konulara cevap bolumlerini acik tuttugunuz zaman bulasmaktadir. Cogu webmaster kullanmakta bulundugu systemin iyi oldugunu ve acik olmadigini dusunmektedir. Gunumuzde artik trojanlar, sql aciklari artik systemimize postlarimizdanda bulasmaktadir. Trojanlara Mark* (acik code gizleme) yapilabiliyor. Ornegin: ( <? 44d5.*conf*cmds444aydi55s44d44 ?> md* Seklinde.

Bir cok webmaster sitesinde virus oldugu zaman peniye kapalip hali hazirda kurmus oldugu systemini korkudan hemen kaldiriyor. Artik Buna bir son verelim arkadaslar birakin trojanlar, sql.inj lar artik sizden korksun.

Hosting Sirketleri: Yukarida belirttigim sekilde yer alanlar icin sizler genelde kullanmakta oldugunuz whm yada plesk root vb. panellerinizden virus scann cekiyorsunuz ama bir sonuc elde edemiyorsunuz ettiginiz sonuclarda %85 verim aliyorsunuz ve ertesi gun tekrar scann yaptiginizda ayni systemde virusun barindigini goruyorsunuz. Ve cpu'da cok fazla kasma meydana geliyor. Paniye kapilip makinanizi formata gonderiyor yada formatliyorsunuz. Artik buna bir son verelim virusun sunucunuzda hangi dosyaya uzantisi her ne olursa olsun nereye bulasmissa bunu tesbit edip dogrudan suncuudan kaldirabilirsiniz. Bu islemi gerceklestirirken shh'den virus bulasmis dosyayi kaldirmanizi tavsiye ederim. Manuel olarak silmeyiniz. Manuel silimlerde trojanlar kendisini etc uzerinden bagli bulundugu makinada bulunan diger weblere objelemektedir.

Webmasterlar Site Sahipleri: Sitenizin dosyalarina bulasan trojanlari assagida verecegim code ile arattirdikdan sonra hosting sirketiniz ile mutlaka kontakt kurunuz kendiniz manuel olarak kaldirmayiniz.


Kod: 
<?

// o7 Dedicated Genel Tarama
// [email protected]

$path = $_SERVER['DOCUMENT_ROOT'];
$debug = true;

$extensions = Array();
$extensions[] = 'htm';
$extensions[] = 'html';
$extensions[] = 'tml';
$extensions[] = 'txt';
$extensions[] = 'php';
$extensions[] = 'hp4';
$extensions[] = 'hp5';
$extensions[] = '.pl';


// CODELER ILE OYNAMAYINIZ

// declare variables
$report = '';

// output html headers
renderhead();

// set counters
$dircount = 0;
$filecount = 0;
$infected = 0;

// load virus defs from flat file
if (!check_defs('virus.def'))
	trigger_error("Virus.def vulnerable to overwrite, please change permissions", E_USER_ERROR);
$defs = load_defs('virus.def', $debug);

// scan specified root for specified defs
file_scan($path, $defs, $debug);

// output summary
echo '<h1>Tarama tamamlandi</h2>';
echo '<div id=summary>';
echo '<p><strong>Taranan Klasor:</strong> ' . $dircount . '</p>';
echo '<p><strong>Taranan Dosya:</strong> ' . $filecount . '</p>';
echo '<p class=r><strong>Virus Bulasan:</strong> ' . $infected . '</p>';
echo '</div>';

// output full report
echo $report;


function file_scan($folder, $defs, $debug = true) {
	// hunts files/folders recursively for scannable items
	global $dircount, $report;
	$dircount++;
	if ($debug)
		$report .= '<p class="d">Scanning folder $folder ...</p>';
	if ($d = @dir($folder)) {
		while (false !== ($entry = $d->read())) {
			$isdir = @is_dir($folder.'/'.$entry);
			if (!$isdir and $entry!='.' and $entry!='..') {
				virus_check($folder.'/'.$entry,$defs,$debug);
			} elseif ($isdir  and $entry!='.' and $entry!='..') {
				file_scan($folder.'/'.$entry,$defs,$debug);
			}
		}
		$d->close();
	}
}

function virus_check($file, $defs, $debug = true) {
	global $filecount, $infected, $report, $extensions;

	// find scannable files
	$scannable = 0;
	foreach ($extensions as $ext) {
		if (substr($file,-3)==$ext)
			$scannable = 1;
	}

	// compare against defs
	if ($scannable) {
		// affectable formats
		$filecount++;
		$data = file($file);
		$data = implode('\r\n', $data);
		$clean = 1;
		foreach ($defs as $virus) {
			if (strpos($data, $virus[1])) {
				// file matches virus defs
				$report .= '<p class="r">Infected: ' . $file . ' (' . $virus[0] . ')</p>';
				$infected++;
				$clean = 0;
			}
		}
		if (($debug)&&($clean))
			$report .= '<p class="g">Clean: ' . $file . '</p>';
	}
}

function load_defs($file, $debug = true) {
	// reads tab-delimited defs file
	$defs = file($file);
	$counter = 0;
	$counttop = sizeof($defs);
	while ($counter < $counttop) {
		$defs[$counter] = explode('	', $defs[$counter]);
		$counter++;
	}
	if ($debug)
		echo '<p>Loaded ' . sizeof($defs) . ' virus definitions</p>';
	return $defs;
}

function check_defs($file) {
	// check for >755 perms on virus defs
	clearstatcache();
	$perms = substr(decoct(fileperms($file)),-2);
	if ($perms > 55)
		return false;
	else
		return true;
}

function renderhead() {
?>

<html>
<head>
<title>Virus-Trojan Arama</title>
<style type="text/css">
h1 {
	font-family: arial;
}

p {
	font-family: arial;
	padding: 0;
	margin: 0;
	font-size: 10px;
}

.g {
	color: #009900;
}

.r {
	color: #990000;
	font-weight: bold;
}

.d {
	color: #ccc;
}

#summary {
	border: #333 solid 1px;
	background: #f0efca;
	padding: 10px;
	margin: 10px;
}

#summary p {
	font-size: 12px;
}
</style>
</head>

<body>

<?
}
?>

</body>
</html>

1.) Yukarda belirtmis bulundugum codenin adini kafaniza gore verin artik ne yaparsaniz misal ben kurulumunu gerceklestirdigim reflerime (o7.php) seklinde kayit ediyorum.

Kod: 
Crazy Toolbar IE Exploit	crazy-toolbar.com
JS.Scob.Trojan	217.107.218.147
Liber Inc. Exploit	advadmin.biz
Liber Inc. Exploit	Advtraff.biz
Liber Inc. Exploit	bettersearch.biz
Liber Inc. Exploit	Connect2cash.biz
Liber Inc. Exploit	Crazy-toolbar.com
Liber Inc. Exploit	Drugs-shop.biz
Liber Inc. Exploit	Onlyfreevideo.com
Liber Inc. Exploit	pizdato.biz
Liber Inc. Exploit	private-iframe.biz
Liber Inc. Exploit	private-toolbar.biz
Liber Inc. Exploit	saksyphotos.biz
Liber Inc. Exploit	myiframe.biz
Liber Inc. Exploit	private-dialer.biz
Liber Inc. Exploit	cash4me.biz
Liber Inc. Exploit	newiframe.biz
Liber Inc. Exploit	traffi4sale.biz
Liber Inc. Exploit	traffic2cash.biz
Liber Inc. Exploit	vse-moe.biz
Liber Inc. Exploit	web-res.biz
Liber Inc. Exploit	web-result.biz
Liber Inc. Exploit	antiblock.biz
Liber Inc. Exploit	sp2admin.biz
Liber Inc. Exploit	sp2fucked.biz
Liber Inc. Exploit	admin2cash.biz
Liber Inc. Exploit	coolsearch.biz
Liber Inc. Exploit	Web-res.biz
Santy Worm	NeverEverNoSanity
Santy Worm	WebWorm

2.) Yukarida belirttigim metni txt olarak kayit edin dosya ismini virus.txt yapabilirsiniz. ve chmod ayari kesinlikle 0644 olmalidir. yazilim izni vermeyiniz.

2 Dosyayida hostunuzda her hangi bir klasorde saklayabilirsiniz. Bir haftada bir 1.) nci kisimda yer alan codeyi calistirirsaniz iyi olur. hem hosting sirketinize destek olmus olur. hemde ziyaretcilerinizin sitenizde rahat bir sekilde iceriginize erisimini saglarsiniz.


Virus.txt dosyasinda yer alanlar guncel trojan besleyen ve gonderen weblerdir. ben bunlari engelledim sizinde bildiginiz webler var ise ekleyebilirsiniz. saygi ve sevgilerle.

tugay
 
Cevap yazmak için giriş yap yada kayıt ol.

Türkiye’nin ilk webmaster forum sitesi iyinet.com'da forum üyeleri tarafından yapılan tüm paylaşımlardan; Türk Ceza Kanunu’nun 20. Maddesinin, 5651 Sayılı Kanununun 4. maddesinin 2. fıkrasına göre, paylaşım yapan üyeler sorumludur.

Backlink ve Tanıtım Yazısı için iletişime geçmek için Skype Adresimiz: .cid.1580508955483fe5

Üst