Seyranli bende öyle düşündüm sonradan farkettim virusun ismini bence sitenize yapılan uploadlarda bi tarama yapın arkadaşlar en kral virüs programı bile bazen kaçırabiliyo ...
Tarih: 2007-08-02, 00:08:43 Mesaj konusu: Re: Siteme Trojan girmiş ne yapabilirm
Sevgili Arkadaslar sanırım bu virus hakkında ayrıntılı bilginiz yok ben açıklayayım burada ve diğer arkadaslarda onlemlerini alsınlar biz turkiyede buyuk bir host firmasıyız bu virusle daha once karsılasmıstık. İlk önce virus kendını index.asp default.asp main.asp index.html vs turu ilk okuyucu türlere gizli bir i f r a m e olarak atmaktadır. örnek : <i f r a m e src='http://81.95.149.27/go.php?sid=1' style='border:0px solid gray;' WIDTH=0 HEIGHT=0 FRAMEBORDER=0 MARGINWIDTH=0 MARGINHEIGHT=0 SCROLLING=no></i f r a m e> şu anda gunceli bu bunun bulastıgı yer ise arkadasların dedigi gibi cmod vs zannedilsin diye kurnazca yapılmış host yetkililerini uyarınız bu virus web wiz forumun kendi forumlarınının linkleri kaldırıldıgında savunma amacı ile uretilmiş illegal bir virusdur. kurulan web wiz forum altında bulun bis .js dosyası aracılıgı ile tüm hosttaki yada bulundugu hosttaki ilk okucu türlere bulaşmaktadır Sevgili arkadaşımız. bunu kaldırmanın yolu diger hhosttaki dosyalarınızı tekrar atmanıza gerek yok hosttaki baslangıc tür dosyanız ne ise örnek default.asp sadece ona bulasmıstır onu indirerek içindeki i f r a m e li bölümü siliniz. sonra kaydedip tekrar gonderiniz bir iki gun surekli takip ediniz. i f r a m e aynı yere kendını tekrar kaydederse anlayınki host makinasında hala virus barınıyor. Herkeze Kolay Gelsin Teşekkürler.
Tarih: 2007-08-02, 23:46:16 Mesaj konusu: Re: Siteme Trojan girmiş ne yapabilirm
Affection :
Sevgili Arkadaslar sanırım bu virus hakkında ayrıntılı bilginiz yok ben açıklayayım burada ve diğer arkadaslarda onlemlerini alsınlar biz turkiyede buyuk bir host firmasıyız bu virusle daha once karsılasmıstık. İlk önce virus kendını index.asp default.asp main.asp index.html vs turu ilk okuyucu türlere gizli bir i f r a m e olarak atmaktadır. örnek : <i f r a m e src='http://81.95.149.27/go.php?sid=1' style='border:0px solid gray;' WIDTH=0 HEIGHT=0 FRAMEBORDER=0 MARGINWIDTH=0 MARGINHEIGHT=0 SCROLLING=no></i f r a m e> şu anda gunceli bu bunun bulastıgı yer ise arkadasların dedigi gibi cmod vs zannedilsin diye kurnazca yapılmış host yetkililerini uyarınız bu virus web wiz forumun kendi forumlarınının linkleri kaldırıldıgında savunma amacı ile uretilmiş illegal bir virusdur. kurulan web wiz forum altında bulun bis .js dosyası aracılıgı ile tüm hosttaki yada bulundugu hosttaki ilk okucu türlere bulaşmaktadır Sevgili arkadaşımız. bunu kaldırmanın yolu diger hhosttaki dosyalarınızı tekrar atmanıza gerek yok hosttaki baslangıc tür dosyanız ne ise örnek default.asp sadece ona bulasmıstır onu indirerek içindeki i f r a m e li bölümü siliniz. sonra kaydedip tekrar gonderiniz bir iki gun surekli takip ediniz. i f r a m e aynı yere kendını tekrar kaydederse anlayınki host makinasında hala virus barınıyor. Herkeze Kolay Gelsin Teşekkürler.
iyi güzel demiştinde dünden beri 10 tane falan sildim tüm dosyaları gezdim i f r a m e ile başlayan hiçbirşey bırakmadım hepsini kaydettim ama siteme hala ulaşamıyorum internet explorer dan firefox tan girebildim sitenin yazılarının yarısı perişan site www.gamsizforum.info buyur bak ne yapılabilir başka kod barındırma ihtimali var mı bi YARDIM edin kafayı yiyeceğim...
arkadaslar bu tür saldırılar ve r57 tipi saldırılar öncelikle sitenizin yazma yani chmod ayarı 777 olan klasör ve klasör içindeki chmod ayarı 666 olan dosyaları etkiler ama etkileme sürecinde unutmamanız gereken şey sadece saldırı yazma izni olan klasör yada dosyaya değil belki sitenizin ana sayfasındaki index.php içine dahi kod yerleştirebiliyor.
bu saldırı sitenin modul uzantı dosyası olan örnein modules.php dosyası gibi dosyaların devamını kontrol ederek yapıyor
botların tek tek modulleri ve modul içindeki dosyaları analiz etmesi de söz konusudur
kişisel web siteme bu tur saldırıları engellemek için bir sistem kontrolu yazmıştım
phpnuke için bunu uyarlayıp sizinle paylasacagım ancak belirtmem gerekirki
en ufak detay dahi olsa gözardı etmeyiniz gerek dosyalarınızdaki kod acıkları ve gerekse chmod ayarları olsun ve birazda sakin olun....
Tarih: 2007-08-09, 13:43:54 Mesaj konusu: Re: Siteme Trojan girmiş ne yapabilirm
Affection :
Sevgili Arkadaslar sanırım bu virus hakkında ayrıntılı bilginiz yok ben açıklayayım burada ve diğer arkadaslarda onlemlerini alsınlar biz turkiyede buyuk bir host firmasıyız bu virusle daha once karsılasmıstık. İlk önce virus kendını index.asp default.asp main.asp index.html vs turu ilk okuyucu türlere gizli bir i f r a m e olarak atmaktadır. örnek : <i f r a m e src='http://81.95.149.27/go.php?sid=1' style='border:0px solid gray;' WIDTH=0 HEIGHT=0 FRAMEBORDER=0 MARGINWIDTH=0 MARGINHEIGHT=0 SCROLLING=no></i f r a m e> şu anda gunceli bu bunun bulastıgı yer ise arkadasların dedigi gibi cmod vs zannedilsin diye kurnazca yapılmış host yetkililerini uyarınız bu virus web wiz forumun kendi forumlarınının linkleri kaldırıldıgında savunma amacı ile uretilmiş illegal bir virusdur. kurulan web wiz forum altında bulun bis .js dosyası aracılıgı ile tüm hosttaki yada bulundugu hosttaki ilk okucu türlere bulaşmaktadır Sevgili arkadaşımız. bunu kaldırmanın yolu diger hhosttaki dosyalarınızı tekrar atmanıza gerek yok hosttaki baslangıc tür dosyanız ne ise örnek default.asp sadece ona bulasmıstır onu indirerek içindeki i f r a m e li bölümü siliniz. sonra kaydedip tekrar gonderiniz bir iki gun surekli takip ediniz. i f r a m e aynı yere kendını tekrar kaydederse anlayınki host makinasında hala virus barınıyor. Herkeze Kolay Gelsin Teşekkürler.
bunun şöyle bir ayrıntısı var....
adam bir block yapıyor sizde onu armut hesabı alıp siteniz koyuyorsunuz gösteriş olacak ya!
kod işinden anlamıyorsanız ki çoğu arkadaşımız öyle adam o kod için upload ve rwx değerlerini karşılayacak ufak bir kod hilesiyle sitenize sürekli uyguluyor sizde hostudma virüs var sanıyorsunuz....
joomla smf vbulletin voltlab forum ve portal sistemlerinde özellikle türk smözde webmaster çakal kişilerin yaptığı bloklarda veya eklentilerde buna defalarca rastladım.
dzhakimi sitene block ekle belki olabilir bu ama bu kaynaklanan olay hosttan ibarettir. benim ayrı yerlerde bulunan 2 adet siteme bulaştı hic dosya upload etmeden. ftp yi bile acmadigim bir siteme bu i f r a m e kodları bulaşmış. bugunde www.amasyam.net e bulaşmış bunun bloklarla pek fazla ilgili olabilecegini düsünmüyorum.
Tarih: 2007-08-09, 16:39:37 Mesaj konusu: Re: Siteme Trojan girmiş ne yapabilirm
dzhakimi arkadasımızın açıklamasıyla ne demek istediğimiz tamamen anlaşılmıştır sanırım
bu durumda nuke kullanan kullanıcılar yapması gereken basit bir önlem korunmanızı sağlayacaktır
öncelikle sitenizdeki index.php dosaysının adını portal.php olarak değiştirin
daha sonra yeni bir index.php dosyası oluşturup bu dosyanın içerisin php taglarını açın ve php tagları içerisine aşağıdaki kodu yerleştirip sitenize upload edin
dzhakimi sitene block ekle belki olabilir bu ama bu kaynaklanan olay hosttan ibarettir. benim ayrı yerlerde bulunan 2 adet siteme bulaştı hic dosya upload etmeden. ftp yi bile acmadigim bir siteme bu i f r a m e kodları bulaşmış. bugunde www.amasyam.net e bulaşmış bunun bloklarla pek fazla ilgili olabilecegini düsünmüyorum.
senin komple sisteminde yani nuke sürümünde kullandığın forumda olası bir açık veya kod hatası veya j a v a s c r i p t'(ki en büyük sorun eski tip j a v a s c r i p t kodlardan kaynaklanıyor) ufak bir açık komple sitenizi götürebilir bu özellikle bilinçli bilinçsiz kullanılan php cgi perl scriptlerin yarattığı açıklar + buna bağlı hostunuzda php nin yarattığı güvenlik açıklarıki bunu güvenlik açığı olarak nitelendirmek hata olur çünkü php de bazı fonksiyonlar vardır çok zararlı bunları bilinçli bir hosting firması kullanımına zaten izin vermez fnksiyonları devre dışı bırakarak güvenlik sağlanır. buna rağmen siteniz ele geçiriliyorsa sitenizde kullandığınız portal sistemi yada php kodlarında mutlaka bir açık kapı var demektir; özetle hosting en son suçlanacak merkezdir.
Bu forumda yeni başlıklar açamazsınız Bu forumdaki başlıklara cevap veremezsiniz Bu forumdaki mesajlarınızı değiştiremezsiniz Bu forumdaki mesajlarınızı silemezsiniz Bu forumdaki anketlerde oy kullanamazsınız
Arama
Rütbeliler
Profil
Giriş
