lostyazilim

IP Adresinde virüs görünüyor. Sunucu formatladım gitmedi

3 Mesajlar 695 Okunma
lstbozum
wmaraci reklam

AllyBey AllyBey WM Aracı Kullanıcı
  • Üyelik 10.09.2017
  • Yaş/Cinsiyet 30 / E
  • Meslek Editör
  • Konum İstanbul Avrupa
  • Ad Soyad A** A**
  • Mesajlar 412
  • Beğeniler 60 / 116
  • Ticaret 0, (%0)
arkadaşlar merhaba, sunucuların birinin ıp adresi blacklist'e düşmüş kontrol ettiğimde
CBL, FABELSOURCES, Spamhaus ZEN bunlarda listelenmiş olarak görünüyor. Geçen hafta virüsü fark ettiğimde pek anlamadığım için siteleri yedek alıp sunucuyu formatlamıştım, şimdi tekrardan virüs görünüyor. CPU %200lere kadar çıkıyor "asdakjwle" gibi bir işlemde. Kapatıyorum tekrar açılıyor. SSH ile cron işlemlerine baktığımda zamanlayıcı görünmedi yada ben bulamadım.

https://www.abuseat.org/lookup.cgi adresinden baktığımda şöyle bi uyarı veriyor;

Bu IP adresine bulaşmış veya Conficker kötü amaçlı botnet bulaşmış bir makine için NATting yazılmıştır.

Bu, "49298" portundaki "178.32.****" 'den "80.2" portundaki "38.229.181.60" IP adresine giden ( düden deliği ) bir TCP bağlantısı ile tespit edildi .

Bir NAT'ın arkasında, Wireshark gibi bir ağ yönlendiricisine sahip herhangi bir bağlantı noktasında IP adresi "38.229.181.60" veya ana bilgisayar adı "n / a" denenmeye çalışarak virüs bulaşmış makineyi bulabilmeniz gerekir. Aynı şekilde, DNS sunucunuzu veya proxy sunucu günlüklerinizi "38.229.181.60" veya "n / a" referanslarına bakabilirsiniz. Wireshark'ın nasıl kullanılacağı hakkında daha fazla ayrıntı için bkz. Gelişmiş Teknikler - 25 / SMTP bağlantı noktası trafiğine yapılan referansları yoksay - tanımlayıcı etkinlik 25 numaralı bağlantı noktasında DEĞİLDİR.

Lütfen yukarıda belirtilen bilgilerin bir kısmının boş ("") veya "na" veya "-" olabileceğini unutmayın. Bu durumlarda, feed reddetti veya bize bu bilgiyi veremedi. Umarım bağlantıları belirlemenizi sağlayacak kadar bilgi bulunacaktır. Değilse, kontrol edilecek hedef bağlantı noktaları genellikle ağınızdan çıkan 80, 8080, 443 veya yüksek bağlantı noktalarıdır (yaklaşık 16000). Bu enfeksiyonların çoğu çok fazla sayıda bağlantı kurar; öne çıkmalılar.

Tam güvenlik duvarı günlüğünüz yoksa, belki de tüm erişimlerin (herhangi bir portun) güvenlik duvarı bloğunu 38.229.181.60 IP adresine ayarlayabilir ve isabetsiz kalmasını sağlayabilirsiniz

bunu nasıl temizleyebilirim fikri olan varmıdır?
 

 

wmaraci
reklam

Mursal Mursal Kullanıcı
  • Üyelik 05.01.2017
  • Yaş/Cinsiyet 26 / E
  • Meslek Linux System Administrator
  • Konum Azerbeycan
  • Ad Soyad M** A**
  • Mesajlar 54
  • Beğeniler 14 / 6
  • Ticaret 0, (%0)
Merhaba Kullandığınız scriptin wordpress temaların içinde backdoor olabilir . rkhunter maldet tarşı scannerlerle taratın derim
 

 

cPanel & WHM Administrator (CWSA-1) Certified

https://university.cpanel.net/user/20014

Mustttiii Mustttiii WM Aracı Kullanıcı
  • Üyelik 27.03.2018
  • Yaş/Cinsiyet 31 / E
  • Meslek öğrenci
  • Konum Mersin
  • Ad Soyad M** G**
  • Mesajlar 44
  • Beğeniler 38 / 12
  • Ticaret 0, (%0)
https://wmaraci.com/seo-analiz

Adresine gir site adını yaz eğer backlink varsa dış bağlantı kısmında rakamla şu kadar diye yazar sonra bulur silersin.
 

 

wmaraci
Konuyu toplam 1 kişi okuyor. (0 kullanıcı ve 1 misafir)
Site Ayarları
  • Tema Seçeneği
  • Site Sesleri
  • Bildirimler
  • Özel Mesaj Al