Konuyu görüntüle
IUCODERS FORUM > İşletim Sistemleri & Donanım & Network > UNIX,LINUX > Hosttaki gumblar.cn trojenından nasıl kurtulabilirim?
Yazar
unforgiven


avatar

Kayıt: 12.06.2008
15.05.2009-19:24 #59890
Site üzerindeki php, html, js gibi dosyalara kod enjekte eden bir trojan ile başım belada. Fakat dosyaları ftp'den herhangi bir programla indirip incelediğimde trojan içeren kodları göremiyorum. Yani o kodları çalışma anında enjekte ediyor lanet olasıca... Hata sayfalarında bile bu kodlara rastlıyorum. Yani dosyalarda var olup da silerek kurtulabileceğim bir kod bulunmuyor.

.htaccess dosyaları da normal görünüyor. Bu iğrenç şeyin kaynağının neresi olabileceği konusunda bir fikri olan var mı?




Yazar
orhan


avatar
istanbul
admin
Kayıt: 17.11.2005
15.05.2009-22:11 #59894
server sana ait değil ise serverde root olan biri temizler. server senin değil ise yapabileceğin brişey yok.




N/A
Yazar
ogencay


avatar
Istanbul
banlandı
Kayıt: 02.03.2006
15.05.2009-23:55 #59896
Serverdaki dosyalarının CHMOD'unu 644 e çekmeyi dener misin? Bakalım trojanın rootkiti dosyalara tekrar kod çakabilcek mi?

Ayrıca bu trojanın lokal bir bilgisayardaki FTP Manager programının bilgilerini çalarak servera erişim sağlayıp kendini bulaştırdığını tespit ettim. FTP bağlantısı kurduğun makinaları bi antivirüsle gözden geçir istersen ilerde tekrarlamaması için...




There`s No Place Like 127.0.0.1

Yazar
unforgiven


avatar

Kayıt: 12.06.2008
16.05.2009-12:02 #59900
Server bana ait ve tüm dosyalar zaten 644 modunda. root olarak giriş yaptığımda hangi dosya ya da dosyalara bakmam gerekiyor?




Yazar
orhan


avatar
istanbul
admin
Kayıt: 17.11.2005
16.05.2009-16:42 #59904
şurada birileri açıklama yapmış. Bu şey her türlü dosyanın içerisine bi js kodu gömüyor imiş.
http://www.clamav.net/download/ şunu servera kur bi tarat makinanı dahasonra şurda yazılanlara bi göz at.
http://www.r10.net/r10-bilgi-arsivi/286435-iframe-virusu-cozum.html




N/A
Yazar
unforgiven


avatar

Kayıt: 12.06.2008
16.05.2009-18:58 #59906
orhan yazdi
 
şurada birileri açıklama yapmış. Bu şey her türlü dosyanın içerisine bi js kodu gömüyor imiş.
http://www.clamav.net/download/ şunu servera kur bi tarat makinanı dahasonra şurda yazılanlara bi göz at.
http://www.r10.net/r10-bilgi-arsivi/286435-iframe-virusu-cozum.html

Deneyeceğim... Teşekkür ederim...

Benim bildiğim de her dosyaya js ya da php gömüyor olduğuydu. Hatta arkadaşımın da başına gelmişti, dosyaları upload ettikten bir süre sonra içeriklerine kodlar gömülüyordu. Ama benimkinde durum biraz farklı; disk üzerindeki dosyalara hiç bir şekilde kod gömülmüyor (ya da benim anlamadığım bir şekilde dosyalar bana temiz gösteriliyor da olabilir). Çalışma anında siteden verileri indirilirken içine kod gömülüyor. Apache'nin mikrop kaptığını düşünüyordum ama site içindeki diğer domainlerde sorun yok. Hep enteresan şeyler beni buluyor nedense...




Del.icio.us
Digg
Facebook
Furl
Google
Blink
Simpy
Spurl
Y! MyWeb
iucoders ® 2005-2007
www.iucoders.com
site kuralları