Sürekli İndex basılıyor, site dolandırıcılığı hakkında lütfen okuyun

ÖNCELİKLE SABIRLA OKUDUĞUNUZ İÇİN ŞİMDİDEN TEŞEJKKÜR EDERİM

Linux server da barınan bir sitemiz var ve son zamanlarda sürekli index atılıyordu Yazılım ve Teknik destekli Anlaşmalı olduğumuz sunucu firması yetkilileri de düzeltiyordu.Server sahibi açığı kapattığını böyle bir hatanın bir daha olmayacağını söyleyince rahatlamıştık ama maalesef tekrar index atıldı sonra firma hallettik dedi sonra yine atıldı vs..En son firma yetkilisi sitenin banlandığını ve kendi sunucusunun da site yüzünden 3 saat kapalı kaldığını söyledi dediğine göre siteye index atmakla kalmamışlar banka hesap numaraları ile sahte bir banka şubesi açmışlar sildiğini söyledi.Yalnız söyle bir sıkıntı var siteyi açtığında bloke ediyorlarmış. Yani kim ediyor nereden ediyor nasıl bloke ediyor bilmiyorum.Neden sorusuna yanıt net bir şekilde bulamadım. 1 kere açtı 1 saat çalıştı sonra gene gitti.Bir daha açtı gine gitti. En son daha açamam açtığım taktirde uluslar arası bir dolandırıcılığa girdiği için tüm sunucum ip numaralarım iptal edilir dedi ve yapabileceği birşey olmadığını söyledi. Bizim ısrarlarımız üzerine yurt dışı host da açabileceğini o zaman sıkıntı olmayacağını söyledi. Yurt dışı hostu bekledi sonra kurdu yine aynı kapandı. ve kendisine gelen maili bana gönderdi.

Sitemiz Açık kaynak kodlu olup parası verilip sahibinden alınmıştır. Sahibi ile görüştüm aynı kodları bana tekrar vermek için aynı fiyatı tekrar bizden istiyor. Sorunumuzu kesin halledeceğini bilsek inanın gine veririz. Aynı kodları tekrar satın almak mantıklımı sizce sorun hallolurmu?. Firmanın burada duruşu nedir sizce açıklamaları doğrumu durum bu mu?

Zararlı kodları tektek temizlediğini söyledi ve konuya ilişkin bir mail attığını beklemeden başka çaremizin olmadığını söyledi. Şimdi benim anlamadığım. Bu nedir? Kim banlıyor ve kimden izin isteniyor. Bu site bizim için çok önemli Bu durumla karşılaşan arkadaşlarımı odlumu bu durumdan nasıl kurtula biliriz. Yeni bir alan adı ile açsak yine aynı sıkıntı olur mu vs hertürlü yardımlarınızı bekliyorum arkadaşlar…

Mail aynen aşağıdaki gibidir.


---------------------------------------------------------------------------------------------------------
Artık üzgünüm ama hiç açma şansımız kalmadı. Başımız ciddi ağrıcak bu işten

-----Original Message-----
From: FraudWatch Security [mailto:security@fraudwatchinternational.com]
Sent: Thursday, February 18, 2010 7:01 PM
To: abuse@ni.net.tr; info@firma.com.tr; info@firmasunucu.com.tr
Subject: [Incident#USO-057992] Re-Activated Phishing Site: http://websitem.com/resim/start/Login.html

**English below**

[Olayı # USO-057992]
Sevgili Web Host

Bu phishing sitesinin yeniden AKTİF haline gelmiştir. Lütfen acilen blok erişim ve TÜM phishing içeriği kaldırma KALICI.

*************************

URL: httpwebsitem.com/resim/start/Login.html
Ek URL:

Marka Phished: Mashreqbank
IP Adresi: 94.102.13.15

*************************

Bu olay, konu satırında bulunan bir olay sayısı atanmıştır. Biz, bu olayı izleyecek ve kapatılmasına ilerleme izleme. Lütfen tüm yazışmalar bu Olayı ile ilgili konu satırında bu olayın kodu kullanabilirsiniz.

Lütfen bize herhangi bir açıklama veya yardıma ihtiyacınız gerekir başvurun. Bu isteği sizin acil dikkate için teşekkür ederiz.


Saygılar,
Anne
Güvenlik Operasyon Merkezi
FraudWatch Uluslararası
Melbourne, Avustralya
Tel: +613 9887 6777
Faks: +613 8660 2688
Email: security@fraudwatchinternational.com
http://www.fraudwatchinternational.com

-------------------------
[Incident#USO-057992]
Dear Web Host

This Phishing Site has become ACTIVE again. Please URGENTLY block access and PERMANENTLY remove ALL phishing content.

*************************

URL: http://websitem.com/resim/start/Login.html
Additional URL's:

Brand Phished: Mashreqbank
IP Address: 94.102.13.15

*************************

This incident has been assigned an Incident Number, found in the subject line. We will be monitoring this incident, and tracking its progress to closure. Please use this incident code in the subject line of all correspondence relating to this Incident.

Please contact us should you require any clarification or assistance. We thank you for your urgent consideration of this request.


Regards,
Anne
Security Operations Center
FraudWatch International
Melbourne, Australia
Tel: +613 9887 6777
Fax: +613 8660 2688
Email: security@fraudwatchinternational.com
http://www.fraudwatchinternational.com

Net çözüm için Yedeğinizi alın , domain ve firma değiştirin.. tek sitelik VPS alın
cpanel+mod security kurup gerekli mod sec. kurallarını ekleyin
http://www.configserver.com/cp/cxs.html exploit tarayıcı lisansı alın sadece cpanelde çalışır

Teşekkür ederim
alanı değiştirmeden olmazmı peki?
başka neler yapılabilir
firma bu izini almak zorundamı nereden izin bekliyor

Sitenizin içeriği yada kullandığı veri tabanı yönetimi config yolu
şu anki firmanızın verdiği tepkinin yada yaşadığı sorunun sebebini sizde anlayamıyorsunuz belirttiğim işlemler kesin sağlıklı sonuca ulaşmanızın garantisini sunmuyor tabiki ama yapılabilecek tek sağlıklı iştir

firmanızı değiştirmeniz çözüm olabilir ama yaşadığınız güvenlik açığı sorununu geçiş yapacağınız firmanın da çözmesi garanti değildir
script tabanlı açıkta olabilir detaylı incelemeniz birbilene inceletmeniz gerekiyor

sunucu açısından gelebilecek saldırı yöntemine en net karşılık sitenin tek başına 1 sunucuda barınmasıdır
belirttiklerime ek olarak "chroot " sistemini araştırın
%100 güvenli sistem yoktur sadece riskler indirgenir . tabi satış yapan firmaların %90 ı güvenlik garantisi verir bu konuda kimseye güvenmeyin kendi önleminizi belirttiğim şekilde sağlayabilirsiniz

Yapan kişiyi nette buldum
Darkcoder bu sitede üye
r10 dan banlanmış zaten
bu adamın musallat olduğu başka kişi varmı
nasıl kurtuldunuz.

Bi insan neden bunu yapar anlamıyorum madem bilgilisin iyi şeylere kullansan ne olur.

Kötülükten maraz doğar sadece.


Az kalsın alış veriş yapacaktım bu adamdan iyikide yapmamışım

Bana Ulaşırsanız Makul ücrete %100 güvenliginizi sağlayabilirim Bi pm kadar yakınım

bunu nasıl ve na kadar bir ücrete yapacaksınız