Aspire
Koineks
  • 07-08-2009, 04:07:51
    #1
    1/2
    Sitelerin FTP sifrelerinin calinmasi sonucunda dosyalara iframe ve javascript ekleyen ataklara karsi bir script yazdim. Script tamamen ÜCRETSİZDİR.
    Script Cpanel, Pure-FTP ve Clamav kurulu olan linux sunucularda calisiyor.
    Her uploaddan sonra calisan bu script dosyayi virus kontrolunden geciriyor.
    Eger virus ( iframe veya js ) bulunursa;
    1 ) Dosyayi karantinaya ( /karantina/clamav ) tasiyor
    2 ) Antivirus temiz raporu verirse, belirlenen kelimeleri dosyada ariyor ve bulursa viruslu olarak raporlayip karantinaya atiyor.
    3 ) Virus bulastirilmaya calisilan hesabin sifresini rasgele degistiriyor
    4 ) Saldirganin mevcut FTP baglantisini kesiyor.
    5 ) Saldirganin IP adresini blokluyor
    6 ) Belirlediginiz e-mail adresine gerceklesen islemin detaylarini ve yeni sifre ile ilgili mail yolluyor
    Son güncelleme : 2009-11-15
    Dosyayi buradan indirebilirsiniz :
    http://anti_gumblar.oxio.net/anti_gumblar.tar.gz
    kisa dokuman ve kurulum bilgisi ( Simdilik ing )
    http://anti_gumblar.oxio.net/
  • Sponsor Reklam
  • 15-08-2009, 17:28:21
    #2
    1/2
    Umarım başımıza bela açan bir script değildir, bakalım bakalım localde test edelim.
    Üstün Performanslı SSD VPSler | Üstün-Kaliteli Web Hosting | 7/24 Destek
  • 15-08-2009, 17:48:43
    #3
    1/2
    Malesef çalışmıyor(infected file atarak test ettim). 64 bit ile ilgili bir sıkıntı olabilir. Yardımcı olursanız sevinirim.
    [email protected] [~]# service pure-ftpd restart
    Stopping pure-config.pl: cat: /var/run/pure-ftpd/pure-uploadscript.pid: No such file or directory
    kill: usage: kill [-s sigspec | -n signum | -sigspec] pid | jobspec ... or kill -l [sigspec]
    Stopping pure-authd:
    Starting pure-config.pl: Running: /usr/sbin/pure-ftpd -O clf:/var/log/xferlog --daemonize -A -c50 -B -C8 -D -E -fftp -H -I15 -lextauth:/var/run/ftpd.sock -L2000:8 -m4 -s -U133:022 -u100 -i -Oxferlog:/usr/local/apache/domlogs/ftpxferlog -o -k99 -Z -Y1 -JHIGH:MEDIUM:+TLSv1:!SSLv2:+SSLv3
                                                               [  OK  ]
    Starting pure-authd:
    Üstün Performanslı SSD VPSler | Üstün-Kaliteli Web Hosting | 7/24 Destek
  • 15-08-2009, 22:34:36
    #4
    1/2
    clamav kurarsan pureftpde otomatik scan yaptırabilirsin kolay gelsin
    Toplu Sms 10.000 Sms 139 TL 4445056
  • 17-08-2009, 03:24:45
    #5
    1/2
    tarikogut adlı üyeden alıntı
    clamav kurarsan pureftpde otomatik scan yaptırabilirsin kolay gelsin
    Bildigim kadariyla ClamAv direkt olarak otomatik tarama yapmiyor. Exim gibi yazilimlar clamav i cagiriyorlar.

    PureFTPd ile bu tip bir sistem kurabilirsin. Upload edilen her dosyayi taratabilir ve karantinaya attirabilirsin ama bu hic bir ise yaramiyor. Cunku saldirgani engellemiyor. Sadece viruslu dosyayi karantinaya yolluyor. Bu da sitedeki tum dosyalarin karantinaya gitmesi demek oluyor.

    Zaten bu sistem calismadigi icin oturup bu scripti yazdim. Script sadece 1 dosya kayipla siteyi kurtariyor ve size haber verdigi icin de hemen o dosyayi yerine koymak cok kolay. Aylarca haberiniz olmadan etrafa virus yayan bir siteyi farketmek can sıkıcı...

    Aklima gelen en genel cozum aslinda 21 portunu kapatmak. Butun musterilere de SFTP, FTPS veya FTPES kullanmalarini sart kosmak.

    Ayrica ozellikle Cin, Rusya, Ukrayna, Kore, Taiwan, Pakistan, Afganistan, Hindistan vs gibi ulkelerin 21 portuna erisimi kapatmak da cok buyuk oranda engelliyor bu saldirilari. Ama hic biri %100 cozum degil. Cunku bir domaine 260 ayri IP den girdiklerini tespit ettim...
  • 17-08-2009, 03:25:57
    #6
    1/2
    Bartuc adlı üyeden alıntı
    Malesef çalışmıyor(infected file atarak test ettim). 64 bit ile ilgili bir sıkıntı olabilir. Yardımcı olursanız sevinirim.
    [email protected] [~]# service pure-ftpd restart
    Stopping pure-config.pl: cat: /var/run/pure-ftpd/pure-uploadscript.pid: No such file or directory
    kill: usage: kill [-s sigspec | -n signum | -sigspec] pid | jobspec ... or kill -l [sigspec]
    Stopping pure-authd:
    Starting pure-config.pl: Running: /usr/sbin/pure-ftpd -O clf:/var/log/xferlog --daemonize -A -c50 -B -C8 -D -E -fftp -H -I15 -lextauth:/var/run/ftpd.sock -L2000:8 -m4 -s -U133:022 -u100 -i -Oxferlog:/usr/local/apache/domlogs/ftpxferlog -o -k99 -Z -Y1 -JHIGH:MEDIUM:+TLSv1:!SSLv2:+SSLv3
                                                               [  OK  ]
    Starting pure-authd:

    64 bit ile alakasi oldugunu sanmiyorum. Kurulum konusunda yardimci olurum istersen..
    MSN : [email protected]
  • 17-08-2009, 03:28:53
    #7
    1/2
    yazılım iframe açılan sayfanın güvenli olup olmadığını nasıl anlıyor ?
    normal web kullanıcıları da iframe kullanabiliyor ya da js kodlarını.Bu yazılım hepsini deaktif edebilme durumu varmı ?
    INVEST IN TURKEY
  • 17-08-2009, 03:42:34
    #8
    1/2
    JustRulz adlı üyeden alıntı
    yazılım iframe açılan sayfanın güvenli olup olmadığını nasıl anlıyor ?
    normal web kullanıcıları da iframe kullanabiliyor ya da js kodlarını.Bu yazılım hepsini deaktif edebilme durumu varmı ?
    Bu iframe ler zaten bir cok antivirus yazilimi tarafindan malware olarak algilaniyor. Algilanmayani da biz kendimiz elle ekliyoruz. Mesela ????.at:8080/ts.cgi?pepsi?? seklindeki adresi ekledim ve bunu ben ekledigimde antivirusler gormuyordu.
    Su an 2 haftadir kullaniyorum ve hic kacirmadi sistem.. Yakinda mutlaka baska adresler de cikacaktir. Onlari da ekleyecegim veya onlari otomatik ceken bir sistem de yazabilirim.

    Bu arada, denemedim ama sistem c99 gibi php shell leri de engeller diye dusunuyorum. Cunku o dosyalar da bir cok antivirus tarafindan algilaniyor.
  • 17-08-2009, 03:59:04
    #9
    1/2
    hidonet adlı üyeden alıntı
    Bu iframe ler zaten bir cok antivirus yazilimi tarafindan malware olarak algilaniyor. Algilanmayani da biz kendimiz elle ekliyoruz. Mesela ????.at:8080/ts.cgi?pepsi?? seklindeki adresi ekledim ve bunu ben ekledigimde antivirusler gormuyordu.
    Su an 2 haftadir kullaniyorum ve hic kacirmadi sistem.. Yakinda mutlaka baska adresler de cikacaktir. Onlari da ekleyecegim veya onlari otomatik ceken bir sistem de yazabilirim.
    Bu arada, denemedim ama sistem c99 gibi php shell leri de engeller diye dusunuyorum. Cunku o dosyalar da bir cok antivirus tarafindan algilaniyor.
    mevcut bahsettiğin sheller encode edildiğinde ya da source include ile farklı url den çekildiğinde hiçbir antivirüs tanımıyor.

    Mevcut scriptine gelelim tekrardan ciddi anlamda güzel birşeyler düşünmüşsün mozilla no-script eklentisinin ilk yapılma durumu geldi bir an aklıma

    Sende bu işi projelendirebilir uluslar arası platformlara dökebilirsin.İşi projelendirmek büyütmek senin elinde sabit birkaç konu olarak bırakmakta
    INVEST IN TURKEY