Hehe.js Npu.ac vs. Gibi Virüslerin Çözümü

yalinsak · 1 29-04-2010, 12:13:50

Bir avuç kendini bilmez lamerin eklediği bu kodlardan kurtulmanın yolu veritabanı bilgilerinizin bulunduğu dosyanın iznini 400 yapmaktan geçer. v7 kullananlar baglan.php dosyasını 400 yaparsa sorun çözülür.

Çok önemli not: Önce php my adminden yedek alın, sonra yeni veritabanı oluşturun ismi-şifresi öncekinden farklı olsun. Veritabanını yükledikten sonra mutlaka admin şifresini değiştirin. Sadece chmod 400 yaparsanız yine eklerler çünkü veritabanı bilgilirinizi biryerlere not ediyorlar.

Ayrıca veritabanı bilgilerini içeren herhangi bir dosya varsa(bot dosyaları) onu da 400 yapmalısınız.

CeRaT · 2 29-04-2010, 12:27:16

hxxp://www.npu.ac.th/calendar/components/hiyaa/pornovideo21.exe

Bu virüsü indiriyormuş, botnet sanırım. Büyük ihtimal ile bu forumdan birisi olabilir.

~~CashFlow~~ · 3 05-05-2010, 13:26:12

Teşekkürler, bilgi için yararlı olmuş.

Arcade · 4 05-05-2010, 13:27:21

Teşekkurler yararlı bilgiler...

Onurss · 5 05-05-2010, 15:41:40

Sadece veritabanı bilgilerinin yazılı olduğu dosyadan yayıldığından eminmisiniz ?

index.html 'in hiçbir alakası olmadığı halde bulaşabiliyor çünkü.

yalinsak · 6 05-05-2010, 20:24:07

Alıntı:

Onurss Nickli Üyeden Alıntı

Sadece veritabanı bilgilerinin yazılı olduğu dosyadan yayıldığından eminmisiniz ?

index.html 'in hiçbir alakası olmadığı halde bulaşabiliyor çünkü.

Yayılan birşey değil bu, sunucunuzdaki açıktan dolayı hostunuzdaki dosyaları okuyorlar, db bilgilerini alınca dbye virüs adresi yazıyorlar. DB bilgilerinin yazılı olduğu tüm dosyaları chmod 400 yaparsanız sorun çözülür. chmod 400 yapmadan önce db bilgilerini yeniden oluşturun.

Sizin sorununuzla bu aynı şey mi bilmiyorum, çünkü benim anlattığım dbye kod yazmayı engelliyor, sizin dosyalara kod ekliyorlarsa o ayrı birşeydir.

xFaulz · 7 05-05-2010, 20:28:55

chmod 400 yapılınca baglan.php nin okunma izni tamamen kalkıyor mu? eger okunamazsa scriptde çalışmaz yalnız.

yalinsak · 8 05-05-2010, 20:34:19

Alıntı:

xFaulz Nickli Üyeden Alıntı

chmod 400 yapılınca baglan.php nin okunma izni tamamen kalkıyor mu? eger okunamazsa scriptde çalışmaz yalnız.

Evet kalkıyor ve script çalışıyor.

~~Darkcode~~ · 9 06-05-2010, 15:06:57

Alıntı:

yalinsak Nickli Üyeden Alıntı

Evet kalkıyor ve script çalışıyor.

Bu Çözüm olamaz gibi düşünüyorum çünkü adam shell veya perl dosyalari ile baglaniyorsa db bilgileri oldugu klasörü bilgisayarına indirip zaten istediği gibi okuyabilir.
sölediğiniz mantikli chmod 400 veya 444 vererek okumayi engellersiniz ama bu çözüm değil .
mysql portunu değiştirmek birnevi çözüm olabilir.

yalinsak · 10 06-05-2010, 20:29:53

Alıntı:

Darkcode Nickli Üyeden Alıntı

Bu Çözüm olamaz gibi düşünüyorum çünkü adam shell veya perl dosyalari ile baglaniyorsa db bilgileri oldugu klasörü bilgisayarına indirip zaten istediği gibi okuyabilir.
sölediğiniz mantikli chmod 400 veya 444 vererek okumayi engellersiniz ama bu çözüm değil .
mysql portunu değiştirmek birnevi çözüm olabilir.

3-4 aydır süregelen bir sorun bu, sunucudaki açığı kapayabilen çıkmadı henüz. Şimdilik db bilgilerini gizleyerek kod eklenmesini engelliyoruz ve kesin çözümdür. Aynı sorunu yaşayan 80-100k hitli sitesi olan, günde 25-30 defa hacklenenler denedi ve bu beladan kurtuldu. Bu açığın bulunduğu sunucularda özel script de buulundurmamak gerekir diye düşünüyorum.

Seçenekler
Yazdırılabilir şekli göster Sayfayı E-Mail olarak gönder