Tekil Mesaj gösterimi - Sunucuda otomatik dosya oluşturuyor

Konu Sunucuda otomatik dosya oluşturuyor

14-08-2014, 09:13:01

#11

yakoSin

Misafir
AndyCap adlı üyeden alıntı: mesajı görüntüle

Dosyaları apache sahiplendiğine göre, Mod_Security ve clamav entegresi ile upload edilen dosyaların incelenmesini sağlayabilirsin. Bilinen shell dosyalarından biridir bunlar da. Dosyaların içeriğini paylaşman mümkün mü? Rastgele 2 tanesi mesela.

Bu gr8.php, gr9.php aynı sadece name.txt yerinde namee.txt yazıyor. O dosyalarda da alt alta 2 url yer alıyor. (Sildiğim için bulamadım) O adresleri kontrol ettiğimde amazon login sayfasına benzettim. Phising için kullanılacak sanırım. Günlük hiti 10 olan sitemde, bu dosyaların site hitinden fazla istek aldığını gördüm loglardan. (1 saat içinde hemde)
Onurss adlı üyeden alıntı: mesajı görüntüle
find /home/dizin -name "*".php -type f -print0 | xargs -0 grep gr8 | uniq -c | sort -u | cut -d":" -f1 | awk '{print $2}' | uniq
Kodunu bir deneyin, çözüm olacak dosyaya ulaştırabilir.
Sonuç vermedi hocam.

MiLLer7 adlı üyeden alıntı: mesajı görüntüle

uzak erişim ile otomatik havuza alınmış olabilir sunucunuz bu sayede siz kodları temızlemedıkten sonra devamlı o dosyalar otomatik olarak saldırganın kodları sayesınde otomatık olarak eklenecektir. Sunucunuzda siteler varsa indirip incelemekte fayda var yok ise re-install etmeniz daha mantıklı.

Sitelerin tamamı bana ait. Hepsi özel kodlama, 1 tane wp var.
Dereck adlı üyeden alıntı: mesajı görüntüle
Sunucunuza maldet kurup home dizinindeki siteleri tümünü taratırsanız dosyalar büyük ihtimalle bulunacaktır.

wget http://www.rfxn.com/downloads/maldetect-current.tar.gz tar zxvf maldetect-current.tar.gz cd maldetect-* sh install.sh
daha sonra taramayı başlatmak için

maldet -a /home/?/public_html
home dizinindeki tüm dosyalar taranacaktır tarama sonrasında size maldet --report 081513-2051.9709 tarzında bir çıktı verilecek ordaki numarayı alıp

maldet -q 081513-2051.9709
şeklinde bir komut verirseniz tespit edilen dosyalar bulunduğu dizinlerden taşınıp karantinaya alınır sonrasında karantinadan isterseniz o dosyaları açıp görüntüleyebilirsiniz

karantinaya almadan önce raporu incelemek içinde aşağıdaki komutu kullanabilirsiniz. maldet genelde şifrelenen şifrelenmeyen birçok shell dosyasını tespit edebiliyor. Denemeniz sunucunuza extra bir yük oluşturmaz denemenizi tavsiye ederim.

maldet --report 081513-2051.9709
Maldet bir sorun bulamadı hocam. Rapor şu şekilde.
```
SCAN ID: 081414-0854.10671
TIME: Aug 14 08:56:48 +0200
PATH: /var/zpanel/hostdata/zadmin/public_html
TOTAL FILES: 3383
TOTAL HITS: 0
TOTAL CLEANED: 0
```
Tüm dosyaları indirip virüs taramasıda yaptım, birşey çıkmadı. Ben tüm dosyaları sildikten sonra, tüm hesaplara oluşturmadı dosyayı. Israrlar bir siteye oluşturuyor, o siteyi yayından kaldırınca (klasör adını değişerek) başka bir siteye ekliyor.