Reseller Sunucusuna vürüs bulaşmış? - Sayfa 2

08-10-2015, 03:49:49

#10

~~Mpct~~

Üyeliği durduruldu

hocam ALLAH razı olsun senden ne diyeyim . değişti şuanda fakat ufak bir sorun daha ileteceğim https://i.hizliresim.com/PBYg6O.jpg bu kısmı nasıl tek seferde değişeceğim saygılarımla...

YNTPlus adlı üyeden alıntı: mesajı görüntüle

Eğer dns kısımındakiler bu şekilde ise aşağıdaki komutu SSH'dan uyguladıktan sonra named servisine restart atabilirsiniz.

replace "MEVCUTNSADRESI" "YENINSADRESI" -- /var/named/*.db

Bu şekilde tüm domainlerin dns kayıtlarındaki nameserver adresleri değişecektir.

08-10-2015, 04:01:52

#11

YNTPlus

Mpct adlı üyeden alıntı: mesajı görüntüle

hocam ALLAH razı olsun senden ne diyeyim . değişti şuanda fakat ufak bir sorun daha ileteceğim https://i.hizliresim.com/PBYg6O.jpg bu kısmı nasıl tek seferde değişeceğim saygılarımla...

Aynı ilettiğim kodla yapabilirsiniz bunu. Eğer DNS içerisinden birşey değiştirecekseniz bu komut ile yapabilirsiniz.

replace "DEGISECEKDNSKAYDI" "YENIEKLENECEKDNSKAYDI" -- /var/named/*.db

08-10-2015, 04:08:05

#12

~~Mpct~~

Üyeliği durduruldu

@YNTPlus; teşekkür ederim yardımlarınızdan ötürü konu kilitlenebilir

08-10-2015, 04:08:40

#13

YNTPlus

Mpct adlı üyeden alıntı: mesajı görüntüle

@YNTPlus; teşekkür ederim yardımlarınızdan ötürü konu kilitlenebilir

Rica ederim iyi geceler.

08-10-2015, 05:52:20

#14

Bartuc

Kurumsal PLUS

Bu virüsü birkaç basit şifre belirlemiş VPS müşterimizde gördüm. Evet bu bir virüstür ve saatlerce araştırmam sonucu formatsız kurtulmanın yolu olmadığını öğrendim. Sitelerden vs. değil, tamamen root şifresi çalınarak yapılıyor(ya da brute force ile bulunarak). Geçmiş olsun dileklerimle.

08-10-2015, 09:43:21

#15

Ufkabakan

Değişen NS adresine bakılırsa, hackerımız Turk

08-10-2015, 10:54:37

#16

foo

Bartuc adlı üyeden alıntı: mesajı görüntüle

Bu virüsü birkaç basit şifre belirlemiş VPS müşterimizde gördüm. Evet bu bir virüstür ve saatlerce araştırmam sonucu formatsız kurtulmanın yolu olmadığını öğrendim. Sitelerden vs. değil, tamamen root şifresi çalınarak yapılıyor(ya da brute force ile bulunarak). Geçmiş olsun dileklerimle.

böyle bir sözü sizin gibi birinden duymak beni oldukça şaşırttı. linux için "virüs" diye bir kavram yoktur. rootkit vardır, exploit vardır ama bilinen anlamda virüs diye bir kavram sadece olabileceği ispat için vardır. kullanım alanında bir virüs yoktur. genellikle kritik shared lib'lerden birini değiştirerek aynı zamanda cron ile desteklenen ve hatta kill yazılımını değiştirerek devam eden bir yeniden çalıştırma process'ine sahip uyduruk bir yazılımdır kendisi. bir virüs müdür kesinlikle değildir, çekirdek sağolsun. temizlemenin yolu da basit. /etc ve */bin */sbin */lib */lib64 dizinlerinde son günlerde değişen dosyaları tarattığınızda zaten kolaylıkla anlayabilirsiniz.

08-10-2015, 15:55:16

#17

~~Mpct~~

Üyeliği durduruldu

Bartuc adlı üyeden alıntı: mesajı görüntüle

Bu virüsü birkaç basit şifre belirlemiş VPS müşterimizde gördüm. Evet bu bir virüstür ve saatlerce araştırmam sonucu formatsız kurtulmanın yolu olmadığını öğrendim. Sitelerden vs. değil, tamamen root şifresi çalınarak yapılıyor(ya da brute force ile bulunarak). Geçmiş olsun dileklerimle.

evet 5 günün sonunda , son gün sabah 5 te gördüğünüz gibi işlemleri tamamladık taziyemizin olmasına rağmen beni uğraştırdı nihayetinde ders aldık

gerek şifreyi sağlam bir şifre yaparak ayrıca ssh portunu değiştirerek bir nevi güvenlik aldık teşekkür ederim

Ufkabakan adlı üyeden alıntı: mesajı görüntüle

Değişen NS adresine bakılırsa, hackerımız Turk

evet malesef türk hayır bide 3 tane host hesabı açmış

ona güldüm. ALLAH kabul etmesin bu kadar uğraştırdı hakkım haram olsun

foo adlı üyeden alıntı: mesajı görüntüle

böyle bir sözü sizin gibi birinden duymak beni oldukça şaşırttı. linux için "virüs" diye bir kavram yoktur. rootkit vardır, exploit vardır ama bilinen anlamda virüs diye bir kavram sadece olabileceği ispat için vardır. kullanım alanında bir virüs yoktur. genellikle kritik shared lib'lerden birini değiştirerek aynı zamanda cron ile desteklenen ve hatta kill yazılımını değiştirerek devam eden bir yeniden çalıştırma process'ine sahip uyduruk bir yazılımdır kendisi. bir virüs müdür kesinlikle değildir, çekirdek sağolsun. temizlemenin yolu da basit. /etc ve */bin */sbin */lib */lib64 dizinlerinde son günlerde değişen dosyaları tarattığınızda zaten kolaylıkla anlayabilirsiniz.

pek fazla biz anlamıyoruz ama nihayetinde kurtulduk. sağolun

08-10-2015, 16:04:45

#18

Bartuc

Kurumsal PLUS

foo adlı üyeden alıntı: mesajı görüntüle

böyle bir sözü sizin gibi birinden duymak beni oldukça şaşırttı. linux için "virüs" diye bir kavram yoktur. rootkit vardır, exploit vardır ama bilinen anlamda virüs diye bir kavram sadece olabileceği ispat için vardır. kullanım alanında bir virüs yoktur. genellikle kritik shared lib'lerden birini değiştirerek aynı zamanda cron ile desteklenen ve hatta kill yazılımını değiştirerek devam eden bir yeniden çalıştırma process'ine sahip uyduruk bir yazılımdır kendisi. bir virüs müdür kesinlikle değildir, çekirdek sağolsun. temizlemenin yolu da basit. /etc ve */bin */sbin */lib */lib64 dizinlerinde son günlerde değişen dosyaları tarattığınızda zaten kolaylıkla anlayabilirsiniz.

Emin olun ki bu lanet şeyin bulaştığı bir vakayı incelerseniz, siz de "virüs" olarak tanımlarsınız. Bildiğimiz anlamdaki bir virüsten tabi ki bahsetmiyorum, ancak centos mail listelerine kadar saatlerce heryeri araştırdım ve temizlenmesinin bir yolu yok. Kernel seviyesinde sisteme zarar veriyor. Bahsettiğiniz hiçbir klasik yöntemle tespit edilip temizlenemiyor. ls, dir, date vb. işlemler çalışıyor sunucuda ve bunlar saldırıyı gerçekleştiriyor. Bunları düzeltmek bir çözüm getirmiyor. Bir müşterinizi şifresini vb. çaldırıp da bu durumla karşılaştığınızda demek istediğimi siz de anlayacaksınız eminim ve sizin de "virüs" olarak tanımlayacağınızdan eminim.