• 10-10-2015, 09:45:52
    #28
    furkanturkyilma adlı üyeden alıntı: mesajı görüntüle
    Bu virüsün çözümü çok basitti, keşke daha önceden görseydim yardımcı olurdum
    paylaşalım o zamanki forum mutlu olsun dimi?
  • 10-10-2015, 11:56:22
    #29
    sunucuoptimizasyon.com
    furkanturkyilma adlı üyeden alıntı: mesajı görüntüle
    Bu virüsün çözümü çok basitti, keşke daha önceden görseydim yardımcı olurdum
    Hala başarabilirsiniz bunu, ha gayret
  • 10-10-2015, 13:24:47
    #30
    Üyeliği durduruldu
    top -c den virüsün PID bulup,

    kill -STOP PID yazarak önce virüsün çalışmasını durduruyoruz ama kapatmıyoruz.

    Sonra /etc/crontab da ayarlı olan bir cron var o cronu siliyoruz.

    Sonrasında cat /proc/PID/exe yazarakda virüsün gerçek ismini bulup siliyoruz, büyük ihtimalle /bin/ klasörü içinde oluyor.

    Sonrasında sunucu şifresini daha zor bir şifre yapıp sunucuyu yeniden başlatıyoruz. Sorun çözümlenmiş oluyor.
  • 10-10-2015, 13:43:54
    #31
    sunucuoptimizasyon.com
    furkanturkyilma adlı üyeden alıntı: mesajı görüntüle
    top -c den virüsün PID bulup,

    kill -STOP PID yazarak önce virüsün çalışmasını durduruyoruz ama kapatmıyoruz.

    Sonra /etc/crontab da ayarlı olan bir cron var o cronu siliyoruz.

    Sonrasında cat /proc/PID/exe yazarakda virüsün gerçek ismini bulup siliyoruz, büyük ihtimalle /bin/ klasörü içinde oluyor.

    Sonrasında sunucu şifresini daha zor bir şifre yapıp sunucuyu yeniden başlatıyoruz. Sorun çözümlenmiş oluyor.
    Ahhh keşke o kadar basit olsa. Bu yöntem bu işlere yeni başlamış saldırganların kurduğu basit sistemleri devre dışı bırakır. Direk crontab içine bash ekliyor, rc.local e başlangıçta dosya ekliyor, /bin yada /usr/sbin üzerinden dosyayı otomatik çalıştırıyor falan. Bu en basit yol kolayca çözülebiliyor. Birde tüm sistem dosyalarına sızan, gizli cron çalıştıran, kernele kadar sızabilen saldırganlar var.

    Size demekki bu kişiler denk gelmemiş henüz, bu kişiler denk geldiğinde elinizdeki yöntemin işe yaramadığını göreceksiniz tam temizledim derken zombi gibi tekrar ortaya çıkacaktır.
  • 10-10-2015, 13:45:05
    #32
    Üyeliği durduruldu
    Benim web serverimde aynı problem olmuştu, bu işlemi gerçekleştirdikten sonra virüsün birdaha çalıştığını görmedim, ayrıca virüs kendini ksdfkdskf tarzı isimlerle gösteren değil, sanki bir sistem komutuymuş gibi gösterip saklayan virüslerdendi, yani bir bakıyorum top -c komutu %99 CPU kullanıyor düşünün.