Reseller Sunucusuna vürüs bulaşmış?

gördüğünüz gibi bulaşan vürüs yüzünden atak yapıyor ve yaptığı zaman bütün sitelerde kasma erişim problemi yaşanıyor. maldet ile gerekli vürüsü bulup sildim lakin tekrar eski haline döndü maldeti pek iyi bilmiyorum nasıl silebilirim buvürüsü ? veya hangi komutla nerde vürüs oldugunu nokta atışı yaparım?

Kolay bir root şifresi belirlediyseniz yurtdışından sürekli ip aralıklarını tarayarak brute force deneyen ağlardan birinin kurbanı olmuşsunuz. Bu tür ağlar sürekli ip aralıkları ve ssh girişlerini tarıyor, basit root şifresi kullanan sunuculara otomatik olarak giriş yapılıp bir bash dosyası çekip bunu kuruyor, sonrasında kurulan bu bash uzaktan kontrol edilerek dışarıya doğru saldırı, brute force gibi amaçlarla kullanılıyor.

Tam olarak düzeltebilmeniz mümkün değil, bulaşan bash dosyasını veya exploitleri silsenizde o dosyalar yine geri geliyor. En temiz çözüm formattır.

İlk sunucu kurulumu yaparken mutlaka güçlü şifre ve ssh port değişikliği sağlıklı olacaktır.

teşekkür ederim 2.ci bir vds kurup Hostları oraya taşısak problem olmaz yani ?

Bir müşterimizde böyle bir problem yaşamıştı. Site klasörlerini taşımanız sorunu çözmez diye düşünüyorum. Muhtemel sitelerden bazılarına shell bulaştırılmış olabilir ve bu şekilde taşındığı VDS'de de eğer shell taraması yapmazsanız aynı virüsü orayada bulaştırma ihtimaliniz mevcut.

İzlemeniz gereken yol ;

1-) root gibi başka bir kullanıcı açılmış mı ona bakın. "who" komutuyla ssh'a bağlı kullanıcıları görebilirsiniz.
2-) Maldet ve clamscan programları ile sunucunuzda shell taraması yapın.
3-) SSH şifrenizi değiştirip sunucuya reboot atın.

Tarama sonrasında büyük ihtimalle bir kaç adet shell exploit bulacaksınız. Ayrıca tüm sunucuyu taratmanızda fayda var.

clamscam ile tam tarama için aşağıdaki komutu kullanın.

clamscan -r /*

maldet ile tam tarama için aşağıdaki komutu kullanın.

maldet -a /*


Not : Taramalar biraz uzun sürebilir.

Bu tür otomatik brute force ile root erişimi elde edilen sunucularda faaliyet yürüten kişilerin sitelerle pek bir işi olmuyor, ilk hedefleri root olmakta, çünkü sitedeki shell yada yabancı dosya site sahibi tarafından fark edilip hemen silinebilir ancak root üzerine sızıldığında bunun kaynağını tespit etmek ve temizlemek çok daha zordur.

Yani en azından benim gözlemlediğim benzer durumlarda hiçbir zaman site dosyalarında bir faaliyet olmadı, bu tür olaylarda saldırganın amacı siteleri hacklemek yada zarar vermek değil sunucunun hat ve sistem kaynaklarını kullanmaktır.

Tabi ne olur ne olmaz siz siteleride taratın, sonrasında hemen yedek alıp temiz bir sunucuya aktarın.

Wmware network çıktısından söylediğiniz elbette doğru fakat sunucudaki site dosyalarının aktarılma ihtimaline karşı site üzerlerine shell atılabilir veya başka bir düşünce yapısıyla bakarsak çok fazla site varsa hacklink basılabilir. Dediğiniz gibi sanırım en temizi siteleri taratıp başka sunucuya aktarmak olur.

teşekkür ederim @conquer; @Elazığlı168; şuanda yenı sunucuyu kuruyorum inş bi sıkıntı olmaz

@Elazığlı168;
yeni sunucu kuruldu hostlar problemsiz taşındı lakin şöyle bir durum söz konusu sunucuyu rootlayan kişi bütün web hostinglerin DNS kısmındaki nsleri kendi nslerine çevirmiş.
yaklaşık olarak 100 e yakın websitesi mevcut bunları tek tek değiştiremiyorum baya zamanımı alır
şuanda hiçbir websiteye erişim yok.
name server kısmındaki https://i.hizliresim.com/9E9j3N.jpg gördüğünüz gibi haysiyetsiz adam böyle yapmış edit e tıklayınca DNS kısmına gidiyor bunu tek seferde bu nsleri nasıl değişebiliirim teşekkürler

Eğer dns kısımındakiler bu şekilde ise aşağıdaki komutu SSH'dan uyguladıktan sonra named servisine restart atabilirsiniz.

replace "MEVCUTNSADRESI" "YENINSADRESI" -- /var/named/*.db

Bu şekilde tüm domainlerin dns kayıtlarındaki nameserver adresleri değişecektir.