check.cgi & hnc.cgi | Cins Hack Yönetmi, Soru?

Arkadaşlar son bir aydır başımda bir velet var, Rusyadan bir arkadaş sunucuya bir şekilde girerek shell atıyor. Bununla pr yüksek olan sitelerimin içerisine reklam html dosyaları atıyor ve google a taratarak üzerimden rank elde ediyor. Bir kaç kez bu dosyaları sildim. hangi siteden nasıl girdiğini bilmiyorum ama bu gün benim kendi sitem içerisinde 10.php diye bir shell dosyası gördüm aynı zamandada load avage acayip fırlamış durumda idi. check.cgi dosyası apache kullanıcı adı ile şu anda sunucuyu kasmakta.

kendi siteme ait olan kullanıcı adı ilede hnc.cgi haraket etmekteydi fakat siteyi kapatıp açınca pleskden bu durdu.
Ne tür bir komut kullandımsada check.cgi dosyasını durduramadım.

Şu anda sunucuyu kasmakta ve sanırım bir hack işlemi yapmakta.

Eklemek istedim arkadaşlar:
Server üzerinde tüm .cgi dosyalarını aradım ve ekrana yazdırttım. Hiçbir şekilde hnc ve check isimli cgi dosyaları bulamadım.
Bunun bi açıklaması varmı acaba ?


Yardımlarınızı bekliyorum. teşekkürler.

chkrootkit/rkhunter, bu araçları kullanarak tespit edebilirsin.

Server a restart atarakda check.cgi dosyasını durdurdum. Şimdi çalışmıyor ve normal.
Ama serverda hala bir açık var. Tekrar gerçekleşeceğini biliyorum.

Sunucunuza trojen Bulaşmış olama olasılığı yüksektir .Virus taraması yapmalısınız.
Sisteminizdeki açık Bulaşan virus nedeniyledir.

Evet bıraktığı html dosyaları devamlı sildiğim için bu gün en değerli sitelerimden birisine virus attı. Hatalarım yüzünden binlerce kişiye virus bulaştırmış oldum

Virus taramasını nasıl yaptıracağım ? Dr. web diye bir uygulama yükledim ama çalıştıramıyorum.

perl i kapatın.PHP Safe mode Safemode_gid açın SuEXEC SuPHP Kurun.Tehlikeli PHP Komutlarını engelleyin.Sunucunuza Reboot Atın.Cronjobları inceleyin.rclocal i inceleyin.Kerneli güncelleyin.virüs taraması yaptırın.Güvendesiniz.mdm_per_user isimli bir modul daha vardı sanırım onuda deneyebilirsiniz.