Sunucumdaki Siteler Hackleniyor

Selamlar
Sunucuma vb3.8.2 forum kurdum eklenti felan yok ama meta kodu atmışlar herengi bir foruma tıklayınca indexe yönlendirme yapıyor acaba hangi açıktan bunu yapabilirler? sql'deki meta kodu:

(2, 0, '<meta http-equiv="refresh" content="2;url=http://siteadı.net/clientscript/vbulletin_css/a.html"&g', '<meta http-equiv="refresh" content="2;url=http://siteadı.net/clientscript/vbulletin_css/a.html"&g', '<meta http-equiv="refresh" content="2;url=http://siteadı.net/clientscript/vbulletin_css/a.html">\r\n', '<meta http-equiv="refresh" content="2;url=http://yönledirilenindexadresi.com/a.html">\r\n', 89799, 0, 1, 0, 0, '', 0, '', 0, 0, '', 0, -1, '', '', 1, '2,1,-1', '', '', '2,-1', 'lastpost', 'desc', '');

Duyurular bölümüne bak admincp'den
Yeni duyuru eklemişlerdir.

yok usta vb duyuruya hacet bırakmamış:
hackleyenle iletişime geçtim vb 3.8.2 de açık var vb kendisi shell yapmış resmen anasını satayım!
http://www.hedefsite.com/includes/cl...qwe9s_calendar
tarayıcıya yaz sony yaz enter ve çıkan sonuç:

ftpdeki dosyalar:

ve buda vb opsiyonelliği optionsa bas otomatik açsın özellikleri:

config.php ye adit de ve bu uzun işlemin sonunda mutlu sona ulaştık!

vb ye okadar güveniyoz ki direk sunucuda açık var diyoruz 168$ fazla bişi değil! ne r57 nede c99 ve türevlerine gerek var!

Vbulletin 3.8.2 KULLANANLAR MUTLAKA FORUMLARININ SÜRÜMÜNÜ YÜKSELTSİNLER!

Merhaba

Size bir kaç tavsiyem olacak. Büyük ihtimalle sitelerden birinden shell var. Bununla config i okuyup mysqlnize bağlanıp metag ekliyorlar. Buna karşı ne yapabilirim diye sorarsanız:

Hacklenen sitenin veritabanı bilgilerini güncelleyiniz
perl i httpd.conf tan pasifleştiriniz.
İnternette var olan c99 - r57 ve exploritlere karşı php.ini güvenliği alınız.

Sorununuzun bu şekilde çözme kavuşacağını düşünüyorum. Hala çözülmezse bilgi veriniz..

@HS_Abdullah Bey sorunu zaten ben resimlerle anlattım sitelerde shell yok taratma yaptım php.ini güvenliğide zaten tam sayılır resimli anlatım yaptığım mesajıma bakınız lütfen ama ek olarak perl i kapatsam gerçekten iyi olabilir bugünlerde perl exploit forumlarda çok çıkmaya başladı.

/home/kullanıcı/domains/sitesi.com/public_html/mirc.exe infected: Win32.Parite.B
/home/kullanıcı/domains/sitesi.com/public_html/mirc1.exe infected: Win32.Parite.B


Results:
Folders :23200
Files :128148
Packed :9948
Infected files :2
Suspect files :0
Warnings :0
Identified viruses:1
I/O errors :0
Files/second :164
Scan time :00:12:57

bunlar win trojan barındıran mIRC scriptler. Lünux için tehlikeli değiller

Merhaba,
perl'i pasifleştirmek için aşağıdaki adımları uygulayınız :
pico /etc/httpd/conf/httpd.conf 'a girip.
AddHandler cgi-script .cgi .pl .plx .ppl .perl bulunuz tam bulmazsa kısmen arayınız. Satır başına # ekleyiniz. Yani
# AddHandler cgi-script .cgi .pl .plx .ppl .perl

Tabi ondan sonra apacheye restart atınız.

service apache restart

Bu kadar. Bu sayede cgi-script .cgi .pl .plx .ppl .perl uzantılı hiç bir işlem yapılamıyacaktır.

şunu buldum:
AddHandler cgi-script .cgi .pl .pm
buhale getirdim:
# AddHandler cgi-script .cgi .pl .pm plx .ppl .perl

apache restartladım

safe mode on