0
Kayıt Ol

Sunucuda otomatik dosya oluşturuyor

15

1.943

  • 13-08-2014, 19:44:56
    #1
    yakoSin
    yakoSin
    Misafir
    Bi sıkıntı yaşıyorum, içinde pekte masum olmayan kodlar yer alan dosyalar oluşturulmuştu tüm sitelerimde.

    Hepsini sildim. Ancak ben siliyorum dosyalar tekrar oluşuyor.
    Tanımlı ftp hesabı yok, ftp'ye root olarak giriyorum.



    Bu dosyaları (gr8.php ve gr9.php) apache oluşturmuş olarak anlıyorum ben. Bunu ssh'tan bulma şansım var mı ? Ne önerirsiniz.
  • 13-08-2014, 19:48:19
    #2
    Anatolyum
    Anatolyum
    Üyeliği durduruldu
    hesaplarınızda shell gibi dosyalar varsa onlar sürekli çoğaltma yapıyor olabilir
  • 13-08-2014, 19:49:59
    #3
    yakoSin
    yakoSin
    Misafir
    Anatolyum adlı üyeden alıntı: mesajı görüntüle
    hesaplarınızda shell gibi dosyalar varsa onlar sürekli çoğaltma yapıyor olabilir
    Ben çok fazla anlamam shell'den hocam. Varsa, tespitini nasıl yapmak lazım bilgin var mı ?
  • 13-08-2014, 19:52:20
    #4
    Anatolyum
    Anatolyum
    Üyeliği durduruldu
    genelde ftp hesaplarındaki dosyaları pc ye indirip virüs taraması yaparak shell olan dosyaları buluyorlar ama ben şahsen elle tek tek bakarak buluyorum
  • 13-08-2014, 22:26:32
    #5
    victories
    victories
    ssh dan bulmak için find veya locate komutunu kullanabilirsiniz,

    locate ile bulmak için öncelikle updatedb komutu verin ardından

    Alıntı
    locate gr8.php
    komutu verirseniz size bu dosyanın bulunduğu yerleri listeleyecektir,

    alternatif olarak find komutu ile bulmak için

    Alıntı
    find /home -name gr8.php
    tabi asıl tavsiyemiz bunlar niye oluşuyor onu bulmanız lazım, silerek bir yere varamazsınız.
  • 13-08-2014, 22:33:03
    #6
    yakoSin
    yakoSin
    Misafir
    Dosyaları sorunsuz buluyorum. (find -name gr8.php ile)
    Dosyalar apache tarafında oluşturulmuş gibi görünüyor (yada ben öyle anlıyorum). Ama oluşturan hangi dosya yada script, onu bulma konusunda yardıma ihtiyacım var. Çok fazla dosya var, tek tek bakmaya kalksam evin yolunu bulamam

    Dosyaları indirip virüs taramasıda yaptım ama birşey çıkmadı.
  • 13-08-2014, 23:36:16
    #7
    AndyCap
    AndyCap
    Kimlik doğrulama veya yönetimden onay bekliyor.
    Dosyaları apache sahiplendiğine göre, Mod_Security ve clamav entegresi ile upload edilen dosyaların incelenmesini sağlayabilirsin. Bilinen shell dosyalarından biridir bunlar da. Dosyaların içeriğini paylaşman mümkün mü? Rastgele 2 tanesi mesela.
  • 14-08-2014, 01:50:36
    #8
    Onurss
    Onurss
    Kurumsal Üye
    find /home/dizin  -name "*".php  -type f -print0  | xargs -0 grep gr8 | uniq -c  | sort -u  | cut -d":" -f1  | awk '{print $2}' | uniq
    Kodunu bir deneyin, çözüm olacak dosyaya ulaştırabilir.
  • 14-08-2014, 01:55:47
    #9
    MiLLer7
    MiLLer7
    uzak erişim ile otomatik havuza alınmış olabilir sunucunuz bu sayede siz kodları temızlemedıkten sonra devamlı o dosyalar otomatik olarak saldırganın kodları sayesınde otomatık olarak eklenecektir. Sunucunuzda siteler varsa indirip incelemekte fayda var yok ise re-install etmeniz daha mantıklı.