0
Kayıt Ol

Sunucuda otomatik dosya oluşturuyor

15

1.943

  • 14-08-2014, 08:24:12
    #10
    Dereck
    Dereck
    Sunucunuza maldet kurup home dizinindeki siteleri tümünü taratırsanız dosyalar büyük ihtimalle bulunacaktır.

    wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
tar zxvf maldetect-current.tar.gz
cd maldetect-*
sh install.sh
    daha sonra taramayı başlatmak için

    maldet -a /home/?/public_html
    home dizinindeki tüm dosyalar taranacaktır tarama sonrasında size maldet --report 081513-2051.9709 tarzında bir çıktı verilecek ordaki numarayı alıp


    maldet -q 081513-2051.9709
    şeklinde bir komut verirseniz tespit edilen dosyalar bulunduğu dizinlerden taşınıp karantinaya alınır sonrasında karantinadan isterseniz o dosyaları açıp görüntüleyebilirsiniz

    karantinaya almadan önce raporu incelemek içinde aşağıdaki komutu kullanabilirsiniz. maldet genelde şifrelenen şifrelenmeyen birçok shell dosyasını tespit edebiliyor. Denemeniz sunucunuza extra bir yük oluşturmaz denemenizi tavsiye ederim.

    maldet --report 081513-2051.9709
  • 14-08-2014, 09:13:01
    #11
    yakoSin
    yakoSin
    Misafir
    AndyCap adlı üyeden alıntı: mesajı görüntüle
    Dosyaları apache sahiplendiğine göre, Mod_Security ve clamav entegresi ile upload edilen dosyaların incelenmesini sağlayabilirsin. Bilinen shell dosyalarından biridir bunlar da. Dosyaların içeriğini paylaşman mümkün mü? Rastgele 2 tanesi mesela.



    Bu gr8.php, gr9.php aynı sadece name.txt yerinde namee.txt yazıyor. O dosyalarda da alt alta 2 url yer alıyor. (Sildiğim için bulamadım) O adresleri kontrol ettiğimde amazon login sayfasına benzettim. Phising için kullanılacak sanırım. Günlük hiti 10 olan sitemde, bu dosyaların site hitinden fazla istek aldığını gördüm loglardan. (1 saat içinde hemde)

    Onurss adlı üyeden alıntı: mesajı görüntüle 
    find /home/dizin  -name "*".php  -type f -print0  | xargs -0 grep gr8 | uniq -c  | sort -u  | cut -d":" -f1  | awk '{print $2}' | uniq
    Kodunu bir deneyin, çözüm olacak dosyaya ulaştırabilir.
    Sonuç vermedi hocam.

    MiLLer7 adlı üyeden alıntı: mesajı görüntüle
    uzak erişim ile otomatik havuza alınmış olabilir sunucunuz bu sayede siz kodları temızlemedıkten sonra devamlı o dosyalar otomatik olarak saldırganın kodları sayesınde otomatık olarak eklenecektir. Sunucunuzda siteler varsa indirip incelemekte fayda var yok ise re-install etmeniz daha mantıklı.
    Sitelerin tamamı bana ait. Hepsi özel kodlama, 1 tane wp var.

    Dereck adlı üyeden alıntı: mesajı görüntüle
    Sunucunuza maldet kurup home dizinindeki siteleri tümünü taratırsanız dosyalar büyük ihtimalle bulunacaktır.

    wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
tar zxvf maldetect-current.tar.gz
cd maldetect-*
sh install.sh
    daha sonra taramayı başlatmak için

    maldet -a /home/?/public_html
    home dizinindeki tüm dosyalar taranacaktır tarama sonrasında size maldet --report 081513-2051.9709 tarzında bir çıktı verilecek ordaki numarayı alıp


    maldet -q 081513-2051.9709
    şeklinde bir komut verirseniz tespit edilen dosyalar bulunduğu dizinlerden taşınıp karantinaya alınır sonrasında karantinadan isterseniz o dosyaları açıp görüntüleyebilirsiniz

    karantinaya almadan önce raporu incelemek içinde aşağıdaki komutu kullanabilirsiniz. maldet genelde şifrelenen şifrelenmeyen birçok shell dosyasını tespit edebiliyor. Denemeniz sunucunuza extra bir yük oluşturmaz denemenizi tavsiye ederim.

    maldet --report 081513-2051.9709
    Maldet bir sorun bulamadı hocam. Rapor şu şekilde.

    SCAN ID: 081414-0854.10671
TIME: Aug 14 08:56:48 +0200
PATH: /var/zpanel/hostdata/zadmin/public_html
TOTAL FILES: 3383
TOTAL HITS: 0
TOTAL CLEANED: 0
    Tüm dosyaları indirip virüs taramasıda yaptım, birşey çıkmadı. Ben tüm dosyaları sildikten sonra, tüm hesaplara oluşturmadı dosyayı. Israrlar bir siteye oluşturuyor, o siteyi yayından kaldırınca (klasör adını değişerek) başka bir siteye ekliyor.
  • 14-08-2014, 12:56:54
    #12
    MiLLer7
    MiLLer7
    İçeriğinizin yazılımı size ait olabilir. Bir Zamanlar H*cklinkciler index.php içine veya başka php kodlarına sunucunuza atılan data.txt vs.txt gibi txt dosyalarının içindeki kodları sunucunuza siz silseniz dahi silindiğinde ekle dediklerinde ekleyebiliyordu. Kodlamalarınıza bir göz atın.

    Ayrıca clamav vs vs bazen basit yazılımları dahi bulamadığı oluyor gr8.php r57 vs vs gibi bir shell dosyası ise http://configserver.com/cp/cxs.html bir lisans alın en azından rahat edersiniz.
  • 14-08-2014, 13:06:53
    #13
    yakoSin
    yakoSin
    Misafir
    MiLLer7 adlı üyeden alıntı: mesajı görüntüle
    İçeriğinizin yazılımı size ait olabilir. Bir Zamanlar H*cklinkciler index.php içine veya başka php kodlarına sunucunuza atılan data.txt vs.txt gibi txt dosyalarının içindeki kodları sunucunuza siz silseniz dahi silindiğinde ekle dediklerinde ekleyebiliyordu. Kodlamalarınıza bir göz atın.

    Ayrıca clamav vs vs bazen basit yazılımları dahi bulamadığı oluyor gr8.php r57 vs vs gibi bir shell dosyası ise http://configserver.com/cp/cxs.html bir lisans alın en azından rahat edersiniz.
    Dosyalar shell dosyası değil hocam. Bir sayfa oluşturup, o sayfaya gelenleri başka bir adrese meta refresh ile yönlendiriyorlar. Sitelerime zarar vermiyor aslında kodlar.

    Ama açılan sayfa yemleme amaçlı açılmış gibi geldi bana. Geçtiğimiz ay bir arkadaşım benzer bir sorun yaşadı. tucows domaini askıya aldı, yabancı bir bankayla alakalı bu tarz bir yönlendirme mevcuttu. O daha gelişmişti, htaccess ile ip blocklarına uygunsa yönlendirme yapıyordu. Şikayet geldiğinde dahi anlayamadık, ftp'ye girince farketmiştik. Hala domain açılmadı.

    Korkuyorum o tarz bi durum olacak diye. Sürekli dosya varmı yok mu diye kontrol ediyorum. Hemen hemen tüm siteleri kapadım, 2 site aktif.
  • 15-08-2014, 00:22:55
    #14
    AndyCap
    AndyCap
    Kimlik doğrulama veya yönetimden onay bekliyor.
    @yakoSin,

    Evet kodları incelediğim kadarıyla, script name.txt adında bir anahtar tutuyor ve name.txt load edilip ilgili sayfalara yönlendirme mevcut. Sizin de bahsettiğiniz üzere, bir tür phising amacı olabilir.

    Dosyalar apache tarafından sahiplendiği için, akla direk web üzerinden upload edildikleri geliyor. ( RFI olabilir) Bu yüzden dosyaları görmek istedim ve mod_Security önerdim.

    Detaylar için access_log, yönlendirmeye dahil edilen URL'ler, codebase incelemek gerekiyor.
  • 15-08-2014, 01:29:32
    #15
    yakoSin
    yakoSin
    Misafir
    mod_security kurdum.

    Başıma bi iş gelecek ama hayırlısı bakalım. Bu kadar istek mi bi olur bu dosyalara :S Nerden basıyorlar, nerden geliyorlar aklım almıyor. Amaç ne çözemedim. Bu sitelerden sadece biri bide :S

    Edit: .htaccess ile de dosyalara erişimi engelledim.

  • 17-08-2014, 22:57:13
    #16
    MiLLer7
    MiLLer7
    yakoSin adlı üyeden alıntı: mesajı görüntüle
    Dosyalar shell dosyası değil hocam. Bir sayfa oluşturup, o sayfaya gelenleri başka bir adrese meta refresh ile yönlendiriyorlar. Sitelerime zarar vermiyor aslında kodlar.

    Ama açılan sayfa yemleme amaçlı açılmış gibi geldi bana. Geçtiğimiz ay bir arkadaşım benzer bir sorun yaşadı. tucows domaini askıya aldı, yabancı bir bankayla alakalı bu tarz bir yönlendirme mevcuttu. O daha gelişmişti, htaccess ile ip blocklarına uygunsa yönlendirme yapıyordu. Şikayet geldiğinde dahi anlayamadık, ftp'ye girince farketmiştik. Hala domain açılmadı.

    Korkuyorum o tarz bi durum olacak diye. Sürekli dosya varmı yok mu diye kontrol ediyorum. Hemen hemen tüm siteleri kapadım, 2 site aktif.
    # nano /usr/bin/gr9


    #/usr/bin/!
echo "Tum gr9.php uzantili dosyalari siliyorum bekle.."
echo ""
find . -type f -name "*gr9.php" -exec ls -b {} \; | xargs rm -rf
echo "Tum gr9.php uzantili dosyalari sildim."
echo ""
echo "Kontrol edelim bakalim silindi mi ?"
find . -name *gr9.php

    # chmod +x /usr/bin/gr9
    # gr9


    Cron ile zamanlayın en azından devamlı takip etmezsiniz sanırım 2 ader php dosyası vardı iki adet oluştur cron ile zamanla kafan rahat eder azda olsa