Hack yedim, yardımcı olabilir misiniz ?

Question

Merhaba, hack yedim. Paypal ödeme adreslerini kullanıcı kendine ödeme alacak şekilde düzenlemiş.

FTP'de sadece
1 adet php dosyası, resimler, ve 5-6 .js dosyası bulunmakta.

Ben nasıl hacklenmiş olabilirim ? Sunucudan mı kaynaklı yoksa bilgisayarım mı virüslü ?

Logları incelediğimde şunları gördüm ;

&#91;ip adresini gizledim&#93; - - &#91;01/May/2015:00:12:05 +0300&#93; "GET /Fckeditor/editor/filemanager/browser/default/connectors/test.html HTTP/1.1" 404 - "-" "Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)"
&#91;ip adresini gizledim&#93; - - &#91;01/May/2015:00:12:05 +0300&#93; "GET /FCKeditor/editor/filemanager/connectors/test.html HTTP/1.1" 404 - "-" "Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)"
&#91;ip adresini gizledim&#93; - - &#91;01/May/2015:00:12:06 +0300&#93; "GET /Admin/fckeditor/editor/filemanager/browser/default/connectors/test.html HTTP/1.1" 404 - "-" "Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)"
&#91;ip adresini gizledim&#93; - - &#91;01/May/2015:00:12:09 +0300&#93; "GET /Admin/fCKeditor/editor/filemanager/connectors/test.html HTTP/1.1" 404 - "-" "Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)"
&#91;ip adresini gizledim&#93; - - &#91;01/May/2015:00:12:09 +0300&#93; "GET /Editor/editor/filemanager/browser/default/connectors/test.html HTTP/1.1" 404 - "-" "Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)"
&#91;ip adresini gizledim&#93; - - &#91;01/May/2015:00:12:10 +0300&#93; "GET /Editor/editor/filemanager/connectors/test.html HTTP/1.1" 404 - "-" "Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)"

ByMaster · Answer

Meftun adlı üyeden alıntı:						mesajı görüntüle									Whm değil Whmcs yani hosting firmasının kontrol paneli giriş yaparken kullandığınız şifre genelde kullandığınız bir şifremiydi? 		hayır

--R10.NET; Flood Engellendi -->-> Yeni yazılan mesaj 17:05:31 -->-> Daha önceki mesaj 17:05:01 --

Teom4n adlı üyeden alıntı:						mesajı görüntüle									İstekler zaten 404 hatası vermiş yani sayfa bulunamamış, shared bir hosting kullanıyorsanız, aynı sunucuda bulunan başka bir siteden shell veya başka bir script yardımı ile bilgilerinize erişmiş olabilir.

Bilgisayarınızda virüs indirmişte olabilirsiniz, teamviewer bilgileri iletirseniz bilgisayarınıza bakabilirim. 		Bilgisayarda Kaspersky İnternet security 2015 kurulu hocam

ByMaster · Answer

chnyrdkl adlı üyeden alıntı:						mesajı görüntüle									bilgisayar a sızmış olsa ya da buna benzer bir girişimde olsa , saldırgan birisinin bir site den ya da skype-gmail gibi yerlerden hedefine exe ya da keylog benzeri birşey atar. bunlar saldırgana gider , bilgileri yani. ee bu adamın sitesi hack yemiş , pc sine virüs falan girmesi son ihtimal. ilk ihtimal ve son ihtimal var ise de hosting den kaynaklı bir sorun olduğudur.
shared hosting gibi hostinglerde dizinler arası geçiş yapmak kolay diye biliyorum.
geçmiş olsun 		Teşekkür ederim.

not : pc Kaspersky İnt. Security 2015 ile korunuyor (lisanslı)

chnyrdkl · Answer

bilgisayar a sızmış olsa ya da buna benzer bir girişimde olsa , saldırgan birisinin bir site den ya da skype-gmail gibi yerlerden hedefine exe ya da keylog benzeri birşey atar. bunlar saldırgana gider , bilgileri yani. ee bu adamın sitesi hack yemiş , pc sine virüs falan girmesi son ihtimal. ilk ihtimal ve son ihtimal var ise de hosting den kaynaklı bir sorun olduğudur.
shared hosting gibi hostinglerde dizinler arası geçiş yapmak kolay diye biliyorum.
geçmiş olsun

ByMaster · Answer

Teom4n adlı üyeden alıntı:						mesajı görüntüle									1)Hosting'e sızılmış olabilir.
2)Bilgisayarınız'a sızılmış olabilir.

Başka bir açıklaması olamaz, bence hosting kaynaklı bir problem. 		Bence de hosting kaynaklı.

						chnyrdkl adlı üyeden alıntı:						mesajı görüntüle									hosting ile ilgili bir sorun bu.
diğer türlü virüs atacakta pc nize ftp ye girecekte bu kadar uğraşmaz yani 
hostinginiz paylaşımlıdır , bir shell atar ,shellden geçiş yapar. 		...

						SEOPro adlı üyeden alıntı:						mesajı görüntüle									ftp üzerinden girmişler ftpdeki yabancı dosyalara bakın ...php şeklinde uzantıları olur genelde ftp içinde publice girmeden işlem yaparlar. 		FTP'de yabancı hiç bir şey yoktu hocam. Paylaşımlı host olduğu için shellden diğer sitelere sızabilirler diye biliyorum büyük ihtimal öyle oldu. Ama sitede fckeditor açığı aranmış belli.

SEOPro · Answer

ftp üzerinden girmişler ftpdeki yabancı dosyalara bakın ...php şeklinde uzantıları olur genelde ftp içinde publice girmeden işlem yaparlar.

chnyrdkl · Answer

hosting ile ilgili bir sorun bu.
diğer türlü virüs atacakta pc nize ftp ye girecekte bu kadar uğraşmaz yani 
hostinginiz paylaşımlıdır , bir shell atar ,shellden geçiş yapar.

Teom4n · Answer

ByMaster adlı üyeden alıntı:						mesajı görüntüle									hocam paypal ödeme adresinin değiştirildiği site kimse tarafından bilinmeyen afedersiniz ezo bir site. kim bunu özellikle değişsin ki ? sunucunun hacklenip öyle değiştirildiğini düşünüyorum.

loglara baktığımda mayıs ayında ftp'ye hiç giriş yapılmadığını doğrulayabilirim. 		1)Hosting'e sızılmış olabilir.
2)Bilgisayarınız'a sızılmış olabilir.

Başka bir açıklaması olamaz, bence hosting kaynaklı bir problem.

ByMaster · Answer

hocam paypal ödeme adresinin değiştirildiği site kimse tarafından bilinmeyen afedersiniz ezo bir site. kim bunu özellikle değişsin ki ? sunucunun hacklenip öyle değiştirildiğini düşünüyorum.

loglara baktığımda mayıs ayında ftp'ye hiç giriş yapılmadığını doğrulayabilirim.

Teom4n · Answer

ByMaster adlı üyeden alıntı:						mesajı görüntüle									hayır

--R10.NET; Flood Engellendi -->-> Yeni yazılan mesaj 17:05:31 -->-> Daha önceki mesaj 17:05:01 --


Bilgisayarda Kaspersky İnternet security 2015 kurulu hocam 		Bilgisayarınızda 1 değil 15 tane antivirus programı bile olsa daha önce piyasadakilerle eşleşmeyen, farklı şekilde yazılmış bir virüs tespit edilemez.

veya fudlanmıştır.

dev · Answer

ByMaster adlı üyeden alıntı:						mesajı görüntüle									sitenin cpanel şifresi random bir şifreydi kendim oluşturmadım whm şifresi ile de aynı değil.

pc'de kis 2015 lisanslı kurulu ve veritabanı yoktu sitede. 		Whm değil Whmcs yani hosting firmasının kontrol paneli giriş yaparken kullandığınız şifre genelde kullandığınız bir şifremiydi?

Teom4n · Answer

İstekler zaten 404 hatası vermiş yani sayfa bulunamamış, shared bir hosting kullanıyorsanız, aynı sunucuda bulunan başka bir siteden shell veya başka bir script yardımı ile bilgilerinize erişmiş olabilir.

Bilgisayarınızda virüs indirmişte olabilirsiniz, teamviewer bilgileri iletirseniz bilgisayarınıza bakabilirim.

ByMaster · Answer

Meftun adlı üyeden alıntı:						mesajı görüntüle									Paypal adresi veritabanında tutuluyorsa sunucu üzerinde config bilgileriniz okunmuş olabilir ve veritabanına bağlanarak değiştirilmiş olabilir.

Yok eğer veritabanında tutulmuyor php dosyasında tutuluyorsa o zaman iki seçenek var. Ya sizin kişisel güvenliğinizde bir sorun oldu şifrenizi çaldırdırdınız, Yada başka yerlerde kullandığınız şifreler ile şuanki firmadaki cpanel veya whmcs giriş şifren aynıydı. 		sitenin cpanel şifresi random bir şifreydi kendim oluşturmadım whm şifresi ile de aynı değil.

pc'de kis 2015 lisanslı kurulu ve veritabanı yoktu sitede.

dev · Answer

ByMaster adlı üyeden alıntı:						mesajı görüntüle									Merhaba, hack yedim. Paypal ödeme adreslerini kullanıcı kendine ödeme alacak şekilde düzenlemiş.

FTP'de sadece
1 adet php dosyası, resimler, ve 5-6 .js dosyası bulunmakta.

Ben nasıl hacklenmiş olabilirim ? Sunucudan mı kaynaklı yoksa bilgisayarım mı virüslü ?

Logları incelediğimde şunları gördüm ;

&#91;ip adresini gizledim&#93; - - &#91;01/May/2015:00:12:05 +0300&#93; "GET /Fckeditor/editor/filemanager/browser/default/connectors/test.html HTTP/1.1" 404 - "-" "Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)"
&#91;ip adresini gizledim&#93; - - &#91;01/May/2015:00:12:05 +0300&#93; "GET /FCKeditor/editor/filemanager/connectors/test.html HTTP/1.1" 404 - "-" "Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)"
&#91;ip adresini gizledim&#93; - - &#91;01/May/2015:00:12:06 +0300&#93; "GET /Admin/fckeditor/editor/filemanager/browser/default/connectors/test.html HTTP/1.1" 404 - "-" "Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)"
&#91;ip adresini gizledim&#93; - - &#91;01/May/2015:00:12:09 +0300&#93; "GET /Admin/fCKeditor/editor/filemanager/connectors/test.html HTTP/1.1" 404 - "-" "Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)"
&#91;ip adresini gizledim&#93; - - &#91;01/May/2015:00:12:09 +0300&#93; "GET /Editor/editor/filemanager/browser/default/connectors/test.html HTTP/1.1" 404 - "-" "Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)"
&#91;ip adresini gizledim&#93; - - &#91;01/May/2015:00:12:10 +0300&#93; "GET /Editor/editor/filemanager/connectors/test.html HTTP/1.1" 404 - "-" "Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)" 		Paypal adresi veritabanında tutuluyorsa sunucu üzerinde config bilgileriniz okunmuş olabilir ve veritabanına bağlanarak değiştirilmiş olabilir.

Yok eğer veritabanında tutulmuyor php dosyasında tutuluyorsa o zaman iki seçenek var. Ya sizin kişisel güvenliğinizde bir sorun oldu şifrenizi çaldırdırdınız, Yada başka yerlerde kullandığınız şifreler ile şuanki firmadaki cpanel veya whmcs giriş şifren aynıydı.

chnyrdkl · Answer

ByMaster adlı üyeden alıntı:						mesajı görüntüle									Teşekkür ederim hocam.

bu arada sitede FCKEDİTOR yok. daha doğrusu script yok 1 sayfa php dosyası var o kadar. 		tek bir sayfa.php var ise
o zaman sunucu kaynaklıdır hocam
bir başka siteden sizin siteye sızmış olabilirler. shell falan atmışlardır belki sunucuya.

ByMaster · Answer

chnyrdkl adlı üyeden alıntı:						mesajı görüntüle									pm attım hocam. 		Teşekkür ederim hocam.

bu arada sitede FCKEDİTOR yok. daha doğrusu script yok 1 sayfa php dosyası var o kadar.

chnyrdkl · Answer

pm attım hocam.

ByMaster · Answer

Koskoca r10da anlayan kimse yok mu ?