0
Kayıt Ol

Hack yedim, yardımcı olabilir misiniz ?

17

976

  • 05-05-2015, 00:49:26
    #1
    ByMaster
    ByMaster
    Merhaba, hack yedim. Paypal ödeme adreslerini kullanıcı kendine ödeme alacak şekilde düzenlemiş.

    FTP'de sadece
    1 adet php dosyası, resimler, ve 5-6 .js dosyası bulunmakta.

    Ben nasıl hacklenmiş olabilirim ? Sunucudan mı kaynaklı yoksa bilgisayarım mı virüslü ?

    Logları incelediğimde şunları gördüm ;

    [ip adresini gizledim] - - [01/May/2015:00:12:05 +0300] "GET /Fckeditor/editor/filemanager/browser/default/connectors/test.html HTTP/1.1" 404 - "-" "Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)"
[ip adresini gizledim] - - [01/May/2015:00:12:05 +0300] "GET /FCKeditor/editor/filemanager/connectors/test.html HTTP/1.1" 404 - "-" "Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)"
[ip adresini gizledim] - - [01/May/2015:00:12:06 +0300] "GET /Admin/fckeditor/editor/filemanager/browser/default/connectors/test.html HTTP/1.1" 404 - "-" "Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)"
[ip adresini gizledim] - - [01/May/2015:00:12:09 +0300] "GET /Admin/fCKeditor/editor/filemanager/connectors/test.html HTTP/1.1" 404 - "-" "Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)"
[ip adresini gizledim] - - [01/May/2015:00:12:09 +0300] "GET /Editor/editor/filemanager/browser/default/connectors/test.html HTTP/1.1" 404 - "-" "Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)"
[ip adresini gizledim] - - [01/May/2015:00:12:10 +0300] "GET /Editor/editor/filemanager/connectors/test.html HTTP/1.1" 404 - "-" "Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)"
  • 05-05-2015, 13:33:07
    #2
    ByMaster
    ByMaster
    Koskoca r10da anlayan kimse yok mu ?
  • 05-05-2015, 13:41:00
    #3
    chnyrdkl
    chnyrdkl
    pm attım hocam.
  • 05-05-2015, 13:43:21
    #4
    ByMaster
    ByMaster
    chnyrdkl adlı üyeden alıntı: mesajı görüntüle
    pm attım hocam.
    Teşekkür ederim hocam.

    bu arada sitede FCKEDİTOR yok. daha doğrusu script yok 1 sayfa php dosyası var o kadar.
  • 05-05-2015, 13:45:21
    #5
    chnyrdkl
    chnyrdkl
    ByMaster adlı üyeden alıntı: mesajı görüntüle
    Teşekkür ederim hocam.

    bu arada sitede FCKEDİTOR yok. daha doğrusu script yok 1 sayfa php dosyası var o kadar.
    tek bir sayfa.php var ise
    o zaman sunucu kaynaklıdır hocam
    bir başka siteden sizin siteye sızmış olabilirler. shell falan atmışlardır belki sunucuya.
  • 05-05-2015, 16:43:14
    #6
    dev
    dev
    Kurumsal Üye
    ByMaster adlı üyeden alıntı: mesajı görüntüle
    Merhaba, hack yedim. Paypal ödeme adreslerini kullanıcı kendine ödeme alacak şekilde düzenlemiş.

    FTP'de sadece
    1 adet php dosyası, resimler, ve 5-6 .js dosyası bulunmakta.

    Ben nasıl hacklenmiş olabilirim ? Sunucudan mı kaynaklı yoksa bilgisayarım mı virüslü ?

    Logları incelediğimde şunları gördüm ;

    [ip adresini gizledim] - - [01/May/2015:00:12:05 +0300] "GET /Fckeditor/editor/filemanager/browser/default/connectors/test.html HTTP/1.1" 404 - "-" "Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)"
[ip adresini gizledim] - - [01/May/2015:00:12:05 +0300] "GET /FCKeditor/editor/filemanager/connectors/test.html HTTP/1.1" 404 - "-" "Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)"
[ip adresini gizledim] - - [01/May/2015:00:12:06 +0300] "GET /Admin/fckeditor/editor/filemanager/browser/default/connectors/test.html HTTP/1.1" 404 - "-" "Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)"
[ip adresini gizledim] - - [01/May/2015:00:12:09 +0300] "GET /Admin/fCKeditor/editor/filemanager/connectors/test.html HTTP/1.1" 404 - "-" "Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)"
[ip adresini gizledim] - - [01/May/2015:00:12:09 +0300] "GET /Editor/editor/filemanager/browser/default/connectors/test.html HTTP/1.1" 404 - "-" "Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)"
[ip adresini gizledim] - - [01/May/2015:00:12:10 +0300] "GET /Editor/editor/filemanager/connectors/test.html HTTP/1.1" 404 - "-" "Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)"
    Paypal adresi veritabanında tutuluyorsa sunucu üzerinde config bilgileriniz okunmuş olabilir ve veritabanına bağlanarak değiştirilmiş olabilir.

    Yok eğer veritabanında tutulmuyor php dosyasında tutuluyorsa o zaman iki seçenek var. Ya sizin kişisel güvenliğinizde bir sorun oldu şifrenizi çaldırdırdınız, Yada başka yerlerde kullandığınız şifreler ile şuanki firmadaki cpanel veya whmcs giriş şifren aynıydı.
  • 05-05-2015, 16:57:45
    #7
    ByMaster
    ByMaster
    Meftun adlı üyeden alıntı: mesajı görüntüle
    Paypal adresi veritabanında tutuluyorsa sunucu üzerinde config bilgileriniz okunmuş olabilir ve veritabanına bağlanarak değiştirilmiş olabilir.

    Yok eğer veritabanında tutulmuyor php dosyasında tutuluyorsa o zaman iki seçenek var. Ya sizin kişisel güvenliğinizde bir sorun oldu şifrenizi çaldırdırdınız, Yada başka yerlerde kullandığınız şifreler ile şuanki firmadaki cpanel veya whmcs giriş şifren aynıydı.
    sitenin cpanel şifresi random bir şifreydi kendim oluşturmadım whm şifresi ile de aynı değil.

    pc'de kis 2015 lisanslı kurulu ve veritabanı yoktu sitede.
  • 05-05-2015, 17:01:47
    #8
    Teom4n
    Teom4n
    İstekler zaten 404 hatası vermiş yani sayfa bulunamamış, shared bir hosting kullanıyorsanız, aynı sunucuda bulunan başka bir siteden shell veya başka bir script yardımı ile bilgilerinize erişmiş olabilir.

    Bilgisayarınızda virüs indirmişte olabilirsiniz, teamviewer bilgileri iletirseniz bilgisayarınıza bakabilirim.
  • 05-05-2015, 17:02:28
    #9
    dev
    dev
    Kurumsal Üye
    ByMaster adlı üyeden alıntı: mesajı görüntüle
    sitenin cpanel şifresi random bir şifreydi kendim oluşturmadım whm şifresi ile de aynı değil.

    pc'de kis 2015 lisanslı kurulu ve veritabanı yoktu sitede.
    Whm değil Whmcs yani hosting firmasının kontrol paneli giriş yaparken kullandığınız şifre genelde kullandığınız bir şifremiydi?