Bu virüsün yayılmasında ki en önemli sebep kullanıcıların sitelerin FTP hizmetlerine bağlanırlarken şifrelerini otomatik olarak kaydetmeleri ve bunları makinelerinde saklamaları.kullanıcıların genellikle windows işletim sistemi kullandıkları düşünülünce ftp şifrelerinin ele geçirilme olasılığı yüksek olmakta.bu virüs sadece index.php (asp),main.php (asp),header.php (asp),Footer.php (asp),index.html (htp),admin.php (asp) tip dosyalara bulaşmakta ve diğer dosyalara dokunmamaktadır. nedeni ise bu dosyalar ile işini hallediyor olması.anasayfaya kendini yerleştirdikten sonra yönlendirmelerle istediği saldırıyı/bulaştırmayı yapmakta. eğer host hizmeti şeklinde bir hizmet veriyorsanız müşterilerinize/kullanıcılarınıza bu virüs hakkında detaylı açıklamalı ve nasıl bundan kurtulmaları gerektiğini söyleyen bir mail atmanız ve bilinçlendirmeniz iyi olacaktır diye düşünüyorum.ayırca bazıları google ın zararlı kod içerikli site kategorisine girmişlerse bundan nasıl kurtulmaları gerektiğini de söylerseniz kendileri için iyi olur.
Dediğim gibi bu virüs FTP hizmeti üzerinden özellikle kayıtlı şifreler üzerinden kendini yayıyor.yani bir klasörden diğerine atlaması gibi bir olayı görmedim. 2009/10/1 Bünyamin <[email protected]> > Selamlar, > > Düzenli kontrolünü yaptığım bir sunucuda, tesadüfen müşterinin birinde > iframe virüsü tespit ettim. Sonra tüm serverda bir arama yaptım*[1]*. > Yaklaşık 300 kadar müşteri içinden 30 kadar sitede ifame virüsü tespit > ettim. > > Sunucu *centos 5.2 x86_64*, üzerinde *WHM 11.24.2 - X 3.9* kurulu. *apache > 2.2* kullanıyoruz ve apache de şunlar aktif: * suPHP*, *Suexec*, * > mod_security*, *mod_userdir*. *PHP 5.2.9* kurulu. > > Benim bildiğim kadarıyla, bu iframe virüsü müşterinin bilgisayarından > sitelerine FTP aracılığıyla bulaşıyor. Bunun dışında bulaşmasına imkan var > mı? ya da serverdaki bu virüs yayılabilir mi? 30 sitede de virüs görünce, > sorma ihtiyacı hissettim. > > Teşekkürler, iyi çalışmalar. > > *[1]* # du -a /home/ | awk {'print $2'} | xargs grep -l 'frame' > > supheliler.txt > > _______________________________________________ > Linux-sunucu E-Posta Listesi > [email protected] > > Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından > okuyabilirsiniz; > > Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen > e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 > dakika içinde üyeliğinizi sonlandırabilirsiniz. > http://liste.linux.org.tr/mailman/listinfo/linux-sunucu > > -- Ömer ALBAYRAK http://www.sistemguvenligi.net/ http://sistemguvenligi.blogspot.com/
_______________________________________________ Linux-sunucu E-Posta Listesi [email protected] Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. http://liste.linux.org.tr/mailman/listinfo/linux-sunucu
