Merhaba, tüm sitelerde dediğine göre ftp parolasını tahmin edip atılma olasığı pek fazla değil. ftp loglarını veya web sitelerinin dosya/klasör izinlerini kontrol edebilirsiniz veya dosya değiştiği günde değiştirilen veya yüklenen sunucu üzerindeki dosyalara bakabilirsiniz. ( php veya html harici ) sunucuda eklenen kullanıcı var mı varsa bu kullanıcıların oluşturduğu dosyalar mevcut mu? bunları kontrol edilebilir. kullandığınız yazılımlarda bu şekilde bir işlem yapılabilecek bir açık mevcut mu bunlar kontrol edebilirsiniz. sunuda rootkit taraması da yapabilirsiniz.
sonrasında sayfalara bulaşmış kodları temizlemek için search and replace tarzı sed veya perl ile hazırlayacağınız bir komutla silebilirsiniz. 3 Temmuz 2013 09:37 tarihinde Serkan Tetik <[email protected]> yazdı: > Merhaba, > > Sunucu üzerindeki tüm sitelere aşağıdaki kod yer almaktadır. > > if(!(!g.getElementsByClassName||g.getElementsByClassName("e").length===0)){g.lastChild.className="e";if(g.getElementsByClassName("e").length!==1){n.order.splice(1,0,"CLASS");n.find.CLASS=function(h,l,m){if(typeof > l.getElementsByClassName!=="undefined"&&!m)return > l.getElementsByClassName(h[1])};g=null}}})();var > E=s.compareDocumentPosition?function(g,h){return!!(g.compareDocumentPosition(h)&16)}: > function(g,h){return > g!==h&&(g.contains?g.contains(h):true)},x=function(g){return(g=(g?g.ownerDocument||g:0).documentElement)?g.nodeName!=="HTML":false},ga=function(g,h){var > l=[],m="",q;for(h=h.nodeType?[h]:h;q=n.match.PSEUDO.exec(g);){m+=q[0];g=g.replace(n.match.PSEUDO,"")}g=n.relative[g]?g+"*":g;q=0;for(var > p=h.length;q=0===d})};c.fn.extend({find:function(a){for(var > b=this.pushStack("","find",a),d=0,f=0,e=this.length;f0)for(var > j=d;j0},closest:function(a,b){if(c.isArray(a)){var d=[],f=this[0],e,j= > {},i;if(f&&a.length){e=0;for(var > o=a.length;e-1:c(f).is(e)){d.push({selector:i,elem:f});delete > j[i]}}f=f.parentNode}}return d}var > k=c.expr.match.POS.test(a)?c(a,b||this.context):null;return > this.map(function(n,r){for(;r&&r.ownerDocument&&r!==b;){if(k?k.index(r)>-1:c(r).is(a))return > r;r=r.parentNode}return null})},index:function(a){if(!a||typeof a=== > "string")return c.inArray(this[0],a?c(a):this.parent().children());return > c.inArray(a.jquery?a[0]:a,this)},add:function(a,b){a=typeof > a==="string"?c(a,b||this.context):c.makeArray(a);b=c.merge(this.get(),a);return > this.pushStack(qa(a[0])||qa(b[0])?b:c.unique(b))},andSelf:function(){return > this.add(this.prevObject)}});c.each({parent:function(a){ > > > 2 Temmuz 2013 20:15 tarihinde Eren Salih Pala <[email protected]>yazdı: > >> Ben bu sorunu kisa sure once ayni yapiyi tasiyan sunucularimdan birinde >> yasadim. Benin sorunum http ve php dosyalarina bulasan iframe kodu idi. Tum >> belirli sayfalara iframe ile kendi kodunu atiyordu.. Clamav ile taramayi >> denedim komutla buldugum virusleri/malwareleri yakalamadi bile cagre olarak >> icerisinde o kodu atadigi tum dosyalari bularak teker teker elle >> temizleyerek cozdum. Kaynagi ftp baglantilariydi client pcden bulasmasi idi >> ve tum web sitelere bulasmisti. Temizlik snrasi temiz bir bilgisayardan tum >> ftp sfrelerini degiserek cozdum bir sure gozlemledim dahada yasamadim.. >> >> Size bulasan zararli kodlar nedir ? Ayrica bunun kolay bir cagresi varsa >> arkadaslarin tavsiyesini bende bilmek isterim. >> >> >> Samsung Mobile tarafından gönderildi >> >> >> >> -------- Orjinal mesaj -------- >> Kimden: Serkan Tetik <[email protected]> >> Tarih: >> Alıcı: [email protected] >> Konu: [Linux-sunucu] Malware zararlı içerik sorunu >> >> >> Merhaba, >> >> Üzerinde cPanel kurulu bir web sunucumuz mevcut bu sunucu üzerinde >> bulunan tüm sitelere cPanel cgi ve 404 sayfalarıda dahil olmak üzere >> malware zararlı içerik ve kodlar girdiği görülmektedir. Tüm araştırma ve >> logları incelememize rağmen bir sonuç elde edemedik. Araştırmalar sonucu >> blackhole exploit ile bu işlemin yapıldığı bir çok makale ve yazı ile >> karşılaştık. >> >> Daha önce aramızda bu şekilde bir sorun yaşayanlar var ise nasıl bir yol >> izlenmeli sunucu üzerinde nasıl bir önlem alınarak sunucu üzerindeki >> zararlı içeriklerin temizlenebileceği ile ilgili yol gösterilerek yardım >> olunur ise çok seviniriz. >> >> -- >> *Serkan Tetik* >> >> _______________________________________________ >> Linux-sunucu E-Posta Listesi >> [email protected] >> >> Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından >> okuyabilirsiniz; >> >> Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen >> e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 >> dakika içinde üyeliğinizi sonlandırabilirsiniz. >> https://liste.linux.org.tr/mailman/listinfo/linux-sunucu >> >> > > > -- > *Serkan Tetik* > > _______________________________________________ > Linux-sunucu E-Posta Listesi > [email protected] > > Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından > okuyabilirsiniz; > > Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen > e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 > dakika içinde üyeliğinizi sonlandırabilirsiniz. > https://liste.linux.org.tr/mailman/listinfo/linux-sunucu > >
_______________________________________________ Linux-sunucu E-Posta Listesi [email protected] Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
