Merhaba,
Sitenizi oluşturmak için ücretsiz ulaşabileceğiniz CMS yazılımlar veya firmanız için yazdırdığınız web yazılımınızdaki açıklardan sitenize sızarak kullanmış olduğunuz hosting, sanal yada fiziksel sunucu kaynaklarını kendilerine tamamen açıp, toplu mail gönderimi veya bir çok zararlı eylemlerde kullanılmak üzere hazırlanmış shell kodları, dosyaları SSH üzerinden nasıl tespit edip sileceğimizi ve bunlara karşı nasıl önlemler alabileceğinizi paylaşacağım.
c99, r57 shell kodları kolay ulaşılabilir düzenlenebilir kodlardır. Genelde base64 ile şifrelenip sitenize bulaşa biliyor yada lisanslı yazılımları decode edip site dosyalarınızın satırları arasına bu kodlar ekleniyor ve sizden habersiz bir çok zararlı eylemler gerçekleştiriliyor. Bunlardan en çok sık yapılan Toplu mail gönderimi ve Phishing (kopyalanmış) site çalışmalarıdır.
Ne tarz önlemler almalıyım?
- En önemli ve kesinlikle uyulması gereken warez yani lisanssız yazılım kullanılmaması.
- Sunucunuzda güvenlik ayarlarının tam olarak yapılması. (custom php., disable_fuction gibi yapılandırıla bilir ayarlar.)
- FTP, Yönetim paneli gibi sitenizin içeriğini yada hizmetinize ait web alanını yönetimi yaptığınız bölümlerde yönetici adlarını ve şifrelerini minimum %60 güvenlik derecesinde belirleyiniz.
- Hosting hizmetinde Sunucu güvenliği yer sağlayıcı firmanıza ait olduğu için 1. kurala hosting servisinden yararlanıyorsanız mutlaka uymanız gerekmektedir.
Hizmetimde c99 veya r57 shell taraması nasıl yapabilirim?
Linux bir sunucunuz var ise maldet ile shell taraması yapabilirsiniz. Zararlı dosyayı tespit edip düzenleyebilirsiniz.
Diğer bir yöntem ise direk c99 ve r57 yi bulmak ve temizlemek,
– PHP dosyalarınızda r57 shell araması yapmak için;
find /home/domainname/ -name “*”.php -type f -print0 | xargs -0 grep r57 | uniq -c | sort -u | cut -d”:” -f1 | awk ‘{print “rm -rf ” $2}’ | uniq
– r57 Shell txt dosya araması;
find /home/domainname/ -name “*”.txt -type f -print0 | xargs -0 grep r57 | uniq -c | sort -u | cut -d”:” -f1 | awk ‘{print “rm -rf ” $2}’ | uniq
– PHP dosyalarınızda c99 shell araması yapmak için;
find /home/domainname/ -name “*”.php -type f -print0 | xargs -0 grep c99 | uniq -c | sort -u | cut -d”:” -f1 | awk ‘{print “rm -rf ” $2}’ | uniq
– c99 Shell txt dosya araması;
find /home/domainname/ -name “*”.txt -type f -print0 | xargs -0 grep c99 | uniq -c | sort -u | cut -d”:” -f1 | awk ‘{print “rm -rf ” $2}’ | uniq
Yukardaki satırlar ile shell bulaşmış dosyayı tespit edip silebilirsiniz.
Sadece dosyayı tespit etmek istiyorsanız
awk ‘{print “rm -rf “ $2}’ | uniq
“rm -rf” kalın yazılmış bölümü kod satırlarından kaldırabilirsiniz. Böylelikle dosyanız silinmeyecek ekranınızda listelenecektir.
