Malware url ve sonuçları (null route ip)

[hakana]

Dedicated sunucumuz FDC veri merkezinde ve 2 gün önce FDC den aşağıdaki şu uyarıyı aldık.

servermainip adresi | 2008-05-16 18:32:11
http://www.domain1.com MALWAREURL

servermainip adresi | 2008-05-16 17:26:38
Welcome to DOMAIN2.COM MALWAREURL

Bu malwareurl den dolayı 24 saat içinde sorunu çözmezsek IP yi null route yapacaklarını söylediler ve yaptılar da. Maalesef şu anda sunucu üzerindeki siteler açılmıyor ve bu yüzden zor durumda kalmış durumdayız. Lakin sadece bu 2 site yüzünden (ki bunlar reseller hesabının müşterileri) diğer tüm siteler de mağdur olmuş durumda. Siz ne düşünürsünüz (?) bilmiyorum ama FDC nin bu malwareurl konusunda bu kadar katı ve yaptırımcı tutum sergilemesini hoş bulmadım. Verilen 24 saatlik süre çok azdı ve zaten maili okuduğumuzda bir miktar zaman geçmişti bile.

Verilen zaman içerisinde;
Rkhunter ve chkrootkit raporlarını detaylı olarak inceledik fakat bir problem göremedik.
Buna ilaveten update edilmiş BDC/Linux Console ile bir tarama yaptık ve yine hiç bir güvenlik uyarısı vermedi.

Aslında bahsi geçen MALWAREURL den ifareme virüsü olarak haberdardık ve bununla ilgili olarak reseller hesap sahibi müşterimizin index lerin body kısmına ve çeşitli yerlerine attığı kodları temizleyerek tüm FTP şifrelerini değiştirmelerini istemiştik. Bu işlemi yaptılar hatta bilgisayarlarına format atmalarına rağmen bu iframe virüsü yine hortladı. Fakat önceden olduğu gibi sadece bu reseller hesaba ait sitelerde ortaya çıktığını için sorunun müşteriden kaynaklandığını düşünüyorduk. Fakat yine de sunucuda bir exploit olabileceğini göz önüne alarak çeşitli güvenlik programlarıyla tarama yaptık fakat herhangi bir güvenlik uyarısı almadık.

MALWAREURL yapan bu iframe visürüsünü bulmak ve sunucudan temizlemek için bu konuda başka neler yapabiliriz, nasıl bir çözüm bulabiliriz?

Reseller hesaplara ayrı bir IP versek ileride yine böyle bir sorun yaşandığında sadece o reseller IP IP null route yapılabilme ihtimali bir çözüm olur mu? Yoksa kabak yine main IP ye patlar mı?

[darkwinter]

Aslında FDC gene de insaflı davranmış bence. Bazı veri merkezleri uyarmadan fişini çekebiliyor sunucunun. En iyi çare bence sorun yaratan müşterilere zamanında çözüm bulunsa bile; sorun yaratan alan adlarını sunucudan kaldırmak. Bu sorun ile ilgili bir madde koyabilirsiniz hizmet sözleşmesine.

Sizin yaşadığınız problem forumda bir iki kere daha dile getirilmişti. Arama yaparsanız çözüme ulaşabilirsiniz kanaatimce.

Geçmiş olsun.

[lwddat]

ben bu sorun 1.5 yıl evelsi karşılaşmıştım aynen dediğin gibi pcsime bulaşmıştı ve direk html php olan herşeye bulanmıştı müşterinizin yapıcağı tek şey tek tek php olan dosyaları açıp en sona doğru inip orada kodlarla alakası olmuyan zımbırtıları silmek başkada bi çaresi yok kolay gelsin

[Intermedya BTA]

Evet bizim müşterilerimizden birinde de bu sorun vardı. Google tarafından sakıncalı siteler arasına alındı. Index.php dosyasını temizleyip yeniden hosta yolladık. Gerekli yerede mail attık. Bekliyoruz sakıncalı listesinden çıkmasını.

[hakana]

İlgili sitelerde index.htm ve index.php dosyalarının body kısmına yerleşen bu zararlı kodu temizleyerek şimdilik durumu kurtardık. Şimdilik diyorum çünkü problem host sahibi tarafından giderilmediği sürece yine otomatik kod atacak. Önceleri defalarca aynı temizleme işlemini yaptık ve sürekli atmaya devam ediyor.

Bu iframe virüsü, bulaştığı pc deki ftp şifrelerini gönderip db sine kaydediyor ve kod atma işlemini yapıyor. Nod32, Panda gibi antivirüs yazılımları yetersiz kalıyor. Kaspersky yakalıyor. Avg nin de yakaladığını duymuştum.

Dosyaların yazma izinlerine baktık problem yok. Sunucuyu defalarca güncel güvenlik yazımlarıyla kontrol ettiğimiz için sunucu tarafından kaynaklanmıyor diyebilirim. Zaten sorun sunucuda olsaydı bu zararlı kodun diğer sitelerde de olması gerekirdi.

Aslında index dosyaları açıp zararlı kodu kontrol eden ve otomatik temizleyen bir script yazmak ve cron a atmak faydalı olabilir...

@darkwinter: Dediğiniz gibi sözleşmeye böyle bir madde eklemek oldukça mantıklı görünüyor. Çünkü biz, sorunun çözümü için bu virüsü yakalayan ve engelleyen bir antivirüs yazılımı kullanmaları gerektiğini defalarca host sahibine ilettik. Fakat bu konuda bir şey yapmadılar ve sorunun bizim sunucudan kaynaklandığını dile getirdiler. Şimdi diğer tüm site sahipleri ve biz zor durumda kalıyoruz..

[byilyas]

Quote:

Originally Posted by Intermedya BTA

Evet bizim müşterilerimizden birinde de bu sorun vardı. Google tarafından sakıncalı siteler arasına alındı. Index.php dosyasını temizleyip yeniden hosta yolladık. Gerekli yerede mail attık. Bekliyoruz sakıncalı listesinden çıkmasını.

Mail atmaya gerek yok siz temizliğinizi yapın google robotu bakar bunlar temizlemişmi diye sonra çıkartır listeden...

Ayrıca Türkiyedeki bi dc ye geçersen bu sorunu yaşamazsın

[hakana]

Biraz düşündüm de... Biri(leri) bu şikayetleri data center a hizmetimizi baltalamak ve bizi zor durumda bırakmak için kasıtlı olarak yapıyor!

MALWAREURL bulunan siteler reseller sahibi müşterimizin host ettiği firma siteleri. İnsanın aklına ister istemez şu soru geliyor:

Host edilen siteden data center bilgilerine ulaşabilecek kadar bilgili bu kişi neden daha kolay bulabileceği reseller bilgilerinden (sitenin hemen altında yazıyor) bu reseller a ya da name serverdaki domain bilgilerinden bize ulaşmıyor da daha fazla araştırma isteyen data center bilgilerine ulaşıp oraya bizi şikayet etmeyi tercih ediyor?

Sorunun cevabı: bizi çekemeyen rakip bir firma ya da sitenin hostunu bizim resellera kaptırdığı için intikam almaya çalışan biri olabilir acaba?

[baracuda]

Belirttiğin gibi müşterisini kaybeden birinin şiayeti olabilir ancak bağzı firmalarda the planet sago networks gibi firmalarda sunucuların havuzuna tunnel diye bir ünite olduğunu biliyorum bu ünite hattan giriş çıkış yapan tüm zararlı olabilecek kodları tespit edebiliyor. Tabiki bu kodlar tunnel yazılımında tanımlanmış olanlar için geçerli, antivirüs gibi düşünebiliriz . Bu sebeple biri sizi şikayet etmedende tespit edebilirler.

Saygılar.

[hakana]

Gelen email data center ın destek deparmanından "infected customer report" konu başlığıyla geliyor. Direk oraya şikayet ediyorlar. Bu kaçıncı şikayet oldu artık ben de hatırlamıyorum. Diğer resellerın host ettiği sitelerde de bu MALWAREURL bulunabiliyor ama nedense şikayet hep aynı resellerın host ettiği siteler için geliyor. Belli ki biri kasıtlı yapıyor.