Virüs veya Trojan nedir ? Bilgisayarınıza veya ağınıza zarar vermek için giren ufak programcıklardır. Bir virüs programınız varsa ve güncelse birazda olsa güvencedesinizdir. Başıma gelen bir virüs trojan türevi bir tecrübeyi sizlerle paylaşmak istiyorum.
Şirketimizde ki ağda; 3 Adet Server, 17 Adetde Thin Client bulunuyor.
Bilmeyen arkadaşlar için Thin Client; Kabaca bildiğimiz bilgisayar, fakat fiziksel boyutları ve içindeki konfigürasyon epeyce bir küçük. Kullanıcılar server üzerindeki hesabına bu minik bilgisayarlar aracılığıyla oturum açıp işlerini görüyorlar. Oturumunu RDP (Uzak Masaüstü) veya farklı bir programla açıyor. Bu minik pc lerin içerisinde hiç bir veri saklanamıyor herşey serverimizin içinde barınıyor.
Serverlerimizin birinde web server, birinde mssql, birinde de uygulama kısmı bulunuyor yani kullanıcıların bağlanıp işlerini gördükleri kısım. Günlerden bir gün bayilerimizden sitenizde virüs var gibi uyarılarla karşılaşmaya başladık. İlkten bana çok saçma geldi çünki kodlarını benim yazdığım ve sadece benim erişebildiğim bir siteden nasıl olacakta bir trojan veya benzeri bir atak kullanıcı bilgisayarına zarar verecek. Kafadan çok saçma buldum. Şirket içinden sitemize girdiğimde böyle bir şeyin olmadığını gördüm, evden denedim aynı şekilde saat gibi işliyordu sistem. Zaman geçtikçe şikayetler arttı teşhis koymakta güçlük çekiyordum çünki bizim tarafta herşey normal görünüyordu, taki kişisel bilgisayarımdan www.google.com yazana kadar ! Kaspersky virüs uyarı verdi. Yuhaaa felan oldum google ve virüs ilkten durumu anlayamadım sonra tarayıya microsoft.com yazdım, oda ne durum orda da aynı ! Kaynağı görüntüle dediğimde en üste bir .js dosyasının .cn uzantılı bir domainden eklendiğini gördüm ve başladım gülmeye. Neden gülmeye çünki bize bulaşan virüsün bunlarada bulaştığını düşündüm arkama yaslanıp bunlara bile girdiyse bu virüs varsın bizede girsin dedim :D 1 gün sonra hiç bişiy yapmamama rağmen herşey düzelmişti, herşey bir kabus ve dün gördüklerimde hayaldi herhalde dedim kendi kendime. Artık bayilerden de ses çıkmıyordu. Herşey düzelmişti taaki aradan 1- 2 ay geçene kadar. Şikayetler tekrardan artmaya başladı ve artık tüm bilgisayarlardan direk alan adıyla bir siteye girdmeye çalıştığımızda bu olay tekrar ediyordu. Ip adresinden sitelere girdiğinizde olmuyor sadece domainden girince oluyordu, garip bir durum. Koyuldum bu trojanı araştırmaya, Google de çok çok az sonuç çıkıyordu, çıkan sonuçlarda genelde bu dertten müzdarip sitelerdi. Sonrasında keşvettimki script sürekli isim değiştiriyor, bu sayede bulunabilirliliği azalıyordu. Örneğin; bugün kendini www.asda.cn/asd.js olarak ekliyor yarın www.12sds.cn/as.js olarak ekliyordu. Symantec gibi firmaların bile forumlarında tam bir çözüm yoktu veya ben bulamadım. Komple ağdaki makinaları formatlayıp yeniden kurmaya kadar ilerledi iş. Bayramın 3. günü bu işe koyulduk sabaha kadar uraşlarımız sonucunda herşeyi hallettik. Herşey tıkır tıkır işliyordu. Sabah kullanıcılar makinalarını kullanmaya başladıklarında olayın tekrar ettiğini gördük. Resmen şok olduk. Şimdi muhtemelen basit bir internet kafe vakası gibi görüyor olabilirsiniz fakat olayı şöyle düşününce trojanın ne kadar akıllıca hazırlanmış olduğunu anlayacaksınız. Senaryolar;
- Dışardan web sayfamıza erişen kullanıcılar trojanla karşılaşıyor: Bu açıdan baktığınızda trojan kesinlikle web serverda gibi duruyor.
- Herhangi bir web sitesine girmeye çalıştığımızda da sorun devam ediyor: Bu açıdan bakıldığında ise terminallerde veya normal bilgisayarlarda sıkıntı var gibi görünüyor.
Şunu bile düşündük statik ip miz birinin elinde ve sistemdeki ciddi bir açıktan faydalanıp bu durum tekrar edilebiliyor, Telekom’ a başvurup ip mizin değişikliğini bile düşündük. Günler geçiyor sinirlerimiz iyice bozuluyorduki bir sabah şirkete erken geldim. Uykusuz geçen günlerin ardından kafam iyice durmuş sinirlerim bozulmuştu. Bilgisayarımı açıp sabah haberleri, mailler felan derken öylece internette dolaşıyordum. Birden dank etti, hiç bir sorun yoktu saat gibi işliyordu herşey. Personel geldikten sonra durum tekrar etmeye başladı ve dedimki kesinlikle açılan clientlerin birinde bu lanet olası adını koyamadığımz meret. Sonradan açılan 4 makina üzerinde yaptığımız deneme yanılma yönteminde, Depo da bulunan clientte sıkıntı olduğunu anladık. Sistemden çıkarınca hiç bir sorun kalmıyor herşey saat gibi çalışıyordu. Ama sadece o makinadaki bir trojan nasıl oluyordu da komple domain sistemini tepe taklak edebiliyordu, açıkcası hiç ama hiç düşünmedim. Araştırmadımda çünkü beni gerçekten yıkmış gündüzümü gecemi zindan etmişti. Aradan 4 gün geçti ve Allah’ a çok şükür en ufak bir sıkıntı yok. Resmen virüs domain sistemine ayarlanmış dışarıdan ve içeriden hertürlü şekilde kaynak kodlarına kendini eklemeyi başarabiliyordu. Çin’ lilerden de bu beklenirdi zaten. Verdiği zararlar ise; sitelerin aşırı geç açılması, sitelerin tasarımlarının tepe taklak olası ve belkide bir sürü etki..
Bu olaydan şu sonucu çıkardım, bu tarz durumlarda telaşlanmadan, akıllı hareket edip tespit işlemini gerekirse saatlerce düşünüp öyle yapmak. Sağa sola saldırıp formatlamak veya yapıyı değiştirmek kesinlikle çözüm değil. Offf ya kabus gibiydi paylaşmak istedim, belki birilerinin işine yarar ! Haa olayın sonunda deponun clientine ne mi oldu ? Onu bana bırakınnn. hiyaaaaaaaaaaaaaaaaaa küt !