«

»

Dec 30

Sanal Sunucu da Virüs Temizliği

    Sanallaştırma teknolojisi ile hayatımız hem kolaylaştı hem de zorlaştı. Nasıl oluyor derseniz aşağıda başımdan geçen olayı anlattığımda hak vereceğinizi düşünüyorum.

     Daha önceden kurulup üzerinde önemli bir uygulamanın çalıştığı sanal Windows Server sunucuya virüs bulaşmıştı. Hemen belirteyim sunucunun üzerinde anti-virüs programı kurulu değildi. Virüs gayet akıllı davranıyordu ve tipik olarak kendisini bitirmemizi engellemek için çeşitli savunma mekanizmaları üretmişti. Örneğin TaskManager Disable olarak geliyordu, Registry Editor ü çalıştıramıyorsunuz (yetkilerinizin kısıtlandığı söyleniyor) ve en önemlisi bildiği anti-virüs ya da malware programlarının ya kurulumlarına izin vermiyor ya da kurulduktan sonra programı çalıştırdığınızda programı kapatıyordu. Hemen belirteyim sunucuyu Safe Mode da da açamıyordum (Mavi ekran verip sistem yeniden başlıyordu). Elimde ki çözümleri denerken Malwarebytes ismli yazılımı tanımadığını fark ettim. Bununla sistemi tarattığımda birkaç exe ve registry üzerinde taskmanager ile registry nin kapatılmasını sağlayan key leri buldu. Bazı dosyaların silinebilmesi için sistemi yeniden başlattıktan sonra tam temizledim diye düşünürken oturum açtıktan sonra yanıldığımı anladım.

     Symantec in sitesinde registry üzerinde ki kısıtlamaları kaldıran bir inf dosyası buldum (dosyayı http://www.symantec.com/security_response/writeup.jsp?docid=2004-050614-0532-99 adresinden indirebilirsiniz).  Dosyaya sağ tıklayıp install dedikten sonra regedit ile registry editor ü açabildim. Virüsün registry de

                HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\
                HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\System\
                HKEY_USERS\S-1-5-21-…\Software\Microsoft\Windows\CurrentVersion\Policies\System\

yollarının altında DisableRegistryTools ve DisableTaskMgr isimli iki anahtar oluşturduğunu ve değerlerinin 1 olduğunu gördüm. İşin ilginç yanı bu iki anahtarı sildikten sonra yaklaşık 10 sn içerisinde anahtarlar yeniden oluşturuluyor. Permissions kısmından o anki kullanıcını yazma yetkisini kaldırıp sistemi yeniden açtığınızda kullanıcının yazma yetkisi olmadığından registry editor ü açamama ve taskmanager in disable olması sorunları ortadan kalkmış oluyor. Ancak virüs kendisini tüm sistemde ve task manager da gizlediği için bu kısımdan daha fazla ilerleyemedim.

     Sunucumuzun sanal olmasını faydası buradan sonra işimi çok kolaylaştırdı. Fiziksel bir sunucuda diskleri başka bir sunucuya takıp oradan taratma gibi bir şansımız yok (aynı özelliklere sahip boş bir sunucunuz olması durumu değiştirir tabiî ki). Çünkü disklerin raid yapıları vs sorunları oluşacaktır. Öncelikle sistemin yedeğini Veeam Backup and FastSCP yazılımı ile veya başka bir yedekleme yazılımı ile almamız gerekiyor. Yazılımı http://www.veeam.com/vmware-esxi-fastscp.html#fragment-2 adresinden indirebilirsiniz. Yedeğimizi aldıktan sonra (yedek alabilmemiz için sanal sunucunun kapalı olması gerekiyor) http://chitchat.at.infoseek.co.jp/vmware/vdk.html#download adresinden Virtual Disk Driver yazılımını indirelim. Bu yazılım sayesinde sanal sunucunun disk dosyalarını Windows XP sistemime bağlayabildim. İşlemi aşağıda ki gibi yaptım.

    Öncelikle indirdiğimiz dosyayı bir klasöre açalım. Benim diskimde vdk aracının yeri L:\Windows\Virtualization\VMware\Tools\vdk32-050406 şeklinde idi. Sizinki farklı olabilir. Ancak vdk.exe ile vdk.sys dosyalarının aynı yerde olmasına dikkat etmeliyiz. Ayrıca kolaylık olması açısından her iki dosyayı sanal sunucunuzun klasörüne kopyalayıp buradan da çalışabilirsiniz. Tabi sistemi geri atarken silmeyi unutmayalım.

• Komut satırı açalım ve ilgili klasöre geldikten sonra vdk install komutunu verelim. Bu komut ile sistemimize sanal disk sürücüsünü kurmuş oluyoruz.

• Ardından da vdk start komutunu verelim. Bu komut ile az önce kurmuş olduğumuz sanal disk sürücülerimizi başlatmış olduk. Direk bu komutu vererek de işleme başlayabiliriz. Yazılım otomatik olarak önce vdk install işlemini yapıp daha sonra da vdk start işlemini gerçekleştirecektir.
  

• Daha sonra vdk create komutu ile sanal disk oluşturalım. Varsayılan olarak disk sürücüsü 0 ı alır. Daha sonra sanal sunucumuzun diskini sistemimize bağlarken bu sayıyı kullanacağız. Ancak illa 0 ı kullanmak zorunda değiliz 4 e kadar herhangi bir rakamı verebiliriz.

• Sanal diskimizi oluşturduktan sonra şimdi sanal sunucumuzun diskini sistemimize V sürücüsü olarak vdk Open 0 “g:\v5w16\v5w16-flat.vmdk” /rw /L:V: komutu ile bağlayalım. /rw parametresi ile diski sistemimize okuma-yazma modunda bağlamış oluyoruz. Eğer bu parametreyi kullanmazsak disk sistemimize sadece okuma modunda eklenir ve üzerinde herhangi bir değişiklik yapamayız. /L: parametresi ile bir sürücü ismi belirtmezsek sistem otomatik olarak boştaki sürücü harfini kullanacaktır. Bağladığım disk sanal sunucumun C sürücüsü idi. Dilerseniz diğer sürücüleri de bağlayabiliriz.
  
• Yukarıda ki komutun sonucunda sanal sunucumuzun diskini sistemimize V sürücüsü olarak eklemiş olduk. Artık virüs taramasına başlayabiliriz.

     Hemen Kaspersky anti-virüs programımı açtım ve V sürücüsü taratmaya başladım. Bulduğu virüsü ve yayıldığı alanı gördüğümde inanamadım.  Win32.Sality.ae virüsü sistemde çalışan neredeyse tüm exe lere bulaşmıştı. Bu virüs paylaşımlar üzerinden inanılmaz hızlı yayılıyor. Daha detaylı bilgi için http://www.symantec.com/security_response/writeup.jsp?docid=2008-042106-1847-99&tabid;=2 adresine bakabilirsiniz. Neyse ki bulaştığı tüm exe leri Kaspersky silmeden sorunsuz temizledi. Sanal sunucumun diğer diskini de benzer şekilde bağlayıp virüs taraması yapıp temizledikten sonra bu disk dosyalarını ESXi sunucuma geri kopyaladım ve sistemi açtım. Harika her şey çalışıyordu.

NOT: Sanal diski sistemimize bağladığımız gibi vdk close 0 komutu ile ayırmamız da gerekiyor. Dilerseniz vdk remove komutunu kullanarak hem sanal sürücüleri sistemimizden ayırıp hem de yüklemiş olduğu sanal sürücüleri sistemimizden temizleyebiliriz.      

Umarım faydalı bir yazı olmuştur. Herkese mutlu, sağlıklı ve başarılı bir yeni yıl dilerim. Kalın sağlıcakla…

M. Hakan CAN

  

Permanent link to this article: http://www.mhakancan.com/sanal-sunucu-da-virus-temizligi/

1 comment

  1. RecepYÜKSEL

    Hakan hocam çok değerli bilgiler için çok teşekkürler. Birgün mutlaka bir yerlerde burdaki bilgiler işimize yarayacak eminim.

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>