lostyazilim
tr.link

Bunlar virüs müdür acaba?

2 Mesajlar 609 Okunma
acebozum
tr.link

sece02 sece02 WM Aracı Kullanıcı
  • Üyelik 06.12.2012
  • Yaş/Cinsiyet 64 / E
  • Meslek Dr
  • Konum İzmir
  • Ad Soyad ** **
  • Mesajlar 1
  • Beğeniler 0 / 0
  • Ticaret 0, (%0)
Bunlar virüs müdür acaba?

Maddi durumu iyi olmayan bir dostuma destek amacı ile ve acil ihtiyacından dolayı ücretsiz olarak http://www.scriptciyim.net/ adresinden indirdiğim "php emlak sitesi" kurdum.
Hatta domain parası bile ödemesin diye kendi domainime ait bir alt domaine kurdum.
Sistem herhangi bir wp, joomla vb bir script değil.
Sistemde upload dosyaları var ama bir upload klasörü yok, ve kurulumda herhangi bir yere yazma izni vermedim. Hazır kurulu sistem. Acil olduğu için dosyaları ftp den atıp sadece sql dosyasını import ederek kurdum.
Sonra sitenin kurulmamış halini ve sql dosyasını avast ile tarattım.
Bir şey çıkmadı.
Daha sonra tesadüfen forumda okuduğum bir konu nedeni ile "eval, base64, c99 ve r57" kelimelerini tarattım.
base64, c99 ve r57 ibareleri yok. Sadece eval ve evalscript ibareleri var
jquery.tabs.pack, jquery.history_remote.pack, dhtmllib, ioelement , ioelement.sync, templmngr, htmlmenu, groupmanager, functions.image, debug, dynkeyevent, jquery, fckeditorcode_ie, fckeditorcode_gecko, fcktoolbarset, fcklanguagemanager, fckxml, wordWindow, controlWindow, spellChecker, fck_2_gecko, fckxml_gecko, adlı jawascript dosyalarında ve
commands.pl ve upload_fck.pl adlı iki dosyada olduğu görülüyor. Başka dosyalarda tanımlanmıyor.
index.php genel aramada görnmemesine rağmen burada da eval ile başlayan kod var.

*Bunlar virüs müdür?
*Nasıl temizlenir?
*Bir temizleme programı var mıdır?

index.php dosyasının içinde eval içeren;




kodu var.

commands.pl Adlı dosyada;

sub FileUpload

{

eval("use File::Copy;");


local($resourceType, $currentFolder) = @_;


$sErrorNumber = '0' ;
$sFileName = '' ;

if($new_fname) {

# Map the virtual path to the local server path.

$sServerDir = &ServerMapFolder($resourceType,$currentFolder);


# Get the uploaded file name.

$sFileName = $new_fname;

$sOriginalFileName = $sFileName;


$iCounter = 0;

while(1)
{

$sFilePath = $sServerDir . $sFileName;

if(-e $sFilePath)
{

$iCounter++ ;

($path,$BaseName,$ext) = &RemoveExtension($sOriginalFileName);


$sFileName = $BaseName . '(' . $iCounter . ').' . $ext;

$sErrorNumber = '201';

}
else
{

copy("$img_dir/$new_fname","$sFilePath");

chmod(0777,$sFilePath);

unlink("$img_dir/$new_fname");

last;

}

}

}
else
{

$sErrorNumber = '202' ;

}

$sFileName =~ s/"/\\"/g;

print "Content-type: text/html\n\n";

print '<script>';

print 'window.parent.frames["frmUpload"].OnUploadCompleted(' . $sErrorNumber . ',"' . $sFileName . '") ;';

print '</script>';

exit ;
}
1;

kodu,

upload_fck.pl adlı dosyada da;

sub read_input
{
eval("use File::Copy;");
eval("use File::Path;");

my ($FORM) = @_;



mkdir($img_dir,0777);

chmod(0777,$img_dir);


undef $img_data_exists;

undef @NEWFNAMES;

undef @NEWFNAME_DATA;


if($ENV{'CONTENT_LENGTH'} > 10000000 || $ENV{'CONTENT_LENGTH'} > $MAX_CONTENT_SIZE * 1024)
{

&upload_error(

'Size Error',

sprintf(

"Transmitting size is too large.MAX %d KB Now Size %d KB(%d bytes Over)",

$MAX_CONTENT_SIZE,

int($ENV{'CONTENT_LENGTH'} / 1024),

$ENV{'CONTENT_LENGTH'} - $MAX_CONTENT_SIZE * 1024

)

);

}


my $Buffer;

if($ENV{'CONTENT_TYPE'} =~ /multipart\/form-data/)
{

# METHOD POST only

return unless($ENV{'CONTENT_LENGTH'});


binmode(STDIN);

# STDIN A pause character is detected.'(MacIE3.0 boundary of $ENV{'CONTENT_TYPE'} cannot be trusted.)

my $Boundary = ;

$Boundary =~ s/\x0D\x0A//;

$Boundary = quotemeta($Boundary);

while()
{

if(/^\s*Content-Disposition:/i)
{

my($name,$ContentType,$FileName);

# form data get

if(/\bname="([^"]+)"/i || /\bname=([^\s:;]+)/i)
{

$name = $1;

$name =~ tr/+/ /;

$name =~ s/%([a-fA-F0-9][a-fA-F0-9])/pack("C", hex($1))/eg;

&Encode(\$name);
}

if(/\bfilename="([^"]*)"/i || /\bfilename=([^\s:;]*)/i) {
$FileName = $1 || 'unknown';
}
# head read
while() {
last if(! /\w/);
if(/^\s*Content-Type:\s*"([^"]+)"/i || /^\s*Content-Type:\s*([^\s:;]+)/i) {
$ContentType = $1;
}
}
# body read
$value = "";
while() {
last if(/^$Boundary/o);
$value .= $_;
};
$lastline = $_;
$value =~s /\x0D\x0A$//;
if($value ne '') {
if($FileName || $ContentType) {
$img_data_exists = 1;
(
$FileName, #
$Ext, #
$Length, #
$ImageWidth, #
$ImageHeight, #
$ContentName #
) = &CheckContentType(\$value,$FileName,$ContentType);

$FORM{$name} = $FileName;
$new_fname = $FileName;
push(@NEWFNAME_DATA,"$FileName\t$Ext\t$Length\t$ImageWidth\t$ImageHeight\t$ContentName");

# Multi-upload correspondence
push(@NEWFNAMES,$new_fname);
open(OUT,">$img_dir/$new_fname");
binmode(OUT);
eval "flock(OUT,2);" if($PM{'flock'} == 1);

print OUT $value;

eval "flock(OUT,8);" if($PM{'flock'} == 1);

close(OUT);

kodu var.
Daha önce de belirttiğim gibi;
*Bunlar virüs müdür?
*Nasıl temizlenir?
*Bir temizleme programı var mıdır?
*Siteyi silmem gerekir mi?
*Kişisel bilgisayarıma ya da hosta zarar verir mi?

Konuyu yanıtlayıp bilgi verecek ve yardımda bulunacak arkadaşlara şimdiden teşekkür ederim.
Sevgi ve saygı ile...
 

 

elektronikssl
webimgo

Onur89TR Onur89TR Üyeliği Durdurulmuş Banlı Kullanıcı
  • Üyelik 04.12.2011
  • Yaş/Cinsiyet 35 / E
  • Meslek .
  • Konum İzmir
  • Ad Soyad ** **
  • Mesajlar 2376
  • Beğeniler 704 / 791
  • Ticaret 1, (%100)
Virüs olduğunu sanmıyorum. Bir tür string fonksiyonuna benziyor. Şuraya tıklayarak inceleyebilirsiniz.
 

 

wmaraci
wmaraci
Konuyu toplam 1 kişi okuyor. (0 kullanıcı ve 1 misafir)


$goster = mysql_query($sorgu);

$goster1 = mysql_fetch_array($goster);

$degisken = $goster1['Tablokodu'];
eval( "?>".$degisken."?>