Virüs - Trojan - Keylogger - BotNet
Wp Temada Backdoor - Virüs Tespiti Nasıl Yapılır?
Wp Temada Backdoor - Virüs Tespiti Nasıl Yapılır?
-
muridler https://themeforest.net/item/ask-me-responsive-questions-answers-wordpress/7935874?s_rank=2 bu temanın w4rezini buldum virostotalde tarattım sonuç;
DrWeb
PHP.BackDoor.77
GData
Script.Backdoor.Wp-Vcd.A (3x)
bu backdoor un hangi dosyada oldugunu nerden bulabilirim ya da genel oolarak w4rez bi temayı nasıl adam edebilirim?
ya da bu temanın saglamını nerden bulabilirim?
tema indirme link.: https://www.downloadfreethemes.download/ask-me-v5-1-responsive-questions-answers-wordpress-theme/
-
-
Dr web pc indir temayıda indir tarat zaten o virüslü dosyayı otomatik silecektir
-
class.theme.modules.php
/wp-includes/wp-tmp.php adresinde veya tema dizininde wp-tmp.php isimli bir dosya olacak, o dosyayi http://www.poxford.com/code.php adresinden cekiyor. Referer vermeden girince sozde verification key var ama, alttaki linkten domaini kaydedip referer'a o domaini verince degisiyor (Degistigine henuz tanik olmadim, gordugum yapi boyle oldugunu dusundurdu sadece.). Sen her istek attiginda burada ne yaziyorsa somsomluyor ftp'ne. http://www.poxford.com/o.php?host=' . $_SERVER["HTTP_HOST"] . '&password= adresiyle de domainini logluyor.
Yedek domainleri: http://www.poxford.top/code.php http://www.poxford.pw/code.php
end tarafından 10/Şub/18 11:31 tarihinde düzenlenmiştir -
saolun arkadaşlar,
@end eywallah hocam hiç ugraşılmaz o temayla
@kafkavari abi direkt kurulu halini tarıyor burası sanırım eywallah bakayım
@Schwarz temiz bi pc de bakacam eyw
başka bitane bulum tarattım virustotalde, temiz gösteriyor, ama hala kuşkuluyum : )
-
S-E-R-H-A-T bunu yazdı
saolun arkadaşlar,
@end eywallah hocam hiç ugraşılmaz o temayla
@kafkavari abi direkt kurulu halini tarıyor burası sanırım eywallah bakayım
@Schwarz temiz bi pc de bakacam eyw
başka bitane bulum tarattım virustotalde, temiz gösteriyor, ama hala kuşkuluyum : )
Tavsiyem, ilgili klasorde $_ veya base64_dec aratman yonunde. Bundan once windows arama motoru indexlerine .php uzantisini eklemen gerekiyor ki windows php dosyalarinin icine de kafasini sokabilsin.
-
kafkavari bunu yazdı
Javascript tariyor sanirim bu?
-
end bunu yazdıkafkavari bunu yazdı
Javascript tariyor sanirim bu?
evet. genelde js ve dizin dosyalarının içinde gömülü oluyor. sucuri wordpress ağırlıklı güvenlik servisi ondan dolayı kuruluysa taratmasını istedim.
-
Notepad++ kur.
Temayı bi klasöre aç, sonra ctrl+f penceresinde find in files var, bütün dosyalarda aratmaya yariyo.
Ben şunları aratıyorum yoksa temizdir diyorum, siz de ekleme yapabilirsiniz :
Base64, eval, eval(
-
nevorapat bunu yazdı
Notepad++ kur.
Temayı bi klasöre aç, sonra ctrl+f penceresinde find in files var, bütün dosyalarda aratmaya yariyo.
Ben şunları aratıyorum yoksa temizdir diyorum, siz de ekleme yapabilirsiniz :
Base64, eval, eval(
\ask-me\admin\meta-box\css\datepicker.css (2 hits)
------------------------
}
.ui-datepicker .ui-datepicker-next span,
.ui-datepicker .ui-datepicker-prev span {
background-image: url('data:image/png;base64,iVBORw0KGgoAAAANSU.....-------------------------
\ask-me\admin\meta-box\css\datepicker.css (2 hits).admin-color-light .ui-datepicker .ui-datepicker-next span,
.admin-color-light .ui-datepicker .ui-datepicker-prev span {
background-image: url('data:image/png;base64,iVBORw0........---------------------------------
ask-me\admin\functions\main_functions.php (2 hits)
function get_twitter_count ($twitter_username) {
$count = get_transient('vpanel_twitter_followers');
if ($count !== false) return $count;
$count = 0;
$access_token = get_option('vpanel_twitter_token');
$consumer_key = vpanel_options('twitter_consumer_key');
$consumer_secret = vpanel_options('twitter_consumer_secret');
if ($access_token == "") {
$credentials = $consumer_key . ':' . $consumer_secret;
$toSend = base64_encode($credentials);
$args = array(
'method' => 'POST',
'httpversion' => '1.1'--------------------------
ask-me\admin\functions\main_functions.php (2 hits)/* vpanel_twitter_tweets */
if ( ! function_exists( 'vpanel_twitter_tweets' ) ) :
function vpanel_twitter_tweets($username = '', $tweets_count = 3) {
$twitter_data = "";
$access_token = get_option('vpanel_twitter_token');
$consumer_key = vpanel_options('twitter_consumer_key');
$consumer_secret = vpanel_options('twitter_consumer_secret');
if ($access_token == "") {
$credentials = $consumer_key . ':' . $consumer_secret;
$toSend = base64_encode($credentials);
$args = array(
'method' => 'POST',
'httpversion' => '1.1', -
godaddy nin secure serverine yükle temayı veya scripti herneyse zaten otomatik olarak silecektir sonra error log dan veya normal logdan gösterir sana neden sildiğini nerde ne olduğunu
tabi file upload shelli değilse içine konulan shell ama yinede o shell in yüklendiğini bildirmek için mail fonksiyonu vb bişi yapmıştır ordan ayıkırsın.
şuan adı aklıma gelmeyen masaüstü bi program gibi bişi vardı scripti ona koyuyorsun sana içindeki sql xss bilmem ne bilmem ne açıkları ve shelleri söylüyordu sana aklıma gelince yazayım da gelceğini sanmıyorum.