Zararlı bir PHP kodu (PHP Malware)

Eski bir wordpress plug’innin neden olduğu sızmada aşağıdaki kod php betiklerinin başına eklenmiş.

Koda baktığımızda eval işlemini yapan fonksiyonun okunmasını zorlaştırmak için parçalandığı göze çarpıyor. eval fonksiyonu ise gz (Gnome Zip) ve ardından base64 ile kodlanmış PHP kodunu execute ediyor. Zararlı kodu görmek içip eval’i iptal ederek kodu çalıştırdım:

Kodu çıktısı aşağıdaki gibi:

Görünüşe göre, zararlı arkadaş google bot’larını www.facemask3mn95.com adresine yönlendirmekte. Bu yönlendirmeyi ise “site kalıcı olarak şu adrese taşındı” manasına gelen HTTP 301 kodu ile yapması. Web ziyaretçi sayısında anormal düşüşler görürseniz bu tarz bir saldırıya maruz kalmış olabilirsiniz. Dikkatli olun.

Yazar: Özgür Koca

Yazar - Tankado.com

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.