Heartbleed Virüsü: En Tehlikeli Virüs! 0

Heartbleed Virüsü: En basit açıklaması bilgisayarınızın kalbini söküyor! 🙂

Son günlerde neredeyse tüm sosyal medya firmalarının maillerinde, bloglarında bu virüs ile ilgili açıklamalar bulunuyor. Bununla birlikte haber siteleri, bloglar iyice bu virüsle ilgili haberleri genişlettiler. Son olarak 2012 yılı Nisan ayında OpenSSL açığı bulunmuştu aradan tam 2 sene geçti ve 2014 Nisan ayında tam 3 tane OpenSSL açığı bulundu. Bununla ilgili internette çok detay bulunmasada ben remote exploit’leri sürekli takip ettiğim için haberim oluyor. Çok içine girip araştırmak istemedim ancak, Heartbleed “Bu internet tarihinin büyük ihtimalle karşı karşıya kaldığı en büyük virüs” CloudFlare şirketinin CEO’su Matthew Prince bu sözleri geçen hafta kaydetmiş bende CloudFlare şirketini takip eden biri olarak bu uyarıyı ciddiye aldım ve araştırma yapmak istedim 🙂

OpenSSL Heartbleed Nedir? (İngilizce)

[youtube]http://www.youtube.com/watch?v=wxsNlnf8l8s[/youtube]

OpenSSL ile şifrelenmiş dosyayı okuma!

Video’da öncelikle bir .txt dosyası oluşturup içerisine biraz metin giriyor daha sonra bu .txt dosyasını OpenSSL ile şifreleyip sercrets.txt adında bir dosyaya kaydediyor sonra konsol’da bu dosyayı açıp içerisindeki şifrelenmiş veriyi gösteriyor. Hacker’lar işte bu şifrelenmiş verilere ulaşıyorlar video’nun devamındada bu dosyayı nasıl okunabilir hale getiriyorlar görebiliyorsunuz.

[youtube]http://www.youtube.com/watch?v=m4_pR7SJfh0[/youtube]

Heartbleed

Evet gerçekten büyük bir açık incelendiğinde milyonlarca şifrenin çalındığını görebiliyorsunuz ancak internet üzerinde bir çok haber sitesindede gördüğümüz üzere yoğunlaşılan kısım şu: Tüm şifrelerinizi değiştirin! Hani bütün bildiklerinizi unutun doğru olan bu gibi bir yazı aslında haber sitelerininki ama ben olaya bu şekilde bakmaktan yana değilim öncelikle açığı araştırmaktan yanayım.

Açık OpenSSL‘den kaynaklı, Neel Mehta ve Codenomicon şirketi tarafından bulunan bir açıktan bahsediyoruz. Açık OpenSSL 1.0.1′den 1.0.1f sürümüne kadar olan tüm versiyonlarda mevcut. Son güncel sürüm 1.0.1g’de bu açık giderilmiş. TLS içinde bulunan bir hatadan kaynaklanan bu açık internet üzerindeki herhangi birisi, söz konusu OpenSSL sürümünü kullanan herhangi bir sistemden şifreli tüm bilgiyi 64 KB’lık bölümler halinda sızdırabiliyor. Ama öncelikle bu SSL ve OpenSSL hakkında bilmemiz gereken şeyler var mesela bunlar nedir gibi? 🙂

SSL nedir?

SSL (Secure Socket Layer) 1994 yılında Netscape tarafından geliştirilen SSL Internet Explorer, Mozilla Firefox, Google Chrome ve Opera gibi web tarayıcılarıyla sunucular arasındaki güvenliği sağlamayı amaçlıyor. Web tarayıcılarının genellikle adres çubuğunda bir kilit sembolüyle gösterdikleri bu protokol kullanıcı adı, parola, kredi kartı bilgileri gibi bilgilerin, gerekliyse tüm oturum bilgilerinin şifrelenerek iletilmesine imkan tanıyor.

OpenSSL nedir?

Bilindiği gibi SSL sertifikaları büyük firmalar tarafından oldukça yüklü rakamlara üretiliyor. Büyük firmaların dışında bu sertifikaları üretmek mümkün, bunun için kendiniz sertifika sunucusu kurabilir ve işletebilirsiniz. OpenSSL organizasyonu burada devreye giriyor, ve bir kaç küçük program ile kendi sertifikalarınızı üretmenize olan veriyor.

Neden o zaman GlobalSign, VeriSign gibi kurumlara 100′lerce dolar ödeniyor?
Bunun başlıca sebeplerinden birisi güvenlik, diğeri ise firmaların anlaşmaları. Browserlar belirli kurumlar dışındaki (akredite kurumlar) üretilen sertifikaları güvenli bulmayıp kullanıcıya hata mesajı vereceklerdir.

SSL’i örneklendirirsek biraz daha rahat anlaşılabilir. Bir işiniz var halletirmek istiyorsunuz ve halledeceğiniz yere gittiğinizde karşınıza çıkan görevliye, ben filan patronun selamıyla ve imzasıyla geliyorum diyorsunuz. Eğer karşıdaki adam patronu biliyorsa imzaya bakıp tamam bu güvenilir bir adam ve selamda geçerlidir diyecek ve sizde böylelikle rahatlıkla işinizi yaptıabileceksiniz.

Aynı şekilde, siz bir eticaret sitesi yapıp kullanıcıya güvenli hat gerektiren ödeme gibi bir hizmet vermek istiyorsunuz. SSL sertifikanızı GlobalSign, VeriSign gibi firmalardan aldığınızda, başkası bu sertifikayı taklit edemeyeceği için sisteminizi kullanan müşteri sertifika detaylarında hem siteniz kime aitmiş hemde yukarıda kimin tarafından akredite edilmiş bilgisine ulaşacak, hımm bu patron’un (Verisign) bilgisi ve imzası ile geldiyse bu güvenilir biridir diyecektir.

Kendi kendizine sertifika ürettiğinizde sorun burada başlıyor. Eğer OpenSSL gibi bir sistem ile ürettiyseniz sertifikanızı karşıdaki adama gösterdiğiniz, imza kendi imzanız olacaktır. Yani adama diyorsunuzki, ben kendi selamım ve imzam ile geldim, patron benim. Adam inanırsa artık!

Bu yüzden son kullanıcıya hizmet verecekseniz mutlak surette üst güvenlik kurumlarından imza (sertifika almalısınız). Eğer kendi kurum içinizde uygulama yapacaksanız sertifikayı kendiniz üretip kara geçebilirsiniz. Mesela kendiniz bir mesajlaşma sunucusu ve programı yazdığınızda, sunucuda programda aynı yapıda sertifikalar kullanıp ucuz ve güvenilir mesajlasma yapabilirsiniz.

Heartbleed ne kadar tehlikeli?

Heartbleed açığı ile hiçbir iz bırakmadan şifrelenmiş önemli bilgilere ulaşmanızı sağlıyor. Kötü niyetli hacker grupları tarafından milyarlarca kişinin, şirketin ve kurumun verilerinin yer aldığı SSL şifreleme sistemini bu yolla aşabiliyorlar tabi SSL derken OpenSSL!

Üstelik güvenlik uzmanlarına göre bu açığı kullanmak konu hakkında bilgi sahini insanlar için pek de zor değil. Zira güvenlik açığını kullanmaya yarayan yazılım internette kolayca bulunabiliyor ve temel programlama becerileriyle herkese hizmet edebiliyor. Dolayısıyla açığın bulunmasının hemen ardından yeni bir sürüm yayınlansa da risk hala büyük.

Hangi siteler tehlikede altında?

Heartbleed Apache ve Ngnix gibi populer web sunucularında yer alması bu sistemlerde yer alan sitelerin ciddi bir bölümünü tehlikeli listesine ekliyor. Son günlerde neredeyse bütün büyük sosyal ağlar konu hakkında açıklama yaptı ve şifrelerin değişmesi yönünde açıklamada bulundular. Bunun üzerine Mashable ekibi bir yazı yayınladı ve zarar gören siteler hakkında geniş bilgi verdi. Görünen o ki Google, Facebook, Instagram, Pinterest, Tumblr, Yahoo, Ebay, GoDaddy, Dropbox gibi firmalar bu açıktan etkilenmiş. Buda açığın en büyük sitelerdede olduğunu gösteriyor.

Tabi bu açık çıktıktan sonra makaleler, videolar, siteler arttı ardından Filippo “Heartbleed testi” adında bir sayfa açtı. Mashable’deki listeye bakarak test sayfasını incelediğimizde tüm sitelerin bu açığı kapattığı görülüyor.

Ne yapmamız gerekiyor?

Burada 2 grupa ayrılmak gerekiyor, birincisi OpenSSL kullanan firmalar diğerleri ise kullanıcılar bu 2 grubada girmiş olabilirsiniz benim gibi sırayla anlatalım.

Site sahipleri

Yukarıdada söylediğim gibi OpenSSL’i güncellememiz gerekiyor. OpenSSL’in resmi sitesndende görebileceğiniz üzere son yayınlanan sürüm OpenSSL 1.0.1g’ye geçmek gerekiyor. Eğer böyle bir işlem yapmanız mümkün değil ise “-DOPENSSL_NO_HEARTBEATS” parametresi ile yeniden derleme yaparak Heartbleed özelliğini devre dışı bırakabilirsiniz.

Ubuntu kullanıcıları için OpenSSL güncelleme videosu;

[youtube]http://www.youtube.com/watch?v=sq7Eib02Rb8[/youtube]

Kullanıcılar

Yukarıda belki “Tüm şifrelerinizi değiştirin!” başlığına trip atmış olabilirim 🙂 Ama şifrelerinizi değiştirin demeden önce şunu söylemek istiyorum her siteye farklı ve zor şifreler girmenizi tavsiye ederim. Eğer siz Facebook’a girdiğiniz şifreleri diğer tüm sitelere girdiyseniz hacker o mail adresi ile diğer sosyal medya hesaplarınada bağlanmaya çalışacaktır önemli olan zaten burada sosyal medya değil banka hesap bilgilerinis vs. bunlarda çok önemli ebay hesabınıza girip siparişler yağdırabilirler. Şifrelerinizi değiştirin ama lütfen aynı olmasınlar!

Kaynaklar;

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.

Virüs Bulaşmış WordPress Dosyaları Nasıl Temizlenir? 4

Son günlerde bu soru sıkça sorulduğu için bende detaylı bir temizliği nasıl gerçekleştirebiliriz bunu anlatmak istiyorum.

Diyelimki WordPress sitemize indirdiğiniz warez tema, eklenti veya bir açık yüzünden sistemimize erişildi (CryptoPHP yazımı mutlaka okumanızıda tavsiye ederim.). Burada saldırgan öncelikle FTP alanına daha rahat çalışabileceği yada diğer dille shell (c99,r57) atıp sistemde açık arayacaktır. Eğer sistemde açık bulamaz ise başka exploitler atıp sunucuyu hacklemeye çalışacaktır. Bu sürekli devam eder yapamasa bile denemek amaçlı sürekli girip birşeyler dener.

Bazı SEO’cular ise bu tip sitelere erişip açıkları kapatır ve WordPress dosyaları içerisine kendi dosyalarını barındırırlar. İleri bir tarihte tekrar girip istediği gibi at koşturabilmek için. Birde eski tarihli içeriklere link ekleyip backlink elde ederler.

WordPressi nasıl temizlerim? sorusuna internet üzerinde bir çok yazı mevcut ama hepsi zor kısımdan anlatıyorlar. Şöyle ki: WordPress sisteminizi tekrar update yapıp FTP alanından tekrar dosya tarihlerini kontrol ederek update ettiğiniz tarih yani o anki tarih ve saat olacağınızdan WordPress sistemi olmayan dosyalar eski tarihli kalacak ve siz onları sileceksiniz. Buda bir yöntem ama daha iyisi varken uğraşmayın!

Temizleme işlemimiz şu şekilde gidecek;

Tüm bu işlemlere başlamadan önce sitenizin bir yedeğini almanızı tavsiye ederim. Bu işlemler esnasında bir problem çıkmayacaktır ancak yanlışlıkla yapabileceğiniz hatalar sonrası sistemi tekrar kurmak için yedek almanızı öneririm.

1) Wp-admin, Wp-includes ve Ana Dizin

Öncelikle WordPress sistemde bu dosyaları siliyoruz çünkü sistem kurulduktan sonra tema ve eklentileri bu klasöre atmadığımız için bu klasör her zaman sabit kaliyor. Bu yüzden önceliğimiz bu dosyalar.

WordPress.org’dan son sürüm wp indiriyoruz. Son sürüm: indir

Daha sonra son sürüm içerisindeki wp-admin, wp-includes ve ana dizin dosyalarını .zip’liyoruz. Fotoğrafta nasıl zipleyeceğinizi anlattım.

https://3.bp.blogspot.com/-D6W0Ri7Khag/VIFgGKF0j8I/AAAAAAAAbVk/V1N9K5DigJ8/s1600/wordpress-zip.jpg

Not: Eğer ziplemeyle uğraşmak istemiyorsanız FTP’ye bir klasör açın “yenisite” adında bu dosyas içerisine “wp-admin, wp-includes, ana dizin dosyalarını” yükleyin. Sildikten sonra ana dizine sürüklersiniz.

Daha sonra cPanel‘den “wp-admin, wp-includes, ana dizin dosyalarını” siliyoruz. Silme işlemi FTP’ye göre çok hızlı biteceği için hızlı bir şekilde wordpress.zip dosyamız üzerine gelip sağ tıklıyoruz. Extract diyip dosyalarımızı çıkartıyoruz.

https://2.bp.blogspot.com/-FrWckh5pe1I/VIFgGqIW2pI/AAAAAAAAbVs/cr9ZZMUu0E4/s1600/wp-klasorler.jpg

Şu anda wp-admin, wp-includes ve ana dizin dosyalarını temizledik artık bunlardan bir korkumuz yok 🙂

https://1.bp.blogspot.com/-jbS0UCJvGPs/VIFgEzqKNwI/AAAAAAAAbVY/ZtNEi_Lo9rA/s1600/cpanel-temizlik.jpg

2) Wp-content Temizliği

En çok uğraşacağımız klasör bu. Bu yüzden bunun üzerinde iyi inceleme yapmamız gerekiyor.

Öncelikle bu klasörü bilgisayarımıza indiriyoruz ve bilgisayarımızdaki anti virüs aracılığı ile tarama yaptırıyoruz. Anti virüs eğer shell dosyaları varsa zaten uyarı verecektir. Herhangi bir virüs bulamadıysa alttaki eklentiyi kullanarak devam ediyoruz.

a) Anti-Malware and Brute-Force Security – WP Plugins

Bu eklenti sistemdeki tüm dosyaları tarayıp aralarında zararlı olanlar varsa tespit ediyor ve size bu dosyaları listeliyor.

grey CryptoPHP: Popüler İçerik Yönetim Sistemleri İçinde Gizli Tehdit!

Bir çok eklenti test ettim ama aralarında en iyiyi bulan bu eklenti. Hatta şöyle bir test yaptım farklı 13 tane php shell indirdim bunların arasında social.png’de mevcut. Hepsini diğer WordPress güvenlik eklentileri ile taratıp test ettim hepsini bulan olmadı ama en çok bu eklenti buldu 🙂

Eklentiyi indir: Anti-Malware and Brute-Force Security by ELI

Kullanımında dikkat etmeniz gereken bir durum var otomatik olarak alttaki uzantıları devre dışı bırakıyor bunlar haricindekilerini tarıyor. Ama bizim için hepsi çok önemli bu yüzden hepsini taratmak için alttaki tüm uzantıları kaldırıp taratıyoruz.

png, jpg, jpeg, gif, bmp, tif, tiff, psd, fla, flv, mov, mp3, exe, zip, pdf, css, pot, po, mo, so, doc, docx, svg, ttf

2 Farklı resim ekledim. 1.Resimde uzantıları kaldırdığım ve sadece temayı taratıcaksam seçeceğim alan var. Siz tamamını taratabilirsiniz bu sayede tüm sisteminizi temizlemiş olursunuz. 2.Resimde ise taranmış ve bulaşmış dosyayı görüyorsunuz öncelik olarak dosyayı inceleyin ve daha sonra silin.

grey CryptoPHP: Popüler İçerik Yönetim Sistemleri İçinde Gizli Tehdit!

b) Kullanılmayanlar

Eklentinin bulduklarını inceleyip sildik şimdi sırada kullanmadığımız tema ve eklentide. Genelde tema kuruyoruz ve WordPress’in standart temalarını kullanmıyoruz. Sistemin başka alanlarından içeri sızıp bu kullanmadığınız temalar içerisine shell atabilirler bu yüzden kullanmadığınız tema ve eklentileri mutlaka silin.

c) Eklentileri Tekrar Yükleyin

Kullandığınız eklentileri tespit edip WordPress.org Plugins sayfasından hepsini bilgisayarımıza indiriyoruz.

Daha sonra FTP alanından tüm eklentileri silip aynı isimlerde güncel indirdiklerimizi yüklüyoruz. Bu sayede eklentiler klasörümüzde artık güvenli hale gelmiş oluyor.

ç) Cache Temizliği

WP Super Cache veya W3 Total Cache gibi cache eklentileri kullanıyorsanız wp-content içerisinde cache klasörleriniz olacaktır. FTP’den cache klasörünü tamamiyle silip eklentinizle tekrardan oluşturabilirsiniz.

d) Upgrade Temizliği

WordPress bu klasörü güncelleştirme yaparken kullanır. Güncelleştirme yaparken öncelikle klasörü buraya indirir klasöre çıkartır ve nereye atması gerekiyorsa oraya gönderir. Bu yüzden bu klasör daima boştur eğer siz başka bir dosya görürseniz mutlaka silin.

e) Uploads

Öncelikle yukarıdaki söylediklerimi yaptıysanız uploads klasörünü bilgisayarınıza indirip taratmış olmanız gerekiyor. Burası resim, pdf, mp3 gibi dosyaları yükleme alanıdır. Yani bu alanda php, pl gibi dosyalara yer yoktur ve olmaması gerekiyor.

Upload klasörümüz içerisine FileZilla FTP Programı yardımı ile .htaccess adında bir dosya oluşturuyoruz ve içerisine alttaki kodu yerleştiriyoruz.

AddHandler cgi-script .php .pl .py .jsp .asp .htm .shtml .sh .cgi
Options -ExecCGI

Yukarıdaki kod ile herhangi bir açık oluşsa bile uploads klasöründe yukarıdaki uzantıları sunucu artık çalıştırmayacaktır. Gerçi şu anda güvenlik almıyoruz temizlik yapıyoruz ama olsun 🙂

f) Languages

Bu klasör standart olduğu için bunuda silip son sürüm wordpress içerisindekini buraya atıyoruz.

g) Tema Klasörü

En sona bunu bıraktım çünkü bunda ne olduğunu bilmiyoruz. Temanın orjinalini indirebiliyorsak tekrar indirip atmanızı tavsiye ederim. Eğer temada bir güncelleme yaptıysanız bunuda kaydedin temayı yeniden ekledikten sonra güncellemenizi tekrar ekleyin.

  • Warez temaysa silip yeni tema arayışına geçin.
  • Ücretsiz tema ise kodları iyi inceleyin içerisinde crypto edilmiş kodlar varsa kullanmayın o temayı.
  • WordPress.org’dan tema indirin oradakiler güvenlidir.
  • Son çare kendiniz tema yazın.

3) Wp-config.php Temizliği

Tüm dosyaları neredeyse temizledik ama wp-config.php dosyasını hiç ellemedik. Bu yüzden bu dosyayıda iyi incelememiz gerekiyor belki bu php dosyasının içerisine kod eklediler ve uzaktan bağlanabiliyorlar. Eğer wp-config.php içerisinde ne olduğunu biliyorsanız bunu anlamanız 2-3 saniye gibi bir süre olacaktır. Ama eğer bu dosyada daha önceden ne olduğunu bilmiyorsanız alttaki söylediklerimi yapım.

wp-config.php dosyasını silin. FTP ana dizindeki “wp-config-sample.php” dosyasının adını wp-config.php olarak değiştirin.

Yeni wp-config içerisine veritabanı bilgilerinizi yazın. Birde config içerisinde 45.satırda “Eşsiz doğrulama anahtarı” yer alıyor. O alanada benzersiz kodlarımızı eklemek için alttaki siteye giriyoruz ve oradaki kodu alıp wp-config.php içerisine yerleştiriyoruz.

WordPress Güvenlik: Key

wp-config-sample.php içerisindeki boş geliyor genellikle. wp-config dosyasmızıda temizledik.

4) MySQL Kullanıcı Şifresi Değiştirme

MySQL veritabanınıza uzaktan erişim eğer kısıtlı değil ise wp-config bilgileri ile sürekli şifrelerinizi değiştirip yönetim panelinize girebilirler. Veritabanı ile alakalı herşeyi yapabilirler.

MySQL Uzaktan Erişim Programı ile bunu yapmak mümkün tabi biz bu programı zarar vermek için değil iş yapmak için kullanıyoruz.

cPanel‘e giriş yapıp “MySQL Veritabanları” kısmına tıklıyoruz.

En alt kısımda kullanıcılarımız var ve bunların hemen sağında “Şifreyi Ayarla” yazıyor.

https://3.bp.blogspot.com/-bfdsceqwd2E/VIFgFsqwoiI/AAAAAAAAbVg/QC4rR8eaDEI/s1600/mysql-kullanicilar.jpg

Yeni şifreyi o alandan girebilirsiniz.

https://3.bp.blogspot.com/-piMvGV5LlfA/VIFgGoeb53I/AAAAAAAAbV0/sO3sgRG5hkA/s1600/yeni-sifre-mysql.jpg

Son olarak wp-config.php dosyasına bağlanıp yeni şifremizi tanımlıyoruz ve bu güvenliğide almış oluyoruz.

5) Admin Şifresi Değiştirme

Yönetim panelinize girip şifrenizi değiştirin ve diğer tüm yöneticileride inceleyin sizden başka yönetici olmasın.

Birde “admin” kullanıcısını kullanıyorsanız onu silin yeniden farklı bir kullanıcı adı ve şifreyle yeni bir kullanıcı oluşturun.

Tüm yazım bu kadar WordPress’i temizleme işlemini tamamladık. WordPress güvenlik ile alakalı yazılarımıda inceleyin;

CryptoPHP: Popüler İçerik Yönetim Sistemleri İçinde Gizli Tehdit! CryptoPHP: Popüler İçerik Yönetim Sistemleri İçinde Gizli Tehdit! için yorumlar kapalı

cryptophp

CryptoPHP: Populer içerik sistemleri için geliştirilmiş “Sosyal Mühendislik (İnsan Kandırma Sanatı)” dediğimiz bir “hack” yöntemi ile warez temalar, eklentiler ve aralarında ücretsiz tema ve eklentilerinde bulunduğu internet üzerindeki indirilebilen tüm dosyaların içerisine gizlenmiş ufak php dosyaları içerisinde şifrelenmiş (crypto) php kodlarıdır.

Kısa ve öz bir şekilde açıklayabildim sanırım. 🙂 Yıllar önce snoby’nin yaptığı ve başarılı olduğu başka bir sosyal mühendislik yöntemi denenmiş ve buda başarılı olmuştur. Başarısının sonucu: 23.000 site hacklenmiş.

Populer içerik yönetim sistemleri;

  • WordPress
  • Joomla
  • Drupal

Hacker Gözüyle;

Öncelikle olaya Hacker gözüyle bakmamız gerekiyor. Ben bir hacker’ım ve hedefim önemli hesaplara ulaşmak (Phishing yöntemi ile), spam mail göndermek ve hackleyebildiğim kadar site hacklemek.

Düşünüyorum ve aklıma şöyle bir fikir geliyor: En populer içerik yönetim sistemleri için warez tema sitesi açıp bu temalar içerisine shell yerleştiriyim. Ama 1 dakika shell koyarsam anti virüsler bu dosyayı bulur ve silerler. Bunun için napmam gerekiyor? Php ile ufak bir upload scripti yazıp temanın içine gömebilirim bu sefer zararlı olduğu anlaşılmaz.

Ama bu zararlı dosyayıda bir png, gif, jpg dosyasına yerleştirirsem sanırım daha iyi bir sonuç alabilirim.

Basit bir şekilde hacker gözüyle düşündük ve ne kadar zararlı olabileceklerini siz düşünün. Düşünürken indirdiğiniz warez tema ve eklentileride düşünün 🙂

CryptoPHP – “social.png” Dosyası

https://3.bp.blogspot.com/-S0HpEat0Hd4/VHtrUakhbtI/AAAAAAAAbVE/DJkVbM6plbs/s1600/social-rooteto.png

Yukarıda bir hacker gözüyle yazabildiğimi yazdım ama kötü bir durum daha var ben SEO işi yapıyorum ama benim işimi yapan ve yöntemleri benim ve benim gibilerden farklı olan “Black Hat SEO”cularda var. Black hat aslında siyah şapka yani “kötü hacker” olarak adlandırılır. SEO’cunun kötüsüne ve kötü yönteminede “Black hat seo” diyorlar.

İnternet üzerinde bir çok warez sitesi açıp warez temalar, eklentiler yayınlayıp bu dosyalar içerisine “social.png” adında virüsleri yayınlamışlar. Ama aralarında daha akıllı olduklarını düşünenler ise “social.png” yerine başka isimlerde türetmeye başlamışlar. Hatta sunucuya bağlanıp başka yerlere dosya yükleyerek bir kaç yerden girişim olsun niyetiyle dosya atanlar var.

Bu dosyalarla neler yapıyorlar?

  • PHP Mail: Sunucu üzerinden php mail fonksiyonu kullanarak yüzlerce mail atıyorlar. Ardından IP adresiniz hemen blackliste giriyor. Çözüm: Sunucuda php mail fonksiyonunu kapatmak.
  • Black Hat SEO: Sitelerin yönetim panellerine girip eski tarihli içeriklerin, içeriklerini değiştirip içeriklere “anahtar kelime” ekleyip link veriyorlar. Arama motorunda üst sırada yer almak için.
  • Phishing: Sahte sayfalar oluşturup insanlara mail atıyorlar ve kullanıcı adı, şifrelerini çalıyorlar. Sahte Facebook, Linkedin, Twitter, Gmail gibi giriş sayfaları yapıyorlar.
  • Download: Sitenizin bir yedeğini indirip, mail yedeklerinizi indirip temizlerler ve kendilerine yeni bir mail ağı oluştururlar.
  • Hacking: Yapabilirse sunucu üzerindeki tüm dosyalara erişip sunucu yönetimi ele geçirir ve tüm siteleri hackler.

Daha neler neler yapılırda şimdilik aklıma bunlar geliyor.

Bu kadar yazdık gelelim bu dosyayı nasıl bulur ve sileriz?

CryptoPHP Nasıl Bulunur?

Bu dosyayı host’unuzda bulmanız biraz zor olabilir ama biz elimizden gelen tüm yöntemleri kullanarak bu ve bunun gibileri bulmaya çalışacağız 🙂

1) Anti-Malware and Brute-Force Security – WP Plugins

https://2.bp.blogspot.com/-9l8RwGl_JT8/VHtrUvfmeCI/AAAAAAAAbU8/Mul7tvJWlkA/s1600/wp-security.jpg

Bir çok eklenti test ettim ama aralarında en iyiyi bulan bu eklenti. Hatta şöyle bir test yaptım farklı 13 tane php shell indirdim bunların arasında social.png’de mevcut. Hepsini diğer WordPress güvenlik eklentileri ile taratıp test ettim hepsini bulan olmadı ama en çok bu eklenti buldu 🙂

Eklentiyi indir: Anti-Malware and Brute-Force Security by ELI

Kullanımında dikkat etmeniz gereken bir durum var otomatik olarak alttaki uzantıları devre dışı bırakıyor bunlar haricindekilerini tarıyor. Ama bizim için hepsi çok önemli bu yüzden hepsini taratmak için alttaki tüm uzantıları kaldırıp taratıyoruz.

png, jpg, jpeg, gif, bmp, tif, tiff, psd, fla, flv, mov, mp3, exe, zip, pdf, css, pot, po, mo, so, doc, docx, svg, ttf

2 Farklı resim ekledim. 1.Resimde uzantıları kaldırdığım ve sadece temayı taratıcaksam seçeceğim alan var. Siz tamamını taratabilirsiniz bu sayede tüm sisteminizi temizlemiş olursunuz. 2.Resimde ise taranmış ve bulaşmış dosyayı görüyorsunuz öncelik olarak dosyayı inceleyin ve daha sonra silin.

https://1.bp.blogspot.com/-dfyBUAnsR_s/VHtrUQlaKAI/AAAAAAAAbU0/r5YuWbWpKGM/s1600/wordpress-socialpng-security.jpg

2) Sunucuda Taratma Yöntemi

Linux sunucumuza SSH yöntemi ile (SSH Programı) bu dosyayı taratıcaz ve bu lanet dosyadan kurtulcaz inş 🙂

Öncelikle sıkıntımız social.png hemen bunu taratmak için kodumuzu oluşturuyoruz.

cd /home/

find . ( -name *.jpg -or -name *.png -or -name *.jpeg -or -name *.gif -or -name *.bmp ) -type f -exec file {} ; >> log.txt

Yukarıdaki kodda “.jpg-.png-.jpeg-.gif-.bmp” dosyalarını sunucu üzerinde taratıp “-name” yani bu dosyaların tiplerini “log.txt” adında bir txt dosyasına yazdıracağız. Buradaki amacımız dosya uzantısının gerçekte ne olduğunu görmek.

  • /images/social.png: PNG image data
  • /wallpaper-1747243-300×187.jpg: JPEG image data
  • /img/icon-google.gif: GIF image data
  • /images/social.png: PHP script text
  • /stars24.png: PNG image data

Txt dosyamızda sunucu üzerindeki tüm resim dosyaları (yukarıdaki 5 uzantı) taranmış ve sonuç olarak eklenmiş olacak. Yukarıda 5 tane sonuç ekledim burada anlamanız için yeşil olarak düzgün olanları ekledim ancak orada kırmızı bir problem var. Linux sunucumuz sonuç olarak “social.png: PHP script text” yazdıysa bu resim değil php dosyasıdır.

Bu şekildede sunucumucu taratıp bu dosyayı bulabiliriz. Ama şunuda şöylemem gerekiyor burada sadece resim uzantılarının gerçekte ne olduğunu gördük peki ya bu dosyayı kullanarak sunucuya farklı bir yere dosyasını attı ise ne yapıcaz? 3.Alanda bunu anlatıcam inşallah 🙂

3) Findbot Kullanarak Tüm Zararlı Yazılımları Taratma

Findbot adında Abuseat’ın yazmış olduğu perl dosyası var bunu sunucumuza indirip çalıştıracağız bu perl dosyası bir çok virüsü bulabiliyor. Bulduklarınıda perl kodları arasında zaten görebilirsiniz.

Sunucuya indirme ve çalıştırma işlemi için şu işlemi yapınız;

 cd /home/

wget http://cbl.abuseat.org/findbot.pl

perl findbot.pl /home

Eğer yukarıdaki gibi sunucuyu taratırsanız dosyaları bulmakta problem yaşayabilirsiniz çünkü perl dosyasında bulduğu dosyanın alt satırına birde açıklamasını yani kodu ekliyor birde bunu komut satırınızda listeliyor bu oldukça zamanınızı alabilir. Bu yüzden sunucuya indirdikten sonra alttaki işlemi yaparsanız daha hızlı işlem yapabilirsiniz.

Sunucuya indirdikten sonra nano veya vi editörü ile “findbot.pl” dosyasını açın alttaki kodu bulun;

print "$currentfile: Suspicious($pat):n $stringnn";

Yukarıdaki kodu silip alttaki kodu yerleştirin;

print "$currentfile: Suspicious($pat):n";

Bu sayede $string değişkeni içerisindeki fazlalık verileri görmeyeceğiz komut satırında. Tüm dosyaları taratıp txt dosyasına yazdırıcaz daha sonra incelemek için txt’yi açıp sunucudaki dosyaları inceleyeceğiz.

Yeni kodumuz alttaki şekilde;

perl findbot.pl /home -type f -exec file {} ; >> /home/logx.txt

Bu sayede sunucu üzerinde findbot.pl’yi kullanarak tüm dosyaları tarayıp zararlı olanları bulacak ve sonuçlarda Suspicious parantezi içerisinde hepsini gösterecek. Örneklerle listeliyorum;

  • wp-includes/js/tinymce/plugins/image/plugin.php: Suspicious(Web Shell):
  • public_html/system/libraries/Email.php: Suspicious(@ini_get(“safe_mode”):
  • public_html/system/libraries/Xmlrpc.php: Suspicious(fsockopen):
  • public_html/system/libraries/Encrypt.php: Suspicious(base64_decode):
  • public_html/system/core/Security.php: Suspicious(passthru):
  • public_html/application/libraries/image_crud.php: Suspicious(exif = exif_):
  • public_html/application/libraries/MY_Upload.php: Suspicious(shell_exec):

Ama şöylede bir durum var standart WordPress’i resmi siteden indirip arattığınızdada yaklaşık 27 tane buluyor. E o zaman WordPress’te açıkmı var? Hayır perl dosyası bazı komutları içeren shell’lerin ve diğer zararlı yazılımların ortak olarak en sık kullandığı “text”leri içeriyor. Bunları bulduğunda ise listeleme yapıyor sizde bunlar arasında gerçek virüsü bulmaya çalışıyorsunuz.

Zahmetli bir iş biliyorum ama yapcak birşey yok eğer sunucunuzu temizlemek istiyorsanız bu kadar detaylı bir sonuç elde edip bunlarıda temizlemeniz gerekiyor.

4) Hosting Firmaları için IP Listesi

Hosting firmaları ise fox-it’in yayınladığı ip adreslerini engelleyip ufakda olsa bir önlem alabilirler.

Bu kadar detaylı aratmamızın sebebi hackerlar “social.png” adında dosya ile hosta bağlanıp farklı yerlere dosya upload yapabilir ve bu sistem dosyasıymış gibi davrandırabilirler. Yada standart script’inizde ufak bir RFI açığı veya upload özelliği ekleyebilirler bu sayede sisteme gizlice girebilirler bunun içinde sistem dosyalarımızıda güncel tutmamız gerekiyor.

İşimiz güvenlik ise işimiz hakkaten zor ve uğraştırıcı ama sonucu güzel 🙂

CrpytoPHP dedik nerelere geldik e artık bu dosyayı nasıl bulacağımızıda biliyorsunuz sıra geldi bu dosyayı bir daha yememeye 🙂

CryptoPHP Önlemek

Bu dosyayı öncelemek için öncelik olarak warez hiç birşey indirmeyeceğiz. Warez hiç birşey derken tema, eklenti aklınıza ne gelirse aralarında şu olabilir diyeceğim bir dosya türü yok.

İndirmiş olduğunuz warez olmayan ücretsiz scriptleri ise mutlaka inceleyin. Kodlarına girip incelemeyide es geçmeyin çünkü ücretsizler içerisindede rastladık bu shell’lere 🙂

Olabildiğince temalarınızı kendiniz yazmaya çalışın yada wordpress.org’un resmi sitesinde yayınladığı tema ve eklentilerden faydalanın.

Ama şuda var bugün WordPress’in son sürümünde bile açık çıkıyor diyebilirsiniz. Bende size: “WordPress sistemi sürekli güncelleniyor sizin warez temanız güncellenmiyor, güncelleniyorsada mutlaka virüs yerini korur.” derim.

Kaynaklar

Kaynaklarım arasında sitede yazmadığım alanlarda var ama ben hepsinden bir kaç şey aldım ve sizde inceleyin daha farklı şeyler göreceksiniz.

Esas kaynak olarakda Foxit’i alın lütfen.

Most Popular Topics

Editor Picks