CryptoPHP: Populer içerik sistemleri için geliştirilmiş “Sosyal Mühendislik (İnsan Kandırma Sanatı)” dediğimiz bir “hack” yöntemi ile warez temalar, eklentiler ve aralarında ücretsiz tema ve eklentilerinde bulunduğu internet üzerindeki indirilebilen tüm dosyaların içerisine gizlenmiş ufak php dosyaları içerisinde şifrelenmiş (crypto) php kodlarıdır.

Kısa ve öz bir şekilde açıklayabildim sanırım. 🙂 Yıllar önce snoby’nin yaptığı ve başarılı olduğu başka bir sosyal mühendislik yöntemi denenmiş ve buda başarılı olmuştur. Başarısının sonucu: 23.000 site hacklenmiş.

Populer içerik yönetim sistemleri;

• WordPress
• Joomla
• Drupal

Hacker Gözüyle;

Öncelikle olaya Hacker gözüyle bakmamız gerekiyor. Ben bir hacker’ım ve hedefim önemli hesaplara ulaşmak (Phishing yöntemi ile), spam mail göndermek ve hackleyebildiğim kadar site hacklemek.

Düşünüyorum ve aklıma şöyle bir fikir geliyor: En populer içerik yönetim sistemleri için warez tema sitesi açıp bu temalar içerisine shell yerleştiriyim. Ama 1 dakika shell koyarsam anti virüsler bu dosyayı bulur ve silerler. Bunun için napmam gerekiyor? Php ile ufak bir upload scripti yazıp temanın içine gömebilirim bu sefer zararlı olduğu anlaşılmaz.

Ama bu zararlı dosyayıda bir png, gif, jpg dosyasına yerleştirirsem sanırım daha iyi bir sonuç alabilirim.

Basit bir şekilde hacker gözüyle düşündük ve ne kadar zararlı olabileceklerini siz düşünün. Düşünürken indirdiğiniz warez tema ve eklentileride düşünün 🙂

CryptoPHP – “social.png” Dosyası

Yukarıda bir hacker gözüyle yazabildiğimi yazdım ama kötü bir durum daha var ben SEO işi yapıyorum ama benim işimi yapan ve yöntemleri benim ve benim gibilerden farklı olan “Black Hat SEO”cularda var. Black hat aslında siyah şapka yani “kötü hacker” olarak adlandırılır. SEO’cunun kötüsüne ve kötü yönteminede “Black hat seo” diyorlar.

İnternet üzerinde bir çok warez sitesi açıp warez temalar, eklentiler yayınlayıp bu dosyalar içerisine “social.png” adında virüsleri yayınlamışlar. Ama aralarında daha akıllı olduklarını düşünenler ise “social.png” yerine başka isimlerde türetmeye başlamışlar. Hatta sunucuya bağlanıp başka yerlere dosya yükleyerek bir kaç yerden girişim olsun niyetiyle dosya atanlar var.

Bu dosyalarla neler yapıyorlar?

• PHP Mail: Sunucu üzerinden php mail fonksiyonu kullanarak yüzlerce mail atıyorlar. Ardından IP adresiniz hemen blackliste giriyor. Çözüm: Sunucuda php mail fonksiyonunu kapatmak.
• Black Hat SEO: Sitelerin yönetim panellerine girip eski tarihli içeriklerin, içeriklerini değiştirip içeriklere “anahtar kelime” ekleyip link veriyorlar. Arama motorunda üst sırada yer almak için.
• Phishing: Sahte sayfalar oluşturup insanlara mail atıyorlar ve kullanıcı adı, şifrelerini çalıyorlar. Sahte Facebook, Linkedin, Twitter, Gmail gibi giriş sayfaları yapıyorlar.
• Download: Sitenizin bir yedeğini indirip, mail yedeklerinizi indirip temizlerler ve kendilerine yeni bir mail ağı oluştururlar.
• Hacking: Yapabilirse sunucu üzerindeki tüm dosyalara erişip sunucu yönetimi ele geçirir ve tüm siteleri hackler.

Daha neler neler yapılırda şimdilik aklıma bunlar geliyor.

Bu kadar yazdık gelelim bu dosyayı nasıl bulur ve sileriz?

CryptoPHP Nasıl Bulunur?

Bu dosyayı host’unuzda bulmanız biraz zor olabilir ama biz elimizden gelen tüm yöntemleri kullanarak bu ve bunun gibileri bulmaya çalışacağız 🙂

1) Anti-Malware and Brute-Force Security – WP Plugins

Bir çok eklenti test ettim ama aralarında en iyiyi bulan bu eklenti. Hatta şöyle bir test yaptım farklı 13 tane php shell indirdim bunların arasında social.png’de mevcut. Hepsini diğer WordPress güvenlik eklentileri ile taratıp test ettim hepsini bulan olmadı ama en çok bu eklenti buldu 🙂

Eklentiyi indir: Anti-Malware and Brute-Force Security by ELI

Kullanımında dikkat etmeniz gereken bir durum var otomatik olarak alttaki uzantıları devre dışı bırakıyor bunlar haricindekilerini tarıyor. Ama bizim için hepsi çok önemli bu yüzden hepsini taratmak için alttaki tüm uzantıları kaldırıp taratıyoruz.

png, jpg, jpeg, gif, bmp, tif, tiff, psd, fla, flv, mov, mp3, exe, zip, pdf, css, pot, po, mo, so, doc, docx, svg, ttf

2 Farklı resim ekledim. 1.Resimde uzantıları kaldırdığım ve sadece temayı taratıcaksam seçeceğim alan var. Siz tamamını taratabilirsiniz bu sayede tüm sisteminizi temizlemiş olursunuz. 2.Resimde ise taranmış ve bulaşmış dosyayı görüyorsunuz öncelik olarak dosyayı inceleyin ve daha sonra silin.

2) Sunucuda Taratma Yöntemi

Linux sunucumuza SSH yöntemi ile (SSH Programı) bu dosyayı taratıcaz ve bu lanet dosyadan kurtulcaz inş 🙂

Öncelikle sıkıntımız social.png hemen bunu taratmak için kodumuzu oluşturuyoruz.

cd /home/

find . ( -name *.jpg -or -name *.png -or -name *.jpeg -or -name *.gif -or -name *.bmp ) -type f -exec file {} ; >> log.txt

Yukarıdaki kodda “.jpg-.png-.jpeg-.gif-.bmp” dosyalarını sunucu üzerinde taratıp “-name” yani bu dosyaların tiplerini “log.txt” adında bir txt dosyasına yazdıracağız. Buradaki amacımız dosya uzantısının gerçekte ne olduğunu görmek.

• /images/social.png: PNG image data
• /wallpaper-1747243-300×187.jpg: JPEG image data
• /img/icon-google.gif: GIF image data
• /images/social.png: PHP script text
• /stars24.png: PNG image data

Txt dosyamızda sunucu üzerindeki tüm resim dosyaları (yukarıdaki 5 uzantı) taranmış ve sonuç olarak eklenmiş olacak. Yukarıda 5 tane sonuç ekledim burada anlamanız için yeşil olarak düzgün olanları ekledim ancak orada kırmızı bir problem var. Linux sunucumuz sonuç olarak “social.png: PHP script text” yazdıysa bu resim değil php dosyasıdır.

Bu şekildede sunucumucu taratıp bu dosyayı bulabiliriz. Ama şunuda şöylemem gerekiyor burada sadece resim uzantılarının gerçekte ne olduğunu gördük peki ya bu dosyayı kullanarak sunucuya farklı bir yere dosyasını attı ise ne yapıcaz? 3.Alanda bunu anlatıcam inşallah 🙂

3) Findbot Kullanarak Tüm Zararlı Yazılımları Taratma

Findbot adında Abuseat’ın yazmış olduğu perl dosyası var bunu sunucumuza indirip çalıştıracağız bu perl dosyası bir çok virüsü bulabiliyor. Bulduklarınıda perl kodları arasında zaten görebilirsiniz.

Sunucuya indirme ve çalıştırma işlemi için şu işlemi yapınız;

 cd /home/

wget http://cbl.abuseat.org/findbot.pl

perl findbot.pl /home

Eğer yukarıdaki gibi sunucuyu taratırsanız dosyaları bulmakta problem yaşayabilirsiniz çünkü perl dosyasında bulduğu dosyanın alt satırına birde açıklamasını yani kodu ekliyor birde bunu komut satırınızda listeliyor bu oldukça zamanınızı alabilir. Bu yüzden sunucuya indirdikten sonra alttaki işlemi yaparsanız daha hızlı işlem yapabilirsiniz.

Sunucuya indirdikten sonra nano veya vi editörü ile “findbot.pl” dosyasını açın alttaki kodu bulun;

print "$currentfile: Suspicious($pat):n $stringnn";

Yukarıdaki kodu silip alttaki kodu yerleştirin;

print "$currentfile: Suspicious($pat):n";

Bu sayede $string değişkeni içerisindeki fazlalık verileri görmeyeceğiz komut satırında. Tüm dosyaları taratıp txt dosyasına yazdırıcaz daha sonra incelemek için txt’yi açıp sunucudaki dosyaları inceleyeceğiz.

Yeni kodumuz alttaki şekilde;

perl findbot.pl /home -type f -exec file {} ; >> /home/logx.txt

Bu sayede sunucu üzerinde findbot.pl’yi kullanarak tüm dosyaları tarayıp zararlı olanları bulacak ve sonuçlarda Suspicious parantezi içerisinde hepsini gösterecek. Örneklerle listeliyorum;

• wp-includes/js/tinymce/plugins/image/plugin.php: Suspicious(Web Shell):
• public_html/system/libraries/Email.php: Suspicious(@ini_get(“safe_mode”):
• public_html/system/libraries/Xmlrpc.php: Suspicious(fsockopen):
• public_html/system/libraries/Encrypt.php: Suspicious(base64_decode):
• public_html/system/core/Security.php: Suspicious(passthru):
• public_html/application/libraries/image_crud.php: Suspicious(exif = exif_):
• public_html/application/libraries/MY_Upload.php: Suspicious(shell_exec):

Ama şöylede bir durum var standart WordPress’i resmi siteden indirip arattığınızdada yaklaşık 27 tane buluyor. E o zaman WordPress’te açıkmı var? Hayır perl dosyası bazı komutları içeren shell’lerin ve diğer zararlı yazılımların ortak olarak en sık kullandığı “text”leri içeriyor. Bunları bulduğunda ise listeleme yapıyor sizde bunlar arasında gerçek virüsü bulmaya çalışıyorsunuz.

Zahmetli bir iş biliyorum ama yapcak birşey yok eğer sunucunuzu temizlemek istiyorsanız bu kadar detaylı bir sonuç elde edip bunlarıda temizlemeniz gerekiyor.

4) Hosting Firmaları için IP Listesi

Hosting firmaları ise fox-it’in yayınladığı ip adreslerini engelleyip ufakda olsa bir önlem alabilirler.

Bu kadar detaylı aratmamızın sebebi hackerlar “social.png” adında dosya ile hosta bağlanıp farklı yerlere dosya upload yapabilir ve bu sistem dosyasıymış gibi davrandırabilirler. Yada standart script’inizde ufak bir RFI açığı veya upload özelliği ekleyebilirler bu sayede sisteme gizlice girebilirler bunun içinde sistem dosyalarımızıda güncel tutmamız gerekiyor.

İşimiz güvenlik ise işimiz hakkaten zor ve uğraştırıcı ama sonucu güzel 🙂

CrpytoPHP dedik nerelere geldik e artık bu dosyayı nasıl bulacağımızıda biliyorsunuz sıra geldi bu dosyayı bir daha yememeye 🙂

CryptoPHP Önlemek

Bu dosyayı öncelemek için öncelik olarak warez hiç birşey indirmeyeceğiz. Warez hiç birşey derken tema, eklenti aklınıza ne gelirse aralarında şu olabilir diyeceğim bir dosya türü yok.

İndirmiş olduğunuz warez olmayan ücretsiz scriptleri ise mutlaka inceleyin. Kodlarına girip incelemeyide es geçmeyin çünkü ücretsizler içerisindede rastladık bu shell’lere 🙂

Olabildiğince temalarınızı kendiniz yazmaya çalışın yada wordpress.org’un resmi sitesinde yayınladığı tema ve eklentilerden faydalanın.

Ama şuda var bugün WordPress’in son sürümünde bile açık çıkıyor diyebilirsiniz. Bende size: “WordPress sistemi sürekli güncelleniyor sizin warez temanız güncellenmiyor, güncelleniyorsada mutlaka virüs yerini korur.” derim.

Kaynaklar

Kaynaklarım arasında sitede yazmadığım alanlarda var ama ben hepsinden bir kaç şey aldım ve sizde inceleyin daha farklı şeyler göreceksiniz.

• CryptoPHP Backdoor’u İçin LogParser Tarayıcısı
• PNG Image Metadata Leading to iFrame Injections
• UnPHP – PHP Decode – Social.png’nin decode edilmiş hali
• Why you shouldn’t use Joomla! warez – Backdoors for free!
• Centos CryptoPHP malware sorunu
• Anti-Malware and Brute-Force Security by ELI
• Getting a password hidden from STDIN with PHP-CLI
• How to remove CryptoPHP malware – Scan Now
• [FEATURED] CryptoPHP
• How to clear/remove CryptoPHP PHP malware
• Spam Hacks, Pharmacy, Payday Loans, Porn, UGG, louis vuitton, etc.

Esas kaynak olarakda Foxit’i alın lütfen.

• Foxit Security – CyrpyoPHP [PDF]