Web güvenliği konusu bir webmaster için önemli kriterlerin başında gelmektedir. Hosting firmaları ve bireyse kullanımlarda size teslim edilen sunucunun güvenliğinden siz sorumlu olursunuz. Sunucuya eklenti ve tema dosyaları aracılığıyla veya sitenizde bulunan modüller aracılığıyla webshell girebilir veya çeşitli amaçlar için farklı yöntemler ile saldırılar gerçekleştirilir ve bu yöntemlerin arasında Web Shell, Backdoor, Malware yazılımları yer almaktadır.
Backdoor Nedir?
Backdoor, tek amacı ters bağlantı sağlamaktır. Adından da anlaşılacağı gibi arka kapı. Sistemlere erişmek için gizli bir yol oluşturur ve bu yolu genel olarak .php dosyaları üzerinden veya zero day açıkları üzerinden sağlar. Backdoor sadece sunucularda veya işletim sistemlerinde değil farklı elektronik cihazlarda da zafiyeti mümkündür. Güvenlik kameraları, araçlar ve modemler gibi. Ustaca oluşturulmuş backdoorları bulmak imkansızdır. Script bazlı açıklar ile elde edilen backdoor ile milyonlara varan güvenlik sorunları meydana gelmiş, WordPress resmi eklenti sayfası üzerinden bir çok eklentide bulunmuş ve milyonlarca kullanıcı bu sebep ile mağdur olmuştur. Backdoor başlı başlına bir inceleme konusudur çünkü amacı backdoor olmayan bir yazım hatası ile de bu açık meydana gelebilir, tespiti zor olduğu için şuan bu zafiyete sahip olabilirsiniz.
Web Shell Nedir?
Web Shell, asp veya php tabanlı sunucu üzerinde erişim sağlamak amacıyla oluşturulmuş kod parçalarıdır. Adını shell yani komut çalıştırma satırı olan terminalin web arayüzünde çalışan bir versiyonu olması sebebiyle almıştır. Çeşitli amaçları vardır;
- Sunucuyu ele geçirmek.
- Sunucuza dosya transferi sağlamak.
- Veri tabanına erişmek.
- Shell üzerinden komut satırı çalıştırmak.
- DDOS saldırıları gerçekleştirmek.
- Kripto para madenciliği yapmak.
En yaygın internet virüsüdür çünkü hazır bir çok tema ve eklenti içerisine yerleştirilerek yayılmaktadır. Nulled veya Null tema adı altında yayınlanan hemen hemen tüm tema ve eklentilerde web shell mevcuttur. Siz temanızı güzel güzel kullanırken arkaplanda sitenizi başkalarına çoktan teslim etmiş olursunuz.
Web Shell Çeşitleri Nelerdir?
Bilindik bir çok web shell mevcuttur. Ben isimlerinden değil yapılarından bahsedeceğim. Gelişen sadece virüs programı ve güvenlik yazılımları firması değildir. Diğer korsan yazılım ve hack camiasıda gelişmektedir. Web Shell tarama esnasında bulunmasın diye çeşitli metotlar geliştirildi. Bunlardan bazıları;
- String değeri ile şifrelemek.
- Base64 ile şifrelemek.
- JS dosyası ile uzak sunucudan çekmek. (En tehlikelisi ve tespiti zor olan)
- .htaccess dosyası ile zafiyet oluşturmak.
- Backdoor.PHP.WebShell.BD
- PHP:Agent-KW [Trj]
- PHP/BackDoor.Shell
- PHP/Shell.G.1
- Backdoor.PHP.WebShell.a (v)
- PHP.Trojan.WebShell.a
- VEX2F7A.Webshell
- PHP.WebShell.A
- Win.Trojan.Shell-67
- PHP.Shell.101
- Backdoor.PHP.WebShell.BD (B)
- PHP/WebShell.NAH
- PHP/WebShell.NAF!tr
- Backdoor.PHP.WebShell.gl
- PHP/WebShell
- PHP.Filesman
- PHP_MADSHELL.SM
- Trojan.Html.Agent.vsvbn
- Backdoor.WebShell-1251/PHP!1.A59F (classic)
Şifrelenmiş PHP Virüslerini Silmek
Potantisyel olarak gizlenebilecek php dosyaları, Base64, ioncube veya rastgale değer üzerinden oluşturulmaktadır. Size neredeyse her tür tehlikeli yazılımı bulma potansiyeline sahip tam bir avcı var.
Php Backdoor Malware Finder
Perl programlama dili ile yazılmış açık kaynak kodlu bir malware analiz yazılımı. Bu yazılım ile backdoor, malware, web shell ve rootkitleri yakalayabilirsiniz. Üstelik SSH üzerinden detaylı ve renkli görünümü sayesinde kullanıcı dostu bir kullanılışa sahip. Malware Finder github adresine buradanulaşabilirsiniz. Benim sunucum Centos ve ayarlar Centos dağıtımına göre yapılacaktır. İşleme başlamadan önce Putty ile SSH erişimi sağlayın ve root olun. Bunu detaylı olarak bu adreste anlattım. Bağlantı sonrasında devam edebiliriz.
Server üzerinde apache kurulu ve hali hazırda bir web sitesinin yayında olduğundan emin olun. Genel olarak apache serverında siteler şu dizinde yer alır;
/home/admin/web/siteadresi.com/
Yazılımı indirme işlemine geçelim. Centos’da git clone komutunu çalıştırmak için yum install git komutu ile modülleri kurunuz.
cd home
cd admin
cd web
yum install git
git clone https://github.com/scr34m/php-malware-scanner
cd php-malware-scanner
sudo chmod +x scan.php
php ./scan.php -d /home/admin/web/siteadresiniz.com/public_html/
Şifrelenmiş Php Virüslerini Silmek
Deneme amaçlı bir R57 web shell, bir adet Şifreli Web Shell, bir adette Backdoor upload ediyorum filezilla ile bakalım hangilerini bulacak.
Sonuç başarılı. Bakalım şifreli php dosyasında durum ne olacak.
Sonuç başarılı. Şimdi de weevely3 backdoorunu taratıyorum.
Sonuç başarısız. Php malware tarama şifrelenmiş backdoorları bulamıyor. Peki bu yazılımı neden kullanmalısınız? Çünkü Base64 kodlamaları otomatik virüs olarak mobilya algılamıyor. Şifreli kodları çözerek asıl kod üzerinden analiz yapıyor. Böyle durumlarda base64 ile encode edilmiş css dosyaları tehlike oluşturmadığı görülüyor. Bir sonraki makalemde şifrelenmiş backdoorların tespitini anlatacağım. Grafiker sitemden alıntıdır. Kreş Eryaman Anaokulu Anaokulu
elinize sağlık güzel bilgilendirme.