Güvenlik Rehberi v4 - Kapsamlı & Detaylı

PHP Güvenlik Tarama Rehberi

Backdoor, Malware ve Zararlı Kod Tespiti

v2 + v3 = Kapsamlı v4

5 Ocak 2026 (v4) | 70 Kontrol Noktası | 50 Temel + 20 Imunify360

Basit Anlatım (Herkes İçin)

Bu rehber, web sitenize sızabilecek zararlı kodları (virüs, backdoor, shell) tespit etmenizi sağlar. v4 tüm detayları içerir: v2'nin 50 temel kontrolü + v3'ün 20 Imunify360 testi.

Aşağıdaki 70 kontrolü düzenli olarak çalıştırarak sitenizi koruyabilirsiniz.

Kritik Uyarı

Bu taramalar sırasında bulunan şüpheli dosyaları hemen silmeyin! Önce içeriğini inceleyin, yedek alın ve emin olduktan sonra silin. Yanlışlıkla silinen sistem dosyaları siteyi çökertebilir.

v4'te Neler Var?

📚

v2: Temel Kontroller

Kategori 1-14, kontrol 1-50. Backdoor, encoding, upload, network, sistem kontrolleri.

🛡️

v3: Imunify360

Kategori 15-18, kontrol 51-70. Profesyonel malware tespiti, davranış analizi.

Tam Otomatik

Hazır prompt ile tek tıkla 70 kontrolü çalıştır, rapor al.

70 Güvenlik Kontrol Noktası

Kategori 1-14: Temel Güvenlik Kontrolleri (1-50)

1 Backdoor & Shell Tespiti

1.1 Eval + Base64 Combo Kritik

En yaygın backdoor pattern'i. Şifreli kod çalıştırır.

grep -r --include="*.php" -l "eval(base64_decode" /var/www/html --exclude-dir=vendor
1.2 Shell Komutları Kritik

Sistem komutları çalıştıran fonksiyonlar.

grep -r --include="*.php" -l "passthru\|shell_exec\|system\s*(" /var/www/html/public --exclude-dir=vendor
1.3 REQUEST + Eval Kritik

Kullanıcı girdisini doğrudan çalıştıran kod.

grep -r --include="*.php" -l '\$_\(REQUEST\|POST\|GET\).*eval\|eval.*\$_\(REQUEST\|POST\|GET\)' /var/www/html
1.4 Assert Exploit Yüksek

PHP assert() fonksiyonu kod çalıştırabilir.

grep -r --include="*.php" "assert\s*(" /var/www/html/public --exclude-dir=vendor
1.5 Create Function Yüksek

Eski PHP exploit yöntemi.

grep -r --include="*.php" -l "create_function" /var/www/html --exclude-dir=vendor

2 Dosya Manipülasyonu Tespiti

2.1 File Write + Decode Kritik

Şifreli içeriği dosyaya yazan kod.

grep -r --include="*.php" -l "file_put_contents.*base64_decode" /var/www/html --exclude-dir=vendor
2.2 @copy / @move Yüksek

Dosya kopyalama/taşıma (hata gizleme ile).

grep -r --include="*.php" -l "@copy\|@rename\|@move" /var/www/html/public --exclude-dir=vendor
2.3 Chmod/Chown Orta

İzin değiştirme komutları.

grep -r --include="*.php" -l "chmod\|chown" /var/www/html/public --exclude-dir=vendor

3 Gizli & Şüpheli Dosya Tespiti

3.1 Gizli PHP Dosyaları Kritik

Nokta ile başlayan gizli PHP dosyaları.

find /var/www/html -name ".*php" -o -name ".*.php" 2>/dev/null
3.2 Rastgele Hex İsimli Dosyalar Kritik

453bbb9eb16f.php gibi rastgele isimler.

find /var/www/html/public -maxdepth 2 -type f -regextype posix-extended -regex '.*/[a-f0-9]{16,}\.[a-z]+$'
3.3 Public'te Şüpheli PHP Yüksek

Public klasöründe olmaması gereken PHP'ler.

find /var/www/html/public -maxdepth 1 -name "*.php" ! -name "index.php" ! -name "robots.txt"
3.4 Şüpheli TXT Dosyaları Orta

Marker/beacon dosyaları.

find /var/www/html/public -maxdepth 1 -name "*.txt" ! -name "robots.txt"

4 Upload Klasörü Güvenliği

4.1 Uploads'da PHP Kritik

Upload klasöründe PHP dosyası OLMAMALI!

find /var/www/html/public/uploads -name "*.php" 2>/dev/null
4.2 PHP Varyantları Kritik

phtml, phar, php5, php7 uzantıları.

find /var/www/html/public/uploads -type f \( -name "*.phtml" -o -name "*.phar" -o -name "*.php5" -o -name "*.php7" \)
4.3 Resim İçinde PHP Kritik

JPG/PNG/GIF içine gizlenmiş PHP kodu.

find /var/www/html -type f \( -name "*.jpg" -o -name "*.png" -o -name "*.gif" \) -exec grep -l "<?php" {} \;

5 Şifreli/Karmaşık Kod Tespiti

5.1 Gzip Encoded Kritik

Sıkıştırılmış zararlı kod.

grep -r --include="*.php" -l "gzinflate\|gzuncompress\|str_rot13" /var/www/html/public
5.2 Chr() Encoded Yüksek

chr(98).chr(97)... formatı.

grep -r --include="*.php" -l "chr(98).chr(97).chr(115).chr(101)" /var/www/html
5.3 Uzun Base64 String Yüksek

50+ karakter base64 encoded string.

grep -r --include="*.php" -l '\$[a-zA-Z_]*\s*=\s*["'"'"'][a-zA-Z0-9+/=]\{50,\}["'"'"']' /var/www/html/public
5.4 Preg_replace /e Orta

Eski PHP versiyonlarında kod çalıştırır.

grep -r --include="*.php" "preg_replace.*['\"]\/.*e['\"]" /var/www/html --exclude-dir=vendor

6 Ağ & Remote Erişim Tespiti

6.1 Socket/Reverse Shell Kritik

Uzak bağlantı açan kod.

grep -r --include="*.php" -l "fsockopen\|socket_create\|pfsockopen" /var/www/html --exclude-dir=vendor
6.2 Remote Include Kritik

Uzak sunucudan dosya include.

grep -r --include="*.php" -l "include.*http\|require.*http" /var/www/html/public
6.3 Proc Open Yüksek

Process açma fonksiyonu.

grep -r --include="*.php" -l "proc_open" /var/www/html/public

7 Sistem & Cron Kontrolü

7.1 Cron Kontrolü Yüksek

Zamanlanmış görevlerde backdoor.

crontab -l | grep -v "^#"
7.2 .htaccess Değişiklikleri Yüksek

Son 7 günde değişen htaccess.

find /var/www/html -name ".htaccess" -mtime -7 -exec ls -la {} \;
7.3 World Writable Orta

Herkesin yazabildiği dosyalar.

find /var/www/html/public -type f -perm -002 ! -path "*/storage/*"
7.4 Symlink Saldırısı Orta

Şüpheli sembolik linkler.

find /var/www/html/public -type l ! -path "*/storage/*" ! -path "*/readme/*"

8 Zaman Bazlı Tarama

8.1 Son 24 Saat PHP Yüksek

Son 24 saatte oluşturulan PHP dosyaları.

find /var/www/html -name "*.php" -mtime -1 ! -path "*/vendor/*" ! -path "*/storage/framework/*"
8.2 Son 7 Gün Uploads Yüksek

Son 7 günde uploads'a eklenen PHP.

find /var/www/html/public/uploads -name "*.php" -mtime -7

9 Özel Tehditler

9.1 Crypto Miner Kritik

Kripto madenci zararlıları.

grep -r --include="*.php" -l "coinhive\|cryptonight\|stratum\|xmrig" /var/www/html
9.2 Mail Spam Yüksek

Public'te mail fonksiyonu (spam için kullanılabilir).

grep -r --include="*.php" -l "mail\s*(" /var/www/html/public --exclude-dir=vendor

10 Variable Function & Dinamik Kod

10.1 Variable Function Call Kritik

$func() şeklinde dinamik fonksiyon çağrısı. Backdoor'larda çok yaygın.

grep -r --include="*.php" -l '\$[a-zA-Z_][a-zA-Z0-9_]*\s*(' /var/www/html/public --exclude-dir=vendor | head -20
10.2 Call User Func Kritik

call_user_func ile dinamik kod çalıştırma.

grep -r --include="*.php" -l "call_user_func\|call_user_func_array" /var/www/html/public --exclude-dir=vendor
10.3 Array Callback Exploit Yüksek

array_map, array_filter ile kod çalıştırma.

grep -r --include="*.php" "array_map\|array_filter\|array_walk\|usort" /var/www/html/public --exclude-dir=vendor | grep -i "eval\|assert\|base64"
10.4 ReflectionFunction Yüksek

Reflection API ile kod çalıştırma.

grep -r --include="*.php" -l "ReflectionFunction\|ReflectionMethod" /var/www/html/public --exclude-dir=vendor

11 Hex & Gelişmiş Encoding

11.1 Hex Encoded String Kritik

\x62\x61\x73\x65 formatında gizli kod.

grep -r --include="*.php" '\\x[0-9a-fA-F]\{2\}\\x[0-9a-fA-F]\{2\}' /var/www/html/public --exclude-dir=vendor
11.2 Octal Encoded Yüksek

\142\141\163\145 formatında octal encoding.

grep -r --include="*.php" '\\[0-7]\{3\}\\[0-7]\{3\}' /var/www/html/public --exclude-dir=vendor
11.3 Double Encoding Yüksek

Çift base64 encoding ile gizleme.

grep -r --include="*.php" "base64_decode.*base64_decode" /var/www/html --exclude-dir=vendor
11.4 Pack/Unpack Yüksek

Binary veri manipülasyonu ile kod gizleme.

grep -r --include="*.php" "pack\s*(\|unpack\s*(" /var/www/html/public --exclude-dir=vendor

12 PHP Wrappers & Streams

12.1 php://input Exploit Kritik

Raw POST verisi ile kod çalıştırma.

grep -r --include="*.php" "php://input" /var/www/html/public --exclude-dir=vendor
12.2 data:// Wrapper Kritik

Data URI ile kod injection.

grep -r --include="*.php" "data://" /var/www/html/public --exclude-dir=vendor
12.3 php://filter Yüksek

Filter wrapper ile dosya okuma/encoding.

grep -r --include="*.php" "php://filter" /var/www/html --exclude-dir=vendor
12.4 expect:// Wrapper Kritik

Sistem komutu çalıştırma wrapper'ı.

grep -r --include="*.php" "expect://" /var/www/html --exclude-dir=vendor

13 Webshell Patterns

13.1 Bilinen Webshell İsimleri Kritik

c99, r57, b374k gibi ünlü shell'ler.

grep -r --include="*.php" -l "c99shell\|r57shell\|b374k\|WSO\|FilesMan" /var/www/html
13.2 File Manager Patterns Kritik

Dosya yöneticisi shell imzaları.

grep -r --include="*.php" "FilesMan\|filemanager\|File Manager" /var/www/html/public --exclude-dir=vendor
13.3 Cookie Backdoor Auth Kritik

Cookie ile gizli erişim kontrolü.

grep -r --include="*.php" '\$_COOKIE.*==\|md5.*\$_COOKIE' /var/www/html/public --exclude-dir=vendor
13.4 Deserialization Attack Kritik

unserialize ile RCE saldırısı.

grep -r --include="*.php" "unserialize\s*(\s*\$_" /var/www/html --exclude-dir=vendor

14 Config & INI Manipülasyonu

14.1 .user.ini Dosyaları Kritik

PHP ayarlarını override eden .user.ini dosyaları.

find /var/www/html -name ".user.ini" -exec cat {} \;
14.2 auto_prepend_file Kritik

Her PHP çalışmadan önce otomatik include.

grep -r "auto_prepend_file\|auto_append_file" /var/www/html -l 2>/dev/null
14.3 SVG/XML PHP Injection Yüksek

SVG ve XML dosyalarına gizlenmiş PHP.

find /var/www/html -type f \( -name "*.svg" -o -name "*.xml" \) -exec grep -l "<?php\|<script" {} \;
14.4 Alternatif PHP Uzantıları Yüksek

.pht, .phps, .inc gibi az bilinen PHP uzantıları.

find /var/www/html -type f \( -name "*.pht" -o -name "*.phps" -o -name "*.inc" -o -name "*.php3" -o -name "*.php4" \)

Kategori 15-18: Imunify360 Gelişmiş Testler (51-70)

15 Imunify360: Malware Signatures

15.1 SEO Spam Injection Kritik

Gizli SEO linkler, viagra/casino spam.

grep -ri "viagra\|cialis\|casino\|poker\|pharma" /var/www/html --include="*.php" --include="*.html" | grep -i "display.*none\|visibility.*hidden" | head -20
15.2 Malicious Redirects Kritik

JavaScript/Meta tag ile gizli yönlendirmeler.

grep -r "window\.location\|document\.location\|meta.*refresh" /var/www/html/public --include="*.php" --include="*.html" | grep -v "vendor" | head -20
15.3 Defaced Page Detection Yüksek

Hacked by, owned by pattern'leri.

grep -ri "hacked by\|owned by\|defaced by\|pwned by" /var/www/html/public --include="*.php" --include="*.html"
15.4 Known Malware Strings Kritik

Bilinen malware imzaları (eval chains).

grep -r "eval.*base64_decode.*gzinflate\|eval.*str_rot13.*base64" /var/www/html --include="*.php" --exclude-dir=vendor
15.5 Suspicious Function Chains Yüksek

Şüpheli fonksiyon kombinasyonları.

grep -r "file_get_contents.*base64_decode\|curl_exec.*eval" /var/www/html --include="*.php" --exclude-dir=vendor | head -10

16 Imunify360: Gelişmiş Tespit

16.1 Polymorphic Malware Kritik

Sürekli değişen, kendini şifreleyen kod.

find /var/www/html -name "*.php" -exec sh -c 'grep -l "eval.*\\\$" "$1" && stat -c "%Y %n" "$1"' _ {} \; | sort -rn | head -20
16.2 Time-Based Execution Yüksek

Belli saatlerde aktif olan backdoor.

grep -r "date\s*(\|time\s*(" /var/www/html/public --include="*.php" --exclude-dir=vendor | grep -i "if\|switch" | head -20
16.3 IP-Based Backdoors Kritik

Sadece belli IP'lerden erişilebilen backdoor.

grep -r "\$_SERVER\[.*REMOTE_ADDR.*==\|REMOTE_ADDR.*!=\|in_array.*REMOTE_ADDR" /var/www/html/public --include="*.php" --exclude-dir=vendor | head -10
16.4 User-Agent Filtering Yüksek

User-agent kontrol eden backdoor.

grep -r "\$_SERVER\[.*HTTP_USER_AGENT" /var/www/html/public --include="*.php" --exclude-dir=vendor | grep -i "if\|preg_match" | head -10
16.5 Multi-Stage Payloads Kritik

Çok aşamalı encoded yükler.

grep -r "eval.*eval\|base64_decode.*base64_decode.*base64_decode" /var/www/html --include="*.php" --exclude-dir=vendor

17 Imunify360: Dosya Bütünlüğü

17.1 Core File Modifications Kritik

Laravel core dosyalarında değişiklik.

find /var/www/html/vendor/laravel -name "*.php" -mtime -30 ! -path "*/cache/*" 2>/dev/null | head -10
17.2 Permission Anomalies Yüksek

777 izinli PHP dosyaları.

find /var/www/html -type f -name "*.php" -perm 0777 ! -path "*/storage/*" 2>/dev/null
17.3 Timestamp Manipulation Yüksek

Eski tarihli ama yeni içerikli dosyalar.

find /var/www/html/public -name "*.php" -type f -printf "%T@ %p\n" | sort -n | head -20 | awk '{print $2}' | xargs -I {} sh -c 'echo "File: {}"; grep -c "eval\|base64" {}'
17.4 Hidden Attributes Orta

Immutable (değiştirilemez) attribute.

find /var/www/html/public -type f -name "*.php" -exec lsattr {} \; 2>/dev/null | grep -E "i-|a-" | head -10
17.5 Suspicious File Sizes Orta

Çok küçük (<100 byte) veya çok büyük (>1MB) PHP.

find /var/www/html/public -name "*.php" -type f \( -size -100c -o -size +1M \) ! -path "*/vendor/*" 2>/dev/null | head -10

18 Imunify360: Davranış Analizi

18.1 Mass File Creation Kritik

Son 1 saatte 10+ PHP dosyası oluşturulmuş.

find /var/www/html -name "*.php" -type f -cmin -60 ! -path "*/vendor/*" ! -path "*/storage/framework/*" 2>/dev/null | wc -l
18.2 Rapid Modifications Yüksek

Aynı dosyaya 1 saat içinde çok sayıda modify.

find /var/www/html/public -name "*.php" -type f -mmin -60 ! -path "*/storage/*" -exec ls -lt {} \; | head -20
18.3 Suspicious Includes Yüksek

Dinamik include/require pattern'i.

grep -r "include\s*(\s*\$\|require\s*(\s*\$" /var/www/html/public --include="*.php" --exclude-dir=vendor | head -10
18.4 External File Operations Kritik

Dışarıdan dosya indirme/kaydetme.

grep -r "file_get_contents\s*(\s*['\"]http\|curl_exec" /var/www/html/public --include="*.php" --exclude-dir=vendor | grep "file_put_contents" | head -10
18.5 Suspicious Variable Names Orta

Tek harf veya anlamsız değişken isimleri.

grep -r '\$[a-z]\s*=.*eval\|\$[a-z]\s*=.*base64' /var/www/html/public --include="*.php" --exclude-dir=vendor | head -10

HAZIR PROMPT - KOPYALA & YAPIŞTIR

Nasıl Kullanılır?

  1. 1. Aşağıdaki prompt'u kopyalayın
  2. 2. Claude AI'ya yapıştırın
  3. 3. Enter'a basın
  4. 4. AI otomatik olarak:
    • ✓ Todo listesi oluşturur
    • ✓ 70 kontrolü tek tek çalıştırır
    • ✓ Bulguları analiz eder
    • ✓ O güne ait HTML rapor oluşturur
    • ✓ Size link verir

📋 Prompt (v4 - 70 Kontrol)

READY TO USE 
https://ixtif.com/readme/2026/01/02/guvenlik-tarama-rehberi/v4/ bu linkteki 70 güvenlik kontrolünü tek tek uygula.

GÖREV:
1. Todo listesi oluştur (70 kontrol için 18 kategori)
2. Tüm kontrolleri tek tek çalıştır (1-70)
3. Sonuçları derle ve analiz et
4. Bugüne ait (YYYY/MM/DD formatında) detaylı HTML rapor oluştur:
   - public/readme/[YYYY]/[MM]/[DD]/guvenlik-tarama-sonuclari/v1/index.html
   - İki seviyeli içerik (basit anlatım + teknik detaylar)
   - Kritik bulgular ayrı bölüm
   - Temiz sonuçlar ayrı bölüm
   - 70 kontrolün özet tablosu
   - Öneriler bölümü

5. Rapor hazır olunca:
   - İzinleri düzelt (tuufi.com_:psaserv, 644/755)
   - Sembolik link oluştur
   - curl ile 200 OK kontrolü yap
   - Bana link ver

ÖNEMLİ:
- Hepsi onaylı, tek tek sormana gerek yok
- Her kategori bitince todo güncelle
- Vendor klasörünü hariç tut
- Temiz sonuçları da raporla (sadece hataları değil)
- Bulguları şiddete göre sınıflandır (Kritik/Yüksek/Orta/Normal)

Not: Bu prompt tamamen otonom çalışır. AI'ya yapıştırıp Enter'a bastıktan sonra hiçbir müdahale gerektirmez. Yaklaşık 5-10 dakika içinde tüm tarama tamamlanır ve size hazır rapor linki verilir.

✅ Prompt Ne Yapar?

  • • 70 kontrolü otomatik çalıştırır
  • • Bulguları kategorize eder
  • • HTML rapor oluşturur
  • • İzinleri düzeltir
  • • Size erişilebilir link verir

📊 Rapor İçeriği

  • • Basit anlatım (herkes için)
  • • Teknik detaylar (dev için)
  • • Kritik bulgular listesi
  • • Temiz kontroller listesi
  • • Güvenlik önerileri

Önleme Tavsiyeleri (Imunify360 Standartları)

Upload Klasörü

uploads/.htaccess: php_flag engine off

Dosya İzinleri

Dosyalar 644, klasörler 755, ASLA 777 değil

Güncellemeler

PHP, Laravel ve paketleri güncel tutun

Düzenli Tarama

Haftada bir bu 70 kontrolü çalıştırın

WAF Kullanın

ModSecurity veya Imunify360 WAF

File Integrity Monitoring

Core dosya değişikliklerini izleyin