Web Site Güvenliği – Backdoor Silmek – Sunucu Güvenliği

Web Site Güvenliği – Backdoor Temizlemek – Sunucu Güvenliği

Web Shell Nedir?

Web Shell, asp veya php tabanlı sunucu üzerinde erişim sağlamak amacıyla oluşturulmuş kod parçalarıdır. Adını shell yani komut çalıştırma satırı olan terminalin web arayüzünde çalışan bir versiyonu olması sebebiyle almıştır. Çeşitli amaçları vardır;

  • Sunucuyu ele geçirmek.
  • Sunucuza dosya transferi sağlamak.
  • Veri tabanına erişmek.
  • Shell üzerinden komut satırı çalıştırmak.
  • DDOS saldırıları gerçekleştirmek.
  • Kripto para madenciliği yapmak.

En yaygın internet virüsüdür çünkü hazır birçok tema ve eklenti içerisine yerleştirilerek yayılmaktadır. Nulled veya Null tema adı altında yayınlanan hemen hemen tüm tema ve eklentilerde web shell mevcuttur. Siz temanızı güzel güzel kullanırken arkaplanda sitenizi başkalarına çoktan teslim etmiş olursunuz.

Web Shell Çeşitleri Nelerdir?

Bilindik birçok web shell mevcuttur. Ben isimlerinden değil yapılarından bahsedeceğim. Gelişen sadece virüs programı ve güvenlik yazılımları firması değildir. Diğer korsan yazılım ve hack camiasıda gelişmektedir. Web Shell tarama esnasında bulunmasın diye çeşitli metotlar geliştirildi. Bunlardan bazıları;

  • String değeri ile şifrelemek.
  • Base64 ile şifrelemek.
  • JS dosyası ile uzak sunucudan çekmek. (En tehlikelisi ve tespiti zor olan)
  • .htaccess dosyası ile zafiyet oluşturmak.
  • Backdoor.PHP.WebShell.BD
  • PHP:Agent-KW [Trj]
  • PHP/BackDoor.Shell
  • PHP/Shell.G.1
  • Backdoor.PHP.WebShell.a (v)
  • PHP.Trojan.WebShell.a
  • VEX2F7A.Webshell
  • PHP.WebShell.A
  • Win.Trojan.Shell-67
  • PHP.Shell.101
  • Backdoor.PHP.WebShell.BD (B)
  • PHP/WebShell.NAH
  • PHP/WebShell.NAF!tr
  • Backdoor.PHP.WebShell.gl
  • PHP/WebShell
  • PHP.Filesman
  • PHP_MADSHELL.SM
  • Trojan.Html.Agent.vsvbn
  • Backdoor.WebShell-1251/PHP!1.A59F (classic)

Backdoor Nedir?

Backdoor, tek amacı ters bağlantı sağlamaktır. Adından da anlaşılacağı gibi arka kapı. Sistemlere erişmek için gizli bir yol  oluşturur ve bu yolu genel olarak .php dosyaları üzerinden veya zero day açıkları üzerinden sağlar. Backdoor sadece sunucularda veya işletim sistemlerinde değil farklı elektronik cihazlarda da zafiyeti mümkündür. Güvenlik kameraları, araçlar ve modemler gibi. Ustaca oluşturulmuş backdoorları bulmak imkansızdır. Script bazlı açıklar ile elde edilen backdoor ile milyonlara varan güvenlik sorunları meydana gelmiş, WordPress resmi eklenti sayfası üzerinden birçok eklentide bulunmuş ve milyonlarca kullanıcı bu sebep ile mağdur olmuştur. Backdoor başlı başlına bir inceleme konusudur çünkü amacı backdoor olmayan bir yazım hatası ile de bu açık meydana gelebilir, tespiti zor olduğu için şuan bu zafiyete sahip olabilirsiniz. 

Backdoor Tespit Etmek ve Temizlemek

Size vereceğim php yazılımı ile sunucu üzerindeki tüm haşereleri tespit edebilirsiniz. Zafiyet oluşturan php dosyaları, backdoor, web shell ve dahasını anında tespit ediyor. Güzel yanı uzun sunucu komutlarıyla uğraşmanıza gerek kalmaz. Adres çubuğundan erişebilirsiniz. Şifrelenmiş virüsleri de tespit eder. Bir önceki makalemde olduğu gibi şifrelenmiş bir backdooru bulamayan yazılım bu script yanında sınıfta kalıyor. Geçelim kurulum işlemine. Github üzerinden erişmek için tıklayınız. Yedek indirme bağlantısına da buradan ulaşabilirsiniz. Kurulum için zip içerisinde yer alan BackdoorScannerV2.php dosyasını /public_html/ içerisine atınız.

siteadresiniz.com/BackdoorScannerV2.php şeklinde çalıştırınız.

sorgu satırına,  /home/admin/web/siteadresiniz.com/public_html/   şeklinde  yazıp taramayı çalıştırınız. WordPress  kullanıyorsanız /home/admin/web/siteadresiniz.com/public_html/ wp content/ klasörüne kadar inin çünkü ana WordPress dosyalarını virüs olarak görebilir. Sonuç;

backdoor-finder

Ummadığım şekilde başarılı bir sonuç verdi. Şifreli dosyalar, exploitler, web sheller ve tehdit oluşturabilecek virüssüz dosyaları bile gösteriyor.

 

backdoor-temizlemek