ankara-grafiker

Server Güvenliği – Linux Web Server ve Sunucu Virüs Temizlemek

Server Güvenliği – Linux Web Site ve Sunucu Virüs Temizlemek

Web server güvenliği hakkındaki ikinci makalem olan bu yazımda, derin inceleme işlemi gerçekleştiren diğer araçları göstereceğim. Bir önceki makaleme buradan ulaşabilirsiniz. Web güvenliği konusu bir webmaster için önemli kriterlerin başında gelmektedir. Hosting firmaları ve bireyse kullanımlarda size teslim edilen sunucunun güvenliğinden siz sorumlu olursunuz. Sunuculara çeşitli amaçlar için farklı yöntemler ile saldırılar gerçekleştirilir ve bu yöntemlerin arasında Web Shell, Backdoor, Malware yazılımları yer almaktadır.

Backdoor Nedir?

Backdoor, tek amacı ters bağlantı sağlamaktır. Adından da anlaşılacağı gibi arka kapı. Sistemlere erişmek için gizli bir yol  oluşturur ve bu yolu genel olarak .php dosyaları üzerinden veya zero day açıkları üzerinden sağlar. Backdoor sadece sunucularda veya işletim sistemlerinde değil farklı elektronik cihazlarda da zafiyeti mümkündür. Güvenlik kameraları, araçlar ve modemler gibi. Ustaca oluşturulmuş backdoorları bulmak imkansızdır. Script bazlı açıklar ile elde edilen backdoor ile milyonlara varan güvenlik sorunları meydana gelmiş, WordPress resmi eklenti sayfası üzerinden bir çok eklentide bulunmuş ve milyonlarca kullanıcı bu sebep ile mağdur olmuştur. Backdoor başlı başlına bir inceleme konusudur çünkü amacı backdoor olmayan bir yazım hatası ile de bu açık meydana gelebilir, tespiti zor olduğu için şuan bu zafiyete sahip olabilirsiniz. 

Web Shell Nedir?

Web Shell, asp veya php tabanlı sunucu üzerinde erişim sağlamak amacıyla oluşturulmuş kod parçalarıdır. Adını shell yani komut çalıştırma satırı olan terminalin web arayüzünde çalışan bir versiyonu olması sebebiyle almıştır. Çeşitli amaçları vardır;

  • Sunucuyu ele geçirmek.
  • Sunucuza dosya transferi sağlamak.
  • Veri tabanına erişmek.
  • Shell üzerinden komut satırı çalıştırmak.
  • DDOS saldırıları gerçekleştirmek.
  • Kripto para madenciliği yapmak.

En yaygın internet virüsüdür çünkü hazır bir çok tema ve eklenti içerisine yerleştirilerek yayılmaktadır. Nulled veya Null tema adı altında yayınlanan hemen hemen tüm tema ve eklentilerde web shell mevcuttur. Siz temanızı güzel güzel kullanırken arkaplanda sitenizi başkalarına çoktan teslim etmiş olursunuz.

Web Shell Çeşitleri Nelerdir?

Bilindik bir çok web shell mevcuttur. Ben isimlerinden değil yapılarından bahsedeceğim. Gelişen sadece virüs programı ve güvenlik yazılımları firması değildir. Diğer korsan yazılım ve hack camiasıda gelişmektedir. Web Shell tarama esnasında bulunmasın diye çeşitli metotlar geliştirildi. Bunlardan bazıları;

  • String değeri ile şifrelemek.
  • Base64 ile şifrelemek.
  • JS dosyası ile uzak sunucudan çekmek. (En tehlikelisi ve tespiti zor olan)
  • .htaccess dosyası ile zafiyet oluşturmak.
  • Backdoor.PHP.WebShell.BD
  • PHP:Agent-KW [Trj]
  • PHP/BackDoor.Shell
  • PHP/Shell.G.1
  • Backdoor.PHP.WebShell.a (v)
  • PHP.Trojan.WebShell.a
  • VEX2F7A.Webshell
  • PHP.WebShell.A
  • Win.Trojan.Shell-67
  • PHP.Shell.101
  • Backdoor.PHP.WebShell.BD (B)
  • PHP/WebShell.NAH
  • PHP/WebShell.NAF!tr
  • Backdoor.PHP.WebShell.gl
  • PHP/WebShell
  • PHP.Filesman
  • PHP_MADSHELL.SM
  • Trojan.Html.Agent.vsvbn
  • Backdoor.WebShell-1251/PHP!1.A59F (classic)

Şifrelenmiş PHP Virüslerini Silmek

Potantisyel olarak gizlenebilecek php dosyaları, Base64, ioncube veya rastgale değer üzerinden oluşturulmaktadır. Size neredeyse her tür tehlikeli yazılımı bulma potansiyeline sahip tam bir avcı var.

Php Backdoor Malware Finder

Perl programlama dili ile yazılmış açık kaynak kodlu bir malware analiz yazılımı. Bu yazılım ile backdoor, malware, web shell ve rootkitleri yakalayabilirsiniz. Üstelik SSH üzerinden detaylı ve renkli görünümü sayesinde kullanıcı dostu bir kullanılışa sahip. Malware Finder github adresine buradan ulaşabilirsiniz. Benim sunucum Centos ve ayarlar Centos dağıtımına göre yapılacaktır. İşleme başlamadan önce Putty ile SSH erişimi sağlayın ve root olun. Bunu detaylı olarak bu adreste anlattım. Bağlantı sonrasında devam edebiliriz.

 

Server üzerinde apache kurulu ve hali hazırda bir web sitesinin yayında olduğundan emin olun. Genel olarak apache serverında siteler şu dizinde yer alır;

/home/admin/web/siteadresi.com/

Yazılımı indirme işlemine geçelim. Centos’da git clone komutunu çalıştırmak için yum install git komutu ile modülleri kurunuz.

 

cd home

cd admin

cd web

yum install git

git clone https://github.com/scr34m/php-malware-scanner

cd php-malware-scanner

sudo chmod +x scan.php

php ./scan.php -d /home/admin/web/siteadresiniz.com/public_html/

 

Şifrelenmiş Php Virüslerini Silmek

Deneme amaçlı bir R57 web shell, bir adet Şifreli Web Shell, bir adette Backdoor upload ediyorum filezilla ile bakalım hangilerini bulacak.

r57 virus

Sonuç başarılı. Bakalım şifreli php dosyasında durum ne olacak.

encoding-virus

Sonuç başarılı. Şimdi de weevely3 backdoorunu taratıyorum.

backdoor

Sonuç başarısız. Php malware tarama şifrelenmiş backdoorları bulamıyor. Peki bu yazılımı neden kullanasanız? Çünkü Base64 kodlamaları otomatik virüs olarak algılamıyor. Şifreli kodları çözerek asıl kod üzerinden analiz yapıyor. Böyle durumlarda base64 ile encode edilmiş css dosyaları tehlike oluşturmadığı görülüyor. Bir sonraki makalemde şifrelenmiş backdoorların tespitini anlatacağım.

 

 

Çalışmalarıma çalışmalar ve Instagram profilimizi ziyaret ederek ulaşabilirsiniz.Tasarım hizmetleri için fiyat teklifi almak istiyorsanız arayınız, +90 (551) 945 3328 veya eposta ile iletişime geçiniz. [email protected]