Black Hack Seo Backdoor(Shell) Log Analiz Tespit Etme | Ebubekir Bastama

Herkese İyi Günler Arkadaşlar

Bu makalemiz'de sizlere "Black Hack Seo" için kullanılan Shell'lerin nasıl log analizleri ile tespit edilebildiğini ve örnek "shell" doyasının özelliklerini anlatmaya çalışacağım sizlere.

Öncelikle bu 2 Shell dosyasını bir destek verdiğim web sitenin log analizlerin'de öncelikle şüpheli ip adresi üzerinden yapılan post istekleri üzerinden ulaştım.

Log analizlerin'de neye dikkat ederim?

Şüphelenilen saat aralıklarındaki istekler analiz edilmeli.
Şüphelenilen ip adreslerinin istekleri ve yaptıkları analiz edilmeli.
Elimiz'deki bulgular'da eğer birden fazla veri varsa ilk etap'ta diğer bulgulardan log kayıtları arındırılmalı.
Elimiz'de hiç bir bulgu yoksa sitedeki kritik olan adresler loglar'da analiz edilmelidir ayrıca adresleri genelde shell dosyalarını şifreli yapacaklarından dolayı post adresler filtrelenebilir. Sonraki aşamalar ise 1,2,3 olacaktır yani bir "Puzzle" gibi taşları yerine koya koya ilerleyebilirisiniz.

Şimdi ise arkadaşlar "Shell" dosyalarını ulaştınız fakat basit bir sadece şifre isteyen bir bölüm var hemen kodlara baktığımız'da ise "eval(base64_decode($lang));" ile kodların encode halini görebilirsiniz ve eğer dikkatsizseniz bu dosya gözünüzden kaçacaktır.

Biz dikkatliyiz ve decode ediyoruz sayfayı ve şifresinin "zaza" olduğu ortaya çıkıyor ve bir bakıyoruz arkadaş güzel bir shell dosyasını siteye gömmekle yetinmemiş değişik bir shell daha gömmüş.

Böylelikle "Black Hack Seo" yapan kişi ve ya kişilerin 2 adet Shell dosyasını yakalamış oluyoruz.

Peki bu shell ile başka neler tespit etmiş oluyoruz?

Saldırgan ve ya saldırganların giriş yaptıkları ip adresleri.
Saldırgan ve ya saldırganların shell dosyasına ulaşmadan önce sitedeki yaptığı başka işlemler(ilgili Black Hack Seo Aratmaları vb.)
Saldırganların hangi sıklıkla siteye link çakıp ve bu linkleri kontrol etmeleri...

Bu makalem burada bitiyor bu hizmeti isteyen arkadaşlar olursa bana 05554128854 numaradan ulaşabilir.