Wordpress Japanese AntiSEO Web Malware Fixer

Herkese merhabalar. Uzun zaman oldu blog yazmayalı. Hem yazacak konu bulamayışımdan , hem de işlerden güçlerden vakit bulamamamdan dolayı aksattık biraz buraları.

Geçen gün karşılaştığım ve ne yazık ki google'de tam anlamı ile çözümü bulunmayan bir malwarenin sistemini ve çözümü için yazdığım basit bir scriptten bahsedicem bugün sizlere.

Öncelikle biraz virüsün işlevinden bahsedeyim. Virüs sisteme bulaştığında URL Injection gerçekleştirerek google indexlerinizi manipüle ediyor. Virüsün sisteme girdiğini googleye sitenizi site:siteadiniz.com şeklinde aratarak fark edebilirsiniz.



Virüs sisteme bulaştığı andan itibaren sizin sitemap dosyalarınızı manipüle ederek kendisine farklı bir dosyada bir sitemap oluşturuyor. Oluşturduğu sitemap'leri robots.txt ' de arama motorlarının botlarına gerçek sitemap gibi gösterip indexlerinizi kendi ayarladığı indexler ile değiştiriyor.

İlk virüs ile karşılaştığımda acaba sisteme bulaştığında header.php ' ye kendi google verification kodunu ekleyip kendi google search console hesabına mı çekiyor siteyi diye kontrol ettim , bir şey çıkmadı. Daha sonra herhangi bir javascript eklenmiş mi diye kontrol ettim yine bir sonuç çıkmadı.

Daha sonra temp/ klasöründe yaklaşık 30-40 tane .xml dosyası gördüm. Bunlar virüsün kendi oluşturduğu dosyalardı. temp/ klasörünü silmeye çalıştığımdan 2 saniye sonra ise hemen tekrar kendini yeniliyordu.

İlk başta tcpdump kurup temp/ klasörünü sildiğim an nereden nereye istek gidiyor bakmak geldi lakin daha kestirmeden halledeyim dedim. access_log ' u temizledim ve temp/ klasörünü bir daha sildim. wp-config.php dosyasından wp-admin/images/test.png diye bir dosyaya post request atıldığını gördüm.

wp-config.php dosyasının içeriğini kontrol ettiğimde ise en baştaki satıra

< ?php @require('wp-admin/images/test.png');?>

kodunun eklenmiş olduğunu gördüm. Hemen ardından test.png dosyasını indirip açtığımda ise backdoor'un bu dosya olduğun anlamam çok sürmedi.

Googleden araştırdığımda herkesin "cms sil tekrar kur , zararlı yazılımları" temizle gibi basit çözüm önerilerinde bulunduğunu gördüm. Ben de bir script yazayım , mevzu kökten hallolsun dedim.
Aşağıda verdiğim scripti kullanarak virüsten tamamen kurtulabilirsiniz.

Github linki -> https://github.com/Ahmeth4n/wp-antiseo-malware-fixer/blob/master/antiseo-malware-fixer.php

Başka bir blog yazısında görüşmek üzere , hoşçakalın :)