Asıl Konu;
https://www.r10.net/wordpress-seo-g...-w4rez-temalarini-kullaniyorsaniz-buyrun.html
Asıl incelmeyi sayın R10 kategori moderatörü YavuzTR tarafından yapılmıştır. İncelemede bir Web (sunucu) yazılımı incelenmiştir ancak torrent oyun ve uygulamalar da da aynı durum mevcuttur.
Merhaba arkadaşlar, bugün birlikte en çok kullanılan/satılan themeforest temalarının birisini birlikte adım adım indirip analiz edeceğiz. Tabii ki sonra da sileceğiz, sebebini de birlikte öğrenmiş olacağız.
Başlamadan evvel de şöyle bi ön giriş yapmak istiyorum, eminim maalesef aramızda bir çok müşteriye/şahısa yada kendine themeforest temalarını beğendirip illegal yoldan kuran arkadaşlar mevcut. Amacım kesinlikle kimseyi yargılamak, zan altında bırakmak veya akıl vermek değil. Bir çok cesur arkadaşta çıkıp itiraf ederse durumu öğrenmiş olacağız zaten. Müşteriye verdiğimiz fiyattan neden bir de "59$ dolar düşüp alacağımız rakamı indirgeyelim, neden cebimizden çıksın" değil mi? Yada daha kötüsü müşteriden "tema parasını da alıp neden bir de temaya para verelim dukduk yere w4rezi varken cebimize kalır nasılsa"
Şöyle bir alt bilgi geçeyim themeforestte en çok satılan temalar da doğal olarak w4reze düşmesi en kolay olan temalar ve rahatlıkla bulunma olasıkları var (%90 bulursunuz satışı 250-300'den fazla ise). Durum böyle olunca da müşteriye tema beğendirirken satış sayısı en yüksekten düşüğe doğru olanları sıralıyoruz ki tema parası işin içine girmesin.
Müşterimiz "Newspaper" temasını beğendi, satışı da 61k civarı bulunmaması imkansız tabii. Şimdi birlikte adımlara başlıyoruz, evvela temanın w4rezini bulduk:
Ne kadar çok site var değil mi? Bir oh çektiniz hiç sorun yok hemen bir tanesine girip indirme işlemini başlattık.
Bir de dikkatinizi çekerim girdiğimiz site temiz ki reklam dahi yok. Hem de seo'su çok iyi olmalı ki ilk sıralara kadar gelmiş. Hiç farketmez ilk 3 sıradan bir tanesine tıkladık girdik bide ne görelim?
Adamlar melek, mübarek. O kadar iyiler ki bizim için dosyayı direk kendi sitelerine yüklemişler. Hiç bize aracı bile sokmuyorlar, hani turbobit, hitfiles veyahut bilmemnefiles vs uğraşmamışlar hiç direk tıkladık mı indiriyoruz bu kadar basit olmuş olay. Adamlara acıdık bile hatta en azındna turbobit yükleseler yada ne bileyim linke adf ly linki tanımlasalar en azından 3 5 kuruş bir şeyler kazanır arkadaş bu kadar mı iyi niyetli olunur? (!)
İndirdik dosyamızı bakıyoruz ki adamlar psd dosyasına kadar koymuş tertemiz her şey var xml dosyası dökümanı child teması vs.
Eee malum gerisi kolay webmaster formundasınız bir şekilde halleder bu temayı kurar, düzenler teslim eder alır paranızı keyfinize bakarsınız değil mi?
Ama o aşamaya geçmeden evvel birlikte bir dosya kontrollerini sağlayalım.
Artık saf ayaklarını bırakıp normal olarak bir başlayalım, bu adamlar bize bu kadar hizmet verdiklerine göre bu işte bir bit yeniği illaha ki vardır. Peki bunu nasıl sansürlemiş olabilirler?
Bence en azından açıklarından birini şifrelemişlerdir. Elbette bunu da en kolay yolu olan base64 ile denemişlerdir. Dosyalarda bir "base64" yazıp aratalım nelerle karşılaşacağız?
Ne kadar çok şey çıktı hayırdır inşallah? Çok aramaya gerek yok ilk satırda ki decodeli koda tıplayıp incelemesini birlikte yapalım.
"class.theme-modules.php" diye bir dosyaya attı bizi, onun koduna bakacağız. (daha bunun gibi nice dosya var elbette ilk karşımıza bu çıktı diye bunu inceleyeceğiz.)
Şimdi karşımıza 2 tane yabancı terim çıkıyor. Bunlardan ilk normalde wordpress'te olmaması gerekirken oluşturma komutu verilmiş olan "wp-vcd.php" dosyası. Diğeride yorumlama satırına aldıkları bir web sayfası. Bunlar ne ola ki?
bir gariplik var biraz daha yukarıya çıkıp bu şüpheli dosyayı inceleyelim, ilk satırında şifrelenmiş bir kod var:
Decode edip bir inceleyelim. ( şifreli dosya 1 kere daha içten şifrelenmiş 2 kere decode ettim ) Net çıktısı da aşağıda ki gibi:
Gereksiz teknik/yazılımsal ayrıntıları atlayıp direk sonuca geleceğim, arkadaşlar temanın içine farklı farklı dosyalarla ki buna functions.php dosyası da dahil bağlantılar ve linklemeler kurularak "wp-vcd.php" dosyasının oluşturulması ve bu dosyanın içinde ki bilgilerin kendilerine otomatik olarak yönlendirilmesini sağlamışlar. Peki bu bilgiler neler? Teknik ayrıntılarından yaklaşık anladığım kadarıyla kullanıcı adı ve şifreyi yine kendilerince bir yöntem ile şifreleyip loglanmasını sağlamışlar. Yada bir diğer tahminim yine siteye kodlarla oluşturulan ve dosya/shell upload edebilme imkanları bulunan bir php dosyasının bilgileri kendilerine gidiyor. O dosya ile zararlı yazılımları yükleyip her türlü pisliği yapmaları çok kolay ve mümkün duruma geliyor.
Orada gördüğünüz site.com/o.php?host="" şeklinde olan kodlama sayesinde tema kurulduğu an kendilerini loglama mantığında bir bildirim gidiyor ve "xxxx.com - şifresi" şeklinde verileri görebiliyorlar.
Elbette ki muhtemelen bu logları gördükleri tuttukları bir panelleri de mevcut.
Bu bahsettiğim detaylar sadece 1 tane açık. Ve bunun gibi nice açıkları bizzat gördüm, hepsini deşifre etmeme nedenim aslında bu temalardan uzak durmanız için.
Neler yapılabilir? Bu tamamen bu düzeneği kuran arkadaşların hayal gücüne kalmış, keyiflerine göre ister index atarlar ister site değerlensin diye bekleyip h4cklink koyarlar ya başka yöntemler denerler illaha ki adamlara sınırsız bir giriş imkanı tanınıyor zaten.
Yani artık özet ve sonuçlandırma yaparsak kesinlikle w4rez ve null temalardan uzak durmanız, bunu etik veya ahlaken doğru bulmanız zaten çok yanlış olsa da teknik olarak da kanıtlamış oluyoruz.
İmla, telaffuz, anlatım bozukluğu vb. konuları maruz görün sadece bu konuda da bir açıklık getirmek istedim.
Maalesef antivirüsler hiçbir program oyundaki virüsleri net ve doğru bir şekilde tespit edemezler. Genellikle çok iyi bir biçimde şifrelenmiş ve gizlenmiştir.
Konuyu asıl hazırlayan, R10 forumu kategori moderatörü YavuzTR kullanıcısına teşekkür ederiz.