Neler Yeni

Crack & Torrent Oyun, Yazılım İnceleme Virüs Kaynıyor! Rehber #2

𝐊𝐞𝐫𝐞𝐦

vagabond enjoyer
Moderatör
Katılım
26 Mart 2020
Mesajlar
17,891
En İyi Cevap
26
Asıl Konu; https://www.r10.net/wordpress-seo-g...-w4rez-temalarini-kullaniyorsaniz-buyrun.html

Asıl incelmeyi sayın R10 kategori moderatörü YavuzTR tarafından yapılmıştır. İncelemede bir Web (sunucu) yazılımı incelenmiştir ancak torrent oyun ve uygulamalar da da aynı durum mevcuttur.

Merhaba arkadaşlar, bugün birlikte en çok kullanılan/satılan themeforest temalarının birisini birlikte adım adım indirip analiz edeceğiz. Tabii ki sonra da sileceğiz, sebebini de birlikte öğrenmiş olacağız.

Başlamadan evvel de şöyle bi ön giriş yapmak istiyorum, eminim maalesef aramızda bir çok müşteriye/şahısa yada kendine themeforest temalarını beğendirip illegal yoldan kuran arkadaşlar mevcut. Amacım kesinlikle kimseyi yargılamak, zan altında bırakmak veya akıl vermek değil. Bir çok cesur arkadaşta çıkıp itiraf ederse durumu öğrenmiş olacağız zaten. Müşteriye verdiğimiz fiyattan neden bir de "59$ dolar düşüp alacağımız rakamı indirgeyelim, neden cebimizden çıksın" değil mi? Yada daha kötüsü müşteriden "tema parasını da alıp neden bir de temaya para verelim dukduk yere w4rezi varken cebimize kalır nasılsa"
confused.png


Şöyle bir alt bilgi geçeyim themeforestte en çok satılan temalar da doğal olarak w4reze düşmesi en kolay olan temalar ve rahatlıkla bulunma olasıkları var (%90 bulursunuz satışı 250-300'den fazla ise). Durum böyle olunca da müşteriye tema beğendirirken satış sayısı en yüksekten düşüğe doğru olanları sıralıyoruz ki tema parası işin içine girmesin.
confused.png


Müşterimiz "Newspaper" temasını beğendi, satışı da 61k civarı bulunmaması imkansız tabii. Şimdi birlikte adımlara başlıyoruz, evvela temanın w4rezini bulduk:

951518f4d61e12cdb9a991aff3633fbc.png

Ne kadar çok site var değil mi? Bir oh çektiniz hiç sorun yok hemen bir tanesine girip indirme işlemini başlattık.
Bir de dikkatinizi çekerim girdiğimiz site temiz ki reklam dahi yok. Hem de seo'su çok iyi olmalı ki ilk sıralara kadar gelmiş. Hiç farketmez ilk 3 sıradan bir tanesine tıkladık girdik bide ne görelim?

c1fe73b8702dbad156683170db149b55.png

Adamlar melek, mübarek. O kadar iyiler ki bizim için dosyayı direk kendi sitelerine yüklemişler. Hiç bize aracı bile sokmuyorlar, hani turbobit, hitfiles veyahut bilmemnefiles vs uğraşmamışlar hiç direk tıkladık mı indiriyoruz bu kadar basit olmuş olay. Adamlara acıdık bile hatta en azındna turbobit yükleseler yada ne bileyim linke adf ly linki tanımlasalar en azından 3 5 kuruş bir şeyler kazanır arkadaş bu kadar mı iyi niyetli olunur? (!)

İndirdik dosyamızı bakıyoruz ki adamlar psd dosyasına kadar koymuş tertemiz her şey var xml dosyası dökümanı child teması vs.

e7d2a7681f254a6c080f3f5b7206fa02.png

Eee malum gerisi kolay webmaster formundasınız bir şekilde halleder bu temayı kurar, düzenler teslim eder alır paranızı keyfinize bakarsınız değil mi?
Ama o aşamaya geçmeden evvel birlikte bir dosya kontrollerini sağlayalım.

Artık saf ayaklarını bırakıp normal olarak bir başlayalım, bu adamlar bize bu kadar hizmet verdiklerine göre bu işte bir bit yeniği illaha ki vardır. Peki bunu nasıl sansürlemiş olabilirler?
Bence en azından açıklarından birini şifrelemişlerdir. Elbette bunu da en kolay yolu olan base64 ile denemişlerdir. Dosyalarda bir "base64" yazıp aratalım nelerle karşılaşacağız?

9b9a9e65a85d2ba90d5694aec831f54c.png

Ne kadar çok şey çıktı hayırdır inşallah? Çok aramaya gerek yok ilk satırda ki decodeli koda tıplayıp incelemesini birlikte yapalım.
"class.theme-modules.php" diye bir dosyaya attı bizi, onun koduna bakacağız. (daha bunun gibi nice dosya var elbette ilk karşımıza bu çıktı diye bunu inceleyeceğiz.)

8fb087c25508f5d0ac2fece9e72c35b5.png

Şimdi karşımıza 2 tane yabancı terim çıkıyor. Bunlardan ilk normalde wordpress'te olmaması gerekirken oluşturma komutu verilmiş olan "wp-vcd.php" dosyası. Diğeride yorumlama satırına aldıkları bir web sayfası. Bunlar ne ola ki?
bir gariplik var biraz daha yukarıya çıkıp bu şüpheli dosyayı inceleyelim, ilk satırında şifrelenmiş bir kod var:

59df243a37483b4056823a68d9630459.png


Decode edip bir inceleyelim. ( şifreli dosya 1 kere daha içten şifrelenmiş 2 kere decode ettim ) Net çıktısı da aşağıda ki gibi:

f7fd5219dc75dd11278ee91020800fae.png

Gereksiz teknik/yazılımsal ayrıntıları atlayıp direk sonuca geleceğim, arkadaşlar temanın içine farklı farklı dosyalarla ki buna functions.php dosyası da dahil bağlantılar ve linklemeler kurularak "wp-vcd.php" dosyasının oluşturulması ve bu dosyanın içinde ki bilgilerin kendilerine otomatik olarak yönlendirilmesini sağlamışlar. Peki bu bilgiler neler? Teknik ayrıntılarından yaklaşık anladığım kadarıyla kullanıcı adı ve şifreyi yine kendilerince bir yöntem ile şifreleyip loglanmasını sağlamışlar. Yada bir diğer tahminim yine siteye kodlarla oluşturulan ve dosya/shell upload edebilme imkanları bulunan bir php dosyasının bilgileri kendilerine gidiyor. O dosya ile zararlı yazılımları yükleyip her türlü pisliği yapmaları çok kolay ve mümkün duruma geliyor.

Orada gördüğünüz site.com/o.php?host="" şeklinde olan kodlama sayesinde tema kurulduğu an kendilerini loglama mantığında bir bildirim gidiyor ve "xxxx.com - şifresi" şeklinde verileri görebiliyorlar.
Elbette ki muhtemelen bu logları gördükleri tuttukları bir panelleri de mevcut.

Bu bahsettiğim detaylar sadece 1 tane açık. Ve bunun gibi nice açıkları bizzat gördüm, hepsini deşifre etmeme nedenim aslında bu temalardan uzak durmanız için.
Neler yapılabilir? Bu tamamen bu düzeneği kuran arkadaşların hayal gücüne kalmış, keyiflerine göre ister index atarlar ister site değerlensin diye bekleyip h4cklink koyarlar ya başka yöntemler denerler illaha ki adamlara sınırsız bir giriş imkanı tanınıyor zaten.

Yani artık özet ve sonuçlandırma yaparsak kesinlikle w4rez ve null temalardan uzak durmanız, bunu etik veya ahlaken doğru bulmanız zaten çok yanlış olsa da teknik olarak da kanıtlamış oluyoruz.
İmla, telaffuz, anlatım bozukluğu vb. konuları maruz görün sadece bu konuda da bir açıklık getirmek istedim.


Maalesef antivirüsler hiçbir program oyundaki virüsleri net ve doğru bir şekilde tespit edemezler. Genellikle çok iyi bir biçimde şifrelenmiş ve gizlenmiştir.

Konuyu asıl hazırlayan, R10 forumu kategori moderatörü YavuzTR kullanıcısına teşekkür ederiz.
Torrent oyunlar virüs kaynıyor diyorsunuz ama konunun torrent oyun ile alakası yok.
"İncelemede bir Web (sunucu) yazılımı incelenmiştir ancak torrent oyun ve uygulamalar da da aynı durum mevcuttur."
Böyle diyorsunuz ama dayanağınız yok, verdiğiniz bilgiler güzel ama başlık alakasız.
Torrent Web Sunucu Yazılımı incelemesi olmalı, bu böyleyse diğer tüm oyunlar böyle demek doğru değil.
 

z.furkandenizhan

80+ Bronze
Katılım
24 Ekim 2020
Mesajlar
589
Torrent oyunlar virüs kaynıyor diyorsunuz ama konunun torrent oyun ile alakası yok.
"İncelemede bir Web (sunucu) yazılımı incelenmiştir ancak torrent oyun ve uygulamalar da da aynı durum mevcuttur."
Böyle diyorsunuz ama dayanağınız yok, verdiğiniz bilgiler güzel ama başlık alakasız.
Torrent Web Sunucu Yazılımı incelemesi olmalı, bu böyleyse diğer tüm oyunlar böyle demek doğru değil.
İkisi de aynı gruplar tarafından kırılıyor CODEX, FitGirl, CPY, Reloaded, Skidrow, Razor
 

COMANDANTE

80+ Silver
Katılım
25 Mart 2020
Mesajlar
4,518
En İyi Cevap
5
Dahası  
Reaksiyon skoru
4,282
İsim
Muhammed Talha Kuruçimen
Eline sağlık güzel rehber olmuş.
 

kolonya

80+ Gold
Katılım
15 Ağustos 2020
Mesajlar
9,774
En İyi Cevap
2
Güzel rehber artık pc kaldırmadığı için torrent te indiremiyorum.
 

LvdR

80+ Bronze
Katılım
9 Eylül 2020
Mesajlar
914
En İyi Cevap
1
Dahası  
Reaksiyon skoru
914
Konum
O'nun Kalbi 💖
İsim
Taha Yerlikaya
İyi güzelde nereden indiricez biz.
Sadece Epic ve Steam mi kalıyor?
 

seaque

80+
Katılım
29 Eylül 2020
Mesajlar
472
Dahası  
Reaksiyon skoru
210
İsim
Emirhan H
yıllardır dizi/film/oyun indiriyorum. Dizi ve filmlerde zaten olmaz. Oyunlar ise yeni oyunlarda risk olabilir. Torrent kullanmak risktir zaten, IP paylaşıyorsunuz. Fakat IP paylaştınız diye kapınıza seri katil dayanmaz arkadaşlar. Ayrıca önüne gelenin yükleme yapamadığı güvenli siteler var, her ne kadar arkadaşlar dalga geçmek istese de.
 
Yeni mesajlar Yeni Konu Aç      

SON KONULAR

Forum istatistikleri

Konular
1,033,920
Mesajlar
9,317,514
Üyeler
163,904
Son üye
cagofedaisi
Top Bottom