Hacklenmiş sitede shell temizleme

Hacklenmiş sitenizde açıkları kapatmanın yanısıra, ftp de bulunan dosyalar arasında bırakılan backdoor araması yaparak ftpnizin tamamen backdoor v.b gibi dosyalardan temizlenmesini sağlamak için dikkat etmenizde fayda olan hususlardan birisi hakkında kısa bir bilgi vermek istiyorum.
Aslında ilk makalemi farklı bir konu ile alakalı ve bu konu başlığını ayrıca geniş ele alarak yazmayı planlıyordum.
Lakin sabah bir arkadaşım aradı ve geçen haftalarda sitesine sızılmış link eklenmiş bir forumdan bir tanıdığı yardımcı olmak amacı ile sistemi temizlemiş daha dogrusu temizlediğini sanmış sabah tekrar link eklendiğini fark edince benden rica etti ve bu konuda ki gibi saklanan backdoor u temizledik.
Genelde Tr'de web site sahipleri yedeklemeye pek önem vermemektedir ve herhangi bir hack olayı karşısında ya yedeği bulunmamaktadır(ki saldırgan uzun bir süre önce sisteminize sızmış olabileceğini ve yedekleriniz arasında da backdoor bulunacağınıda dikkate almalısınız) yada çok eski bir yedeği olduğundan dolayı hiç bir dosyasını kaybetmeyi istemediği için temizleme yolunu seçmektedir Normal olarak saldırı alan bir sitede genelde sistem loglarına bakılır (sistem üzerinde ki hareketler incelenir) ve sistemde olmaması gereken dosyalar ve uzantılar aranır böylelikle sistem tamamen temizlendiği kanısına varılır.

Lakin işin aslı hiçde öyle olmayabilir.

Sandığınız gibi sadece kesin çözüm olarak sistem loglarından backdoorlar bulunamaz ve backdoorlar sadece örnek: backdoor.php,asp isimde v.b gibi uzantılar ile ftpnizde bulunmaz.
Ve bir çok kişinin yanıldığı bir yöntem ise ftp'de dosyaların tarihlerine bakarak temizleme işlemini gerçekleştirmeleridir.Ki buda yanlış bir yoldur çünkü bazı Hack Toollar tarihde bir değişiklik yapmaz veya saldırgan eski bir tarihe alabilir.
Çok yaygın olarak kullanılmayan ve sürekli sisteminiz ile bağlantı kurmak isteyenlerin kullandığı yöntem ilede ftpnizde ki herhangi bir dosyanın içerisine ve hatta birbirine include edilmiş dosyaların içerisinde parça parça yerleştirilmiş backdoor da olma olasılığı bulunmaktadır.
Örnek: index.php içerisinde veya include edilen herhangi bir dosyanın içerisinde php taglarının arasına Resimde bulunan index.php kodlar arasında ki gibi bir kod ile backdoor saklanabilmektedir. Enjekte edilen bu kod ile index.php normal olarak çalışacaktır ve sayfada herhangi bir değişiklik göremezsiniz
resim
Fakat saldırgan dosyanın sonuna index.php?back=door ekleyerek çalıştırdıgı an sayfa içerisinde enjekte ettiği kodlar çalışacak sisteme rahat bir şekilde giriş yapacaktır. Saldırıya uğramış web sitenizde bu hususada dikkat etmeniz fayda sağlayacaktır.