Başlamadan evvel de şöyle bi ön giriş yapmak istiyorum, eminim maalesef çevremizde bir çok müşterisine/şahısa ya da kendine themeforest temalarını beğendirip illegal yoldan kuran arkadaşlar mevcut. Amacım kesinlikle kimseyi yargılamak, zan altında bırakmak veya akıl vermek değil. Bir çok cesur arkadaşta çıkıp itiraf ederse durumu öğrenmiş olacağız zaten. Müşteriye verdiğimiz fiyattan neden bir de "59$ dolar düşüp alacağımız rakamı indirgeyelim, neden cebimizden çıksın" değil mi? Ya da daha kötüsü müşteriden "tema parasını da alıp neden bir de temaya para verelim durduk yere warezi varken cebimize kalır nasılsa"
Şöyle bir alt bilgi geçeyim themeforestte en çok satılan temalar da doğal olarak wareze düşmesi en kolay olan temalar ve rahatlıkla bulunma olasıkları var (%90 bulursunuz satışı 250-300'den fazla ise). Durum böyle olunca da müşteriye tema beğendirirken satış sayısı en yüksekten düşüğe doğru olanları sıralıyoruz ki tema parası işin içine girmesin.
Müşterimiz "Newspaper" temasını beğendi, satışı da 61k civarı bulunmaması imkansız tabii. Şimdi birlikte adımlara başlıyoruz, evvela temanın warezini bulduk:
Ne kadar çok site var değil mi? Bir oh çektiniz hiç sorun yok hemen bir tanesine girip indirme işlemini başlattık.
Bir de dikkatinizi çekerim girdiğimiz site temiz ki reklam dahi yok. Hem de seo'su çok iyi olmalı ki ilk sıralara kadar gelmiş. Hiç farketmez ilk 3 sıradan bir tanesine tıkladık girdik bide ne görelim?
Adamlar melek, mübarek. O kadar iyiler ki bizim için dosyayı direk kendi sitelerine yüklemişler. Hiç bize aracı bile sokmuyorlar, hani turbobit, hitfiles veyahut bilmemnefiles vs uğraşmamışlar hiç direk tıkladık mı indiriyoruz bu kadar basit olmuş olay. Adamlara acıdık bile hatta en azındna turbobit yükleseler ya da ne bileyim linke adf ly linki tanımlasalar en azından 3 5 kuruş bir şeyler kazanır arkadaş bu kadar mı iyi niyetli olunur? (!)
İndirdik dosyamızı bakıyoruz ki adamlar psd dosyasına kadar koymuş tertemiz her şey var xml dosyası dökümanı child teması vs.
Eee malum gerisi kolay bir şekilde halleder bu temayı kurar, düzenler teslim eder alır paranızı keyfinize bakarsınız değil mi?
Ama o aşamaya geçmeden evvel birlikte bir dosya kontrollerini sağlayalım.
Artık saf ayaklarını bırakıp normal olarak bir başlayalım, bu adamlar bize bu kadar hizmet verdiklerine göre bu işte bir bit yeniği illaha ki vardır. Peki bunu nasıl sansürlemiş olabilirler?
Bence en azından açıklarından birini şifrelemişlerdir. Elbette bunu da en kolay yolu olan base64 ile denemişlerdir. Dosyalarda bir "base64" yazıp aratalım nelerle karşılaşacağız?
Ne kadar çok şey çıktı hayırdır inşallah? Çok aramaya gerek yok ilk satırda ki decodeli koda tıplayıp incelemesini birlikte yapalım.
"class.theme-modules.php" diye bir dosyaya attı bizi, onun koduna bakacağız. (daha bunun gibi nice dosya var elbette ilk karşımıza bu çıktı diye bunu inceleyeceğiz.)
Şimdi karşımıza 2 tane yabancı terim çıkıyor. Bunlardan ilk normalde wordpress'te olmaması gerekirken oluşturma komutu verilmiş olan "wp-vcd.php" dosyası. Diğeride yorumlama satırına aldıkları bir web sayfası. Bunlar ne ola ki?
bir gariplik var biraz daha yukarıya çıkıp bu şüpheli dosyayı inceleyelim, ilk satırında şifrelenmiş bir kod var:
Decode edip bir inceleyelim. ( şifreli dosya 1 kere daha içten şifrelenmiş 2 kere decode ettim ) Net çıktısı da aşağıda ki gibi:
Gereksiz teknik/yazılımsal ayrıntıları atlayıp direk sonuca geleceğim, arkadaşlar temanın içine farklı farklı dosyalarla ki buna functions.php dosyası da dahil bağlantılar ve linklemeler kurularak "wp-vcd.php" dosyasının oluşturulması ve bu dosyanın içinde ki bilgilerin kendilerine otomatik olarak yönlendirilmesini sağlamışlar. Peki bu bilgiler neler? Teknik ayrıntılarından yaklaşık anladığım kadarıyla kullanıcı adı ve şifreyi yine kendilerince bir yöntem ile şifreleyip loglanmasını sağlamışlar. Ya da bir diğer tahminim yine siteye kodlarla oluşturulan ve dosya/shell upload edebilme imkanları bulunan bir php dosyasının bilgileri kendilerine gidiyor. O dosya ile zararlı yazılımları yükleyip her türlü pisliği yapmaları çok kolay ve mümkün duruma geliyor.
Orada gördüğünüz site.com/o.php?host="" şeklinde olan kodlama sayesinde tema kurulduğu an kendilerini loglama mantığında bir bildirim gidiyor ve "xxxx.com - şifresi" şeklinde verileri görebiliyorlar.
Elbette ki muhtemelen bu logları gördükleri tuttukları bir panelleri de mevcut.
Bu bahsettiğim detaylar sadece 1 tane açık. Ve bunun gibi nice açıkları bizzat gördüm, hepsini deşifre etmeme nedenim aslında bu temalardan uzak durmanız için.
Neler yapılabilir? Bu tamamen bu düzeneği kuran arkadaşların hayal gücüne kalmış, keyiflerine göre ister index atarlar ister site değerlensin diye bekleyip hacklink koyarlar ya başka yöntemler denerler illaha ki adamlara sınırsız bir giriş imkanı tanınıyor zaten.
Yani artık özet ve sonuçlandırma yaparsak kesinlikle warez ve null temalardan uzak durmanız, bunu etik veya ahlaken doğru bulmanız zaten çok yanlış olsa da teknik olarak da kanıtlamış oluyoruz.