SiteGüvenlik
Backdoor & Webshell Tespiti

Sitenizde Backdoor Var mı?

50'den fazla bilinen webshell konumu ve imzası taranır. Gizlenmiş PHP, ASP ve JSP shell dosyaları tespit edilir.

50+
Taranan webshell konumu
200+
Shell imzası
%78
Saldırı sonrası backdoor
Anlık
Tespit süresi

Ne Tarıyoruz?

Backdoor ve webshell tespitinde kontrol edilen noktalar

Bilinen Shell Konumları
/tmp/, /uploads/, /cache/ gibi 50+ yaygın webshell yolunda tarama.
PHP Shell İmzaları
c99, r57, b374k, WSO gibi bilinen PHP webshell parmakizleri.
Obfuscated Kod Tespiti
Base64, gzinflate, str_rot13 ile gizlenmiş zararlı PHP kodu.
Eval Fonksiyonu Kullanımı
eval() + base64_decode() kombinasyonu ile gizli kod çalıştırma.
Dosya Değişiklik Tarihleri
Yakın tarihte değiştirilen PHP dosyalarının şüpheli aktivite analizi.
Yabancı Bağlantı Girişimleri
Zararlı dosyaların dışarıya veri gönderme davranışı tespiti.
Gizli .htaccess Değişikliği
Trafik yönlendiren zararlı .htaccess kuralları.
Cron Job Zararlısı
Periyodik olarak çalışan kötü amaçlı zamanlanmış görevler.

Örnek Bulgular

Gerçek tarama çıktısından örnekler

Risk
Parametre
Payload
Sonuç
CRITICAL
/wp-content/uploads/2024/01.php
c99shell imzası
Aktif webshell tespit edildi — tam kontrol mümkün.
CRITICAL
/images/cache/thumb.php
eval+base64
Gizlenmiş PHP shell — uzaktan kod çalıştırma riski.
HIGH
/tmp/update.php
Bilinmeyen PHP dosyası
Son 7 günde oluşturulmuş şüpheli dosya.
HIGH
/.htaccess
Zararlı redirect
Mobil kullanıcılar bahis sitesine yönlendiriliyor.
Tam raporu gör
MEDIUM
/assets/img/logo.php
Boyut anomalisi
PNG uzantılı PHP dosyası tespit edildi.
Tam raporu gör
PASS
/uploads/ dizini
PHP çalıştırma
.htaccess ile PHP çalıştırma engelleniyor.
Tam raporu gör

Nasıl Çalışır?

Backdoor tespit süreci

01
Konum Taraması
50+ bilinen webshell konumu HTTP istekleriyle kontrol edilir, şüpheli yanıt kodları ve içerikler kayıt altına alınır.
02
İmza Analizi
Erişilen dosyaların içeriği 200+ shell imzasıyla karşılaştırılır, obfuscated kod kalıpları tespit edilir.
03
Risk Raporu
Tespit edilen shellerin tehdit seviyesi belirlenir, temizleme adımları ve güvenlik önerileri raporlanır.

Risk Seviyeleri

Bulgular dört seviyede raporlanır

KRİTİK
Aktif webshell tespit edildi. Saldırgan sunucuyu tam kontrol edebilir. Acil izolasyon ve temizlik gereklidir.
YÜKSEK
Şüpheli PHP dosyası veya zararlı .htaccess kuralı. Sunucuda backdoor aktivitesi olasılığı yüksek.
ORTA
Boyut anomalisi veya bilinen shell konumuna yakın dosya. Detaylı inceleme yapılması önerilir.
TEMİZ
Taranan konumlarda webshell imzası veya şüpheli dosya tespit edilmedi.

Sıkça Sorulan Sorular

Backdoor ve webshell tespiti hakkında merak edilenler.

En yaygın yollar: eklenti açıkları, dosya yükleme güvenlik açığı, FTP/SSH kaba kuvvet saldırısı ve eski CMS versiyonlarındaki açıklardır. Saldırgan bir kez shell yüklediğinde sunucu üzerinde tam kontrol elde eder.

Önce sunucuyu izole edin ve zararlı dosyaları silin. Ardından tüm şifreleri değiştirin (FTP, panel, veritabanı). Son temiz yedekten geri yükleme önerilir. Uzman desteği için bize ulaşın.

Saldırganlar PHP kodunu base64, gzip, XOR veya custom şifreleme ile gizler. Bu yüzden yalnızca dosya adına değil, kod içeriği ve imzasına bakıyoruz.

Profesyonel planda 50+ bilinen webshell konumu (uploads, tmp, cache, include dizinleri) ve 200+ shell imzası karşılaştırılır.

Tarayıcımız herkese açık konumları kontrol eder. Sunucu tarafı tam analiz için FTP erişimi gereken derinlemesine taramayı uzman ekibimizle yapmanızı öneririz.

Sitenizde Webshell Var mı?

URL'nizi girin, 50+ konumu anında tarayın