Yaklaşık 10 gün önce sitelerimden biri hacklenmiş bana da mail atmış. Sadece güvenlik açığını bulduğunu zarar vermediğini söylemiş ama siteye bir girdim garip pluginler yüklenmiş ayrıca siteye eval virüsü bulaşmış sayfayı viagra sayfalarına yönlendiriyordu. Dosyaları sildim veritabanını temizledim. Siteyi kurduğum gün ki aldığım yedeği yükledim. Tekrar ediyordu. Hostingte kafes sistemi olduğu halde diğer sayfalara da sıçramış virüs. Birini halletsem az sonra yine bulaşıyordu. Çareyi en on hepsini silmekte buldum. Tek tek dosyaları inceleyerek yükledim. php dosyalarına girip eval yazan yerleri ya da saçma sapan isimli php dosyalarını temizledim ama şöyle bir sorun daha var. Site mailleri sürekli spam atıyor. Günlük limite ulaşınca kullanılmaz oluyor mailler. Mail izlerine bakıp hepsini sildim. Silinemeyen ya da askıya alınamayan ana mailler var. Bu sefer onun üstünden gitmeye devam ediyor. Şifrelerin hepsini değiştirdim. 2 adımlı doğrulama koydum falan ama bu spam botu çözülmedi. Bunu nasıl çözerim?
Hostinge Eval Virüsü
How to Remove Malware & Clean a Hacked WordPress Site
The ultimate WordPress malware removal guide! Learn how to scan a hacked WordPress site, find and remove malware and viruses, and fix site warnings. Clean up WP to stop attacks and prevent reinfection. Complete with post-hack hardening instructions to protect your website.
sucuri.net
Hosting sağlayıcınızla iletişime geçiniz, durumu bildirin ve hosting üzerinde sıfırlama işlemi yapsınlar.
- Katılım
- 2 Temmuz 2014
- Mesajlar
- 11.239
- Makaleler
- 33
- Çözümler
- 224
Eğer siz hosting sağlayıcısı iseniz veya kullanıcı olarak sunucuya erişiminiz varsa ana sunucuyu da bir anti-exploit scanner ve bir AV ile tarayın, site script dosyalarını baştan kurun ve yedekleri inceleyip öyle import edin. Ne gibi değişiklikler yapıldığını loglar üzerinden inceleyin.
Genel olarak sunucular root yetkileri saldıran tarafından ele geçirilmiş ki diğer siteler de etkilenmiş. Dediğinize göre kafes var dediniz yani Linux ise CloudLinux veya CageFS veya ikisi birlikte olmasına rağmen demekki onu da aşmış. Sunucudaki kernel sürümünü ve dağıtıcı sürümünü, yazılım sürümlerini gözlemlemenizde ve başka türlü açıklarınızı kapatmanızda fayda var.
Tabi siz hosting sağlayıcısı değilseniz bildirin durumu.
Dosyalarınızı ve veritabanlarınızı, yedeklerinizi de bu arada tarayın.
Bu durumda olayın aslını ve iyi bilgiyi size hosting sağlayıcınız verecektir.
Genel olarak sunucular root yetkileri saldıran tarafından ele geçirilmiş ki diğer siteler de etkilenmiş. Dediğinize göre kafes var dediniz yani Linux ise CloudLinux veya CageFS veya ikisi birlikte olmasına rağmen demekki onu da aşmış. Sunucudaki kernel sürümünü ve dağıtıcı sürümünü, yazılım sürümlerini gözlemlemenizde ve başka türlü açıklarınızı kapatmanızda fayda var.
Tabi siz hosting sağlayıcısı değilseniz bildirin durumu.
Dosyalarınızı ve veritabanlarınızı, yedeklerinizi de bu arada tarayın.
Bu durumda olayın aslını ve iyi bilgiyi size hosting sağlayıcınız verecektir.
