bakın
sunucu sahipleri bu tür konularda ilk olarak
mevcut loglari iyi bir şekilde izlemeli
soru 1
sunucuya ilk olarak nereden girildi ?

a ) sunucu üzerindeki bir script açığı ile
b ) sunucu üzerindeki bir sitenin kendi dizinine herhangi bir listpatch vs tarzı dosya atma ile.

soru 2

Sisteme girildiğinde neler yapıldı ?

a ) sadece tek bir dizinde mi işlem yapıldı ?
b ) diğer dizinlere backdoor bırakıldı mı ?
c ) sunucu üzerinde ki sitelerin config bilgileri ya da bu bilgileri kullanarak databaselerine erişim sağlandı mı ?
d ) config bilgileri ile ftpler aynı mı ? ya da mysql da ki hashlarin kırılması ile ftp ya da hosting yonetim kısmında giriş yapılabiliniyor mu ?

3 sunucuda sadece izleme ya da okuma şeklinde mi rol aldılar ?

a ) ya da backconnect olup root yetkisi aldılar mı ?
b ) rootkit kurup arka planda bir port açıp sunucuyu dinliyorlar mı ?

Ne yapacağız

ilgili siteleri suspend edin ve ilk olarak atılan dosyaları silin.
ftp şifrelerini değiştirin.
mysql bilgilerini değiştirin.
kernel sürümünüz ya da ne kullaniyorsanız ilgili sürümünüzün aktif bir açığı varmı kontrol edip update edin.
sadece bu kernel sürümünüz ile ilgili olmayabilir kullandığınız phpsürüm ya da eklenti olarak ne kullaniyorsanız hepsini stabil hale getirin.
kullanıcılarınızın scriptlerinin güncel olduğundan emin olun.
Loglardan ilgili ipleri alıp savcılığa sikayet edin , şikayet ettiğinizi r10 ve benzeri forumlarda anlatın.Sunucunuzda basit önlemler alın , basit listpatchlerin çalişmasini engelleyin , uzaktan root olarak baglanma portunuzu değiştirin , kullanıcılarınızı güvenlik konusunda bilinçlendirin.