İlgili hesapları kaldırdık. Wordpress'ten bu yüzden nefret ediyorum. Bir yerlerde mutlaka bir şeyler gözden kaçıyor. En güzeli kendi sistemini kendin yazacaksın. Hata olduğunda da bulman kolay olacak. Başkalarının da hatayı bulması zor olacak.
Bu hazır sistemlerdeki açıklar keşfedilmeye görsün. Yaz google'a, yüzlerce aynı açığa sahip site sıralanıyor. Tabii herkesin kendi sistemini yazma lüksü yok farkındayım ama insan sinir oluyor. Zaman kazanayım derken yok yere bir sürü angarya işle zaman kaybediyorsun.
Konuyu özellikle açtım. Benzer sıkıntıya düşen birileri olursa belki faydalanabilecekleri yorumlar bulur.
Benzer örnekler,sorunlar ve çözümleri varsa lütfen yazın. Başınıza gelenleri paylaşırsanız eminim bir çok insana faydalı olacaktır.
Teşekkürler...
Sorun bizim bir serverimizda mevcut dün itibari ile bakım çalışması yaparak sorunu ortadan kaldırdık. Ufak bir .PHP enjekte ederek consola kadar girmeyi başarmış bitcoin üreticiler. Serveri para basmak için kullanıyorlar
bulmuşlar tabii canavar gibi serveri sabaha kadar para basıyorlar içerisinde
Şöyle ki, opencard, magento, wordpress ve joomla gibi yazılımların /images , /template, dizinleri içerisinde p53.php, 42a.php şeklinde 3 karakterden olulaşan, müşterinin bilgisi dışında bir .PHP uzantısı yer alıyor. /images dizinin CHMOD değeri 777 olduğu için bu sistemlerde ki açıkları kullanarak rahat bir şekilde bu .PHP leri yükleyip çalıştırabiliyorlar.
İşin ilginç yanı firewallı da tespit edip :80 portundan bağlantı yapıyorlar. Normalde tüm portlar bloklu.
Ayriyetten index.php ve index.html dosyalarının içerisinde şifrelenmiş bir takip js kodlarından oluşan bir satırda ejekte edebiliyorlar.
Bu adımları ilk öncelikle takip edip, sorunu tespit etmek önemli.
Sorunun kısmi çözümü ise; bu /images aldınta ki .PHP uzantıları temizlemek ve CHMOD değeri 757 olarak güncellemek.
Bu virüsler normal ev kullanıcısı bilgisayara bize sızmışlar. Şu an için biz bu sorunu aştık fakat aynı sorunu yaşayan firmalar olursa alternatif çözümler önerebilirler.