78.169.109.41 ip nolu şahıs 193.28.184.15 ip adresli sunucu üzerindeki wordpress brute force toolu ile admin passwordunuzu buluyor.
admin olarak giriş yapıp twentyten tema dosyanız içerisindeki 404.php içine upload dosyasının verisini yazdırıyor.
404.php ye girerek diğer listpatch(shell)lerini sunucunuza yüklüyor ve 404 dosyasının içeriğini temizliyor.
sunucudaki tüm config bilgilerini cekixxxxmedxx.php dosyası ile bir klasörün içerisine logluyor.(sunucu optimizasyonu güvenlik açısından 0 )
en sonunda bu config bilgilerini kullanarak sunucuda mysql ile ilişkilendirilmiş tüm siteleri deface ediyor.
(sunucunuzdaki sitelerin % 90 ı şuan suspend edilmiş ) kebirhost çözümü böyle buluyor sanırım yazık...
sizin sitenizde mysql üzerinde wp_options altındaki siteurl tablosuna html kodları girdiği için herhangi bir sayfadan değiştirme yetkiniz olmuyordu.
bu veriniz default hale getirildi , cpanel ve admin şifreleriniz değiştirildi.saldırgan tarafından yüklenen dosyalar silindi.
kebirhost aranıp güvenlik açığı hakkında bilgilendirildi
(ftp ve admin bilgilerini değiştirdim pm ile atayım diyorum fakat cevap vermiyorsun ücret olarakta
http://www.losev.org.tr/v2/tr/content.asp?ctID=428 şuradan bütçene uygun bir bağış yapıp screeni burada paylaşırsan yeterli )
+ site hala sende yonlendirilmiş vs gözüküyorsa cookielerini temizle öyle gir )
(cpanel şifrenide destek kısmından değiştirip durma sana birşey yazıyoruz pm ile bir cevap ver sonra hareket et nasıl forum kullanıcısısınız anlamadım ayar ettin beni sabahtan beri )