Yedekleri alarak temiz bir kurulum yapmanız daha doğru olur. Tek tek ayıklayacağım derseniz de, olayın yaşandığı döneme ait değişiklik yapılan dosyaları listeleyip bakın, olmadı clamd db ile tarayıp kısmi temizlik yapın, cloudlinux + cagefs ile kullanıcı dizinlerini kafesleyip, firewall taraflı da smtp / 25 portuna yönelik kısıtlamalar yapın, waf unutmayın.
Tek tek ayıkladım mı...
Evet tek tek ayıkladım..
ImunifyAV ile sürekli tarayarak tüm etkilenen dosyaları temizledim.. Sildim..
Zaman kaybı diyebilirsiniz ama şu an yeniden bir yayılma olmadı..
Tahminim VDS in bulunduğu Sunucu da olan farklı bir VDS ten sıçradığı yönünde..
Örnek dosyaları çektim mi hatırlamıyorum ama çekti isem kod olarak paylaşayım...
Arkadaşlarda görsün..
Çekmemişim..
Direk silip geçmişim dosyaları..
2 - 3 farklı dosya olarak buldum..
lock360.php
2index.php
wp-login.php
2index.php dosyası monarcx gibi bir yerden giriyordu.
wp-login ile de index.php üzerine google indexleme kodu ekleniyordu.
tabii tüm dizinlere eklenen .htaccess dosyalarını saymıyorum..
bu sorunu aynı firmadan aldığım farklı VDS lerde de yaşadım.
O yüzden de sunucu bazında bir sorun olduğu kanaatindeyim...