Wordpress sistemlerin hepsinin içinde ip_ban.php diye listpath çıktı.
Hepsi aynı olduğuna göre ya bir modülünde açık var,yada sürümü indirdiğiniz paketin içinde mevcut bu dosya.
ip_ban.php dosyasının bulunduğu klasörün chmodunu inceledim.hepsi 645.yani dışardan yazma yetkisi yok.
örnek
Alıntı
[root@master ~]# bdc --files /home
BDC/Linux-Console v7.0 (build 2492) (i386) (Dec 11 2003 13:24:00)
Copyright (C) 1996-2003 SOFTWIN SRL. All rights reserved.
/home/maksatpa/publi ... um/inc/ip_banned.php infected: Virtool.PHP.C99Shell.B
Results:
Folders :52389
Files :248583
Packed :22945
Infected files :1
Suspect files :0
Warnings :0
Identified viruses:1
I/O errors :0
Files/second :231
Scan time :00:17:53
[root@master ~]#
Safe mode on durumda sunucuda.
Ayrıca php_openbasedir enable durumda.
Shell Fork Bomb Protection enable durumda.
" shell_exec, passthru, ini_alter, dl, openlog, syslog, readlink, symlink, link, leak, popen, escapeshellcmd, proc_close, proc_get_status, proc_nice, proc_open, proc_terminate, escapeshellarg, pcntl_exec "
komutlarıda engellenmiş durumda.
joomla modüllerindede açık var.lütfen müşterilerimiz bunları takip etsinler ve güncellesinler.zaten sunucuya en çok zarar joomla'dan değil,modüllerinden geliyor.