Hostinglerimde oluşan shell dosyaları

Selam arkadaşlar,
plesk kurulu sunucumda 10 siteden 7 sine shell tarzı dosya attılar, siliyorum ama yeniden yüklüyorlar nasıl yüklendiğini çözemedim. Daha önce bu tarz virüs yiyen varmı aramızda ?

oluşan dosyalar bunun gibi, php asp aspx 3 dosyayıda yüklüyorlar. Bazıları CON ismiyle başlanıyor sunucudan silemiyorum.
İmages, css, js klasörlerine yüklüyorlar.
Sunucu windows 2016 server, plesk kurulu. tüm sitelerde 777 izni yok, belirli upload yaptığımız klasörlerde havuz kullanıcısına izin veriyoruz. Siteler aspx, tersine mühendislikle siteye ben shell atmayı denedim ama herhangi bir hostingden roota erişemiyorum plesk izin vermiyor. Hal böyle olunca sunucumu hacklendi pleskmi hacklendi yoksa bir hostingden rootamı sızdılar anlayamıyorum.
Şimdiden yardım ve tavsiyeleriniz için teşekkürler.

dosya yüklenme tarihine bak, o anda siteye gelen isteğe bak, istekte dosya ismini arat

Merhaba,

Bazı shell dosyaları kendi kendini üretiyor silseniz bile farketmeyeceğiniz yerlerde farkedilmeyecek formatlarda yer alıyor en sağlıklısı hostingi komple yeniden açın ve shell yemediğiniz bir tarihin yedeğine geçiş yapıp hataları yada nereden ne şekilde bastıklarını inceleyip o açığı kapatmak gerekir.

Windows 2016 server exploitleri mevcut böylelikle root yetkisi ile istediği dizine dosya yükleyebilirler. Ya bütün exp açıklarını değerlendirin yada 2021 servere geçin.

edit: Ssh ile bağlanan kullanıcılara bakabilirsiniz belki root olmuş olabilirler.

/etc/passwd/ dizininde root yetkisi olan var mı kontrol edin.

shell yiyen sitelerinde loglama sistemleri garip, shell tarihi ve öncesi olmuyor genellikle.

Selam hocam, çözüme ulaşabildiniz mi? Eğer ulaşamadıysanız bir kontrol edebilirm.
Konum: https://www.r10.net/account-lisans-i...a-fazlasi.html