0
Kayıt Ol

Wordpress Saldırısı

79

6.889

  • 25-12-2012, 12:50:57
    #19
    Coşkun Çetin
    Coşkun Çetin
    Administrator
    Genelde

    wp-content/themes/oyunfm/themesgW3.php
    wp-content/themes/ahmet/getinfo0LQd.php

    php dosyalarının isimleri değişiyor fakat dizinler genelde Tema klasörü içerisindeki dosyalara atılıyor.
  • 25-12-2012, 12:52:33
    #20
    JustRulz
    JustRulz
    Kimlik doğrulama veya yönetimden onay bekliyor.
    Coşkun adlı üyeden alıntı: mesajı görüntüle
    Genelde

    wp-content/themes/oyunfm/themesgW3.php
    wp-content/themes/ahmet/getinfo0LQd.php

    php dosyalarının isimleri değişiyor fakat dizinler genelde Tema klasörü içerisindeki dosyalara atılıyor.
    http://wordpress.org/extend/plugins/...ility-scanner/ şu plugini mevcut saldiri alan kullanicilarinidan birine kurup deneyebilirmisiniz.tarama sonucunda vulnerable olan dosyayi yine bu plugin ile uprage edebilirsiniz.

    Şu plugini denememekte neden ısrar ediyorsunuz anlamıyorum : =)
  • 25-12-2012, 12:58:13
    #21
    Şahin DAĞ
    Şahin DAĞ
    Misafir
    Aynı sorun bizdede var. virüs yazılımının logları aşağı yukarı hergün aynı geliyor devamlı olarak wordpress tema, eklenti dizinlerinde kene gibi türüyorlar;

    home/xxxx/public_html/wp-content/plugins/akismet/statisticsR3qo.php: PHP.Trojan.Spambot FOUND
    /home/xxxx/public_html/wp-content/plugins/akismet/statisticsR3qo.php: moved to '/tmp/virus/statisticsR3qo.php'
    /home/xxxx/public_html/wp-admin/.../.../.../wp-admin.php: PHP.C99-13 FOUND
    /home/xxxx/public_html/wp-admin/.../.../.../wp-admin.php: moved to '/tmp/virus/wp-admin.php.002'
    /home/xxxx/public_html/wp-content/themes/fullscreen/loginxhHE.php: PHP.Trojan.Spambot FOUND
    /home/xxxx/public_html/wp-content/themes/fullscreen/loginxhHE.php: moved to '/tmp/virus/loginxhHE.php'

    Her gece tüm dosyaları taratıyorum ek olarak virüs yazılımı dosya yükleme, ftp sistemlerine bağlı yüklenilen her dosyayı tarıyor fakat bir türlü önünü alabilmiş değilim
  • 25-12-2012, 13:01:30
    #22
    JustRulz
    JustRulz
    Şahin DAĞ adlı üyeden alıntı: mesajı görüntüle
    Aynı sorun bizdede var. virüs yazılımının logları aşağı yukarı hergün aynı geliyor devamlı olarak wordpress tema, eklenti dizinlerinde kene gibi türüyorlar;

    home/xxxx/public_html/wp-content/plugins/akismet/statisticsR3qo.php: PHP.Trojan.Spambot FOUND
    /home/xxxx/public_html/wp-content/plugins/akismet/statisticsR3qo.php: moved to '/tmp/virus/statisticsR3qo.php'
    /home/xxxx/public_html/wp-admin/.../.../.../wp-admin.php: PHP.C99-13 FOUND
    /home/xxxx/public_html/wp-admin/.../.../.../wp-admin.php: moved to '/tmp/virus/wp-admin.php.002'
    /home/xxxx/public_html/wp-content/themes/fullscreen/loginxhHE.php: PHP.Trojan.Spambot FOUND
    /home/xxxx/public_html/wp-content/themes/fullscreen/loginxhHE.php: moved to '/tmp/virus/loginxhHE.php'

    Her gece tüm dosyaları taratıyorum ek olarak virüs yazılımı dosya yükleme, ftp sistemlerine bağlı yüklenilen her dosyayı tarıyor fakat bir türlü önünü alabilmiş değilim
    dediğim eklentiyi sabıkalı bir kullanıcıda sizde deneyin isterseniz.
  • 25-12-2012, 13:14:46
    #23
    YED
    YED
    Kimlik doğrulama veya yönetimden onay bekliyor.
    2 gündür 100binlerce maille boğuşuyoruz.
    Bir çok wordpress sitesinin yayını durduruldu, php mail kapatıldı, full antivirüs taraması ardından da bir çıkış gözlemlenmedi.

    Şuan tek sorunumuz geri dönen; 100binlerce Undelivered Mail Returned to Sender maili.
  • 25-12-2012, 14:32:02
    #24
    Kain
    Kain
    fakeproc perl dosyası process lerde görebiliyorsanız ilgili sitelerde perl ve cgi özelliklerini kapatın. exec acık ise bunuda kapatmanızda fayda var php.ini den. Bu durum öyle bir noktaya geliyor ki httpd servislerini bile yeniden başlatamıyorsunuz bir süre sonra. Kendi çapımda buna önlem olarak bir cron yazdım process listesinde anormal işlemleri bulup kill liyor. Son zamanlarda fakeproc adını da kullanmıyorlar artık. Yapılabilecek en iyi şey PERL ve CGI özelliklerini tüm kullanıcılara kapatmanız sadece ihtiyacı olanlara açmanız.
  • 25-12-2012, 14:47:37
    #25
    MahsumCelik
    MahsumCelik
    bizde tek sitede var oda saatlik 100 mail limitini aşamıyor çok şükür

    /home/***/mail/new/1353740253.H769663P6543.linux1.offlinebilisim.com, S=1011 75: Win.Trojan.Ransom-39 FOUND
    /home/****/mail/new/1353749806.H495388P10089.linux1.offlinebilisim.com ,S=100 093: Win.Trojan.Ransom-39 FOUND
    /home/****/mail/new/1353745927.H40896P27628.linux1.offlinebilisim.com, S=1005 34: Win.Trojan.Ransom-39 FOUND
    /home/****/mail/new/1353746957.H253783P31321.linux1.offlinebilisim.com ,S=100 615: Win.Trojan.Ransom-39 FOUND
    /home/****/mail/new/1353748286.H905456P4440.linux1.offlinebilisim.com, S=1004 15: Win.Trojan.Ransom-39 FOUND
    /home/****/mail/new/1353747763.H869627P2115.linux1.offlinebilisim.com, S=1006 40: Win.Trojan.Ransom-39 FOUND
  • 25-12-2012, 15:03:11
    #26
    SunucuservisTR
    SunucuservisTR
    Üyeliği durduruldu
    MahsumCelik adlı üyeden alıntı: mesajı görüntüle
    bizde tek sitede var oda saatlik 100 mail limitini aşamıyor çok şükür

    /home/***/mail/new/1353740253.H769663P6543.linux1.offlinebilisim.com, S=1011 75: Win.Trojan.Ransom-39 FOUND
    /home/****/mail/new/1353749806.H495388P10089.linux1.offlinebilisim.com ,S=100 093: Win.Trojan.Ransom-39 FOUND
    /home/****/mail/new/1353745927.H40896P27628.linux1.offlinebilisim.com, S=1005 34: Win.Trojan.Ransom-39 FOUND
    /home/****/mail/new/1353746957.H253783P31321.linux1.offlinebilisim.com ,S=100 615: Win.Trojan.Ransom-39 FOUND
    /home/****/mail/new/1353748286.H905456P4440.linux1.offlinebilisim.com, S=1004 15: Win.Trojan.Ransom-39 FOUND
    /home/****/mail/new/1353747763.H869627P2115.linux1.offlinebilisim.com, S=1006 40: Win.Trojan.Ransom-39 FOUND
    bunlar boşu boşuna ugraçmayın

    http://configserver.com/cp/cxs.html bunu kurun kafanız rahat etsin ne kadar shell vürüs iframe varsa alayını kasperk gibi kaldırıyo
  • 25-12-2012, 15:21:27
    #27
    MahsumCelik
    MahsumCelik
    var cxs sami ama kaldırmadı nasıl oldu anlamadım