• 29-11-2021, 19:18:12
    #1
    Merhaba,

    Yeni açılacak olan Wordpress altyapılı bir site için, Elementor Pro lisansı almak istedim. 26.11.2021 Cuma günü, gündüz saatlerinde r10 üzerinde satış konusu olan bir kişiye WhatsApp üzerinden ulaştım. Üstüne basa basa sordum, w***z ise istemediğimi, legal bir şekilde yapabiliyorsak isteğimi belirttim, onayı aldım. Anlaştık. Kurulumu üyelik açarsam yapacaklarını belirtti. Ben de yönetici açtım, verdim, kurulumu arkadaşının yapacağını söyledi, yaptılar. Sonradan öğrendim, arkadaşının da r10'da satış konusu varmış, ondan alıp bana satmış. O anda kabaca kontrol ettim, eklentiyi gördüm, ödemelerini yaptım.

    İlgili Yazışmaların Ekran Görüntüleri
    https://i.hizliresim.com/s4qpnus.png


    Akabinde bir süre müsait olamadım, girip hiç bakmadım. 1 buçuk gün sonra müsait oldum ve 2 lisans daha istediğimi söyledim, onda da anlaştık, hazırlıkları yapınca kurulumları yapmaları için haber vereceğimi söyledim. Gece 01:00 civarı FTP'ye girip baktığımda, ana dizinde ve alt dizinlerde garip dosyalar gördüm ve arkadaşa ulaştım, shell yemiş site. Ayrıca ekstra olarak da kötü amaçlı eklenti kurulmuş. Elementor'da yapı sistemi var, kullananlar bilir, onu anımsatan, sanki Elementor'un bir parçasıymış gibi kamufle olan, sayfayı 3 blok hâline getirme başlıklı bir eklenti. Hâliyle arkadaşa yazdım, durumu belirttim. Kendisinin bir haberi olmadığını, agency paket türünde hesaplarının olduğunu (sonradan agency'nin düşüğünün düşüğü expert paket olduğu ekran görüntüsünde gözüküyor), işinin olduğunu, konuşmaya arkadaşıyla devam etmem gerektiğini söyledi.

    İlgili Yazışmaların Ekran Görüntüleri
    https://i.hizliresim.com/nko7emw.png

    Aynı dakika, satış konusu olan, bahsettiği arkadaşı yazdı. Benden ellerinde yokmuş gibi yeniden admin şifresi istedi (henüz kapatmamıştım üyeliklerini). Böyle bir şey istemediğimi, AnyDesk ile bağlanıp illegal Elementor kullanıp kullanmadıklarını görmek istedim, ısrarlarım sonucu açmayı kabul etti. Hızlıca, domainin yazdığı bir sayfa gösterip kapattı. Olay, açıkçası tamamen ikna olmasam da arkadaşların iyi niyetine güvenerek o günlük bu şekilde kapandı.

    İlgili Yazışmaların Ekran Görüntüleri
    https://i.hizliresim.com/51tciqe.png
    https://i.hizliresim.com/kytlcip.png

    Akşam ilk ulaştığım kişi değil, asıl satıcı olan arkadaşı "Bir gelişme oldu mu?" diye yazdı, müsait olmadığım için cevap veremedim. Bir sonraki gün yani bugün, avukatımla birlikte (eşim) savcılığa gittik. Savcı Bey, "Elementor firmasından da cevap gelsin, hepsini ekleyelim dosyaya, sonrasında işleme alalım." diye tavsiyede bulundu çünkü site yedeğini alıp Elementor'a göndermiştim eklenti legal mi değil mi diye incelemeleri için. Anlaştık, askıya aldık bekliyoruz. Asıl satıcıya da akşam cevap atamadığım için bugün öğleye doğru yazdım, yapan kişiden şikâyetçi olacağımızı belirttim. Bu konuşmaların ekran görüntüsünü, ansiklopedi kadar uzayacağı için eklemiyorum. Kısaca kendim bahsedeyim, asıl satıcı, ilk konuşup anlaştığım aracı kişiye şikayetçi olacağımı söylemiş ki bana yazdı. "Neden gidiyorsunuz, biz bir şey yapmadık, zararınız yokmuş zaten, neden büyütüyorsunuz olayı kapatın gitsin." tarzında mesajlar attı. Asıl satıcı ise, o ana kadar yardımcı olmak ister gibi tavrı varken, o andan sonra alaycı bir tavır takındı ve "Boşa kürek sallıyorsunuz, bir şey çıkmaz ondan, bulamazlar siz en iyisi vazgeçin, zaten Tor kullanmıştır, çocuktur bunları yapan." gibi konuşmalar yaptı. En son ise eklentiyi kullanamayacağımı söyleyip ilk ulaştığım aracı arkadaştan iade istedim. İade olmadığını, konusunda yazdığını söyledi. Ben bu vakitten sonra sizinle çalışamam, güvenemem deyip iadede ısrar ettim, yapmayacağını, istersem başka domainde kullanabileceğimi söyledi. Ne hikmettir ki hâlâ başka domain bilgilerini de teslim edeceğimi düşünüyor. Normal şartlarda iade almamakta haklısınız, ben de istemem ama şu anda istesem de kullanamayacağımı belirttim; fakat iade etmemekte ısrar etti, ben de peki iyi günler diyerek konuyu sonlandırdım.

    İlgili Yazışmalara Örnek Ekran Görüntüleri
    https://i.hizliresim.com/457eyxg.png
    https://i.hizliresim.com/4myevzy.png

    Konuyu sonlandırmadan biraz bilgi vereyim:

    1- Site yeni açılacak bir site. Resmi Wordpress sitesinden dosyalar indirildi, içindeki default tema ve eklentiler silindi, sunucuya yüklendi, Wordpress kuruldu, aynı dakika bu hâliyle yani en saf hâliyle bu arkadaşlara Elementor Pro için teslim edildi.
    2- Sunucu paylaşımsız. Sunucu firmasından da cevap geldi, benim de tespit ettiğim dosyaları bulmuşlar. Diğer siteler ise temiz dediler. Yani root yetkisiyle sunucuya giriş yok. Her siteye özel hosting açılıyor, sadece o sitede işlem var.
    3- Buraya dikkat: IP loglarında, siteye girişler şu şekilde: 1- Ben 2- Eklentiyi kuran aracının arkadaşı satıcı arkadaş 3- Birkaç saat sonra gece vakti hacker. Hackerin ilk girişi ise, /wp-login sayfası. Sanki elinde kullanıcı adı şifre varmış gibi (üyeliği silmemiştim, şifreyi değiştirmemiştim, ne tesadüf ama) rahatça login olmuş, eklentiler sayfasına gidip "Yeni Ekle" demiş, kötü niyetli eklentisini yüklemiş, çalışıyor mu diye kontrol etmiş, hepsi gözüküyor loglarda. İşini bitirmiş çıkmış. Sonrasında da zaman zaman girip çıkmış, bazen uzun kalmış bazen birkaç saniyede "Fark ettiler mi?" diye sadece kontrol edip çıkmış. Bunları yaparken de VPN ya da sanal sunucu kullanmış. Ben fark ettikten sonra da kaldırmadım zaten, hiçbir şeyi kaldırmadım, kaldırmaya ihtiyaç yok, neyi çalacak ne yapacak sıfır sitede? Ayrıca eklentinin işlevi de şu: FTP bilgisi olmadan, web arayüzünden FTP'ye şifresiz girilmesini sağlıyor. Dosya ekle, çıkar, düzenle, sil vs. her şey yapılabiliyor.
    4- Ne hikmettir ki, bugün konuşmayı sonlandırdıktan kısa bir süre sonra çok geçmeden hacker her dizinde .htaccess dosyası oluşturmaya başladı. Komutlarla /wp-admin sayfasını erişilemez yaptılar. Dosyayı silince erişilebilir hâle geliyordu.

    Kısacası, bir zarar ziyan, şifrelenen bir dosya vs. yok. Büyük ihtimâlle sıfır bir site olduğu için, hackleyen kişi "Önce siteyi yapsınlar, sonra şifreler para isteriz; ama ben şimdiden altyapısını hazırlayayım." gibi mi düşündü? Yoksa hacklink koyarız diye mi düşündü? Ne düşündü bilemiyorum. Hiç kimseye en azından şu anlık %100 emin olmadığım için ithamda bulunmak istemiyorum; ama neden sunucudaki diğer siteler değil de bomboş site? Neden direkt login sayfasına giriş ve anında login olma durumu? Neden aynı günün gecesi?

    Siz olsanız ne düşünürdünüz ve ne yapardınız? Merak ettim. Ayrıca bu durum, r10 şikâyet konusu kurallarına uyuyor mu, emin olamadım. Uyuyorsa da belirtirseniz sevinirim, sansürleri kaldırarak isimleriyle şikâyet açmak istiyorum.

  • 29-11-2021, 19:25:23
    #2
    Elementor'dan gelen cevap illegal olduğu yönünde olursa hakkınızı aramaktan çekinmeyin. Geçmiş olsun.
  • 29-11-2021, 19:28:53
    #3
    Websitesi yatak odası gibidir.
    Veritabanı ve dosyalarınıza erişim izni verdiğiniz adamın güvenilir olduğuna emin olun.
    Amatör bir lamer, kullanıcı adı ve parola ile plugin yüklemiş.
    Oysa bu plugin wordpess core dosyalardan birinin içine de enjekte edilebilirdi, programlama bilmeden tüm dosyaları okumadan bulmanız farketmeniz mümkün olmayabilirdi.
    O yüzden güvenilir insanlarla iş yapmayanlar özellikle ucuz hizmet peşinde koşanlar site üyelerinin kişisel verilerini ve veritabanlarını riske atıyorlar.
    Konuyu açan arkadaş için kesinlikle işin peşini bırakma, elementor lisans gerçek olsa bile fazladan eklenen plugin kötü niyetli bir hareket ve suç.
  • 29-11-2021, 19:32:16
    #4
    sizin tarafınızdan bakıldığında net şekilde haklısınız. ucuz etin yahnisi işte. birşey ucuz olunca korkuyor insan.
  • 29-11-2021, 19:37:11
    #5
    mcanyarar adlı üyeden alıntı: mesajı görüntüle
    Elementor'dan gelen cevap illegal olduğu yönünde olursa hakkınızı aramaktan çekinmeyin. Geçmiş olsun.
    Çok teşekkür ederim; ama Elementor'u yasal lisanslayıp, sonrasında login olup ekstra eklentiyle yaptılar büyük ihtimâlle. Çünkü zaten wp-admin bilgileri mevcuttu ellerinde, uğraşmalarına gerek yok yani. Teşekkür ederim iyi dilekleriniz için.

    digiklan adlı üyeden alıntı: mesajı görüntüle
    Websitesi yatak odası gibidir.
    Veritabanı ve dosyalarınıza erişim izni verdiğiniz adamın güvenilir olduğuna emin olun.
    Amatör bir lamer, kullanıcı adı ve parola ile plugin yüklemiş.
    Oysa bu plugin wordpess core dosyalardan birinin içine de enjekte edilebilirdi, programlama bilmeden tüm dosyaları okumadan bulmanız farketmeniz mümkün olmayabilirdi.
    O yüzden güvenilir insanlarla iş yapmayanlar özellikle ucuz hizmet peşinde koşanlar site üyelerinin kişisel verilerini ve veritabanlarını riske atıyorlar.
    Konuyu açan arkadaş için kesinlikle işin peşini bırakma, elementor lisans gerçek olsa bile fazladan eklenen plugin kötü niyetli bir hareket ve suç.
    Hem ilk ulaştığım aracı hem de arkadaşının, ikisinin de 400'den fazla olumlu ticaret puanı var, yüzlerce satış yapıyorlar. Ama hepsi ucuzluk ürünler, 10 liralık Kanva şu bu... Dolayısıyla sağlam puan kasmışlar. Çok doğru bir tabir oldu: "Websitesi yatak odası gibidir." Haklısınız. Teşekkür ederim.

    delikanli53 adlı üyeden alıntı: mesajı görüntüle
    sizin tarafınızdan bakıldığında net şekilde haklısınız. ucuz etin yahnisi işte. birşey ucuz olunca korkuyor insan.
    Kesinlikle öyle. Teşekkür ederim.
  • 29-11-2021, 20:32:09
    #6
    Bugün @acaner; ; 'in yanındaydım. Bana böyle böyle bir durum var dedi, birlikte log kayıtlarına bakarken CANLI CANLI .htaccess attıklarını gördüm.

    1-) Sıfır wordpress kurulu boş site.
    2-) Hosting üzerinde değil sunucuda bulunan bir site.
    3-) Diğer sitelerde bir şey yok sıfır tema shell yiyiyor.
    4-) İçerisinde tema bile kurulu değil sadece eklenti var.
    5-) Site yolu direk wp-login (ana index gitmeden direk wp-login)
    Sıfır aktif olmayan bir siteye kim shell atar ki?

    Benim tanıdığım bildiğim @acaner; ; kolay kolay böyle konular açmaz. Ama bunun peşini kesin bırakmaz.
  • 29-11-2021, 21:23:55
    #7
    YellowTiger adlı üyeden alıntı: mesajı görüntüle
    Bugün @acaner; ; 'in yanındaydım. Bana böyle böyle bir durum var dedi, birlikte log kayıtlarına bakarken CANLI CANLI .htaccess attıklarını gördüm.

    1-) Sıfır wordpress kurulu boş site.
    2-) Hosting üzerinde değil sunucuda bulunan bir site.
    3-) Diğer sitelerde bir şey yok sıfır tema shell yiyiyor.
    4-) İçerisinde tema bile kurulu değil sadece eklenti var.
    5-) Site yolu direk wp-login (ana index gitmeden direk wp-login)
    Sıfır aktif olmayan bir siteye kim shell atar ki?

    Benim tanıdığım bildiğim @acaner; ; kolay kolay böyle konular açmaz. Ama bunun peşini kesin bırakmaz.
    İş ahlâkı 3 kuruşluk insanlar, maalesef bitmiyor.
  • 29-11-2021, 21:46:33
    #8
    Hem suçlu olup hemde iade yapmıyorum demesi bilmiyorum ilginç , şuanda hem para hem de vakit kaybınız olmuş sanırım hocam
  • 29-11-2021, 22:15:30
    #9
    aksaraymalakli adlı üyeden alıntı: mesajı görüntüle
    Hem suçlu olup hemde iade yapmıyorum demesi bilmiyorum ilginç , şuanda hem para hem de vakit kaybınız olmuş sanırım hocam
    Maalesef hocam. Nakit önemli değil de vakit kaybı daha sıkıntı oldu.