Yeni açılacak olan Wordpress altyapılı bir site için, Elementor Pro lisansı almak istedim. 26.11.2021 Cuma günü, gündüz saatlerinde r10 üzerinde satış konusu olan bir kişiye WhatsApp üzerinden ulaştım. Üstüne basa basa sordum, w***z ise istemediğimi, legal bir şekilde yapabiliyorsak isteğimi belirttim, onayı aldım. Anlaştık. Kurulumu üyelik açarsam yapacaklarını belirtti. Ben de yönetici açtım, verdim, kurulumu arkadaşının yapacağını söyledi, yaptılar. Sonradan öğrendim, arkadaşının da r10'da satış konusu varmış, ondan alıp bana satmış. O anda kabaca kontrol ettim, eklentiyi gördüm, ödemelerini yaptım.
İlgili Yazışmaların Ekran Görüntüleri
https://i.hizliresim.com/s4qpnus.png
Akabinde bir süre müsait olamadım, girip hiç bakmadım. 1 buçuk gün sonra müsait oldum ve 2 lisans daha istediğimi söyledim, onda da anlaştık, hazırlıkları yapınca kurulumları yapmaları için haber vereceğimi söyledim. Gece 01:00 civarı FTP'ye girip baktığımda, ana dizinde ve alt dizinlerde garip dosyalar gördüm ve arkadaşa ulaştım, shell yemiş site. Ayrıca ekstra olarak da kötü amaçlı eklenti kurulmuş. Elementor'da yapı sistemi var, kullananlar bilir, onu anımsatan, sanki Elementor'un bir parçasıymış gibi kamufle olan, sayfayı 3 blok hâline getirme başlıklı bir eklenti. Hâliyle arkadaşa yazdım, durumu belirttim. Kendisinin bir haberi olmadığını, agency paket türünde hesaplarının olduğunu (sonradan agency'nin düşüğünün düşüğü expert paket olduğu ekran görüntüsünde gözüküyor), işinin olduğunu, konuşmaya arkadaşıyla devam etmem gerektiğini söyledi.
İlgili Yazışmaların Ekran Görüntüleri
https://i.hizliresim.com/nko7emw.png
Aynı dakika, satış konusu olan, bahsettiği arkadaşı yazdı. Benden ellerinde yokmuş gibi yeniden admin şifresi istedi (henüz kapatmamıştım üyeliklerini). Böyle bir şey istemediğimi, AnyDesk ile bağlanıp illegal Elementor kullanıp kullanmadıklarını görmek istedim, ısrarlarım sonucu açmayı kabul etti. Hızlıca, domainin yazdığı bir sayfa gösterip kapattı. Olay, açıkçası tamamen ikna olmasam da arkadaşların iyi niyetine güvenerek o günlük bu şekilde kapandı.
İlgili Yazışmaların Ekran Görüntüleri
https://i.hizliresim.com/51tciqe.png
https://i.hizliresim.com/kytlcip.png
Akşam ilk ulaştığım kişi değil, asıl satıcı olan arkadaşı "Bir gelişme oldu mu?" diye yazdı, müsait olmadığım için cevap veremedim. Bir sonraki gün yani bugün, avukatımla birlikte (eşim) savcılığa gittik. Savcı Bey, "Elementor firmasından da cevap gelsin, hepsini ekleyelim dosyaya, sonrasında işleme alalım." diye tavsiyede bulundu çünkü site yedeğini alıp Elementor'a göndermiştim eklenti legal mi değil mi diye incelemeleri için. Anlaştık, askıya aldık bekliyoruz. Asıl satıcıya da akşam cevap atamadığım için bugün öğleye doğru yazdım, yapan kişiden şikâyetçi olacağımızı belirttim. Bu konuşmaların ekran görüntüsünü, ansiklopedi kadar uzayacağı için eklemiyorum. Kısaca kendim bahsedeyim, asıl satıcı, ilk konuşup anlaştığım aracı kişiye şikayetçi olacağımı söylemiş ki bana yazdı. "Neden gidiyorsunuz, biz bir şey yapmadık, zararınız yokmuş zaten, neden büyütüyorsunuz olayı kapatın gitsin." tarzında mesajlar attı. Asıl satıcı ise, o ana kadar yardımcı olmak ister gibi tavrı varken, o andan sonra alaycı bir tavır takındı ve "Boşa kürek sallıyorsunuz, bir şey çıkmaz ondan, bulamazlar siz en iyisi vazgeçin, zaten Tor kullanmıştır, çocuktur bunları yapan." gibi konuşmalar yaptı. En son ise eklentiyi kullanamayacağımı söyleyip ilk ulaştığım aracı arkadaştan iade istedim. İade olmadığını, konusunda yazdığını söyledi. Ben bu vakitten sonra sizinle çalışamam, güvenemem deyip iadede ısrar ettim, yapmayacağını, istersem başka domainde kullanabileceğimi söyledi. Ne hikmettir ki hâlâ başka domain bilgilerini de teslim edeceğimi düşünüyor. Normal şartlarda iade almamakta haklısınız, ben de istemem ama şu anda istesem de kullanamayacağımı belirttim; fakat iade etmemekte ısrar etti, ben de peki iyi günler diyerek konuyu sonlandırdım.
İlgili Yazışmalara Örnek Ekran Görüntüleri
https://i.hizliresim.com/457eyxg.png
https://i.hizliresim.com/4myevzy.png
Konuyu sonlandırmadan biraz bilgi vereyim:
1- Site yeni açılacak bir site. Resmi Wordpress sitesinden dosyalar indirildi, içindeki default tema ve eklentiler silindi, sunucuya yüklendi, Wordpress kuruldu, aynı dakika bu hâliyle yani en saf hâliyle bu arkadaşlara Elementor Pro için teslim edildi.
2- Sunucu paylaşımsız. Sunucu firmasından da cevap geldi, benim de tespit ettiğim dosyaları bulmuşlar. Diğer siteler ise temiz dediler. Yani root yetkisiyle sunucuya giriş yok. Her siteye özel hosting açılıyor, sadece o sitede işlem var.
3- Buraya dikkat: IP loglarında, siteye girişler şu şekilde: 1- Ben 2- Eklentiyi kuran aracının arkadaşı satıcı arkadaş 3- Birkaç saat sonra gece vakti hacker. Hackerin ilk girişi ise, /wp-login sayfası. Sanki elinde kullanıcı adı şifre varmış gibi (üyeliği silmemiştim, şifreyi değiştirmemiştim, ne tesadüf ama) rahatça login olmuş, eklentiler sayfasına gidip "Yeni Ekle" demiş, kötü niyetli eklentisini yüklemiş, çalışıyor mu diye kontrol etmiş, hepsi gözüküyor loglarda. İşini bitirmiş çıkmış. Sonrasında da zaman zaman girip çıkmış, bazen uzun kalmış bazen birkaç saniyede "Fark ettiler mi?" diye sadece kontrol edip çıkmış. Bunları yaparken de VPN ya da sanal sunucu kullanmış. Ben fark ettikten sonra da kaldırmadım zaten, hiçbir şeyi kaldırmadım, kaldırmaya ihtiyaç yok, neyi çalacak ne yapacak sıfır sitede? Ayrıca eklentinin işlevi de şu: FTP bilgisi olmadan, web arayüzünden FTP'ye şifresiz girilmesini sağlıyor. Dosya ekle, çıkar, düzenle, sil vs. her şey yapılabiliyor.
4- Ne hikmettir ki, bugün konuşmayı sonlandırdıktan kısa bir süre sonra çok geçmeden hacker her dizinde .htaccess dosyası oluşturmaya başladı. Komutlarla /wp-admin sayfasını erişilemez yaptılar. Dosyayı silince erişilebilir hâle geliyordu.
Kısacası, bir zarar ziyan, şifrelenen bir dosya vs. yok. Büyük ihtimâlle sıfır bir site olduğu için, hackleyen kişi "Önce siteyi yapsınlar, sonra şifreler para isteriz; ama ben şimdiden altyapısını hazırlayayım." gibi mi düşündü? Yoksa hacklink koyarız diye mi düşündü? Ne düşündü bilemiyorum. Hiç kimseye en azından şu anlık %100 emin olmadığım için ithamda bulunmak istemiyorum; ama neden sunucudaki diğer siteler değil de bomboş site? Neden direkt login sayfasına giriş ve anında login olma durumu? Neden aynı günün gecesi?
Siz olsanız ne düşünürdünüz ve ne yapardınız? Merak ettim. Ayrıca bu durum, r10 şikâyet konusu kurallarına uyuyor mu, emin olamadım. Uyuyorsa da belirtirseniz sevinirim, sansürleri kaldırarak isimleriyle şikâyet açmak istiyorum.
