• 14-12-2021, 14:34:57
    #1
    Kadın moda sitemize (hitsiz) bugün bir adet makale eklemek istedim sayfayı aşağı kaydırınca artık kimse doldurmuş adul.t site linklerini.
    Hemen ftp ye baktım testwarning.php adı altında bir dosya yüklenmiş. Aşağıda bu php dosyasının içeriğini ekleyeceğim. Sunucuda 3 adet site bulunuyor 3 sitede aynı tema bulunur sadece bu sitede super-lights-wp-cache-buster eklentisi kurulmuş. Ancak ben bu eklentiyi de kurmadım. Eklentinin içeriğine bakınca anladım bu eklentiden kaynaklanıyor.



    Sormak istediğim bu loglara nasıl nereden ulaşabilirim?

    testwarning.php içeriği de şu şekilde başlıyor
  • 14-12-2021, 14:38:32
    #2
    Maalesef çok karşılaşılan bir durum. Özellikle WP üzerinde ***** eklentiler sebebiyle shell scriptler sayesinde websitenize hacklink basılma durumu olabiliyor. Barındığınız hosting tarafında fingerprint teknolojisi yoksa bu tür zararlı içerikler algılanmayabiliyor. Algılanması durumunda ise temanızdaki zararlı kod bulaştırılan dosyaların otomatik olarak silinmesi sebebiyle website kesintiye uğrayabiliyor. Kısacası *****/crackli bir eklenti kurduysanız bu tür durumlar başınıza gelebilir, yada böyle bir kurulum yapmadıysanız ve barındığınız hosting güvenliği zayıf ise başka bir müşteri üzerinden de size sızılmış olabilir. Geçmiş olsun
  • 14-12-2021, 14:40:48
    #3
    3-4 aydır bende çok sıkıntı çektim kaç tane siteyi silmek zorunda kaldım belki sizin sorununuzda böyle birşeydir https://www.r10.net/site-guvenligi-s...yacim-var.html
  • 14-12-2021, 14:42:05
    #4
    TURKLOKASYON adlı üyeden alıntı: mesajı görüntüle
    Maalesef çok karşılaşılan bir durum. Özellikle WP üzerinde ***** eklentiler sebebiyle shell scriptler sayesinde websitenize hacklink basılma durumu olabiliyor. Barındığınız hosting tarafında fingerprint teknolojisi yoksa bu tür zararlı içerikler algılanmayabiliyor. Algılanması durumunda ise temanızdaki zararlı kod bulaştırılan dosyaların otomatik olarak silinmesi sebebiyle website kesintiye uğrayabiliyor. Kısacası *****/crackli bir eklenti kurduysanız bu tür durumlar başınıza gelebilir, yada böyle bir kurulum yapmadıysanız ve barındığınız hosting güvenliği zayıf ise başka bir müşteri üzerinden de size sızılmış olabilir. Geçmiş olsun
    normal host değil VDS
    VDS durumlarında farklı bir müşterinin buraya sızma ihtimali zayıf gibi ancak imkansız değil. Tema lisanslı sadece 2 eklenti aktif
    öğrenmek istediğim diyelim ki X kişisi sunucuya girdi şuraya şuraya dokundu bunun logları var mı nereden bakabilirim
  • 14-12-2021, 14:46:50
    #5
    Üyeliği durduruldu
    SEOPro adlı üyeden alıntı: mesajı görüntüle
    Kadın moda sitemize (hitsiz) bugün bir adet makale eklemek istedim sayfayı aşağı kaydırınca artık kimse doldurmuş adul.t site linklerini.
    Hemen ftp ye baktım testwarning.php adı altında bir dosya yüklenmiş. Aşağıda bu php dosyasının içeriğini ekleyeceğim. Sunucuda 3 adet site bulunuyor 3 sitede aynı tema bulunur sadece bu sitede super-lights-wp-cache-buster eklentisi kurulmuş. Ancak ben bu eklentiyi de kurmadım. Eklentinin içeriğine bakınca anladım bu eklentiden kaynaklanıyor.



    Sormak istediğim bu loglara nasıl nereden ulaşabilirim?
    Merhaba,

    Hosting sağlayıcınızla iletişime geçerek web ve FTP loglarını talep edebilir ve access loglarından saldırgan ip adresini bulabilirsiniz. Muhtemelen kullandığınız tema/eklenti kaynaklı bir exploit neticesinde reverse shell alınarak sızılmış olabilir. Kritik ve önem arz eden web sitelerinizi kesinlikle bir WAF sağlayıcı arkasında kullanmanızı ve paylaşımsız sunucularda barındırmanızı öneririm. Geçmiş olsun dileklerimle.
  • 14-12-2021, 14:48:57
    #6
    SEOPro adlı üyeden alıntı: mesajı görüntüle
    normal host değil VDS
    VDS durumlarında farklı bir müşterinin buraya sızma ihtimali zayıf gibi ancak imkansız değil. Tema lisanslı sadece 2 eklenti aktif
    öğrenmek istediğim diyelim ki X kişisi sunucuya girdi şuraya şuraya dokundu bunun logları var mı nereden bakabilirim
    Erişim yapılan loglar mevcut tabi ki ancak olayın tam olarak tarih ve saatini bilmediğiniz için belki milyonlarca log arasında boğulup kalabilirsiniz. Bir de belli tarihten önceki loglara da erişmeniz mümkün olmaz.

    /var/log/messages
    /var/log/pureftpd

    gibi SSH veya ftp logları incelenebilir yada olay yakın bir tarihte gerçekleştiyse website access_log'larından da görebilirsiniz. Shell scriptler genelde ssh veya ftp ile ilgilenmez. Direk php dosyası üzerinden bash erişimi yaparak müdahalede bulunur. Bu konuda ucuz yollu olarak CXS gibi bir yazılım ile sorunu çözmeniz mümkün olabilir. Hem düzenli fingerprint taramaları hem de oluşturulan veya upload edilen tüm dosyaların taramadan geçerek zararlı tespit edilmesi durumunda otomatik olarak karantinaya alınmasını sağlayabilirsiniz.