siteme shell atılmış. ne yapmalıyım

Question

merhaba

wordpress siteme shell dosyası atıldı sanırım
index değişmiş. indexi sildim. yeniden atıldı. 
sonra bir sayfa gördüm kategorilere girince. garip birşeydi. 
dosyaları düzenle - sil - upload et vs yazan bir php sayfası gördüm.
bir köşesinde " remove this shell " yazıyordu. tıkladım ve silindi
yani sanıyorum silindi. emin değilim.

host firmama ticket açtım. henüz dönmediler.
panel, ftp şifrelerini değiştirdim.

yapmam gerekenler nedir şu an?

hermesyus · Answer

bu bahsettiğiniz şeyleri ben yapamam malesef. anlamıyorum
host firması şu an ticketa yanıt verdi. inceliyoruz diyerekten.
bakalım ancak onlar halledebilir eğer oluru varsa

iSoTurK · Answer

ozk4n adlı üyeden alıntı:						mesajı görüntüle									manuel niye tarayıp zaman kaybettsinki atılan shell tarihinin zamanına bak sonra tarihe göre sıralama aynı tarih ve yakın tarihdekilerin hepsi shell. Upload dosyası atabilme imkanı yok bu arada sitede eğer dosya upload imkanı olsa bir klasöre shellini atarda kategori dosyasını editlemezdi diye düşünüyorum. 		hocam upload dosyası atılma ihtimali nasıl olmaz özele gelirseniz size ufak bir script gösteririm onu görünce  anlarsınız ama şunu sölemek gerek tarih fikri güzel ayrıca

cpanel ise panelinizde hata log kayıtlarına bakın hata kayıtlarını inceleyin

hermesyus · Answer

ozk4n adlı üyeden alıntı:						mesajı görüntüle									güncellendiğinden dolayı öyledir güncelleme tarihini baz almadan diğer tarihlere bakarak bir tarama yapabilirsiniz.
09.08.2012 01:54 güncelleme tarihi çıkarıldı geriye kalan tarihlerde buğüne bakın mesela başka hangi saatte dosya değiştirilmiş sizin değiştirmediğinniz fakat değişik taraih gözüken. 		başka göremedim. en son 16 haziran. yani tümü. temayı kurduğumm tarih yanılmıyorsam.

başıma ağrı girdi. uyumam lazım. host firmasından cevap gelirse paylaşacağım burada

tşk ederim herkese

ozk4n · Answer

güncellendiğinden dolayı öyledir güncelleme tarihini baz almadan diğer tarihlere bakarak bir tarama yapabilirsiniz.

09.08.2012 01:54 güncelleme tarihi çıkarıldı geriye kalan tarihlerde buğüne bakın mesela başka hangi saatte dosya değiştirilmiş sizin değiştirmediğinniz fakat değişik taraih gözüken.

hermesyus · Answer

ozk4n adlı üyeden alıntı:						mesajı görüntüle									manuel niye tarayıp zaman kaybettsinki atılan shell tarihinin zamanına bak sonra tarihe göre sıralama aynı tarih ve yakın tarihdekilerin hepsi shell. Upload dosyası atabilme imkanı yok bu arada sitede eğer dosya upload imkanı olsa bir klasöre shellini atarda kategori dosyasını editlemezdi diye düşünüyorum. 		şimdi şöyle bir durum var

önce index atılmıştı siteye. veya değiştirildi. 
bende mecburen wordpress i güncelledim. aslında bilmeyerek yaptım. 
index.php dosyasını bulamadım bilgisayarımda.çünkü sited eindex.php yoktu silmiştim. ne yapayım ne edeyim derken wordpress güncelle linkine tıkladım ve wordpress güncellendi, otomatik olarak index.php geri geldi.

şimdi baktımda neredeyse tüm dosyalar bugün tarihli..

hepsinde mi shell var ? yada bu güncellemeden ötürü olabilirmi ?

bilmiyorum ki

ozk4n · Answer

manuel niye tarayıp zaman kaybettsinki atılan shell tarihinin zamanına bak sonra tarihe göre sıralama aynı tarih ve yakın tarihdekilerin hepsi shell. Upload dosyası atabilme imkanı yok bu arada sitede eğer dosya upload imkanı olsa bir klasöre shellini atarda kategori dosyasını editlemezdi diye düşünüyorum.

Crowley · Answer

Sunucuya girmiş olabilir.Sunucuyu kontrol ettirin.

hermesyus · Answer

en iyisi temayı değiştireyim ve sıfırdan kurayım

yedeği yüklersem ( yani yazıları filan ) bulaşmaz değilmi birşey tekrar

RssMonster · Answer

içeriğin yedeğini al panelden resimleri indir sonra herşeyi sil bir daha kur 0 dan.

iSoTurK · Answer

arkadaşın sitesi wordpress
Wordpressde yülerce diz9 binlerce dosya var hangisi shell nerden biliceksin
Antivirüse gelince
Adam gider ufak bir upload scripti koyar antide yakalamaz istediği zaman shell atar 
Bu etabda ilk olarak Shellden tam manada kurtulmak zor
Sunucunuz güvenli olmalı Geçişler korumalı olmalı
Sunucuda shellerin çalışmasını kısıtlayan komutlar kapalı olmalıdır!
Tektek bakıp o shelleri temizlemek çok zor ama şunu yapın

Şimdi var olan dosya yedeğini  al daha önce aldığın dosya  yedeğini al
Aralarındaki tek farkları wp-content klasörü!
Sırayla bunları yap;
yeni aldığın yedekden
Wp-admin
Wp-includes klasörlerini sil
Önceden aldığın yedekden wp-admin ve includes klasörlerini son aldığına at
Şimdi bu işlemden sonra şüpheli alanımız azaldı!
Şuan shell olan tek klasör wp-content klasörodür
Bu klasördeki bütün alt klasörlerini taraman lazım  manuel olarak O zaman shellerden kurtulmuş olabilirsin

amacdizayn · Answer

olmazsa pm at bir de biz bakalım.

amacdizayn · Answer

Dosyaların değiştirilme tarihleri shell hakkında fikir verebilir.

SuskuN42 · Answer

Abi siteni bi pm ile gönderirsen bi bakayım.

ejder024 · Answer

değişik dosyalara bak.mesala en son 5 sene önce benim siteme atıldığında delete.php olarak atılmıştı.

ozk4n · Answer

hermesyus adlı üyeden alıntı:						mesajı görüntüle									hayır xxx.php vs değildi
mesela kategorilere giriyordum, o sayfa çıkıyordu karşıma
atıyorum : benimsitem.com/deneme
o sayfa çıkıyordu karşıma 		sitenizde yazma hakkı sadece temadaki kategori dosyasında olduğu için oraya atmışlardır shelli. Yapmanız gereken işlem basit aslında ilk olarak sitenizdeki tüm chmod 777 yazma izinlerini sadece okuma iznine çekin daha sonra ftp deki tüm dosyaları bilgisayarınıza çekip nod32 ve benzeri antivirüslerle o dosyaları taratınız. Eğer shell şifreli atılmamışssa eğer antivirüsler tanıyorsa hepsini silecektir. 

Nasıl shell attılar diye sorarsanızda.
1- Kullandığınız temada shell olabili
2- Hosting firmanızda bulunan güvenlik açığından dolayı dizinler arası erişim açık olabilir.
3- Kullandığınız wordpress eklentilerinde açık olabilir önlem içiniçin exploit-db.com adresinden kullandığınız eklentileri aratıp güvenlik açığı olanlarını siliniz.

hermesyus · Answer

ZahRiyaN adlı üyeden alıntı:						mesajı görüntüle									emin değilseniz ftp klasörlerinizi tek tek gezip bakmanızı öneriri ve gereken şifreleri değiştirin..
birde remove this shell yazan ""xxx.php"" tarzı bir yermiydi öyleyse o adrese hala giriyormu girmiyorsa da tabi başka shell olmadığı anlamına gelmez tedbiri bırakmayın
geçmiş olsun 		hayır xxx.php vs değildi
mesela kategorilere giriyordum, o sayfa çıkıyordu karşıma

atıyorum : benimsitem.com/deneme

o sayfa çıkıyordu karşıma

--R10.NET; Flood Engellendi -->-> Yeni yazılan mesaj 01:00:46 -->-> Daha önceki mesaj 00:58:14 --

sunucu değil. reseller paketi kullanıyorum.
komut vs bilmiyorum. nasıl bakacağımıda bilmiyorum.
host firmasına ilettim. hala dönüş yapmadılar

iSoTurK · Answer

bunu çok kişi yaşıyor kesin olarak anlamanız zor 
Eğer yedeğiniz varsa  dosya yedeklerinizi gönderin

Ftp ve panel Bilgilerine gelince bu tip saldırılar sunucudan  gelir aynı sunucudaki diğer sitelerden Oluşan açık ile sunucuya shell atılır farklı dizinlerdeki kullanıcıların Config dosyaları bypass edilir
Db ile sitenize shell dosyası atılır.

Burda sizin alıcağınız temel önlem;
Basit ve kolay olan şifreleri değiştirin
Config dosyalarınızı şifreleyin
Chmod değerlerini kontrol edin
Shell upload edilen bölümde düzenlemeler yapın
Vs. Yazdıkça uzar

Hünkar · Answer

emin değilseniz ftp klasörlerinizi tek tek gezip bakmanızı öneriri ve gereken şifreleri değiştirin..
birde remove this shell yazan ""xxx.php"" tarzı bir yermiydi öyleyse o adrese hala giriyormu girmiyorsa da tabi başka shell olmadığı anlamına gelmez tedbiri bırakmayın
geçmiş olsun

edit:

sorunuza karşılık shell muhtemelen



bu tarz birşey

hermesyus · Answer

nasıl bakacağım dosyalara ?
shell nedir bilmiyorum ki. kod mudur ? ne yazar mesela dosyalarda ?

ejder024 · Answer

tabiki shelli sileceksin bütün dosyalarına tek tek bak heryere atmışlardır.
shell duruyorsa istediğin kadar şifre değiş yine bulurlar.