Yeni Bir Wordpress Virüsü

Question

Merhaba arkadaşlar,

Yeni olduğunu sandığım bir virüs çünkü internette pek bilgi bulamadım. Wordpress org üzerinde de konusu açılmış ama daha 48 saat geçmemiş başlığın üzerinden.

https://wordpress.org/support/topic/...-only-setting/

Virüs sisteminize yeni YÖNETİCİ hesapları ekliyor.
Ağırlıklı olarak aşağıdaki mailler ile yönetici hesapları oluşuyor.

wpsteams@mail.ru
inemiusfaymarcymr@gmail.com
wpsteame@mail.ru

Phpmyadmin üzerinden de şu mailleri sildim
yusuf_denizli@hotmail.com
seyinaslan1@hotmail.com

Şuan temizledim sanırım ama tekrar çıkabilir sorun. Nereleri kontrol etsem yada hangi önlemleri alsam önerilere açığım arkadaşlar.

EDİT:
Wordpress e virüs girmesi yeni birşey değil de bu mail adresleri ile yeni bir versiyon olabilir diye düşündüm. Başka aynı sorun yaşayanlar da bu mail adreslerini google da arayarak konuya gelebilir ve çözüm/güvenlik önerilerimizden faydalanabilirler.

TheStranger · Answer

2 kez denk geldim bu virüse. Bir tanesine yakın bir zamanda, diğerime de aylar önce denk gelmiştim. Sanırım yeni yeni gün yüzüne çıkıyor.
Web sitesine virüs bulaşanlar, imzamdaki konuya tıklayabilirler.

Pentelis · Answer

Eğer sitenizde makale paylaşımı yapıldı ise backlink çalışması da yapılmıştır muhtemelen spam yapılan urller uzerinden. biraz once ahrefs uzerindeki anorml backlink artışı ile haberim oldu bundan. Disavov etmek gerekir mi bu linkleri?

Edit: Loglardan tüm admin hesaplarının 188.143.235.92 ip adresinden giriş yaptığını grdum. internetde rus hackerlar gibi bazı bilgiler var onceki aylardan bu ip adresine ait.

chnyrdkl · Answer

sorun devam ediyorsa, iletişime geçebilirsiniz.
tşk.

Pentelis · Answer

Aynı sorun bende de mevcut. 4 sayfa bunun gibi yonetici eklenmiş dun itibarı ile.

yine 4 sayfa spam makale eklenmiş.

erkutr · Answer

benim dikkat ettiğimde wordpress teki bu default olarak verilen admin kullanıcı adı ve admin@example.com mail adresi olanlarda bu konu oluşuyor. Kesin olarak emin değilim ama kendi sunucumda bütün sitelere girip sadece bir tane siteye girememesi beni bu sonuca ulaştırdı.

Castaway · Answer

Ucuz etin yahnisi böyle oluyor demek ki

CliaWeb · Answer

Daniel1336 adlı üyeden alıntı:						mesajı görüntüle									Merhaba arkadaşlar,

Yeni olduğunu sandığım bir virüs çünkü internette pek bilgi bulamadım. Wordpress org üzerinde de konusu açılmış ama daha 48 saat geçmemiş başlığın üzerinden.

https://wordpress.org/support/topic/...-only-setting/

Virüs sisteminize yeni YÖNETİCİ hesapları ekliyor.
Ağırlıklı olarak aşağıdaki mailler ile yönetici hesapları oluşuyor.

wpsteams@mail.ru
inemiusfaymarcymr@gmail.com
wpsteame@mail.ru

Phpmyadmin üzerinden de şu mailleri sildim
yusuf_denizli@hotmail.com
seyinaslan1@hotmail.com

Şuan temizledim sanırım ama tekrar çıkabilir sorun. Nereleri kontrol etsem yada hangi önlemleri alsam önerilere açığım arkadaşlar.

EDİT:
Wordpress e virüs girmesi yeni birşey değil de bu mail adresleri ile yeni bir versiyon olabilir diye düşündüm. Başka aynı sorun yaşayanlar da bu mail adreslerini google da arayarak konuya gelebilir ve çözüm/güvenlik önerilerimizden faydalanabilirler.  		Merhaba Daniel1336,

Bu tarz her konunun altında belirttiğimiz gibi alacağımız önlemler bellidir;

1) W arez n.ulled tema ve eklenti kullanmamak, 
2) default temaları kullanmamak veya kullanmıyorsanızda dizinden silmek, 
3) katı kurallı mod security kullanmak (owasp en katısıdır), 
4) Dünya geneli için verimerkezlerine ait asn leri bloke edecek şekilde bir asn havuzu oluşturup fw üzeri kurallandırmak
5- Yazılımı ve sunucuyu güncel tutmak

bu direktiflere uyanlar zaten büyük ölçüde bu tarz senaryolardan korunmuş olurlar.

İyi çalışmalar.

aslantr · Answer

Başıma geldi malesef, hayatımda ilk defa gördüğüm şeylerdi , konu içlerine sayfa yapısına kod olarak konu eklenmişti resmen.

Daniel1336 · Answer

T1mSaH adlı üyeden alıntı:						mesajı görüntüle									Temanizin functions.php dosyasina, veya plugins klasorunu indirip tum dosyalarda wp_create_user fonksiyonunu aratarak cozum bulabilirsiniz diye dusunuyorum.
wp_create_user() fonksiyonu ve set_role( 'administrator' ) yardimiyla yeni kullanici olusturabiliyorlar.
Muhtemelen w-*** bir dosyadan bulasmistir. 		Hemen deniyorum hocam bilgi vereceğim.

T1mSaH · Answer

Temanizin functions.php dosyasina, veya plugins klasorunu indirip tum dosyalarda wp_create_user fonksiyonunu aratarak cozum bulabilirsiniz diye dusunuyorum.
wp_create_user() fonksiyonu ve set_role( 'administrator' ) yardimiyla yeni kullanici olusturabiliyorlar.
Muhtemelen w-*** bir dosyadan bulasmistir.

Daniel1336 · Answer

Younus adlı üyeden alıntı:						mesajı görüntüle									Yanlış hatırlamıyorsam ayarlarda yeni üyelerin durumunu belirleye biliyorsun. Yanlışlıkla yönetici seçmiş olabilir misiniz? 		Yok hocam abone olarak ekleniyordu ayarlarda yetki durumu ama yönetici olarak geliyordu kayıtlar. Aynı 3 mail adresi genelde; ama şuan komple kapattım siteye üye olmayı. Etkisi olacağını sanmıyorum ama phpmyadmin den ekliyordur üyeleri.

Younus · Answer

Daniel1336 adlı üyeden alıntı:						mesajı görüntüle									Konuyu düzeltiyorum, eklenenler yönetici hesabı hocam sorun da bu zaten. 		 Yanlış hatırlamıyorsam ayarlarda yeni üyelerin durumunu belirleye biliyorsun. Yanlışlıkla yönetici seçmiş olabilir misiniz?

Daniel1336 · Answer

VanPark adlı üyeden alıntı:						mesajı görüntüle									Yeni değil ki https://vanevdeneve.net sitesinde sürekli yapıyor ve site bir anda ilk sıradan 55 sıraya geriliyor sürekli yedek atıyorum her hafta. Admin paneli sildim yine olmadı kullanıcı kaydını sildim yine olmadı meğer kodlara bulaşıp phpmyadminden ekliyor. Çözüm bulamadım &#128514;&#128514;&#128514; 		Hocam wordpress e virüs girmesi yeni birşey değil de bu mail adresleri ile yeni bir versiyon olabilir diye düşündüm. Başka sorun yaşayanlar da bu mail adreslerini arayarak konuya gelebilir ve çözüm/güvenlik önerilerimizden faydalanabilirler.

tryigitx · Answer

Yeni değil kaç yıldır var bu genelde tema açıklarından olan bir t virüsü çözmesi kolay ve genelde bir engelle bile işlevsiz yapılabiliyor

VanPark · Answer

Yeni değil ki https://vanevdeneve.net sitesinde sürekli yapıyor ve site bir anda ilk sıradan 55 sıraya geriliyor sürekli yedek atıyorum her hafta. Admin paneli sildim yine olmadı kullanıcı kaydını sildim yine olmadı meğer kodlara bulaşıp phpmyadminden ekliyor. Çözüm bulamadım &#128514;&#128514;&#128514;

Daniel1336 · Answer

Younus adlı üyeden alıntı:						mesajı görüntüle									Bende sürekli bot kaydı oluyur. Çokta önemli değil sıradan kullanıcı oluyur. 		Konuyu düzeltiyorum, eklenenler yönetici hesabı hocam sorun da bu zaten.

Younus · Answer

Bende sürekli bot kaydı oluyur. Çokta önemli değil sıradan kullanıcı oluyur.