AnonymousFox Virüs Belası

Question

Forumda bu konuya değinilmiş, fakat 2020 tarihli olduğundan yeniden yazıyorum.

Sabah wp tabanlı bir siteye girmeye çalıştığımda giriş bilgisi hatalı uyarısı aldım. Sunucu üzerinden şifre şifreleme işlemeni yaparken kullanıcı adının AnonymousFox_mrw olarak değiştirildiğini gördüm. 
Sunucudaki diğer sitelerin kullanıcı adları da aynı şekilde değişmiş. Daha önceki konuda Shell olma olasılığına değinilmiş.

Dikkatimi çeken bir konu ise tablo ön adı farklı olan sitelerde işlem yapılmamış. Kullanıcı adı ve şifre aynı duruyor. (1 sitede farklıymış)

Sizce çözüm olarak wp tablo ön adlarını değiştirmek ne derece mantıklı. (ym4_users gibi)

Bir de bu virüs hangi siteden yayılmış (***** tema ve eklenti olan birkaç site muhakkak var) bunu nasıl öğrenebilirim.

İnternette cpanel üzerinden şifre yenileme iptali gibi anlatımlar var fakat benim panel plesk.

Yardım rica ederim. Teşekkürler.

shentaweb · Answer

Selam, veritabanınıza doğrudan erişim olduğunu düşünmüyorum. Hack yediğini düşündüğünüz sitelerinizde, bahsettiğiniz ön eklerin nasıl oluştuğunu, ortak eklentiler var mı yok mu diye test etmelisiniz. Hepsinde ortak kullanılan ne varsa kaldırmanızı, güvenlik için eklentiler kurup optimizasyon yapmanızı tavsiye ederim. Bunlara ek olarak muhtemelen w.rez eklenti veya tema kurdunuz. Çoğu eklenti wordpress veritabanı tablolarında değişiklik gösterebilir.

ylcn53 · Answer

shentaweb adlı üyeden alıntı:						mesajı görüntüle									Selam, veritabanınıza doğrudan erişim olduğunu düşünmüyorum. Hack yediğini düşündüğünüz sitelerinizde, bahsettiğiniz ön eklerin nasıl oluştuğunu, ortak eklentiler var mı yok mu diye test etmelisiniz. Hepsinde ortak kullanılan ne varsa kaldırmanızı, güvenlik için eklentiler kurup optimizasyon yapmanızı tavsiye ederim 		Yanıt için teşekkürler. 
Tüm panelde yer alan wp siteler bu durumda. İçlerinde full lisanslı tema eklenti olanlarda var. 
Lisansız olan bir tema veya eklentide sorun olduğu kesin.
Bu durum muhtemel birkaç kez daha gerçekleşecek diye tahmin ediyorum. Yani virüs çalışacak yine ad ve şifreyi otomatik değişecek.

Otomatik bir komut var gibi.  Bakalım tablo ön adları etkilenecek mi? Etkilenmeyecek mi?

VPNCI · Answer

Sunucuya root olmuşlar sanki?

EmreGencaslan · Answer

Sunucu cagefs mi bilginiz var mı değilse Apache bypass oldukça kolay hosting şirketinizi değiştirmenizi öneririm muhakkak tekrarlanır

ayrıca sitenizi temiz dosyalar ile yeniden kurulum yapmanızı öneririm sitenizdeki shell yolu çoktan satışa çıkmış olabilir, webmailden spam h*cklink vs vs

EvrenOnur · Answer

Sunucuya Shell atıp üzerinden wp-config.php içerisinde DB okuyup mass işlem yapılmış. Wp config dosyasını şifrelemek önlem olabilir fakat Shell dosyası her yerde olabilir

ylcn53 · Answer

EmreGencaslan adlı üyeden alıntı:						mesajı görüntüle									Sunucu cagefs mi bilginiz var mı değilse Apache bypass oldukça kolay hosting şirketinizi değiştirmenizi öneririm muhakkak tekrarlanır

ayrıca sitenizi temiz dosyalar ile yeniden kurulum yapmanızı öneririm sitenizdeki shell yolu çoktan satışa çıkmış olabilir, webmailden spam h*cklink vs vs 		sunucuda 30 tane sadece wp var. Hangi dosyadan yayılmış bunu bilmediğimden ne yapacağıma tam karar vermedim.

cagefs mi  hiç bilmiyorum, sağlayıcı hetzner.com.

TagOnset · Answer

Temizlik ve önlem işlemlerini yapabilirim. PM iletebilirsiniz.

ylcn53 · Answer

Nasıl düzeldi :

sunucuya (plesk) Imunify360 kurdum. Tüm siteleri taradım temizledim.

Wordpress siteleri son sürümü ile güncelledim ki bu en makul çözüm. Çünkü ilgili virüs direk wp de yer alan açıktan dolayı bulaşıyor.

Virüs ile ilgili https://twitter.com/mertcangokgoz/st...41343529349120 bağlantıya bakınız.

Kolay gelsin.

secrax · Answer

ylcn53 adlı üyeden alıntı:						mesajı görüntüle									Nasıl düzeldi :

sunucuya (plesk) Imunify360 kurdum. Tüm siteleri taradım temizledim.

Wordpress siteleri son sürümü ile güncelledim ki bu en makul çözüm. Çünkü ilgili virüs direk wp de yer alan açıktan dolayı bulaşıyor.

Virüs ile ilgili https://twitter.com/mertcangokgoz/st...41343529349120 bağlantıya bakınız.

Kolay gelsin. 		Hocam aynı sorundan müzdaribiz. Nasıl bi yol izlediniz acaba, temizleme işleminden sonra tekrar gerçekleşti mi?

ylcn53 · Answer

secrax adlı üyeden alıntı:						mesajı görüntüle									Hocam aynı sorundan müzdaribiz. Nasıl bi yol izlediniz acaba, temizleme işleminden sonra tekrar gerçekleşti mi? 		Sunucuya kurduğum imunify360, veri tabanı tablo ön adlarında yaptığım değişiklik ve son olarak veri tabanı ad ve şifreleri değiştirmekle sorunu çözdüm.
Epeydir sorun yaşamıyorum fakat wordpress olduğu sürece her an bu tarz sorunlar yaşanabilir. Ben bu virüsle tanıştığımda açık eklentide ve ya tema da değildi. Direk wp den kaynaklı açıktan dolayı sızıntı yaşadım. Bol şans.

secrax · Answer

ylcn53 adlı üyeden alıntı:						mesajı görüntüle									Sunucuya kurduğum imunify360, veri tabanı tablo ön adlarında yaptığım değişiklik ve son olarak veri tabanı ad ve şifreleri değiştirmekle sorunu çözdüm.
Epeydir sorun yaşamıyorum fakat wordpress olduğu sürece her an bu tarz sorunlar yaşanabilir. Ben bu virüsle tanıştığımda açık eklentide ve ya tema da değildi. Direk wp den kaynaklı açıktan dolayı sızıntı yaşadım. Bol şans. 		değerli yorumunuz için teşekkür ederim. aynı şekilde ilerlemeyi deneyeceğim.