Wordpress siteme randkeyword.php isminde shell yüklenmiş

Hayırlı geceler

1-Wordpress tabanlı sitemde. Bugün google arama sonuçlarında baktığımda çinçe veya japonca karakterlerde arama sonuçları çıktığını gördüm.
2-Son index 10 gün öncesine kadar bu şekilde. Sayfaların bazıları 404, bazı sayfalarda japonca karakter ile index almış.
3- Ftp incelediğimde "randkeyword.php" adında farklı klasörlere dosyalar atıldığını gördüm. Şubat ayında ftp yükleem yapılmış, belirtilen dosyayı incelediğimde shell olduğunu gördüm. Sitemde ***** eklenti veya tema yok.
4- Bu durumda, ftp indirip tek tek dosyaları incelemek doğru olacağını düşünüyorum. Devamında google arama sonuçlarında sayfaları googledan kaldırmasını talep edicem.

Başka çözüm yolu varsa yardımlarınızı talep ediyorum. Saygılarımla.

Tema olmadan Wordpress bu şekilde bir işlem gerçekleştirmez. Kullandığınız temanın ücretsiz olmasından dolayı böyle bir durumla karşılaşmışsınızdır.

Tek temadan kaynaklanmiyor ki ortak host kullaniyorsa baskalarindan bu arkadasa da girmişlerdir

Dediğiniz gibi olmuş sanırım bir kaç sitemde aynı shell yüklenmiş. Gereksiz eklentileri ve içerikleri tek tek kontrol etmek gerekiyor sanırım başka aklıma gelen birşey yok. Teşekkürler.

Tek temadan kaynaklanmiyor ki ortak host kullaniyorsa baskalarindan bu arkadasa da girmişlerdir

Aynı sunucu içerisinde farklı kullanıcılar arasında bu sızıntı oluyorsa o zaman sunucu sorunu diyebilmemiz daha muhtemel olacaktır. Fakat, bu sorun basit bir trojan gibi görünüyor. Tabi sunucunun sanal olduğunu farz ederek bu varsayımları kullanıyorum. Eğer, harici sunucu ise sunucu güvenliğiyle ilgili ciddi sorunlar var demektir. Dışarıdan shell komutu yazabilecek bağlantılara izin verildiyse güvenlik açığının kapatılması gerekiyor.



Bu da olası ancak sunucu yöneticileri bu gibi farklı yayılmalarla - sızmalarla karşılaştıklarında müdahale ederler. Eğer, yöneticiler müdahale etmiyorsa o zaman arkadaşın o servisten hızlıca uzaklaşması gerekiyor. Sunucu tarafında sorun olmadığını varsayarak tema üzerinden ilerledim, özellikle de shell üzerinden dosyaların oluşturulması tema kodlarındaki trojanın sebep olduğunu düşündürdü.
Tabi bunlar "benim" ilk aklıma gelenler

Eğer tema kaynaklıysa; temanın kaldırılması ve dosyaların sistemden silinerek tekrar yüklenmesi ve db bağlantısının tekrar kurulması sorunu hızlıca çözecektir. Ardından tema içerisinde dış bağlantı sağlayan ve dosya yöneticisine müdahale edecek js dosyası bulunuyorsa onun üzerinde değişiklikler yapılabilir. Sonrasında da şifreler ve dosya yetkileri doğru belirlenmeli. php.ini dosyası ve .htaccess dosyaları kendi dizini üzerinden çalışacak şekilde tekrar düzenlenmeli, aksi halde aynı sunucu içerisinde bulunan ve tek yönetici kullanıcılı sitelerin hepsine bulaşma olasılığı da bulunuyor. Tema aynı olmak zorundaysa orijinali kullanılmalı, değilse uygun ve güvenilir tema kullanılmalı.