• 25-05-2026, 21:50:49
    #10
    UbrTrade adlı üyeden alıntı: mesajı görüntüle
    hocam o satır bende de var
    <meta name="generator" content="Elementor 4.0.9; features: additional_custom_breakpoints; settings: css_print_method-external, google_font-enabled, font_display-auto">

    ben burada hack olabilecek bir şey de ghöremedim benim bu satırdan anladığım (Site Elementor ile oluşturulmuş ve Elementor kendi sürüm/ayar bilgisini HTML kaynak koduna yazmış ) yanlışsam düzeltin lütfen


    Hocam, 'o satırın kendisi' zaten Elementor'un sürüm bilgisidir, bunu herkes biliyor. Ben de zaten o satırın 'kendisini' virüs olarak tanımlamadım; o satırın, sitenize sızan 'Backdoor' yapısının' bir kamuflaj (maskeleme) çatısı olarak kullanıldığını belirttim.
    Sizin sitenizde o satır varken ekranda 202cb... (MD5 123) kodu yazıyor mu? Yazmıyor. FizikciSerkan sitesinde o satır varken ekranda 202cb... yazıyor mu? Yazıyor.
    Eğer o kod sadece bir Elementor sürüm bilgisi olsaydı, sizin sitenizde de aynı 202cb... çıktısını vermesi gerekirdi. Saldırganlar, functions.php içerisine gizledikleri bir hook ile sitenin head kısmını manipüle ediyor ve o meta etiketinin olduğu bölüme/yakınına bu zararlı çıktıyı enjekte ediyorlar.
    Teknik bir analiz yaparken sadece 'statik' kod parçalarına bakılmaz; o kodun 'dinamik' (çalışma zamanı) çıktısına ve sistemin davranışına bakılır. Eğer sizin sitenizde o satır varken hiçbir sorun yoksa, demek ki sizde o 'Backdoor' aktif değil veya saldırgan size henüz dokunmamış. Ama burada bariz bir 'bot yönlendirmesi' var. İyi çalışmalar.
  • 25-05-2026, 21:57:32
    #11
    shadow_cyber adlı üyeden alıntı: mesajı görüntüle
    Hocam, 'o satırın kendisi' zaten Elementor'un sürüm bilgisidir, bunu herkes biliyor. Ben de zaten o satırın 'kendisini' virüs olarak tanımlamadım; o satırın, sitenize sızan 'Backdoor' yapısının' bir kamuflaj (maskeleme) çatısı olarak kullanıldığını belirttim.
    Sizin sitenizde o satır varken ekranda 202cb... (MD5 123) kodu yazıyor mu? Yazmıyor. FizikciSerkan sitesinde o satır varken ekranda 202cb... yazıyor mu? Yazıyor.
    Eğer o kod sadece bir Elementor sürüm bilgisi olsaydı, sizin sitenizde de aynı 202cb... çıktısını vermesi gerekirdi. Saldırganlar, functions.php içerisine gizledikleri bir hook ile sitenin head kısmını manipüle ediyor ve o meta etiketinin olduğu bölüme/yakınına bu zararlı çıktıyı enjekte ediyorlar.
    Teknik bir analiz yaparken sadece 'statik' kod parçalarına bakılmaz; o kodun 'dinamik' (çalışma zamanı) çıktısına ve sistemin davranışına bakılır. Eğer sizin sitenizde o satır varken hiçbir sorun yoksa, demek ki sizde o 'Backdoor' aktif değil veya saldırgan size henüz dokunmamış. Ama burada bariz bir 'bot yönlendirmesi' var. İyi çalışmalar.
    teşekkür ederim hocam sizede iyi çalışmalar ilgili sitedeki kaynak kodundaki belirttiğiniz satır helen mevcut fakat belirtilen MD5 kodu sitede yok sanırım elementordan değilmiş yada site sahibi anltamak ister neler olduğunu şuan kod yok
  • 25-05-2026, 22:01:09
    #12
    Eklentiler içerisinde shell eklentisi buldum. Onu sildim. Düzeldi. Ama açığı bulmam ve kapatmam gerekiyor
  • 25-05-2026, 22:02:34
    #13
    İlginiz için de teşekkür ediyorum ayrıca
  • 25-05-2026, 22:04:45
    #14
    @UbrTrade; hocam, ilginiz için teşekkürler. Yazdıklarımı dikkatli okursanız zaten 'o satır virüstür' demediğimi, o satırın bir 'maskeleme çatısı' olarak kullanıldığını belirttiğimi görebilirsiniz.
    Sitenin şu an o çıktıyı vermiyor olması, saldırının bittiği anlamına gelmez; saldırganların bu tarz zararlı yazılımlarda uyguladığı 'statik durum izleme' mekanizmasının bir sonucudur. Kodun anlık olarak görünmemesi, arka kapının (backdoor) temizlendiğini değil, saldırganın aktif bir izleme/değiştirme (polymorphic/dynamic obfuscation) yaptığını kanıtlar.
    Siber güvenlikte 'şu an görünmüyor o zaman sorun yok' yaklaşımı çok tehlikeli bir yanılgıdır. Konuyu daha fazla teknik spekülasyona boğmadan, site sahibinin güvenliğini sağlamak adına süreci profesyonel bir log ve dosya analizi ile netleştirmek en doğrusu olacaktır. İyi çalışmalar.
  • 25-05-2026, 22:06:43
    #15
    @rizikos;
    Hocam, 'shell' eklentisini bulup silmeniz güzel, ancak o eklenti sitenize ana kapıdan girmedi. O eklenti, saldırganın daha önce sisteme enjekte ettiği bir 'arka kapı' (backdoor) aracılığıyla kuruldu. Siz sadece sonucu sildiniz, o kapıyı oluşturan zararlı kod blokları hala sunucunuzda duruyor.
    Eğer o kapıyı kapatmazsanız, saldırgan 1 saat sonra veya birkaç gün içinde sisteminizdeki diğer zafiyetlerden yararlanarak tekrar aynı veya farklı bir shell eklentisi yükleyecektir. İşi şansa bırakmayalım; onayınız olursa sistemin tam temizliğini yapıp, saldırganın hangi log üzerinden girdiğini tespit ederek o 'ana giriş noktasını' kalıcı olarak mühürleyelim. İşin devamı için PM (özel mesaj) üzerinden detayları görüşebiliriz.