Wordpress Footer'a Link Eklemişler

29-12-2017, 22:56:44

Şimdi google'dan bir mail geldi. ''web sitesinde saldırıya uğramış içerik tespit edildi'' diye hemen siteyi kontrol ettim footer'a şu kodları eklemişler

Alıntı

<?php $xml='PGZvbnQgc3R5bGU9Im92ZXJmbG93OiBhdXRvOyBwb3Np dGlvbjogYWJzb2x1dGU7IGhlaWdodDogMHB0OyB3aWR0aDogMH B0Ij4NCjxhIGhyZWY9Imh0dHA6Ly9wY3NtdXNpYy5vcmcvQm9s Z2UvTGlzdGUvaXN0YW5idWwvdW1yYW5peWUvIiB0aXRsZT0iw5 xtcmFuaXllIEVzY29ydCIgcmVsPSJkb2ZvbGxvdyI+w5xtcmFu aXllIEVzY29ydDwvYT4NCjxhIGhyZWY9Imh0dHA6Ly9kYWlzeX RoYWlsYW5kLm9yZy9hZC10YWcvZXZlLWdlbGVuLWVzY29ydC8i IHRpdGxlPSJFdmUgR2VsZW4gRXNjb3J0IiByZWw9ImRvZm9sbG 93Ij5FdmUgR2VsZW4gRXNjb3J0PC9hPg0KPGEgaHJlZj0iaHR0 cDovL3d3dy5pc2NhZWcuY29tL2FkLWNhdGVnb3J5L21hbHRlcG UtZXNjb3J0IiB0aXRsZT0iTWFsdGVwZSBFc2NvcnQiIHJlbD0i ZG9mb2xsb3ciPk1hbHRlcGUgRXNjb3J0PC9hPg0KPGEgaHJlZj 0iaHR0cDovL3d3dy5rYXJpbG93ZS5jb20vYWQtdGFnL2FuYWRv bHUteWFrYXNpLWVzY29ydCIgdGl0bGU9IkFuYWRvbHUgWWFrYX PEsSBFc2NvcnQiIHJlbD0iZG9mb2xsb3ciPkFuYWRvbHUgWWFr YXPEsSBFc2NvcnQ8L2E+DQo8YSBocmVmPSJodHRwOi8vd3d3Ln RpZXJjZXR1cmYuY29tLyIgdGl0bGU9IkthZMSxa8O2eSBFc2Nv cnQgQmF5YW4iIHJlbD0iZG9mb2xsb3ciPkthZMSxa8O2eSBFc2 NvcnQgQmF5YW48L2E+DQo8L2ZvbnQ+'; echo base64_decode($xml);?>

Sayfa kaynağında da şu şekilde görünmekteydiler

[22:35, 29.12.2017]: a href="http://pcsmusic.org/Bolge/Liste/istanbul/umraniye/" title="Ümraniye ******" rel="dofollow">Ümraniye ******</a>
<a href="http://daisythailand.org/ad-tag/eve-gelen-******/" title="Eve Gelen ******" rel="dofollow">Eve Gelen ******</a>
<a href="http://www.iscaeg.com/ad-category/maltepe-******" title="Maltepe ******" rel="dofollow">Maltepe ******</a>
<a href="http://www.karilowe.com/ad-tag/anadolu-yakasi-******" title="Anadolu Yakası ******" rel="dofollow">Anadolu Yakası ******</a>
<a href="http://www.tierceturf.com/" title="Kadıköy ****** Bayan" rel="dofollow">Kadıköy ****** Bayan</a>
</font>

Bunu nasıl yapmış olabilirler nereleri kontrol etmem gerekiyor yardımcı olabilir misiniz ?

29-12-2017, 22:59:40

#2

TemaKAFA

Geçen güzel hosting'in bir uyarısı vardı bulursam buraya kopyalarım. Açıklarınızı kapatmak için çok iyi bir yazıydı.

29-12-2017, 23:01:27

#3

YesilWeb

İlk önce, sitenizde bir shell taraması yapmanızı öneririm daha sonra Wordpress Kullanıcı Adınızı ve Şifrenizi değiştirmenizi.
Muhtemelen ya shell ile yapılmış bir eklemedir veya sunucudan sızmış olabilirler, host değiştirmeniz gerekebilir.

29-12-2017, 23:02:24

#4

HcK

Merhaba,
Eklenti ve site açıklarından sisteme sızabiliyorlar. Wodpress'i güncelleyin. Temanızın ve eklentilerinizin güvenliğinden emin olun. Admin şifrenizi ve url'sini değiştirin. Hosting ve ftp bilgilerinizi değiştirin.
Hala daha eklemeyi başarıyorlarsa sunucu kaynaklı bir açık vardır. Hosting firmanız güvenilir değil ise onlarla alakalı da olabilir. Ayrıca ilgili site sahiplerini dava edebilirsiniz.

DoktorCan adlı üyeden alıntı: mesajı görüntüle

Şimdi google'dan bir mail geldi. ''web sitesinde saldırıya uğramış içerik tespit edildi'' diye hemen siteyi kontrol ettim footer'a şu kodları eklemişler

<?php $xml='PGZvbnQgc3R5bGU9Im92ZXJmbG93OiBhdXRvOyBwb3NpdGlvbjogYWJzb2x1dGU7IGhlaWdodDogMHB0OyB3aWR0aDogMHB0Ij4NCjxhIGhyZWY9Imh0dHA6Ly9wY3NtdXNpYy5vcmcvQm9sZ2UvTGlzdGUvaXN0YW5idWwvdW1yYW5peWUvIiB0aXRsZT0iw5xtcmFuaXllIEVzY29ydCIgcmVsPSJkb2ZvbGxvdyI+w5xtcmFuaXllIEVzY29ydDwvYT4NCjxhIGhyZWY9Imh0dHA6Ly9kYWlzeXRoYWlsYW5kLm9yZy9hZC10YWcvZXZlLWdlbGVuLWVzY29ydC8iIHRpdGxlPSJFdmUgR2VsZW4gRXNjb3J0IiByZWw9ImRvZm9sbG93Ij5FdmUgR2VsZW4gRXNjb3J0PC9hPg0KPGEgaHJlZj0iaHR0cDovL3d3dy5pc2NhZWcuY29tL2FkLWNhdGVnb3J5L21hbHRlcGUtZXNjb3J0IiB0aXRsZT0iTWFsdGVwZSBFc2NvcnQiIHJlbD0iZG9mb2xsb3ciPk1hbHRlcGUgRXNjb3J0PC9hPg0KPGEgaHJlZj0iaHR0cDovL3d3dy5rYXJpbG93ZS5jb20vYWQtdGFnL2FuYWRvbHUteWFrYXNpLWVzY29ydCIgdGl0bGU9IkFuYWRvbHUgWWFrYXPEsSBFc2NvcnQiIHJlbD0iZG9mb2xsb3ciPkFuYWRvbHUgWWFrYXPEsSBFc2NvcnQ8L2E+DQo8YSBocmVmPSJodHRwOi8vd3d3LnRpZXJjZXR1cmYuY29tLyIgdGl0bGU9IkthZMSxa8O2eSBFc2NvcnQgQmF5YW4iIHJlbD0iZG9mb2xsb3ciPkthZMSxa8O2eSBFc2NvcnQgQmF5YW48L2E+DQo8L2ZvbnQ+'; echo base64_decode($xml);?>

Sayfa kaynağında da şu şekilde görünmekteydiler

[22:35, 29.12.2017]: a href="http://pcsmusic.org/Bolge/Liste/istanbul/umraniye/" title="Ümraniye ******" rel="dofollow">Ümraniye ******</a>
<a href="http://daisythailand.org/ad-tag/eve-gelen-******/" title="Eve Gelen ******" rel="dofollow">Eve Gelen ******</a>
<a href="http://www.iscaeg.com/ad-category/maltepe-******" title="Maltepe ******" rel="dofollow">Maltepe ******</a>
<a href="http://www.karilowe.com/ad-tag/anadolu-yakasi-******" title="Anadolu Yakası ******" rel="dofollow">Anadolu Yakası ******</a>
<a href="http://www.tierceturf.com/" title="Kadıköy ****** Bayan" rel="dofollow">Kadıköy ****** Bayan</a>
</font>

Bunu nasıl yapmış olabilirler nereleri kontrol etmem gerekiyor yardımcı olabilir misiniz ?

29-12-2017, 23:02:32

#5

~~Lordbey~~

Üyeliği durduruldu

DoktorCan adlı üyeden alıntı: mesajı görüntüle

Şimdi google'dan bir mail geldi. ''web sitesinde saldırıya uğramış içerik tespit edildi'' diye hemen siteyi kontrol ettim footer'a şu kodları eklemişler

<?php $xml='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'; echo base64_decode($xml);?>

Sayfa kaynağında da şu şekilde görünmekteydiler

[22:35, 29.12.2017]: a href="http://pcsmusic.org/Bolge/Liste/istanbul/umraniye/" title="Ümraniye ******" rel="dofollow">Ümraniye ******</a>
<a href="http://daisythailand.org/ad-tag/eve-gelen-******/" title="Eve Gelen ******" rel="dofollow">Eve Gelen ******</a>
<a href="http://www.iscaeg.com/ad-category/maltepe-******" title="Maltepe ******" rel="dofollow">Maltepe ******</a>
<a href="http://www.karilowe.com/ad-tag/anadolu-yakasi-******" title="Anadolu Yakası ******" rel="dofollow">Anadolu Yakası ******</a>
<a href="http://www.tierceturf.com/" title="Kadıköy ****** Bayan" rel="dofollow">Kadıköy ****** Bayan</a>
</font>

Bunu nasıl yapmış olabilirler nereleri kontrol etmem gerekiyor yardımcı olabilir misiniz ?

skype gelirmisin

29-12-2017, 23:18:06

#6

DoktorCan

şimdi tek tek dediklerinizi yapıyorum. Şifreleri değiştiriyorum. Veritabanı şifresi değiştirmeye gerek var mı ?

29-12-2017, 23:19:22

#7

SemihArslan

/wp-content/uploads/2017/12/
/wp-content/uploads/2017/11/
/wp-content/uploads/2017/
/wp-content/uploads/
/wp-includes/
/wp-includes/SimplePie/
/wp-includes/theme-compat/
Bu dosyalara hosting trafından erişimi engellettir.
Ftp dosyalarını yenile ve admin kullanıcı adını ve şifrelerini değiştir.
admin kullanıcı adını kullanıyorsan kesinlikle değiştir ve wordpress in kendi uydurduğu şifreleri kullanma.
Ftp şifreleri ve cpanel şifrelerinide yenile.
Shell taraması yaptır ve Wp Security eklentisini kurup ayarlarını yap.
Aynısı 1 ay önce benimde başıma geldi gerekli önlemleri almadığım için halen giriş yapmaya çalışıyor admin panelinde. Security giriş denemeleri raporluyor.
Geçmiş olsun.

29-12-2017, 23:23:56

#8

glacher

Wordpresste olmasada aynı şey benim başıma geldi erkenden anladık olayı çözdüm sizede geçmiş olsun.

29-12-2017, 23:48:24

#9

Wade42

Bugün Gün içerisinde aynı php kodunu bende yedim. Hem Header.php hemde index.php'ye eklemişler. Shell taraması yaptım ve şifreleri değiştim.