Virüs Bulaştı Çözümü Var Mı?

Merhaba arkadaşlar.

Avada (lisanslı) teması üzerinde kullandığım Wordpress siteme virüs bulaştı.


index.php
wp-config.php
wp-settings.php

dosyalarına include komutuyla kodlar ekliyor. Wordpress index dosyasının adını değiştirip html bakım modu teması yükledim. index.html dosyasını index.html.bak adına çevirip sıfırdan index.php atıyor ftp'ye.

Neler Yaptım?

1- include klasörü hariç tüm wordpress dosyalarını silip temiz kurulum yaptım.
2- FTP ve MySQL şifrelerini birkaç kez değiştirdim.
3- wp-content klasörünü bilgisayara indirip taradım virüse rastlamadım.


Gece vakti mi oluyor sabaha karşı mı bilmiyorum her gün index.html dosyasını bozup index.php atıyor ftp'ye. Temiz kurulum+şifre değişimi sonrası açıkçası elim kolum bağlandı. Bu nasıl bir virüstür, çözüm yolu nedir bilen var mı?

takip

Geçmiş olsun hocam. Google'da site:domainadi.com olarak sitenizi arattığınızda Çince indexler görüyormusunuz ?

Merhaba,
Geçmiş olsun öncelikle.
Yönetici hesaplarını kontrol ediniz. Veritabanı ve host bilgilerinizi değiştikten sonra ftp'yi komple siliniz.
Sırasıyla orjinal wp dosyalarını tekrar indirip wp-config.php'yi db bilglerinize göre ayarlayın.
Ardından vaktiniz var ise 1-2 gün bakın bakalım tekrar aynı olay olacak mı?
Eğer olmazsa temayı tekrar orjinal kaynaktan indirip ayarlamaları yapın ve aktif edin.
1-2 gün daha bekleyin.
Bunlara rağmen hala oluyorsa büyük bir ihtimal sunucu kaynaklı bir problem ile karşı karşıyasınız. Eğer sunucuda shell varsa ne yaparsanız yapın aynı durum başınıza tekrar tekrar gelir.
Dediğim işlemlerden önce yedek almayı unutmayın.

hocam siz kökten sorunu çözmek için benim dediğim gibi yapın zira başıma çok geldi.
sitenin xml yedeğini alın, veritabanı yedeğini alın ve hosttan komple yedek alın. Sonra cpnale üzerinden wordpress kurun, bilgisayardan hiç ftpye girmeyin hatta bu işlemleri yapmadan önce ftp şifrenizi değiştirin. Yedeklediğiniz xml dosyasını wordpress üzerinden aktarın.

@hasmer ; Peki dediğin gibi yaptıktan sonra FTP'yi kullanabilir miyim? Yani Filezilla açsam virüsün yine bulaşma ihtimali mi var?


@starweb ; kontrol ettim Çince bişeyler yok

@MiraHosting ; FTP'yi komple siliniz derkeni panelden hesabı mı kaldırayım yoksa FTP'deki dosları mı sileyim? Hostinge bu konuda ulaştım başka şikayet yok, bizden kaynaklı olması zor görünüyor dediler. Aslında dosyaları silip şifreleri değiştirme ve temiz kurulum yaptım bir nevi sizin dediğinizi yapmış sayılırım.

Merhana @Robotnike;
wp-content klasörünü bıraktım dediğiniz için tekrarladım durumu. Eğer ki içeride enjekte bir dosya var ise tekrar ftp'ye wp-content'i attığınızda aynı şekilde erişim sağlayabilmiştir saldırgan.
FTP'yi komple silmemden kastım public_html yada httpdocs dizininin içeriğini komple silmenizdi.
Ayrıca özel security eklentileri var, siteye giriş çıkışları ve ulaşılan dosyaları log altına alıyordu. Bir müşterimizde yaşadığımız sıkıntıyı ilgili eklenti ile hangi php dosyasına ulaştıklarına ve ardından yaptıkları işleme göre çözüm üretmiştik.

@Robotnike; evet var, zaten genellikle bilgisayardan bulaşıyor sitenize. Ayrıca kullandığınız temaya da bir göz atın, temadan da bulaşıyor olabilir.

virüs wp-includes dosyasına bulaşıyor genelde burayı iyi kontrol edin