0
Kayıt Ol

wordpress hacklenme 2

11

618

  • 17-06-2019, 08:36:05
    #1
    omkorrr
    omkorrr
    arkadaşlar daha önce belirtmiştim wordpress siteme sürekli saldırı oluyor ve admin hesabı açıyorlardı ve en sonunda sunucumu hacklemişlerdi . sunucumu temizledim ama hala saldırı devam ediyor wordpress hesabıma ninjafirewall ekledim sunucuya dosya ekleyemiyorlar ama üyelik açıyorlar sürekli ve ninjafirewall uyarı maili bu

    Alıntı
    NinjaFirewall has blocked an attempt to gain administrative privileges:

    Blog: https://x.net/
    Username: workspace@kleverandeverbever.top (ID: 4)
    User IP: 31.207.34.203
    SCRIPT_FILENAME: /home/sistemka/public_html/wp-admin/admin-ajax.php
    REQUEST_URI: /wp-admin/admin-ajax.php
    Date: Haziran 16, 2019 @ 04:35:41 (UTC +0300)

    A PHP backtrace has been attached to this message for your convenience.

    This notification can be turned off from NinjaFirewall "Event Notifications" page.
    sisteme eklemek istedikleri dosyayının içeriği de bu ;

    Alıntı
    backtrace_5d059ced381cd.txt
    Array
    (
    [0] => Array
    (
    [function] => nfwhook_add_user_meta
    [args] => Array
    (
    [0] => 4
    [1] => wppw_capabilities
    [2] => Array
    (
    [administrator] => 1
    )
    )
    )
    [1] => Array
    (
    [file] => /home/x/public_html/wp-includes/class-wp-hook.php
    [line] => 286
    [function] => call_user_func_array
    [args] => Array
    (
    [0] => nfwhook_add_user_meta
    [1] => Array
    (
    [0] => 4
    [1] => wppw_capabilities
    [2] => Array
    (
    [administrator] => 1
    )
    )
    )
    )
    [2] => Array
    (
    [file] => /home/x/public_html/wp-includes/class-wp-hook.php
    [line] => 310
    [function] => apply_filters
    [class] => WP_Hook
    [type] => ->
    [args] => Array
    (
    [0] =>
    [1] => Array
    (
    [0] => 4
    [1] => wppw_capabilities
    [2] => Array
    (
    [administrator] => 1
    )
    )
    )
    )
    [3] => Array
    (
    [file] => /home/x/public_html/wp-includes/plugin.php
    [line] => 465
    [function] => do_action
    [class] => WP_Hook
    [type] => ->
    [args] => Array
    (
    [0] => Array
    (
    [0] => 4
    [1] => wppw_capabilities
    [2] => Array
    (
    [administrator] => 1
    )
    )
    )
    )
    [4] => Array
    (
    [file] => /home/x/public_html/wp-includes/meta.php
    [line] => 102
    [function] => do_action
    [args] => Array
    (
    [0] => add_user_meta
    [1] => 4
    [2] => wppw_capabilities
    [3] => Array
    (
    [administrator] => 1
    )
    )
    )
    [5] => Array
    (
    [file] => /home/x/public_html/wp-includes/meta.php
    [line] => 219
    [function] => add_metadata
    [args] => Array

    (

    [0] => user

    [1] => 4

    [2] => wppw_capabilities

    [3] => Array

    (

    [administrator] => 1

    )

    )

    )

    [6] => Array

    (

    [file] => /home/x/public_html/wp-includes/user.php

    [line] => 853

    [function] => update_metadata

    [args] => Array

    (

    [0] => user

    [1] => 4

    [2] => wppw_capabilities

    [3] => Array

    (

    [administrator] => 1

    )

    [4] =>

    )

    )

    [7] => Array

    (

    [file] => /home/x/public_html/wp-includes/class-wp-user.php

    [line] => 606

    [function] => update_user_meta

    [args] => Array

    (

    [0] => 4

    [1] => wppw_capabilities

    [2] => Array

    (

    [administrator] => 1

    )

    )

    )

    [8] => Array

    (

    [file] => /home/x/public_html/wp-includes/user.php

    [line] => 1829

    [function] => set_role

    [class] => WP_User

    [type] => ->

    [args] => Array

    (

    [0] => administrator

    )

    )

    [9] => Array

    (

    [file] => /home/x/public_html/wp-content/plugins/convertplug/modules/modules-functions.php

    [line] => 1660

    [function] => wp_insert_user

    [args] => Array

    (

    [0] => Array

    (

    [user_login] => workspace@kleverandeverbever.top

    [user_email] => workspace@kleverandeverbever.top

    [user_url] => http://x.net

    [user_pass] => FpusHv59vLwb

    [role] => administrator

    )

    )

    )

    [10] => Array

    (

    [file] => /home/x/public_html/wp-content/plugins/convertplug/admin/ajax-actions.php

    [line] => 1149

    [function] => cp_add_new_user_role

    [args] => Array

    (

    [0] => Array

    (

    [email] => workspace@kleverandeverbever.top

    )

    [1] => administrator

    )

    )

    [11] => Array

    (

    [function] => cp_add_subscriber

    [args] => Array

    (

    [0] =>

    )

    )

    [12] => Array

    (

    [file] => /home/x/public_html/wp-includes/class-wp-hook.php

    [line] => 286

    [function] => call_user_func_array

    [args] => Array

    (

    [0] => cp_add_subscriber

    [1] => Array

    (

    [0] =>

    )

    )

    )

    [13] => Array

    (

    [file] => /home/x/public_html/wp-includes/class-wp-hook.php

    [line] => 310

    [function] => apply_filters

    [class] => WP_Hook

    [type] => ->

    [args] => Array

    (

    [0] =>

    [1] => Array

    (

    [0] =>

    )

    )

    )

    [14] => Array

    (

    [file] => /home/x/public_html/wp-includes/plugin.php

    [line] => 465

    [function] => do_action

    [class] => WP_Hook

    [type] => ->

    [args] => Array

    (

    [0] => Array

    (

    [0] =>

    )

    )

    )

    [15] => Array

    (

    [file] => /home/x/public_html/wp-admin/admin-ajax.php

    [line] => 188

    [function] => do_action

    [args] => Array

    (

    [0] => wp_ajax_nopriv_cp_add_subscriber

    )

    )

    )
    nerden sızıyorlar ve bunu nasıl engelleyebilirim
  • 17-06-2019, 09:19:45
    #2
    Kredinotu
    Kredinotu
    Üyeliği durduruldu
    Kullandığın eklentileri söyler misin. Birde cmod ayarlarına bak yetkilendirmelere. Büyük bir ihtimal eklentiler de açık olabilir. Daha önce aktif edip de sonra silindigin eklentilerin varsa onların kalıntıları bazen msql da kalabiliyor onlarida kontrol edebilirsin
  • 17-06-2019, 09:27:05
    #3
    YavuzTR
    YavuzTR
    convertplug eklentisinin dosyalarını upload edip özelden link atar mısınız hocam.
  • 17-06-2019, 09:53:58
    #4
    akifaykan
    akifaykan
    .htaccess içerisine bu kodları ekleyin

    Options -Indexes
<files wp-config.php>
order allow,deny
deny from all
</files>
<files .htaccess>
order allow,deny
deny from all
</files>
<files wp-load.php>
order allow,deny
deny from all
</files>
  • 17-06-2019, 10:01:45
    #5
    omkorrr
    omkorrr
    Kredinotu adlı üyeden alıntı: mesajı görüntüle
    Kullandığın eklentileri söyler misin. Birde cmod ayarlarına bak yetkilendirmelere. Büyük bir ihtimal eklentiler de açık olabilir. Daha önce aktif edip de sonra silindigin eklentilerin varsa onların kalıntıları bazen msql da kalabiliyor onlarida kontrol edebilirsin
    çok fazla bu konularda bilgisi olanbiri değilim internette araştırdığımda wp-mail-smtp eklentisinde açık olduğu söylenmişti onu sildim düzelttim güncel versiyonunu eklemiştim ama çözüm olmadı

    YavuzTR adlı üyeden alıntı: mesajı görüntüle
    convertplug eklentisinin dosyalarını upload edip özelden link atar mısınız hocam.
    attım incelerseniz çok sevinirim
    akifaykan adlı üyeden alıntı: mesajı görüntüle
    .htaccess içerisine bu kodları ekleyin

    Options -Indexes
<files wp-config.php>
order allow,deny
deny from all
</files>
<files .htaccess>
order allow,deny
deny from all
</files>
<files wp-load.php>
order allow,deny
deny from all
</files>
    ekledim ama bunun ne gibi faydası olur bilmediğim için soruyorum
  • 17-06-2019, 10:15:31
    #6
    YavuzTR
    YavuzTR
    @omkorrr; hocam attığınız dosyayı inceledim. Backdoor olduğundan şüphelenmiştim doğru çıktı. İlgili eklentide çok kritik bir açık var. Backdoor bırakılmış istendiği gibi rol ve üyelik eklenmesi yapılabiliyor.
    Bu kullanan bir çok kişi risk altında. W*rez sürümlerden mi yoksa orjinalinde mi bir problem var bilgim yok fakat eklentiyi imha etmenizi öneririm.

    Açık şurada da duyurulmuş:
    Açığın nasıl kullanıldığına dair video dahi mevcut.
    https://www.wordfence.com/blog/2019/...t-plus-plugin/
  • 17-06-2019, 10:23:35
    #7
    omkorrr
    omkorrr
    YavuzTR adlı üyeden alıntı: mesajı görüntüle
    @omkorrr; hocam attığınız dosyayı inceledim. Backdoor olduğundan şüphelenmiştim doğru çıktı. İlgili eklentide çok kritik bir açık var. Backdoor bırakılmış istendiği gibi rol ve üyelik eklenmesi yapılabiliyor.
    Bu eklentiyi içeren bir çok kişi risk altında. W*rez sürümlerden mi yoksa orjinalinde mi bir problem var bilgim yok fakat eklentiyi imha etmenizi öneririm.

    Açık şurada da duyurulmuş:
    Açığın nasıl kullanıldığına dair video dahi mevcut.
    https://www.wordfence.com/blog/2019/...t-plus-plugin/
    ama bu benim avada temasına ek olarak geliyor silmem bir sorun yaratır mı
  • 17-06-2019, 10:24:17
    #8
    YavuzTR
    YavuzTR
    omkorrr adlı üyeden alıntı: mesajı görüntüle
    ama bu benim avada temasına ek olarak geliyor silmem bir sorun yaratır mı
    pop-up eklentisi hocam bu başka alternatif bulabilirsin herhangi bir problem çıkartmaz.
  • 17-06-2019, 10:30:53
    #9
    zekikaynak
    zekikaynak
    ftp'den erişmediklerini var sayarak .htaccess dosyana aşağıdaki kodları eklemeyi dene.. muhtemelen saldırılar duracaktır tabi shell yemediysen yada ftp erişimi vs yoksa sonra tekrar siteni topla..
    hatta her wp sitenin .htaccess dosyasına direk ekle bu kodları..

    # Güvenlik Tedbirleri Başlangıç

<Files wp-config.php>
order allow,deny
deny from all
</Files>

<Files .htaccess>
order allow,deny
deny from all
</Files>

Options -Indexes

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

#Güvenlik Tedbirleri Sonu