lostyazilim
tr.link

Deleteme.xxx.php sorunsalı

9 Mesajlar 2.598 Okunma
acebozum
tr.link

hasanablak hasanablak Sms Onayı Gerekli Banlı Kullanıcı
  • Üyelik 14.08.2016
  • Yaş/Cinsiyet 27 / E
  • Meslek Öğrenci
  • Konum İstanbul Avrupa
  • Ad Soyad H** A**
  • Mesajlar 67
  • Beğeniler 11 / 3
  • Ticaret 2, (%100)
Merhaba. Bugün(14 Aralık 2018 Cuma: 05:13) web sitemin public_html içerisindeki error_log dosyasını inceliyordum. Farkettim ki şöyle bir hata verip duruyor;
[14-Dec-2018 04:37:28 Etc/GMT-3] PHP Fatal error: Call to undefined function get_transient() in /home/u8177942/public_html/deleteme.wpkd2b.php on line 16

deleteme.xxx.php

Web sitesinin dosyalarına baktığımda böyle bir dosyanın olmadığını gördüm. Acaba saldırı mı yiyorum?

Hosting destekden yazdığımda bana;

Konu ile ilgili olarak yazılım açığından kaynaklı sisteme dosya eklenilen bir durumdur. Yazılım içeriğinizi kontrol edip FTP ile indirip virüs taramasından geçirebilirsiniz.

dediler de nerede açık var nasıl düzelticem onlarca sayfa var yahu...
 

 

elektronikssl
webimgo

enerjiveguc enerjiveguc Wordpress Destek Kullanıcı
  • Üyelik 28.05.2018
  • Yaş/Cinsiyet 52 / E
  • Meslek Street Engineer
  • Konum İstanbul Anadolu
  • Ad Soyad B** A**
  • Mesajlar 5151
  • Beğeniler 2185 / 2187
  • Ticaret 0, (%0)
Hosting firmanız aslında kendi server güvenliğini sağlamak zorunda, dolayısıyla da barındırdığı tüm web sitelerinin güvenliğinden sorumludur. Ancak sorun sizin sitenizde bulunan yorum yap, form gönder gibi dışarıdan müdahale edilebilecek sayfalatın güvenliği sizin sorumluluğunuzdadır.
Bu sorun iletişim formundan sebep ise, formu kaldırıp iletişim mail adresi kullanmanızı öneririm.
hasanablak

kişi bu mesajı beğendi.

hasanablak hasanablak Sms Onayı Gerekli Banlı Kullanıcı
  • Üyelik 14.08.2016
  • Yaş/Cinsiyet 27 / E
  • Meslek Öğrenci
  • Konum İstanbul Avrupa
  • Ad Soyad H** A**
  • Mesajlar 67
  • Beğeniler 11 / 3
  • Ticaret 2, (%100)
Doğru diyorsun fakat web sitemde tek bir form bile yok. Sayfalar get ile oluşturuluyor fakat .htaccess ile belirli bir kural dizisi var ve hatta veritabanında get ile çekilen url yok ise 404 yönlendiriliyor enerjiveguc
 

 

enerjiveguc enerjiveguc Wordpress Destek Kullanıcı
  • Üyelik 28.05.2018
  • Yaş/Cinsiyet 52 / E
  • Meslek Street Engineer
  • Konum İstanbul Anadolu
  • Ad Soyad B** A**
  • Mesajlar 5151
  • Beğeniler 2185 / 2187
  • Ticaret 0, (%0)
hasanablak
Dışarıdan bir müdahale olduğunu düşünüyorsanız eğer .htaccess içeriğini gözden geçirin bu durumda.
 

 

wmaraci
wmaraci

mfgrbz mfgrbz Zurna da bir çalgıdır Kullanıcı
  • Üyelik 10.06.2018
  • Yaş/Cinsiyet 38 / E
  • Meslek Yazılım & Grafik
  • Konum İzmir
  • Ad Soyad M** G**
  • Mesajlar 124
  • Beğeniler 15 / 54
  • Ticaret 0, (%0)
Selamlar,
Dosya saldırgan tarafından sitenizdeki herhangi bir açık sayesinde yükleniyor. Ne yapıyorsa yapıyor ve sonrasında dosyayı siliyor.
Sitenizdeki tüm kodların güvenliğini teyyid ediniz.
Çünkü o dosya yok ise, istediği zaman yükleyip çalıştırıp sonrasında siliyor demektir.
 

 

MDSALMAN MDSALMAN Marine Group Kullanıcı
  • Üyelik 09.04.2013
  • Yaş/Cinsiyet 34 / E
  • Meslek Bilgisayar Prgramcılıgı,webmas
  • Konum İstanbul Anadolu
  • Ad Soyad A** S**
  • Mesajlar 562
  • Beğeniler 111 / 89
  • Ticaret 0, (%0)
Merhaba bir iki ay once bende karsilasmistim

Web sitenizde yazilim nedir mumkunse om atarmisniz ilgileneyim
 

 

WORDPRESS VE BLOGGER DIZIN SITESI SITENI HEMEN EKLE
** www.wordpressblogcu.com **

hasanablak hasanablak Sms Onayı Gerekli Banlı Kullanıcı
  • Üyelik 14.08.2016
  • Yaş/Cinsiyet 27 / E
  • Meslek Öğrenci
  • Konum İstanbul Avrupa
  • Ad Soyad H** A**
  • Mesajlar 67
  • Beğeniler 11 / 3
  • Ticaret 2, (%100)
Arkadaşlar web sitem wordpressden dönme bir e ticaret sitesiydi.
Bugün satt 00.07 civarında yine aynı hatayı vererek;
[15-Dec-2018 00:09:33 Etc/GMT-3] PHP Fatal error: Call to undefined function get_transient() in /home/u8177942/public_html/deleteme.wprtw9.php on line 16
[15-Dec-2018 00:09:34 Etc/GMT-3] PHP Fatal error: Call to undefined function get_transient() in /home/u8177942/public_html/deleteme.wp5i8h.php on line 16

Kendi kendine(!) wordpress yüklenmiş vaziyette buldum sitemi açdığımda wordpress kurulum ekranı karşımda duruyordu.
Kendi yazdığım kodlarda bir açık olduğunu düşünmüyorum. Bundan önce wordpress ile oluşturduğum başka bir blog sitesi de aynı şekilde hacklenmişti. Sanırım bu wordpressin dosyalarıyla ilgili bir şey. Kullandığı js ya da php dosyalarının birinde bir açık mevcut.

Giriş logları

 

 

enerjiveguc enerjiveguc Wordpress Destek Kullanıcı
  • Üyelik 28.05.2018
  • Yaş/Cinsiyet 52 / E
  • Meslek Street Engineer
  • Konum İstanbul Anadolu
  • Ad Soyad B** A**
  • Mesajlar 5151
  • Beğeniler 2185 / 2187
  • Ticaret 0, (%0)
hasanablak
görülüyor ki, wordpressten çevrildiği noktaların birinde açık kapı kalmış. Benzer durumu yaşayan tek sen değilsin. Biraz araştırınca başkalarınında buna maruz kaldığını göreceksin. Onlarda yine wordpress tabanlı bir saldırıdan muzdaripler. Çözüm olarak deniyor ki;

"Deleteme.[hash].php kurulumu genellikle sitenize giriş yapmak için kullanıldığı dosyalardır. Bir tavsiye olarak, wordpress'inizi güncellemeniz ve şifrelerinizi güçlendirmeniz gerekir. Ayrıca, ve en önemlisi, bu dosyaların içeriğini kontrol edin ve garip bir şey görürseniz bunları silin."

Sunucuda "Installatron" kurulu ise bundan kaynaklanıldığı düşünülmektedir. Başka bir çözüm önerisi ise;

"You do NOT want to allow the Host 3rd party application installer to manage WordPress updates for 2 reasons:

1. WordPress automatically does this now with automatic updates. AutoRestore/Quarantine is fully automated and integrated with the WordPress automatic updates: http://forum.ait-pro.com/forums/topic/autorestore-quarantine-guide-read-me-first/#automation
2. Having a 3rd party application manage WordPress files will trigger AutoRestore/Quarantine to quarantine any files that are updated by a 3rd party application. ARQ will think these files are being modified, added or created by a hacker.

See this video tutorial for how to exclude (ARQ Calibration) files in ARQ http://forum.ait-pro.com/video-tutorials/#autorestore-quarantine but what I think you should do is contact your Host and ask them how to turn off/disable the WordPress automatic update by the Host 3rd party application for the 2 reasons stated above."
hasanablak

kişi bu mesajı beğendi.

hasanablak hasanablak Sms Onayı Gerekli Banlı Kullanıcı
  • Üyelik 14.08.2016
  • Yaş/Cinsiyet 27 / E
  • Meslek Öğrenci
  • Konum İstanbul Avrupa
  • Ad Soyad H** A**
  • Mesajlar 67
  • Beğeniler 11 / 3
  • Ticaret 2, (%100)
Çözümü buldum;
Mesele bir saldırı değil.

deleteme.[hash].php dosyası sunucu tarafından gönderilen bir dosya olduğunu buldum
Sunucu bu dosyayı neden oluşturuyor diye soracak olursanız; sunucu üzerinden yani cpanelden oluşturulmuş olan uygulamaları(wordpress,joomla,opencart vb) korumak denetlemek adına sürekli bu dosyaların kurulu olduğu dizine bu dosyayı oluşturup kontrol ediyor;

Yani demem şu: Eğer sunucu/cpanel üzerinden bir app/uygulama/wordpress/joomla/opencart kurulumu gerçekleştirilmiş daha sonradan bu yazılım yine sunucu üzerinden silinmek yerine dosya konumu olarak silinildiyse o halde bu deleteme.[hash].php dosyası gönderiliyor.

Bulduğum en iyi çözüm, yazı ya da makale bu yönde sunucu üzerinden uygulamayı kaldırdım bakalım sonuç ne olacak...
enerjiveguc

kişi bu mesajı beğendi.

Site Ayarları
  • Tema Seçeneği
  • Site Sesleri
  • Bildirimler
  • Özel Mesaj Al