Hocam güzelhosting cagefs kullanıyor serverdeki herhangi bir sitede açık bulup yada brute force çekip şifreye ulaşıp siteye shell atıyorlar. Attığı shell üzerinde sunucuda kontrol sağlıyorlar yani bir nevi kumanda gibi birşey. Daha sonra symbolic link oluşturup config dosyanıza mysql bağlantı kurup şifrenizi kendi oluşturdukları şifre ile değiştirip panelinize giriyorlar.

Güzelhosting 'de head -n /home/user/public_html/wp-config.php dosya.txt komutuyla config dosyasını dosya.txt 'e aktarıyorlar sonra mkdir /dizin oluşturup içinde .htaccess dosyası oluşturuyorlar

.htaccess

Options All
Readmename dosya.txt


Daha sonra shell atılı olan sitede link üzeri siteadi.com/dizin/ girip configleri dizine yansıtarak okuyorlar.

Size tavsiyem kesinlikle tüm dosyalarınızı silin yedekten geri yükleyin çünkü %100 uploader kodlarını temanıza enjekte etmişlerdir yani antilerin bulamadığı rootkit tarzı şeyler vs. ve şifrenizi değiştirip config dosyanızın güvenliğini sağlayın, panel yolunu değiştirin ve ekstra panele şifre koyun hiçbir şey yapamazlar en fazla config okusalar bile sql üzerinden meta atarlar yada bazı yazıları değiştirirler ama kesinlikle panele ulaşamazlar.

Geçmiş olsun.