Herkese merhaba, gerçekten sıkışıp kaldım ve derin uzlaşmalarla uğraşan insanlardan yardıma ihtiyacım var.
ben idare ediyorum Aynı barındırma hesabında 15 WordPress sitesi. Hepsi vuruldu PHP kötü amaçlı yazılımı Bu, rastgele adlandırılmış PHP dosyalarını eklentilere, temalara ve bazen önbellek klasörlerine enjekte eder.
Her şeyi temizliyorum, yeniden tarıyorum ve her şey yolunda görünüyor – sonra dakikalar veya saatler sonra yeni kötü amaçlı PHP dosyaları yeniden ortaya çıkıyor.
Gerçek şok edici
Daha da kötüsü:
Hem cPanel’de hem de WHM’de 2FA’yı etkinleştirmeme rağmen şifrelerim sürekli değişiyor.
Son olarak 3 gün boyunca bu en az 4 kez oldu:
- Giriş yaptım ve aktif olarak çalışıyorum
- Aniden her şey çalışmayı durdurur
- cPanel/WHM’den çıkış yaptım
- Şifrelerim artık çalışmıyor
- Onları tekrar sıfırlamam gerekiyor
Bu oluyor 2FA etkin olmasına rağmenbeni gerçekten endişelendiren de bu.
Zaten ne yaptım
- Tüm siteleri gizleme için grep kullanarak SSH aracılığıyla taradım (
base64_decode,gzinflate,evalvesaire.) - Karantinaya almak yerine tüm şüpheli dosyaları sildim
- Yeniden bulaşmaları tetikleyen eklentiler tamamen kaldırıldı (Wordfence, LiteSpeed Cache, Rank Math, Backuply, FileBird, WP File Manager, vb.)
- Silindi tüm devre dışı eklentiler
- İşaretlendi
wp-content/uploadsPHP dosyaları için (hiçbiri kalmadı) - Kaldırıldı
wflogsönbellek klasörleri ve MU eklentileri - Doğrulanmış dosya izinleri
- Onaylanmış yeniden enfeksiyon vakaları yalnızca bir sitede değil, birden fazla sitede meydana geliyor
Bütün bunlara rağmen, yeni PHP dosyaları yeniden görünmeye devam ediyorVe hesap şifreleri değişmeye devam ediyor.
Şüphelendiğim şey
Bu noktada uzlaşma sağlanıyor gibi görünüyor WordPress’in tamamen dışındamuhtemelen:
- güvenliği ihlal edilmiş bir barındırma hesabı
- kötü niyetli cron işi
- virüslü sistem düzeyinde süreç
- sızdırılmış SSH anahtarı veya yetkili_anahtarlar arka kapısı
- kalıcı erişime sahip saldırgan kimlik bilgilerini sıfırlıyor
Yedeklerden geri yüklemeye başladım ancak asıl neden çözülmezse aynı hatayı tekrarlamak istemiyorum.
Sorularım
- için nasıl mümkün olabilir? WHM + cPanel 2FA etkinken değişmeye devam edecek şifreler?
- En yaygın olanları nelerdir? hesap düzeyinde kalıcılık mekanizmaları dosya temizleme işlemlerinden sağ çıkabilen?
- WordPress dışında nereye bakmalıyım (cron,
/tmpkullanıcı ana sayfası, SSH anahtarları, API belirteçleri)? - Hangi noktada “bu sunucu artık güvenilir değil” doğru cevabıdır?
Bunu mükemmel bir şekilde hallettiğimi iddia etmiyorum – açıkça bir şeylerin yanlış olduğu – sadece neyi kaçırdığımı ve bunu nasıl düzeltebileceğimi anlamak istiyorum kalıcı olarak.
This sounds like an infected plugin or theme.
Could be a cron job in the background.
Automod has automatically removed this content. Your comment karma from this subreddit is low. Please engage with other threads before posting or improve your Contributor Quality Score on Reddit (CQS). To improve your CQS, focus on commenting over posting and avoid low-quality, reproduced posts across multiple subreddits.
*I am a bot, and this action was performed automatically. Please [contact the moderators of this subreddit](/message/compose/?to=/r/SEO) if you have any questions or concerns.*
I learned this lesson years ago. Don’t trust an open source framework bolted together with plugins for your digital presence. Go with anything else.