Forum
Aktif konular
Üyeler
Kurallar
Arama
Tahribat.com Forumları 
Web sitesi Güvenliği, DOS - DDOS Saldırıları... 
Wordpress Dizinime Yüklenen PHP Dosyaları Ve POST İstekleri / Saldırı Wordpress Dizinime Yüklenen PHP Dosyaları Ve POST İstekleri / Saldırı
-
herkese selam
son günlerde sunucumun barındığı hetzner'den "abuse" başlıklı birkaç mail aldım. Attack Type Breakdown: - direct_access_/xmlrpc.php - POST /xmlrpc.php gibi uyarılar mevcut.
yoğunluktan kontrol etmeyi unutmuştum.
bugün bakayım dedim. wordpress tabanlı bir web sitemin ana dizinine saçma sapan php dosyaları yüklenmiş.
web site erişim loglarında bu php dosyalarına POST istekleri mevcut.
database'de birkaç tane admin kullanıcısı yaratılmış.
farklı bir ek tema ve bazı eklentiler yüklenmiş, vs.
görünürde değiştirilen bir şey yok.
hemen tüm şifreleri değiştirdim ve siteyi önceki yedeklerinden yeni bir sunucuya geçirdim.
ancak sorunun kaynağı hakkında bilgisi olan ve daha önce benzer problem yaşayan var mıdır?
*sunucudaki diğer sitelerde bir problem yok.
*kullandığım tema: soledad
*wordpressi ve eklentileri genellikle her zaman güncel tutarım.
aşağıda ekran görüntüsü ve bazı logları iletiyorum.
213.209.159.254 - - [02/Feb/2026:07:49:28 +0300] "POST /File_dm.php HTTP/1.1" 200 55 "-"
213.209.159.254 - - [02/Feb/2026:07:49:29 +0300] "POST /File_dm.php HTTP/1.1" 500 5 "-"
213.209.159.254 - - [02/Feb/2026:07:49:33 +0300] "POST /param.php HTTP/1.1" 200 51 "-"
213.209.159.251 - - [02/Feb/2026:07:49:34 +0300] "POST /wp-content/plugins/seo-1768833192/php-toolkit/DataLiberation/vendor-patched/rowbot/url/src/Component/Host/Math/Exception/podcastLib.php HTTP/1.1" 200 94 "-"
213.209.159.254 - - [02/Feb/2026:07:49:37 +0300] "POST /style.php HTTP/1.1" 200 57 "-"
213.209.159.254 - - [02/Feb/2026:07:49:37 +0300] "POST /style.php HTTP/1.1" 500 5 "-"
213.209.159.254 - - [02/Feb/2026:07:49:30 +0300] "POST /fine.php HTTP/1.1" 200 60 "-"
103.82.22.235 - - [02/Feb/2026:16:15:27 +0300] "POST /cloud.php HTTP/1.1" 404 1350 "-"
202.124.204.254 - - [02/Feb/2026:16:15:52 +0300] "POST /cloud.php HTTP/1.1" 404 1350 "-"
-
Warez eklentin var mıydı? arka kapı bırakılmış olabilir
Eklentilerin ve teman otomatik güncelleniyor muydu? Yeni bir exploit çıkmış ve siteni bulup bu eklentiler/temalar üzerinden giriş yapmış olabilirler.
-
hocam sitendeki tüm tema ve eklenti klasörünü buraya yükle bakalım nereden nereye istek gelmiş diye birde error log dosyasını bir ara bende çok uğraştım all in one seo üzerinden yüklenilmişti benim sitedeki
-
warez eklenti/tema yok. ürünler lisanslı.
otomatik güncellemeler kapalı.
sanırım şifre ele geçirme gibi bir durum yok? bu durumda aynı problemin tekrarlanma ihtimali yüksek oluyor.
-
senin ftp vs şifre ile alakalı değil kullandığın eklentilerin birinde 0day açık var ondan dolayı gibi görünüyor tek tek bak yada hangi eklenti üzeri istek atıyor onlara bak muhtemel araya yittirmişlerdir siteye eklenene içerik e ticaret içeriği şeklindemi google da indexin varmı
-
Elemantor ne kadar eski ?
Tam bu isi yapabilecegin bir acik var elemantorda -
eklentiler güncel. içerik blog, google'da index var sektörel içeriklerde hit oranları yüksek.
chatgpt ile yazıştım access ve error logları verdim büyük ihtimalle envato market eklentisinden olduğunu söylüyor.
-
xmlrpc kapst hocam ilk iş
-
hocam gelen giden http post get isteklerini loglayan birşey koy siteye de 0day açığı public et
Şu anki loglarda gelen post verisi yok sanırım
-
benimde destek verdiğim bir sitede url yönlendirme sorunu var
takipteyim
-
Bu benim de başıma geldi. 2 sene önce kurduğum wordpress site vardı. Bi baktık patlamış. Warez plugin, tema vs. kesinlikle yok. Her zaman orjinal tema/plugin kullanırım. Bazen kolaylık olsun diye wordpress kuruyoruz ama sonra başa bela oluyor.
Sorunun kaynağını da bulamıyorum ben. Pluginden mi oldu, temadan mı, yoksa serverda kurulan panelden mi vs vs.
Bundan sonra asla wordpress e bulaşmam. Zaten severek kullanmıyordum.
Kısayol
Şikayet
Özel Mesaj
Alıntı yap
Cevapla