virüslü index.php dosyasını silemiyorum: Çözümü (virüs nasıl temizlenir)

Eylül 10, 2023 Web Tasarımı

/public_html/ klasöründe SHELL dosyalarını buldum temizledim. Şimdi index.php’yi silsem bile, kendisi yeniden yeniden oluşturuluyor veya onu değiştirsem de eski halini alıyor.

/public_html/ dosyasını temizledim ve eklentiler güncellendi ancak bu iki dosya (index.php ve .htaccess) hala sorunlu.

htaccess’te şu kod var:
RewriteRule ^(mixolydian)\/([0-9]+)\/([0-9]+)\/(.*)$ ?mixolydian$2=$3&%{QUERY_STRING}[L] Bağlantı ön izlemeleri değişmişti….

Bunu nasıl çözdüm?

Hemen kolları sıvayalım:

Öncelikle virüslü de olsa tüm dosyalarımın yedeğini aldım.
WP admin paneline girdim. Fazlalık deaktif eklentileri vs sildim kaldırdım.
Wordfence ile tarattım bulunanları sildim ya da onardım.
Ufak bir sorun çıktı sitem bozuldu. Hangi eklentide sorun var diye bulmak için Pleske girdim…

WordPress tools a girip hata ayıklamasını açtım. Sayfayı yeniledim. Ve sorunlu eklentiyi gördüm… deaktif ettim…

Anti-Malware from GOTMLS.NET ile de tarattım. O da Wordfence nin bulamadıklarını buldu. Onları da sildim ya da onardım. hangilerini sildiyse dikkat ettim. Eğer eklenti ise silinmesi halinde site ondan bozulacaktı…

Fazlalık plugin tema bırakmadım. Bir yandan da ftp ile bağlanıp elle de olsa tarihleri aynı oluyor hacker’in yüklediği değiştirdiği dosyaların onalrın kontrolünü yaptım sildim ya da değiştirdim.

Bu arada kullanıcılar bölümünde yönetici ekleniğini gördüm onu da sildim. Onun yüklediklerini de.
Gereksiz kullanıcıları da sildim.

Kategoriler ve yazılar eklemiş onları da sildim.
Yazıları bulmam kolay oldu kendi açtığı kategorilere eklemiş onları.
Upload klasöründe bazı pdfler yüklemiş onları da sildim.

Sonra plesktten tarattım. Arık hiçbir Shell yoktu bir tek index.php dışında. Onu silemiyordum.

onu silmek için baya bir araştırdım. Bir tane site buldum. Adam muzdarip ama konunun ucundan bahsetmiş.

Pleskten ssh a bağlandım.

Bu arada hem Plesk teki Cron kısmını hem de wp deki cron kısmını da kontrol ettim. Orada bişi yoktu.

ssh da ps -aux yazdım.
Bana çalışan hizmetleri sıraladı. Php yi çalıştıran dosyayı buldum. Daha önce sildiğim bir dosya idi ama çalışıyordu ne hikmetse.

kill ve ardından PID kodunu yazmam gerekiyordu ikinci sıradaki PID kodunu yazdım…

kill 2113615 yazdım ENTERE bastım bi değişiklik olmadı tekrar ps -aux yazdım. Listeledi ama baktım listede yoktu. Doğru yapmışım.

Sonra index.php ve .htaccess dosyalarını sildim. Orjinal index dosyasını wp in yükledim ve orjinal .htaccess yapıp yükledim.

.htaccess içindeki default yazılar vardı sadece:

# BEGIN WordPress

RewriteEngine On

RewriteBase /

RewriteRule ^index\.php$ – [L]

RewriteCond %{REQUEST_FILENAME} !-f

RewriteCond %{REQUEST_FILENAME} !-d

RewriteRule . /index.php [L]

</IfModule>

# END WordPress

Bunun dışında tüm şifreleri ftp ye kadar değiştim.
All in one security den Filesystem security bölümüne gelerek dosya izinleri yanlış olanlar varsa oradan düzelttim.

Bu yüzden wordpress’i yeniden kurdum. temaları ve eklentileri silip yeniden kurdum.

tüm PHP dosyalarını yazmaya karşı koruma altına aldım.
WordPress’i, temaları ve tüm eklentileri yeniden yükleyin

Aklımda tüm PHP dosyalarının izinlerini 400 olarak değiştirin ve yeniden etkilenip etkilenmediğini görmek istiyordum ama gerek kalmadı. Halen bir sorun yok.

WordPress Bütünlüğünü Kontrol ettim. Elle girip tek tek php dosyalarını bir kez daha kontrol ettim.
Sonra temiz bir yedek aldım.

NOT: Kullanıcı şifrenizi mutlaka değiştirin. Ayrıca Kategori kısmına bakın yeni kategoriler veya yeni yazılar ya da sayfalar eklenmiş mi?

Edit: Virüsü yok ettik ancak etkilerini yeni çözebiliyoruz. Adam prof. ve çoluk çocuk değil seo için uğraşıyor. Yoast seoya sızıp oradaki main meta açıklamasını bile değiştirmiş. Onu farkettik. All in one seo ya geçerken Yoast ı import etmesem görmeyeceğim. Şimdi Yoastı kaldırıyoruz. AISEO da kaldırıyoruz. Ardından kalıntılarını da WP Optimize gibi bir pluginle siliyoruz… Sonra tekrar sıfırdan seo plugini import etmeden kuruyoruz… Ama tek tek ugrasayım ayarlarımı bozmayım deseniz aşağıdajki gibi uğraşır durusunuz… Bence gerek yok… Aşağıda da sadece iki yerleştiği yeri gördüm..ama schemaa ve diğer yerlere de yerleşmiş onu da farketmiş olduk…

ben yinede manuel silim.