Selam, wp-login wordpress icin login panelidir. Sunucularinizda wp calisiyor ise, onlarda bir kod calisoyor olabilir mi? Wp icin securty plugin yukleyerek tarama yapabilirsiniz. Detay gerekir ise adini hayirlamiyorum ama sitelerimden adini da bulurum. Kolay gelsin. Cahit 9 Eki 2013 13:02 tarihinde "Mustafa Kahraman" <[email protected]> yazdı:
> Joomla sitelerin iceriklerini kontrol edin muhtemel bi joomla acigi ile > shell code atmislardir... > > Mustafa > 9 Eki 2013 12:47 tarihinde "Alper Egitmen" <[email protected]> yazdı: > >> >> Selamlar, bir firmada bulunan bana ait bir vps üzerinden çeşitli >> adreslere brute force saldırısı denenmiş. Logları incelediğimde izinsiz bir >> giriş tespit edemedim(Çokça saldırıya uğramış olsada). Ayrıca rootkitte >> bulamadım. Bunun üzerine bu saldırının ip spoofing kullanılarak yapılıp >> yapılmadığı üzerinde yoğunlaştım. >> >> Saldırı yapıldığı sıralarda loglarda postfix üzerinden şu şekilde >> girdilere rastladım: >> >> Oct 8 23:14:54 tassadar postfix/qmgr[1314]: F035C63AFC1B: >> from=<[email protected]>, size=772, nrcpt=1 (queue active) >> >> Oct 8 23:14:54 tassadar postfix/qmgr[1314]: D7E0B63AFAA6: >> from=<[email protected]>, size=685, nrcpt=1 (queue active) >> >> ve bu ilgili fake hesaplarla ilgili: >> >> Oct 8 23:14:56 tassadar postfix/pickup[1315]: 8699663AFA7B: uid=33 >> from=<[email protected]> >> >> Oct 8 23:14:56 tassadar postfix/cleanup[1346]: 8699663AFA7B: message-id=< >> [email protected]> >> >> Oct 8 23:14:56 tassadar postfix/pickup[1315]: warning: A935963AFB10: >> message has been queued for 107 days >> >> Oct 8 23:18:26 tassadar postfix/cleanup[1696]: E5D9F286856D: message-id=< >> [email protected]> >> >> Oct 8 23:18:26 tassadar postfix/qmgr[1705]: E5D9F286856D: >> from=<[email protected]>, size=745, nrcpt=1 (queue active) >> >> Oct 8 23:18:26 tassadar postfix/pickup[1315]: warning: EBABF286856E: >> message has been queued for 156 days >> >> şeklinde girdiler mevcut. >> >> Bu işlem aynı zamanda vps'teki memory'nin şişmesine ve benim bir başka >> process çalıştırmamada engel oluyor. >> >> >> Karşı tarafa giden saldırıda izleride şu şekilde: >> >> >> MYIPADRESS mosvizitka24.ru - [07/Oct/2013:15:59:03 +0400] "POST >> /wp-login.php HTTP/1.1" 200 3404 "-" "Mozilla/5.0 (compatible; bingbot/2.0; >> +http://www.bing.com/bingbot.htm)" >> MYIPADRESS mosvizitka24.ru - [07/Oct/2013:15:59:04 +0400] "POST >> /wp-login.php HTTP/1.1" 200 3404 "-" "Mozilla/5.0 (compatible; bingbot/2.0; >> +http://www.bing.com/bingbot.htm)" >> MYIPADRESS mosvizitka24.ru - [07/Oct/2013:15:59:05 +0400] "POST >> /wp-login.php HTTP/1.1" 200 3404 "-" "Mozilla/5.0 (compatible; bingbot/2.0; >> +http://www.bing.com/bingbot.htm)" >> MYIPADRESS mosvizitka24.ru - [07/Oct/2013:15:59:06 +0400] "POST >> /wp-login.php HTTP/1.1" 200 3404 "-" "Mozilla/5.0 (compatible; bingbot/2.0; >> +http://www.bing.com/bingbot.htm)" >> MYIPADRESS 247.116 mosvizitka24.ru - [07/Oct/2013:15:59:07 +0400] "POST >> /wp-login.php HTTP/1.1" 200 3404 "-" "Mozilla/5.0 (compatible; bingbot/2.0; >> +http://www.bing.com/bingbot.htm)" >> >> >> Sizce acaba doğru noktaya mı bakıyorum. Başka nasıl benim vps'im >> üzerinden bu tarz bir saldırı yapılabilir ? >> >> Vps'te sadece ssh, apache ve teamspeak çalışıyor. Apache üzerinden 3-4 >> tane joomla site var. >> >> Yorumlarınızı bekliyorum. >> >> Teşekkürler. >> >> NOT:Mydomain yazan yerde benim domain adreslerimden biri, myip yazan >> yerde de ip adresim bulunuyor. >> >> >>
