ConfigServer eXploit Scanner (cxs) ve WordPress Spam Gönderimi

WordPress siteniz varsa ve kırık tema veya eklenti kullanıyorsanız mutlaka sitenizde açıklar oluşacaktır. Bilinçli olarak bu kırık tema ve eklentilere kod ekliyorlar ve bu ekledikleri kod sayesinde sisteminize dosya upload edip sonra siteniz üzerinden toplu mail gönderimi yapıyorlar. Siteniz üzerinden toplu mail çıkışı ve hatta virüslü linkler içeren mailler çıktığı içinde çok kısa bir süre içinde server IP niz blackliste düşecektir hatta blacklistten çıkartsanız bile uzunca bir süre IP puanınız düşecek ve çoğu yere mail gönderiminde tüm server’ınız problem yaşayacaktır. Server IP puanınızı ve IP güvenilirliğinizi görmek için aşağıdaki adresleri kullanabilirsiniz.

https://www.senderbase.org – Burada durumunuz Poor ise hotmail,gmail gibi yerlerle birlikte büyük şirketlere ve antispam hizmeti kullanan yerlere mail gönderiminiz pek mümkün olmayacak. Blacklistte iseniz yine burada görebilirsiniz ve blacklistten çıktığınızda 2-3 gün içinde başka bir sorun yoksa durumunuz Neutral a döner ve sorun düzelir.

https://www.senderscore.org/

Ayrıca aşağıdaki sitedende mail server ayarlarınızın doğru yapılıp yapılmadığını ve buna bağlı olarak mailinizin spam,istenmeyen e düşüp düşmeme ihtimalinide test edebilirsiniz.

http://www.mail-tester.com – Siteye girdikten sonra ekrandaki adrese email atın ve maili gönderdikten sonra siteden skorunuzu kontrol edin butonuna tıklayın.

http://mxtoolbox.com/domain – yine bu adrestende bazı sorunları tespit edebilirsiniz.

Evet gelelim ana konumuza. WordPress siteniz var ve bu tarz bir açık durumu varsa ne yapabilirsiniz. Öncelikle zararlı kodları temizlemeniz şart yoksa kalıcı bir çözüm olmayacak. Bu kodları tespit etmek için bir kaç yöntem var. Eğer sunucu size aitse ve süphelendiğiniz veye tespit ettiğiniz bir site varsa SSH dan aşağıdaki kod ile o domainin hangi dosyadan gönderim yaptığını görebilirsiniz.

tail /etc/httpd/domlogs/domain.com

Bu tespit aslında anlık olarak o dosyayı silip veya engelleyip sorunu düzeltmenizi sağlar fakat muhtemelen bu bulduğunuz dosya sonradan upload edilmiş bir dosyadır ve bu dosyayı upload etmek için kullandıkları açık halen sitenizde mevcutdur. Bunu tespit edebilmek içinde ConfigServer eXploit Scanner (cxs) i kullanabilirsiniz. Ücreti 60$ ve kurulumu kendileri yapıyorlar. Kurulumu yaptıklarında bir kez manuel bir tarama başlatıyorsunuz ve bulduğu zararlı kodların olduğu dosyaları karantinaya alıyor, sonrasında ise sunucuya tüm eklenen (FTP veya upload ile) dosyaları zaten taradığı için sorun kalmıyor.

Taramayı yaptı ve karantinaya dosyaları attı ama o dosya wordpress in ana dosyalarındansa ve karantinaya alındığı için de siteniz artık çalışmıyor/hata veriyor olabilir. Bu durumda karantinadan o dosyayı pc ye indirin ve bir editör ile açın. İçinde şifrelenmiş kodları görürseniz temizleyin. Bazen eklenen şifreli zararlı kodları ilk satırda <?php kodundan sonra uzunca bir boşluk bıraktıktan sonra ekleyip gözden kaçırmanıza sebep oluyorlar, editörde açtığınızda kaydırma çubuğundan bunu farkedebilir ve kaydırdığınızda en sağda eklenen kodlara denk gelebilirsiniz. Kodları göz önünden saklamak için güzel yöntem açıkcası 🙂

Zararlı kodları temizledikten sonra upload edip sorunu düzeltebilirsiniz.

Server bazında mail gönderimini engellemek için ise şu yöntemleri de uygulamanızda fayda var.

Open Relay ı test edin ve açık olmadığına emin olun, test etmek için http://www.mailradar.com/openrelay , open relay açıkcsa;

WHM >> Service Manager >> AntiRelay işareti kaldırıyoruz.

WHM >> Main >> Tweak Settings >> Initial default/catch-all forwarder destination.
// Bounce / Fail i işaretliyoruz.

WHM de Php Configuration dan Gelişmiş mod kısmında Disable_Functions kısmından  mail, phpmail, sendmail ı ekleyerek bu fonksiyonları pasifleştirme. Fakat bundan sonra php üzerinden mail atamayacağınız için SMTP ile gönderim yapmanız gerekiyor.

Exim ayarlarından Sender Verification ı aktif ediyoruz.

Ayrıca bu işlemler işe yaramazsa aşağıdaki linkte anlatılanlarıda yapabilirsiniz.

https://bobcares.com/blog/blocking-spoofed-mails-going-out-of-your-cpanel-whm-web-hosting-server/