Sorun Tanımı
Smart Slider 3 Pro eklentisinin resmi güncelleme sunucuları, saldırganlar tarafından ele geçirilmiş ve kullanıcıların sitelerine arka kapı (backdoor) içeren zararlı güncellemelerin yüklenmesine neden olmuştur. Bu durum, WordPress ve Joomla tabanlı web sitelerinde yetkisiz erişim, veri sızıntısı ve sistem kontrolünün kaybedilmesi riskini doğurmaktadır.
Etkilenen Sistemler
Smart Slider 3 Pro eklentisini kullanan ve belirtilen zaman aralığında otomatik güncellemeleri aktif olan tüm WordPress ve Joomla kurulumları potansiyel olarak risk altındadır.
Çözüm Adımları
- Eklentiyi Devre Dışı Bırakın: Şüpheli eklentiyi hemen pasif hale getirin.
- Yedeklerinizi Kontrol Edin: Saldırı öncesine ait temiz bir yedekleme bulun.
- Zararlı Kod Taraması: Sunucu dosyalarınızı ve veritabanınızı tarayın.
- Parola ve Anahtar Sıfırlama: Tüm yönetici parolalarını ve API anahtarlarını güncelleyin.
Komut Satırı ile Dosya Kontrolü
Sunucunuzdaki şüpheli dosyaları tespit etmek için aşağıdaki komutu kullanabilirsiniz:
find /var/www/html -name "*.php" -mtime -7 -exec grep -l "base64_decode" {} \;Uyarı: Bu komut son 7 gün içinde değiştirilen ve base64_decode içeren dosyaları listeler. Ancak, her base64_decode kullanımı zararlı değildir; dosyaları manuel incelemeniz önemlidir.
Veritabanı Temizliği
Eklenti ayarları veya veritabanı tablolarında enjekte edilmiş zararlı kodları temizlemek için veritabanı yedeğinizi dışa aktarıp metin editöründe kontrol edin. Özellikle wp_options tablosundaki active_plugins veya eklentiye özel tablolarda anormal veriler arayın.
Önleyici Tedbirler
Gelecekte benzer saldırılardan korunmak için eklenti güncellemelerini test ortamında yapmalı ve güvenlik duvarı (WAF) çözümlerini aktif tutmalısınız. Ayrıca, dosya bütünlüğü izleme araçları kullanarak çekirdek dosyalardaki değişiklikleri anlık takip edin.
