Chrome Dev Summit 2018 is happening now and streaming live on YouTube. Watch now.

Kötü amaçlı yazılımla saldırıya uğramış

Bu adım kötü amaçlı yazılım dağıtmak için saldırıya uğramış ve çoğunlukla arama sonuçlarında "Bu site bilgisayarınıza zarar verebilir" uyarısının görüntülendiği sitelerle ilgilidir. Kurtarma işlemindeki en uzun adımlardan biridir. Bu adımda, sitenizde hasar gören dosyaların bir listesini derlersiniz. Bu listeyi, ileride Sitenizi temizleme ve bakımını yapma adımında kullanacaksınız.

Siteniz kötü amaçlı yazılımlardan değil spam'dan etkilenmişse ve arama sonuçlarında "Bu site saldırıya uğramış olabilir" uyarısıyla birlikte görüntüleniyorsa lütfen Spam hasarını değerlendirme (Spam amaçlı saldırıya uğramış) sayfasına bakın.

İhtiyacınız olanlar:

  • Sitenizin sunucularına kabuk/terminal yönetici erişimi: web, veritabanı, dosyalar.
  • Kabuk/terminal komutları bilgisi.
  • Veritabanında SQL sorguları çalıştırabilme.

Yapacaklarınız:

Hazırlık

  1. Sitenizdeki sayfaları görüntülemek için tarayıcı kullanmaktan kaçının. Kötü amaçlı yazılımlar çoğunlukla tarayıcılardaki güvenlik açıklarını kullanarak yayıldığından, kötü amaçlı yazılımın bulaştığı bir sayfayı bir tarayıcıda açmak bilgisayarınıza zarar verebilir.
  2. Bu adımdaki bulguların kaydedileceği bir doküman oluşturun. Doküman sonuçta (en azından) hasar gören her bir dosyanın adını/yerini ve nasıl zarar gördüğüne ilişkin notları içerecek, ayrıca Sitenizi temizleme ve bakımını yapma bölümü için bir temel oluşturacaktır.
  3. Gerekirse diğer kaynakları gözden geçirin:
    • Kötü amaçlı yazılımların nasıl çalıştığını ve bunları araştırırken nasıl güvende olabileceğinizi öğrenmek için yukarıdaki videoyu izleyin.
    • Bir sitenin kullanıcılar için zararlı olup olmadığı konusunda herkese açık bilgileri görmek için Google Güvenli Tarama teşhis sayfası'nı görüntüleyin. Sitenizin listelenme durumunu aşağıdakine benzer bir URL'de görebilirsiniz:
      http://www.google.com/safebrowsing/diagnostic?site=<your-site>
      Örneğin: http://www.google.com/safebrowsing/diagnostic?site=webmastercentralblog.blogspot.com
  4. HTTP istekleri gerçekleştirmek (örneğin, bir sayfayı getirmek) için cURL veya Wget'i kullanın.

    Ücretsiz kullanılabilen bu araçlar yönlendirmeleri teşhis etmeye yardımcı olur ve yönlendiren veya kullanıcı aracısı bilgileri ekleme esnekliğine sahiptir. Belirli bir yönlendiren veya kullanıcı aracısı eklemek bilgisayar korsanlarını taklit etmeye yardımcı olur, çünkü korsanlar daha fazla sayıda "gerçek kişiyi" hedeflemek için sadece belirli kullanıcı aracılarına veya yönlendirenlere sahip kullanıcılara zararlı içerik aktarabilirler ve site sahipleri ile kötü amaçlı yazılım tarayıcılarının algılamasından kurtulabilirler.

    $curl -v --referer "http://www.google.com" <your-url>

Sitenizde belirli kötü amaçlı yazılım bulaşma türlerini araştırma

  1. Search Console'da doğrulanmış Sitenizi seçin ve ardından, Güvenlik Sorunları'nı tıklayın.
  2. Sitenize ilişkin Güvenlik Sorunları'nda listelenen tüm kötü amaçlı yazılım kategorilerini araştırın (ör. Sunucu yapılandırması, SQL yerleştirme). Kategorideki etkilenmiş URL'lerle ilgili ek bilgileri “Ayrıntıları göster”i tıklayarak bulabilirsiniz. (Ayrıntılar arasında, bilgisayar korsanı tarafından yerleştirilmiş kod snippet'lerinin örnekleri de bulunabilir.) Her kategori için aşağıdakileri araştırma dokümanınıza kopyalayın:
    • Güvenlik Sorunları'nın kötü amaçlı yazılım kategorisinde listelenen tüm etkilenmiş URL örnekleri.
    • Araştırmanız sırasında ortaya çıkardığınız, hasarlı olan diğer sayfalar.
    • Etkilenmiş URL'lerle ilgili ayrıntılı bulgular (neden olunan hasarın türü gibi).
  3. Her kötü amaçlı yazılım türü için araştırmaya yardımcı olabilecek bilgiler aşağıdadır:

Dosya sistemi hasar değerlendirmesi

Ardından, daha ayrıntılı araştırma için sitenizin dosya sistemine giriş yapmanız gerekecektir. Başka şeylerin yanı sıra şunlara da dikkat edin: Bilgisayar korsanı varolan sayfaları veya veritabanı kayıtlarını değiştirmiş, tamamen yeni ve spam içerikli sayfalar oluşturmuş, temiz sayfalarda spam görüntüleyen işlevler yazmış veya sitenize tekrar girmesine ya da silinmediği takdirde zararlı görevler gerçekleştirmeye devam etmesine izin veren "arka kapılar" bırakmış olabilir.

Siteniz çevrimiçi ise, bu adımı tamamlamak için tekrar çevrimdışı yapabilirsiniz.

  1. Sitenizin temiz bir yedeğine sahip olduğunuzu düşünüyorsanız, yedekleme yapıldığı andan itibaren oluşturulmuş veya değiştirilmiş dosyalar olup olmadığını belirlemeye çalışın. Muhtemelen daha fazla araştırma yapmak isteyeceğinizden bu dosyaları listenize ekleyin. Unix tabanlı sistemlerde, şöyle bir komut kullanabilirsiniz:
    $ diff -qr <current-directory> <backup-directory>
    Örneğin:
    $ diff -qr www/ backups/full-backup-20120124/
    ayrıca
    $ md5sum <current-page> <backup-page>
    Örneğin:
    $ md5sum www/page.html backups/full-backup-20120124/page.html
  2. Sunucu, erişim ve hata günlüklerinde, başarısız giriş teşebbüsleri, komut geçmişi (özellikle kök olarak), bilinmeyen kullanıcı hesapları oluşturma vb. gibi şüpheli etkinlikler olup olmadığını kontrol edin. Bilgisayar korsanının bu günlükleri kendi amacı doğrultusunda değiştirmiş olabileceğine dikkat edin. (Güvenlik açığını bulma videosunda yardımcı olabilecek bazı örnekler gösterilmiştir.)
  3. .htaccess ve httpd.conf gibi yapılandırma dosyalarında, yönlendirme URL'lerinin bulunup bulunmadığını kontrol edin. Bilgisayar korsanları çoğunlukla kullanıcı aracısına, günün saatine veya yönlendirene bağlı olarak koşullu yönlendirmeler oluştururlar.
  4. Esnek klasör ve dosya izinleri olup olmadığını da kontrol edin. Bilgisayar korsanları izinlerle oynarlar, çünkü esnek izinler site sahibi tarafından anlaşılmadan kalırsa, bilgisayar korsanının siteye tekrar girebilmesi için yol sağlar. 644'ten (rw-r--r--) büyük dosyalar ve 755'ten (rwxr-xr-x) büyük klasörler güvenlik sorunlarına neden olabilir. Esnek izinler varsa, bunların gerçekten gerekli olup olmadığını belirleyin. Unix tabanlı sistemlerde şunu deneyin:
    $ find <your-dir> -type d -not -perm 755 -exec ls -ld {} \;
    $ find <your-dir> -type f -not -perm 644 -exec ls -la {} \;
  5. Veritabanınız varsa, phpMyAdmin gibi bir araç kullanarak tek tek her kaydı araştırın.

Sonraki adım

Süreçte bir sonraki adım Güvenlik açığını bulma işlemidir.