Chrome Dev Summit 2018 is happening now and streaming live on YouTube. Watch now.

Güvenlik açığını bulma

Birden fazla bağımsız saldırı yapılmış olabileceği için, bir güvenlik açığını bulup düzeltebilmiş olsanız dahi başka açıkların da olup olmadığını aramaya devam etmenizi öneririz. Araştırmanıza spam yapanların web sitelerine saldırmak için en çok kullandıkları yöntemler makalesini okuyarak başlayın.

İhtiyacınız olanlar:

  • Sitenizin sunucularına kabuk/terminal yönetici erişimi: Web, veritabanı, dosyalar
  • Kabuk/terminal komutları bilgisi
  • Kodu anlama (PHP veya JavaScript gibi)
  • İki tane virüsten koruma tarayıcısı çalıştırabilme

Sonraki işlemler:

Bir sitenin güvenliğinin ihlal edilmesinin yaygın yollarından bazılarını anlatacağız. Bu güvenlik açıklarından birinin siteniz için geçerli olacağını ya da diğer olasılıklara ışık tutacağını umuyoruz.

Güvenlik açığı tarayıcılarının virüsten korunma tarayıcılarından farklı olduğuna dikkat edin. Güvenlik açığı tarayıcıları çok daha saldırgan olabilir ve sitenizde istenmeyen hasarlara neden olma olasılığı çok daha yüksektir. Tarayıcıyı çalıştırmadan önce lütfen sitenizi yedekleme gibi tüm talimatları izleyin.

Araştırılacak olası güvenlik açıkları şunları içerir:

1. Virüs bulaşmış yönetici bilgisayarı

Bilgisayar korsanı, bir yöneticinin virüs bulaşmış bilgisayarına site yöneticisinin tuş vuruşlarını kaydetmek için casus yazılım yüklemiş olabilir.

  • Yönetici sistemlerinde virüs olup olmadığını kontrol edin. Siteye giriş yapmak için bir yönetici tarafından kullanılan her bilgisayarda tanınmış çeşitli virüsten korunma tarayıcılarını veya AV tarayıcılarını çalıştırmanızı öneririz. Sürekli olarak kötü amaçlı yazılımlar için tarayıcıların algılamasından kaçabilecek yeni bulaşma yöntemleri tasarlandığından, bu işlem virüs algılamasında dört dörtlük bir yöntem değildir. AV tarayıcıları yanlış pozitif sonuçlar bildirebildiği için birden fazla tarayıcı çalıştırmak güvenlik açığının olup olmadığını belirlemede daha fazla veri noktası sağlayabilir. Ayrıca güvende olmak için hem web sunucunuzu, hem de siteyi güncellemek veya sitede içerik yayınlamak için kullanılan tüm cihazları taramayı da düşünün.
    • AV tarayıcısı tarafından casus yazılım, virüs, truva atı veya başka bir şüpheli program algılanırsa, virüs bulaşmış bilgisayarın sahibi olan yönetici tarafından yapılmış etkinlikleri öğrenmek için sitenin sunucu günlükleri araştırın.
    • Günlük dosyalarında bilgisayar korsanı tarafından değişiklik yapılmış olabilir. Yapılmamışsa, yöneticinin kullanıcı adını günlük dosyasındaki şüpheli komutlarla ilişkilendirmek, sitede güvenlik açığına bir yöneticinin sistemindeki virüsün neden olduğuna ilişkin daha güçlü bir kanıttır.

2. Zayıf veya tekrar kullanılmış şifreler

Zayıf bir şifreyi kırmak bilgisayar korsanları için nispeten kolaydır ve korsanların sunucunuza doğrudan erişmesini sağlar. Güçlü şifrelerde; harfler, sayılar, noktalama işaretleri kullanılır, herhangi bir sözlükte bulunabilecek kelimeler veya argo ifadeler kullanılmaz. Bir şifre sadece tek bir uygulama için kullanılmalıdır, web'de başka yerlerde de tekrar tekrar kullanılmamalıdır. Aynı şifreler çeşitli uygulamalarda kullanılırsa, bir bilgisayar korsanının sadece tek bir uygulamada bir güvenlik ihlali meydana getirerek kullanıcı adını ve şifreyi ele geçirmesi, başka yerlerde de o şifreyi tekrar kullanarak giriş yapabilmesini sağlar.

  • Sunucu günlüğünde, bir yönetici tarafından birden fazla giriş yapma girişimi veya bir yöneticinin beklenmedik komutlar girmesi gibi istenmeyen etkinlikler olup olmadığını kontrol edin. Şüpheli etkinlik bulduğunuzda not edin, çünkü saldırının ilk gerçekleştiği zamanı belirlemek, hangi yedeklerin temiz olabileceğini saptamaya yardımcı olur.

3. Eski yazılımlar

Sunucularınızda işletim sisteminin, içerik yönetim sisteminin, blog platformunun, uygulamaların, eklentilerin vb. en yeni sürümlerinin yüklü olup olmadığını kontrol edin.

  • Sahip olduğunuz sürüm için bir güvenlik önerisi olup olmadığını öğrenmek için yüklü tüm yazılımları araştırın (örneğin bir web araması yapabilirsiniz). Varsa, güvenlik açığına büyük olasılıkla eski yazılım neden olmuştur.
  • En iyi uygulama olarak, şu anda herhangi bir güvenlik açığının nedeni eski yazılımlar olsun veya olmasın, sunucularınızın yazılımlarını her zaman güncel tutmayı hedeflemelisiniz.

4. Açık yönlendirmeler ve SQL yerleştirme gibi izin verici kod uygulamaları

  • Açık yönlendirmeler
  • Açık yönlendirmeler, kullanıcıların sitedeki yararlı bir dosyaya veya web sayfasına ulaşabilmesi için URL yapısına başka bir URL'nin eklenmesine izin verilecek biçimde kodlanır. Örneğin:

    http://example.com/page.php?url=http://example.com/good-file.pdf
    Bilgisayar korsanları spam içerikli veya kötü amaçlı yazılım yükleyen sayfalarını sitenin açık yönlendirmesine aşağıdakine benzer şekilde ekleyerek açık yönlendirmeleri kötüye kullanabilirler:
    http://example.com/page.php?url=<malware-attack-site>

    • Siteniz açık yönlendirmeler tarafından kötüye kullanılmışsa muhtemelen Search Console'da, istenmeyen bir hedefe götüren açık yönlendirmelere sahip örnek URL'lerin listelendiği bir ileti görürsünüz.
    • Gelecekte açık yönlendirmeleri engellemek için, yazılımınızda "açık yönlendirmelere izin ver" ayarının varsayılan olarak etkin olup olmadığını, kodunuzun alan adı dışına yönlendirmeleri yasaklayıp yasaklayamadığını veya sadece gerektiği gibi karma hale getirilmiş URL'lere ve şifreli imzaya sahip olanların yönlendirilebilmesi için yönlendirmeyi imzalayıp imzalayamadığınızı kontrol edin.
  • SQL yerleştirme
  • SQL yerleştirme işlemi, bir bilgisayar korsanının veritabanınız tarafından yürütülen kullanıcı girişi alanlarına hileli komutlar ekleyebilmesidir. SQL yerleştirme işlemleri, veritabanınızdaki kayıtları istenmeyen spam veya kötü amaçlı yazılımlar barındıran içeriklerle günceller veya değerli verileri bilgisayar korsanının alması için çıkışa gönderir. Sitenizde veritabanı kullanılıyorsa ve özellikle de SQL yerleştirme türünde kötü amaçlı yazılım bulaşmışsa, sitenizde bir SQL yerleştirme işlemiyle güvenlik ihlali yapılmış olması mümkündür.

    • Veritabanı sunucusuna giriş yapın ve veritabanında, normalde sıradan metin alanları olan ancak şimdi iframe'ler veya komutlar gösteren şüpheli içerikleri arayın.
    • Şüpheli değerlerde, kullanıcı girişinin doğrulanmış, çıkış karakterlerinin doğru kullanılmış veya kod olarak yürütülemeyecek biçimde tanımlı şekilde yazılmış olup olmadığını kontrol edin. Kullanıcı girişi, veritabanında işlenmeden önce kontrol edilmezse, SQL yerleştirme işlemi sitenizdeki güvenlik açığının en önemli nedeni olabilir.

Sonraki adım

Süreçte bir sonraki adım Sitenizi temizleme ve bakımını yapma işlemidir.