Bu kılavuz, sitenize anahtar kelime ağırlıklı anlamsız sayfalar ekleyen bir tür saldırı için özel olarak hazırlanmıştır. Bu saldırıya, gizlenmiş anahtar kelimeler ve bağlantılar saldırısı diyeceğiz. Bu kılavuz, popüler içerik yönetim sistemleri (İYS) kullanıcıları için tasarlanmıştır ancak İYS kullanmasanız bile bu kılavuzdan faydalanabilirsiniz.
Bu rehberin sizin için gerçekten yararlı olduğundan emin olmak istiyoruz. İyileştirme yapmamıza yardımcı olmak için geri bildirimde bulunun.
Bu tür saldırıları tespit etme
Gizlenmiş anahtar kelimeler ve bağlantı saldırısı, anlamlı olmayan metin, bağlantı ve resimlerin olduğu çok sayıda sayfayı otomatik olarak oluşturur. Bu sayfalar bazen orijinal sitedeki temel şablon öğelerini içerir. Böylece, ilk bakışta sayfalar içerik okununcaya kadar sitenizin normal parçaları gibi görünebilir.
Saldırıya uğrayan sayfalar, Google'ın sıralama faktörlerini etkilemek için oluşturulur. Bilgisayar korsanları, saldırıya uğramış sayfalardaki bağlantıları farklı üçüncü taraflara satarak genellikle bu durumdan para kazanmaya çalışır. Saldırıya uğramış sayfalar genellikle ziyaretçileri, bilgisayar korsanlarının para kazanabileceği alakasız bir sayfaya da yönlendirir.
Google'ın sitenizde bu saldırıya uğramış sayfalardan herhangi birini keşfedip keşfetmediğini görmek için Search Console'daki Güvenlik Sorunları aracını kontrol ederek başlayın. Bazen bir Google Arama penceresi açıp sitenizin kök düzeyindeki URL'sini site:_your site url_
yazarak da bu tür sayfaları bulabilirsiniz. Bu sayfada, Google'ın siteniz için dizine eklediği sayfalar (saldırıya uğrayan sayfalar dahil) gösterilir. Olağan dışı URL'ler olup olmadığını görmek için birkaç arama sonucu sayfasını gözden geçirin. Google Arama'da saldırıya uğramış içerik görmüyorsanız aynı arama terimlerini farklı bir arama motorunda kullanın. Aşağıda bu durumun nasıl görüneceğine dair bir örnek verilmiştir:
Genellikle, saldırıya uğramış bir sayfanın bağlantısını tıkladığınızda başka bir siteye yönlendirilirsiniz veya anlamsız içeriklerle dolu bir sayfa görürsünüz. Bununla birlikte, sayfanın mevcut olmadığını belirten bir mesaj da görebilirsiniz (ör. 404 hatası). Bu tür tekliflere kanmayın. Bilgisayar korsanları, sayfanın hâlâ saldırı altında olduğunu bildiğiniz halde sayfanın kaldırıldığını veya düzeltildiğini düşünmenizi sağlamaya çalışır. Bunu, içeriği gizleyerek yaparlar. URL Denetleme aracına sitenizin URL'lerini girerek gizleme olup olmadığını kontrol edin. Google Gibi Getir aracı, temeldeki gizli içeriği görmenize olanak tanır.
Bu sorunları görüyorsanız siteniz büyük olasılıkla bu tür bir saldırıdan etkilenmiştir.
Saldırıyı düzeltme
Başlamadan önce, daha sonra geri yüklemeniz gerekebileceği için kaldırmadan önce dosyaların çevrimdışı bir kopyasını oluşturun. Daha da iyisi, temizleme işlemine başlamadan önce sitenizin tamamını yedekleyin. Bunu, sunucunuzdaki tüm dosyaları sunucunuzun dışında bir konuma kaydederek veya belirli bir İçerik Yönetim Sistemi (İYS) için en iyi yedekleme seçeneklerini arayarak yapabilirsiniz. İçerik yönetim sistemi kullanıyorsanız veritabanını da yedekleyin.
.htaccess
dosyanızı kontrol etme (3 adım)
Gizlenmiş anahtar kelimeler ve bağlantı saldırısı, sitenizde otomatik olarak gizlenmiş sayfalar oluşturmak için .htaccess
dosyanızı kullanır. Resmi Apache sitesinde .htaccess
temelleri hakkında bilgi edinmek, saldırının sitenizi nasıl etkilediğini daha iyi anlamanıza yardımcı olabilir ancak bu bilgi gerekli değildir.
1. Adım
Sitenizde .htaccess
dosyanızı bulun. Dosyayı nerede bulacağınızdan emin değilseniz ve WordPress, Joomla veya Drupal gibi bir İYS kullanıyorsanız bir arama motorunda İYS'nizin adıyla birlikte ".htaccess dosyası konumu"nu arayın.
Sitenize bağlı olarak birden fazla .htaccess
dosyası görebilirsiniz.
Tüm .htaccess
dosya konumlarının listesini oluşturun.
2. Adım
Dosyadaki içeriği görüntülemek için .htaccess
dosyasını açın. Aşağıdaki gibi görünen bir kod satırı arayın:
RewriteRule (.*cj2fa.*|^tobeornottobe$) /injected_file.php?q=$1 [L]
Bu satırdaki değişkenler değişebilir. Hem cj2fa
hem de tobeornottobe
, harf veya kelimelerin herhangi bir karışımı olabilir. Önemli olan, bu satırda atıfta bulunulan .php
öğesini tanımlamaktır.
.htaccess
dosyasında bahsedilen .php
dosyasını not edin. Örnekte, .php
dosyası injected_file.php
olarak adlandırılmıştır ancak gerçekte dosya adı bu kadar açık olmayabilir. Genellikle horsekeys.php
veya potatolake.php
gibi rastgele bir dizi zararsız kelimedir. Bu, kötü amaçlı bir .php
dosya olabilir. Daha sonra bu dosyayı bulup kaldırmamız gerekir.
3. Adım
Tüm .htaccess
dosyalarını, .htaccess
dosyasının temiz veya varsayılan sürümüyle değiştirin. .htaccess
dosyasının varsayılan sürümünü genellikle "varsayılan .htaccess
dosyası" ve içerik yönetim sisteminizin adını arayarak bulabilirsiniz. Birden fazla .htaccess
dosyası olan sitelerde, her birinin temiz bir sürümünü bulup değiştirme işlemini gerçekleştirin.
Varsayılan bir .htaccess
yoksa ve sitenizde hiç .htaccess
dosyası yapılandırmadıysanız sitenizde bulduğunuz .htaccess
dosyası muhtemelen kötü amaçlı bir dosyadır.
Her ihtimale karşı .htaccess
dosyalarının bir kopyasını sitenizden çevrimdışı olarak kaydedin.
Diğer kötü amaçlı dosyaları bulma ve kaldırma (5 adım)
Kötü amaçlı dosyaları tespit etmek zor ve zaman alıcı olabilir. Dosyalarınızı kontrol ederken acele etmeyin. Henüz yapmadıysanız sitenizdeki dosyaları yedeklemek için bu fırsattan yararlanabilirsiniz. Sitenizi nasıl yedekleyeceğinizle ilgili talimatları bulmak için "siteyi yedekleme" ve içerik yönetim sisteminizin adını Google'da arayın.
1. Adım
İçerik yönetim sistemi kullanıyorsanız İYS'nizin varsayılan dağıtımında bulunan tüm temel (varsayılan) dosyaları ve eklemiş olabileceğiniz tüm öğeleri (temalar, modüller, eklentiler gibi) yeniden yükleyin. Bu, söz konusu dosyaların saldırıya uğramış içerik içermemesini sağlar. Yeniden yükleme talimatlarını bulmak için "yeniden yükleme" ve içerik yönetim sisteminizin adını Google'da arayabilirsiniz. Eklentiniz, modülünüz, uzantınız veya temanız varsa bunları da yeniden yüklediğinizden emin olun.
2. Adım
Öncelikle, .htaccess
dosyasında daha önce tanımladığınız .php
dosyasını arayın. Sunucunuzdaki dosyalara nasıl eriştiğinize bağlı olarak bir tür arama işlevine sahip olmanız gerekir. Kötü amaçlı dosya adını arayın. Dosyayı bulursanız önce yedek bir kopya oluşturun ve geri yüklemeniz gerekebileceği için başka bir konumda saklayın. Ardından dosyayı sitenizden silin.
3. Adım
Kötü amaçlı veya güvenliği ihlal edilmiş dosyalar olup olmadığını kontrol edin. Kötü amaçlı tüm dosyaları önceki iki adımda kaldırmış olabilirsiniz ancak sitenizde güvenliği ihlal edilmiş başka dosyalar olabileceği için sonraki birkaç adımı uygulamanız önerilir.
Her PHP dosyasını açıp incelemeniz gerektiğini düşünerek kendinizi bunaltmayın. İncelemek istediğiniz şüpheli PHP dosyalarının listesini oluşturarak başlayın. Şüpheli PHP dosyalarını belirlemenin birkaç yolu vardır:
- İYS dosyalarınızı zaten yeniden yüklediyseniz yalnızca varsayılan İYS dosyalarınıza veya klasörlerinize dahil olmayan dosyaları inceleyin. Bu işlem, birçok PHP dosyasını eleyerek incelemeniz gereken birkaç dosyayla sonuçlanacaktır.
- Sitenizdeki dosyaları en son değiştirilme tarihine göre sıralayın. Sitenizin saldırıya uğradığını ilk kez fark ettiğiniz tarihten sonraki birkaç ay içinde değiştirilmiş dosyaları arayın.
- Sitenizdeki dosyaları boyuta göre sıralayın. Normaldan büyük dosyaları arayın.
4. Adım
Şüpheli PHP dosyalarının listesini aldıktan sonra bunların kötü amaçlı olup olmadığını kontrol edin. PHP hakkında bilginiz yoksa bu işlem daha zaman alıcı olabilir. Bu nedenle, PHP dokümanlarını gözden geçirmenizi öneririz. Kodlamaya yeni başladıysanız yardım almanızı öneririz. Bu süreçte, kötü amaçlı dosyaları tespit etmek için göz atabileceğiniz bazı temel kalıplar vardır.
İçerik yönetim sistemi kullanıyorsanız ve bu dosyaları doğrudan düzenleme alışkanlığınız yoksa sunucunuzdaki dosyaları, içerik yönetim sistemiyle birlikte paketlenen varsayılan dosyaların ve tüm eklentilerin ve temaların listesiyle karşılaştırın. Ait olmayan dosyaların yanı sıra varsayılan sürümlerinden daha büyük dosyaları arayın.
Öncelikle, daha önce tespit ettiğiniz şüpheli dosyaları tarayıp karışık görünen harf ve rakamlardan oluşan büyük metin blokları arayın. Büyük metin bloğunun önünde genellikle base64_decode
, rot13
, eval
, strrev
veya gzinflate
gibi PHP işlevlerinin bir kombinasyonu bulunur.
Aşağıda, bu kod bloğunun nasıl görünebileceğine dair bir örnek verilmiştir. Bazen tüm bu kodlar tek bir uzun metin satırına sığdırılır ve bu da kodun gerçekte olduğundan daha küçük görünmesine neden olur.
// Hackers try to confuse webmasters by encoding malicious code into
// blocks of text. Be wary of unfamiliar code blocks like this.
base64_decode(strrev("hMXZpRXaslmYhJXZuxWd2BSZ0l2cgknbhByZul2czVmckRWYgknYgM3ajFGd0FGIlJXd0Vn
ZgknbhBSbvJnZgUGdpNHIyV3b5BSZyV3YlNHIvRHI0V2Zy9mZgQ3Ju9GRg4SZ0l2cgIXdvlHI4lmZg4WYjBSdvlHIsU2c
hVmcnBydvJGblBiZvBCdpJGIhBCZuFGIl1Wa0BCa0l2dgQXdCBiLkJXYoBSZiBibhNGIlR2bjBycphGdgcmbpRXYjNXdmJ2b
lRGI5xWZ0Fmb1RncvZmbVBiLn5WauVGcwFGagM3J0FGa3BCZuFGdzJXZk5Wdg8GdgU3b5BicvZGI0xWdjlmZmlGZgQXagU2ah
1GIvRHIzlGa0BSZrlGbgUGZvNGIlRWaoByb0BSZrlGbgMnclt2YhhEIuUGZvNGIlxmYhRWYlJnb1BychByZulGZhJXZ1F3ch
1GIlR2bjBCZlRXYjNXdmJ2bgMXdvl2YpxWYtBiZvBSZjVWawBSYgMXagMXaoRFIskGS"));
Bazen kod karışık değildir ve normal komut dosyası gibi görünür. Kodun kötü olup olmadığından emin değilseniz Google Arama Merkezi Yardım Topluluğumuzu ziyaret edebilirsiniz. Burada, deneyimli web yöneticilerinden oluşan bir grup, dosyalara göz atmanıza yardımcı olabilir.
5. Adım
Şüpheli dosyaların hangileri olduğunu öğrendiniz. Bu dosyalardan herhangi birinin kötü amaçlı olmaması ihtimaline karşı bilgisayarınıza kaydederek yedek veya yerel kopya oluşturun ve şüpheli dosyaları sitenizden silin.
Sitenizin temiz olup olmadığını kontrol etme
Saldırıya uğramış dosyalardan kurtulduktan sonra, yoğun çalışmanızın karşılığını alıp almadığını kontrol edin. Daha önce tespit ettiğiniz anlamsız sayfaları hatırlıyor musunuz? Hâlâ mevcut olup olmadığını öğrenmek için bu sayfalarda Google Gibi Getir aracını tekrar kullanın. Google olarak getirme işleminde "Bulunamadı" yanıtı alırsanız büyük olasılıkla iyi durumdasınızdır ve sitenizdeki güvenlik açıklarını düzeltmeye geçebilirsiniz.
Yeniden saldırıya uğramayı nasıl önleyebilirim?
Sitenizdeki güvenlik açıklarını düzeltmek, sitenizi düzeltme sürecindeki son ve en önemli adımdır. Yakın zamanda yapılan bir çalışmada, saldırıya uğrayan sitelerin% 20'sinin bir gün içinde tekrar saldırıya uğradığı tespit edildi. Sitenizin tam olarak nasıl saldırıya uğradığını bilmek yararlı olacaktır. Araştırmaya başlamak için web sitelerinin spam yapanların saldırısına uğramasının en popüler yolları kılavuzumuzu okuyun. Ancak sitenizin nasıl saldırıya uğradığını anlayamıyorsanız sitenizdeki güvenlik açıklarını azaltmak için yapabileceğiniz işlemlerin yapılacaklar listesi aşağıda verilmiştir:
- Bilgisayarınızı düzenli olarak tarayın: Virüs veya güvenlik açığı olup olmadığını kontrol etmek için popüler bir virüs tarayıcısı kullanın.
- Şifrelerinizi düzenli olarak değiştirin: Barındırma sağlayıcınız, FTP'niz ve içerik yönetim sisteminiz gibi tüm web sitesi hesaplarınızın şifrelerini düzenli olarak değiştirmek, sitenize yetkisiz erişimi önleyebilir. Her hesap için güçlü ve benzersiz bir şifre oluşturmanız önemlidir.
- İki Faktörlü Kimlik Doğrulama'yı (2FA) kullanın: Oturum açmanızı gerektiren tüm hizmetlerde 2FA'yı etkinleştirmeyi düşünün. 2 Adımlı Doğrulama, şifrenizi başarıyla çalsalar bile bilgisayar korsanlarının oturum açmasını zorlaştırır.
- İçerik yönetim sisteminizi, eklentilerinizi, uzantılarınızı ve modüllerinizi düzenli olarak güncelleyin: Umarım bu adımı zaten tamamlamışsınızdır. Birçok site, eski yazılımlar kullandığı için saldırıya uğrar. Bazı CMS'ler otomatik güncellemeyi desteklemektedir.
- Sitenizi izlemek için bir güvenlik hizmetine abone olmayı düşünün: Sitenizi küçük bir ücret karşılığında izlemenize yardımcı olabilecek birçok mükemmel hizmet vardır. Sitenizi güvende tutmak için bu tür bir hizmete kaydolabilirsiniz.
Ek kaynaklar
Sitenizi düzeltme konusunda hâlâ sorun yaşıyorsanız size yardımcı olabilecek başka kaynaklar da vardır.
Bu araçlar sitenizi tarar ve sorunlu içerikleri bulabilir. VirusTotal dışındaki araçları Google çalıştırmamakta veya desteklememektedir.
Bunlar, sitenizi sorunlu içerikler açısından tarayabilecek araçlardan yalnızca bazılarıdır. Bu tarayıcıların her tür sorunlu içeriği tespit edeceğini garanti edemeyeceğini unutmayın.
Google'ın sunduğu, size yardımcı olabilecek ek kaynaklarından bazıları: