Bu kılavuz, sitenize anahtar kelime ağırlıklı anlamsız sayfalar ekleyen bir tür saldırı için özel olarak hazırlanmıştır. Bu saldırıya "anlamsız kelime saldırısı" diyeceğiz. Bu kılavuz, popüler İçerik Yönetim Sistemleri (İYS) kullanıcıları için tasarlanmıştır ancak İYS kullanmıyorsanız da bu kılavuzdan faydalanabilirsiniz.
Bu rehberin sizin için gerçekten yararlı olduğundan emin olmak istiyoruz. İyileştirme yapmamıza yardımcı olmak için geri bildirimde bulunun.
Bu tür saldırıları tespit etme
Anlamsız kelimeler saldırısı, sitenizde anahtar kelimelerle dolu, anlamlı olmayan cümlelerin olduğu çok sayıda sayfayı otomatik olarak oluşturur. Bunlar, sizin oluşturmadığınız ancak kullanıcıların tıklaması için cazip olabilecek URL'lere sahip sayfalardır. Bilgisayar korsanları, bunu saldırıya uğramış sayfaların Google Arama'da gösterilmesi için yapar. Daha sonra, kullanıcılar bu sayfaları ziyaret etmeye çalıştıklarında alakasız bir sayfaya yönlendirilirler. Bilgisayar korsanları, kullanıcılar bu alakasız sayfaları ziyaret ettiğinde para kazanır. "Anlamsız kelimeler" saldırısından etkilenen bir sitede görebileceğiniz dosya türlerine dair bazı örnekler aşağıda verilmiştir:
www.example.com/cheap-hair-styles-cool.htmlwww.example.com/free-pictures-fun.htmlwww.example.com/nice-song-download-file.php
Bazen rastgele karakterlerden oluşan bir klasörde görünür ve farklı dilleri kullanırlar:
www.example.com/jfwoea/cheap-hair-styles-cool.htmlwww.example.com/jfwoea/free-pictures-fun.htmlwww.example.com/jfwoea/www-ki-motn-dudh-photo.phpwww.example.com/jfwoea/foto-cewe-zaman-sekarang.php
Google'ın sitenizde bu saldırıya uğramış sayfalardan herhangi birini keşfedip keşfetmediğini görmek için Search Console'daki Güvenlik Sorunları aracını kontrol ederek başlayın. Bazen bir Google Arama penceresi açıp sitenizin kök düzeyindeki URL'sini site:_your site url_ yazarak da bu tür sayfaları bulabilirsiniz. Bu sayfada, Google'ın siteniz için dizine eklediği sayfalar (saldırıya uğramış sayfalar dahil) gösterilir. Olağan dışı URL'ler olup olmadığını görmek için birkaç arama sonucu sayfasını gözden geçirin. Google Arama'da saldırıya uğramış içerik görmüyorsanız aynı arama terimlerini farklı bir arama motorunda kullanın. Aşağıda bu durumun nasıl görüneceğine dair bir örnek verilmiştir:
Genellikle, saldırıya uğramış bir sayfanın bağlantısını tıkladığınızda başka bir siteye yönlendirilirsiniz veya anlamsız içeriklerle dolu bir sayfa görürsünüz. Bununla birlikte, sayfanın mevcut olmadığını belirten bir mesaj da görebilirsiniz (ör. 404 hatası). Bu tür sahtekarlıklara kanmayın. Bilgisayar korsanları, sayfanın hâlâ saldırı altında olduğunu bildiğiniz halde sayfanın kaldırıldığını veya düzeltildiğini düşünmenizi sağlamaya çalışır. Bunu, içeriği gizleyerek yaparlar. URL Denetleme aracına sitenizin URL'lerini girerek gizleme olup olmadığını kontrol edin. Google Gibi Getir aracı, temeldeki gizli içeriği görmenizi sağlar.
Bu sorunları görüyorsanız siteniz büyük olasılıkla bu tür bir saldırıdan etkilenmiştir.
Saldırıyı düzeltme
Başlamadan önce, daha sonra geri yüklemeniz gerekebileceği için kaldırmadan önce dosyaların çevrimdışı bir kopyasını oluşturun. Daha da iyisi, temizleme işlemine başlamadan önce sitenizin tamamını yedekleyin. Bunu, sunucunuzdaki tüm dosyaları sunucunuzun dışında bir konuma kaydederek veya belirli bir İçerik Yönetim Sistemi (İYS) için en iyi yedekleme seçeneklerini arayarak yapabilirsiniz. İçerik yönetim sistemi kullanıyorsanız veritabanını da yedekleyin.
.htaccess dosyanızı kontrol etme (2 adım)
"Anlamsız kelimeler" saldırısı, .htaccess dosyasını kullanarak ziyaretçileri sitenizden yönlendirir.
1. Adım
Sitenizde .htaccess dosyanızı bulun. Dosyayı nerede bulacağınızdan emin değilseniz ve WordPress, Joomla veya Drupal gibi bir İYS kullanıyorsanız bir arama motorunda İYS'nizin adıyla birlikte ".htaccess dosyası konumu"nu arayın.
Sitenize bağlı olarak birden fazla .htaccess dosyası görebilirsiniz.
Tüm .htaccess dosya konumlarının listesini oluşturun.
2. Adım
Tüm .htaccess dosyalarını, .htaccess dosyasının temiz veya varsayılan sürümüyle değiştirin. .htaccess dosyasının varsayılan sürümünü genellikle "varsayılan .htaccess dosyası" ve içerik yönetim sisteminizin adını arayarak bulabilirsiniz. Birden fazla .htaccess dosyası olan sitelerde, her birinin temiz bir sürümünü bulup bunları değiştirin.
Varsayılan bir .htaccess yoksa ve sitenizde hiç .htaccess dosyası yapılandırmadıysanız sitenizde bulduğunuz .htaccess dosyası muhtemelen kötü amaçlı bir dosyadır.
Her ihtimale karşı .htaccess dosyalarının bir kopyasını çevrimdışı olarak kaydedin ve .htaccess dosyasını sitenizden silin.
Diğer kötü amaçlı dosyaları bulma ve kaldırma (5 adım)
Kötü amaçlı dosyaları tespit etmek zor ve zaman alıcı olabilir. Dosyalarınızı kontrol ederken acele etmeyin. Henüz yapmadıysanız sitenizdeki dosyaları yedeklemek için bu fırsatı değerlendirin. Sitenizi nasıl yedekleyeceğinizle ilgili talimatları bulmak için "siteyi yedekleme" ve içerik yönetim sisteminizin adını Google'da arayın.
1. Adım
İçerik yönetim sistemi kullanıyorsanız İYS'nizin varsayılan dağıtımında bulunan tüm temel (varsayılan) dosyaları ve eklemiş olabileceğiniz tüm öğeleri (temalar, modüller, eklentiler gibi) yeniden yükleyin. Bu, söz konusu dosyaların saldırıya uğramış içerik içermediğinden emin olmanıza yardımcı olur. Yeniden yükleme talimatlarını bulmak için "yeniden yükleme" ve içerik yönetim sisteminizin adını Google'da arayabilirsiniz. Eklentiniz, modülünüz, uzantınız veya temanız varsa bunları da yeniden yüklediğinizden emin olun.
2. Adım
Artık kötü amaçlı veya güvenliği ihlal edilmiş kalan dosyaları aramanız gerekir. Bu, sürecin en zor ve en zaman alıcı kısmıdır ancak bu adımın ardından neredeyse işlemi tamamlamış olursunuz.
Bu saldırı genellikle iki tür dosya bırakır: .txt dosyaları ve .php dosyaları. .txt dosyaları şablon dosyalarıdır ve .php dosyaları, sitenize hangi tür anlamsız içeriğin yükleneceğini belirler.
.txt dosyalarını aramaya başlayın. Sitenize nasıl bağlandığınıza bağlı olarak, dosyalar için bir tür arama özelliği görürsünüz. .txt uzantılı tüm dosyaları görmek için ".txt" dosya uzantısını arayın. Bunların çoğu, lisans sözleşmeleri veya readme dosyaları gibi meşru dosyalardır. Spam şablonlar oluşturmak için kullanılan HTML kodu içeren bir .txt dosyası grubu arıyorsunuz. Bu kötü amaçlı .txt dosyalarında bulabileceğiniz farklı kod snippet'lerini aşağıda bulabilirsiniz.
<title>{keyword}</title>
<meta name="description" content="{keyword}" />
<meta name="keywords" content="{keyword}" />
<meta property="og:title" content="{keyword}" />
Bilgisayar korsanları spam yapan sayfalar oluşturmak için anahtar kelime yerleştirme işlevi kullanırlar. Büyük olasılıkla, saldırıya uğramış dosyada değiştirilebilecek genel bir kelime görürsünüz.
Ayrıca bu dosyaların çoğu, spam bağlantıları ve spam metinleri görünür sayfanın dışına yerleştiren bir tür kod içerir.
<div style="position: absolute; top: -1000px; left: -1000px;">
Cheap prescription drugs
</div>
Bu .txt dosyaları kaldırın. Tüm dosyalar aynı klasördeyse klasörün tamamını kaldırın.
3. Adım
Kötü amaçlı PHP dosyalarını belirlemek biraz daha zordur. Sitenizde bir veya daha fazla kötü amaçlı PHP dosyası olabilir. Bunların tümü aynı alt dizinde yer alabilir veya sitenizde dağınık olabilir.
Her PHP dosyasını açıp incelemeniz gerektiğini düşünerek kendinizi bunaltmayın. İncelemek istediğiniz şüpheli PHP dosyalarının listesini oluşturarak başlayın. Şüpheli PHP dosyalarını belirlemenin birkaç yolu vardır:
- İçerik yönetim sistemi dosyalarınızı zaten yeniden yüklediğiniz için yalnızca varsayılan içerik yönetim sistemi dosyalarınıza veya klasörlerinize dahil olmayan dosyaları inceleyin. Bu işlem, çok sayıda PHP dosyasını ortadan kaldırır ve incelemeniz için birkaç dosya bırakır.
- Sitenizdeki dosyaları en son değiştirilme tarihine göre sıralayın. Sitenizin saldırıya uğradığını ilk kez fark ettiğiniz tarihten sonraki birkaç ay içinde değiştirilmiş dosyaları arayın.
- Sitenizdeki dosyaları boyuta göre sıralayın. Normaldan büyük dosyaları arayın.
4. Adım
Şüpheli PHP dosyalarının listesini aldıktan sonra bunların kötü amaçlı olup olmadığını kontrol edin. PHP hakkında bilginiz yoksa bu işlem daha zaman alıcı olabilir. Bu nedenle, PHP dokümanlarını gözden geçirmenizi öneririz. Kodlamaya yeni başladıysanız yardım almanızı öneririz. Bu süreçte, kötü amaçlı dosyaları tespit etmek için göz atabileceğiniz bazı temel kalıplar vardır.
İçerik yönetim sistemi kullanıyorsanız ve bu dosyaları doğrudan düzenleme alışkanlığınız yoksa sunucunuzdaki dosyaları, içerik yönetim sistemiyle birlikte paketlenen varsayılan dosyaların ve tüm eklentilerin ve temaların listesiyle karşılaştırın. Ait olmayan dosyaların yanı sıra varsayılan sürümlerinden daha büyük dosyaları arayın.
Öncelikle, daha önce tespit ettiğiniz şüpheli dosyaları tarayıp karışık görünen harf ve rakamlardan oluşan büyük metin blokları arayın. Büyük metin bloğunun önünde genellikle base64_decode, rot13, eval, strrev veya gzinflate gibi PHP işlevlerinin bir kombinasyonu bulunur.
Aşağıda, bu kod bloğunun nasıl görünebileceğine dair bir örnek verilmiştir. Bazen tüm bu kod tek bir uzun metin satırına sığdırılır ve bu da kodun gerçekte olduğundan daha küçük görünmesine neden olur.
// Hackers try to confuse site owners by encoding malicious code into
// blocks of text. Be wary of unfamiliar code blocks like this.
base64_decode(strrev("hMXZpRXaslmYhJXZuxWd2BSZ0l2cgknbhByZul2czVmckRWYgknYgM3ajFGd0FGIlJXd0Vn
ZgknbhBSbvJnZgUGdpNHIyV3b5BSZyV3YlNHIvRHI0V2Zy9mZgQ3Ju9GRg4SZ0l2cgIXdvlHI4lmZg4WYjBSdvlHIsU2c
hVmcnBydvJGblBiZvBCdpJGIhBCZuFGIl1Wa0BCa0l2dgQXdCBiLkJXYoBSZiBibhNGIlR2bjBycphGdgcmbpRXYjNXdmJ2b
lRGI5xWZ0Fmb1RncvZmbVBiLn5WauVGcwFGagM3J0FGa3BCZuFGdzJXZk5Wdg8GdgU3b5BicvZGI0xWdjlmZmlGZgQXagU2ah
1GIvRHIzlGa0BSZrlGbgUGZvNGIlRWaoByb0BSZrlGbgMnclt2YhhEIuUGZvNGIlxmYhRWYlJnb1BychByZulGZhJXZ1F3ch
1GIlR2bjBCZlRXYjNXdmJ2bgMXdvl2YpxWYtBiZvBSZjVWawBSYgMXagMXaoRFIskGS"));
Bazen kod karışık değildir ve normal komut dosyası gibi görünür. Kodun kötü olup olmadığından emin değilseniz Google Arama Merkezi Yardım Topluluğumuzu ziyaret edebilirsiniz. Burada, deneyimli web yöneticilerinden oluşan bir grup, dosyaları incelemenize yardımcı olabilir.
5. Adım
Şüpheli dosyaların hangileri olduğunu öğrendiniz. Bu dosyalardan herhangi birinin kötü amaçlı olmaması ihtimaline karşı bilgisayarınıza kaydederek yedek veya yerel kopya oluşturun ve şüpheli dosyaları sitenizden silin.
Sitenizin temiz olup olmadığını kontrol etme
Saldırıya uğramış dosyalardan kurtulduktan sonra, yoğun çalışmanızın karşılığını alıp almadığını kontrol edin. Daha önce tespit ettiğiniz anlamsız sayfaları hatırlıyor musunuz? Hâlâ mevcut olup olmadığını öğrenmek için bu sayfalarda Google Gibi Getir aracını tekrar kullanın. Google olarak getirme işleminde "Bulunamadı" yanıtı alırsanız büyük olasılıkla sorun yaşamamışsınızdır ve sitenizdeki güvenlik açıklarını düzeltmeye geçebilirsiniz.
Yeniden saldırıya uğramayı nasıl önleyebilirim?
Sitenizdeki güvenlik açıklarını düzeltmek, sitenizi düzeltme sürecinin son ve önemli bir adımıdır. Yakın zamanda yapılan bir çalışmada, saldırıya uğrayan sitelerin% 20'sinin bir gün içinde tekrar saldırıya uğradığı tespit edildi. Sitenizin tam olarak nasıl saldırıya uğradığını bilmek yararlı olacaktır. Araştırmaya başlamak için web sitelerinin spam yapanların saldırısına uğramasının en popüler yolları kılavuzumuzu okuyun. Ancak sitenizin nasıl saldırıya uğradığını anlayamıyorsanız sitenizdeki güvenlik açıklarını azaltmak için yapabileceğiniz işlemlerin yapılacaklar listesi aşağıda verilmiştir:
- Bilgisayarınızı düzenli olarak tarayın: Virüs veya güvenlik açığı olup olmadığını kontrol etmek için popüler bir virüs tarayıcısı kullanın.
- Şifrelerinizi düzenli olarak değiştirin: Barındırma sağlayıcınız, FTP'niz ve içerik yönetim sisteminiz gibi tüm web sitesi hesaplarınızın şifrelerini düzenli olarak değiştirmek, sitenize yetkisiz erişimi önleyebilir. Her hesap için güçlü ve benzersiz bir şifre oluşturmanız önemlidir.
- İki Faktörlü Kimlik Doğrulama'yı (2FA) kullanın: Oturum açmanızı gerektiren tüm hizmetlerde 2FA'yı etkinleştirmeyi düşünün. 2 Adımlı Doğrulama, şifrenizi başarıyla çalsalar bile bilgisayar korsanlarının oturum açmasını zorlaştırır.
- İçerik yönetim sisteminizi, eklentilerinizi, uzantılarınızı ve modüllerinizi düzenli olarak güncelleyin: Umarım bu adımı zaten tamamlamışsınızdır. Birçok site, eski yazılımlar kullandığı için saldırıya uğrar. Bazı CMS'ler otomatik güncellemeyi desteklemektedir.
- Sitenizi izlemek için bir güvenlik hizmetine abone olmayı düşünün: Sitenizi küçük bir ücret karşılığında izlemenize yardımcı olabilecek birçok mükemmel hizmet vardır. Sitenizi güvende tutmak için bu tür bir hizmete kaydolabilirsiniz.
Ek kaynaklar
Sitenizi düzeltme konusunda hâlâ sorun yaşıyorsanız size yardımcı olabilecek başka kaynaklar da vardır.
Bu araçlar sitenizi tarar ve sorunlu içerikleri bulabilir. VirusTotal dışındaki araçları Google çalıştırmamakta veya desteklememektedir.
Bunlar, sitenizi sorunlu içerikler açısından tarayabilecek araçlardan yalnızca bazılarıdır. Bu tarayıcıların her tür sorunlu içeriği tespit edeceğini garanti edemeyeceğini unutmayın.
Google'ın sunduğu, size yardımcı olabilecek ek kaynaklarından bazıları: