Bu kılavuz, sitenizde otomatik olarak oluşturulmuş Japonca metinler oluşturan bir tür saldırı (Japonca anahtar kelime saldırısı olarak adlandırılır) içindir. Bu kılavuz, popüler içerik yönetim sistemlerinin (İYS) kullanıcıları için tasarlanmıştır. Ancak sitenizde İYS kullanılmıyorsa da bu kılavuzdan yararlanabilirsiniz.
Bu tür saldırıları tanımlama
Japonca anahtar kelime saldırısı genellikle sitenizde rastgele oluşturulmuş dizin adlarında (ör. http://example.com/ltjmnjp/341.html) otomatik olarak oluşturulmuş Japonca metin içeren yeni sayfalar oluşturur. Bu sayfalardan, sahte markalı ürünler satan mağazaların satış ortağı bağlantıları kullanılarak para kazanılır ve daha sonra bu sayfalar Google Arama'da gösterilir. Bu sayfalardan birinin nasıl göründüğüne dair örneği aşağıda bulabilirsiniz:
Bu tür saldırılarda, saldırganlar genellikle sitenizin coğrafi hedefleme veya site haritaları gibi ayarlarını değiştirerek kârı artırmak için kendilerini Search Console'da mülk sahibi olarak ekler. Google Search Console'da tanımadığınız birinin sitenizi doğruladığına dair bir bildirim aldıysanız sitenizin saldırıya uğramış olma ihtimali yüksektir.
Google'ın sitenizde bu tür saldırıya uğramış sayfalar keşfedip etmediğini görmek için öncelikle Search Console'daki Güvenlik Sorunları aracını kontrol edin. Bazen de Google Arama penceresi açıp site:_your site url_ yazarak ve sitenizin kök düzey URL'sini girerek bu tür sayfaları bulabilirsiniz. Bu işlem, saldırıya uğramış sayfalar da dahil olmak üzere Google'ın siteniz için dizine eklediği sayfaları gösterir. Arama sonuçlarının birkaç sayfasını inceleyerek olağan dışı URL'ler olup olmadığını kontrol edin. Google Arama'da saldırıya uğramış içerik görmüyorsanız aynı arama terimlerini farklı bir arama motoruyla kullanın. Bu işlemin nasıl görüneceğine dair bir örnek aşağıda verilmiştir:
Genellikle, saldırıya uğramış bir sayfanın bağlantısını tıkladığınızda başka bir siteye yönlendirilirsiniz veya anlamsız içeriklerle dolu bir sayfa görürsünüz. Ancak, sayfanın mevcut olmadığını belirten bir mesaj da görebilirsiniz (örneğin, 404 hatası). Aldanmayın. Bilgisayar korsanları, sayfa saldırıya uğramaya devam ederken sizi sayfanın kaldırıldığı veya düzeltildiği konusunda kandırmaya çalışır. Bunu, içeriği gizleyerek yaparlar. Sitenizin URL'lerini URL Denetleme aracına girerek gizleme olup olmadığını kontrol edin. Bu araç, altta yatan gizli içeriği görmenizi sağlar.
Bu sorunları görüyorsanız siteniz büyük olasılıkla bu tür bir saldırıdan etkilenmiştir.
Saldırıyı düzeltme
Başlamadan önce, daha sonra geri yüklemeniz gerekebileceği için kaldırmadan önce tüm dosyaların çevrimdışı bir kopyasını oluşturun. Daha da iyisi, temizleme işlemine başlamadan önce tüm sitenizi yedekleyin. Bunu, sunucunuzdaki tüm dosyaları sunucunuzun dışında bir konuma kaydederek veya kullandığınız içerik yönetim sistemi (İYS) için en iyi yedekleme seçeneklerini arayarak yapabilirsiniz. İYS kullanıyorsanız veritabanını da yedekleyin.
Yeni oluşturulan hesapları Search Console'dan kaldırma
Search Console hesabınıza tanımadığınız yeni bir sahip eklendiyse bu kullanıcının erişimini en kısa sürede iptal edin. Siteniz için hangi kullanıcıların doğrulandığını Search Console doğrulama sayfasında kontrol edebilirsiniz. Tüm doğrulanmış kullanıcıları görüntülemek için sitenin "Doğrulama Ayrıntıları"nı tıklayın.
Bir sahibi Search Console'dan kaldırmak için Kullanıcıları, sahipleri ve izinleri yönetme başlıklı Yardım Merkezi'nin Sahibi Kaldırma bölümüne bakın.
Genellikle sitenizin kök dizinindeki bir HTML dosyası veya HTML dosyasını taklit eden, dinamik olarak oluşturulmuş bir .htaccess dosyası olan ilişkili doğrulama jetonunu kaldırmanız gerekir.
Sitenizde HTML doğrulama jetonu bulamıyorsanız .htaccess dosyanızda yeniden yazma kuralı olup olmadığını kontrol edin. Yeniden yazma kuralı aşağıdaki gibi görünür:
RewriteEngine On
RewriteRule ^google(.*)\.html$ dir/file.php?google=$1 [L]
Dinamik olarak oluşturulan doğrulama jetonunu .htaccess
dosyanızdan kaldırmak için aşağıdaki adımları uygulayın:
.htaccess dosyanızı kontrol edin (2 adım)
Bilgisayar korsanları, dinamik olarak oluşturulan doğrulama jetonları oluşturmak için .htaccess dosyası kullanmanın yanı sıra kullanıcıları yönlendirmek veya anlamsız spam içerikli sayfalar oluşturmak için de .htaccess kurallarını kullanır. Özel .htaccess kurallarınız yoksa .htaccess öğenizi tamamen yeni bir kopya ile değiştirmeyi düşünebilirsiniz.
1. Adım
Sitenizdeki .htaccess dosyanızı bulun. Nerede bulacağınızdan emin değilseniz ve WordPress, Joomla veya Drupal gibi bir içerik yönetim sistemi kullanıyorsanız arama motorunda ".htaccess dosyasının konumu" ifadesini ve içerik yönetim sisteminizin adını arayın.
Sitenize bağlı olarak birden fazla .htaccess dosyası görebilirsiniz.
.htaccess dosya konumlarının tümünün listesini oluşturun.
2. Adım
Tüm .htaccess dosyalarını, .htaccess dosyasının temiz veya varsayılan sürümüyle değiştirin. .htaccess dosyasının varsayılan sürümünü genellikle "varsayılan .htaccess dosyası" ve içerik yönetim sisteminizin adıyla arama yaparak bulabilirsiniz. Birden fazla .htaccess dosyası olan sitelerde, her birinin temiz bir sürümünü bulup değiştirin.
Varsayılan bir .htaccess yoksa ve sitenizde hiçbir zaman bir .htaccess dosyası yapılandırmadıysanız sitenizde bulduğunuz .htaccess dosyası muhtemelen kötü amaçlıdır. Her ihtimale karşı .htaccess dosyaların bir kopyasını çevrimdışı olarak kaydedin ve .htaccess dosyasını sitenizden silin.
Tüm Kötü Amaçlı Dosyaları ve Komut Dosyalarını Kaldırma (4 adım)
Kötü amaçlı dosyaları belirlemek zor ve zaman alıcı olabilir. Dosyalarınızı kontrol ederken acele etmeyin. Henüz yapmadıysanız sitenizdeki dosyaları yedeklemenin tam zamanı. Sitenizi nasıl yedekleyeceğinizle ilgili talimatları bulmak için "siteyi yedekleme" ve İYS'nizin adıyla ilgili bir Google Arama yapın.
1. Adım
Bir İYS kullanıyorsanız İYS'nizin varsayılan dağıtımında bulunan tüm temel (varsayılan) dosyaları ve eklediğiniz her şeyi (ör. temalar, modüller veya eklentiler) yeniden yükleyin. Bu, söz konusu dosyaların saldırıya uğramış içeriklerden temizlenmesini sağlar. Yeniden yükleme talimatlarını bulmak için "yeniden yükle" ve İYS'nizin adıyla Google Arama yapabilirsiniz. Eklentileriniz, modülleriniz, uzantılarınız veya temalarınız varsa bunları da yeniden yüklediğinizden emin olun.
2. Adım
Bilgisayar korsanları, URL'lerinin daha hızlı dizine eklenmesi için genellikle site haritanızı değiştirir veya yeni site haritaları ekler. Daha önce bir site haritası dosyanız varsa dosyada şüpheli bağlantılar olup olmadığını kontrol edin ve varsa bunları kaldırın. Sitenize eklediğinizi hatırlamadığınız site haritası dosyaları varsa dosyayı inceleyin. Yalnızca spam içerikli URL'ler içeriyorsa dosyayı kaldırın.
3. Adım
Diğer kötü amaçlı veya güvenliği ihlal edilmiş dosyaları arayın. Önceki iki adımda tüm kötü amaçlı dosyaları kaldırmış olabilirsiniz ancak sitenizde güvenliği ihlal edilmiş başka dosyalar olması ihtimaline karşı bu sonraki adımları da uygulamanız önerilir.
Her PHP dosyasını açıp incelemeniz gerektiğini düşünerek kendinizi bunaltmayın. İncelemek istediğiniz şüpheli PHP dosyalarının listesini oluşturarak başlayın. Hangi PHP dosyalarının şüpheli olduğunu belirlemenin birkaç yolu vardır:
- IYS dosyalarınızı yeniden yüklediyseniz yalnızca varsayılan IYS dosyalarınızın veya klasörlerinizin parçası olmayan dosyalara bakın. Bu işlem, birçok PHP dosyasını ortadan kaldırır ve incelemeniz gereken birkaç dosya bırakır.
- Sitenizdeki dosyaları en son değiştirilme tarihine göre sıralayın. Sitenizin saldırıya uğradığını ilk fark ettiğiniz zamandan birkaç ay içinde değiştirilen dosyaları bulun.
- Sitenizdeki dosyaları boyuta göre sıralayın. Normaldan büyük dosyaları arayın.
4. Adım
Şüpheli PHP dosyalarının listesini oluşturduktan sonra bu dosyaları kötü amaçlı içerik barındırıp barındırmadıklarını kontrol edin. PHP konusunda bilginiz yoksa bu işlem daha uzun sürebilir. Bu nedenle, PHP belgelerini incelemenizi öneririz. Kodlamaya yeni başladıysanız deneyimli bir geliştiriciyle konuşmanızı öneririz. Bu arada, kötü amaçlı dosyaları belirlemek için arayabileceğiniz bazı temel kalıplar vardır.
İçerik yönetim sistemi kullanıyorsanız ve PHP dosyalarını doğrudan düzenleme alışkanlığınız yoksa sunucunuzdaki dosyaları, içerik yönetim sistemiyle birlikte gelen varsayılan dosyaların listesiyle ve eklentilerle temalarla karşılaştırın. Kendisine ait olmayan dosyaların yanı sıra varsayılan sürümünden daha büyük olan dosyaları arayın.
Şaşırtma yapan kod bloklarını bulmak için önceden belirlediğiniz şüpheli dosyaları tarayın. Bu, genellikle base64_decode, rot13, eval, strrev veya gzinflate gibi PHP işlevlerinin bir kombinasyonuyla başlayan, görünüşte karışık harf ve sayılardan oluşan bir kombinasyon gibi görünebilir. Aşağıda kod bloğunun nasıl görünebileceğine dair bir örnek verilmiştir. Bazen tüm bu kod tek bir uzun metin satırına sıkıştırılarak olduğundan daha küçük görünür.
$O_O0O_O0_0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70
%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");
$OO0_0OO0__=$O_O0O_O0_0{26}.$O_O0O_O0_0{6}.$O_O0O_O0_0{10}.$O_O0O_O0_0{30}
Sitenizin temiz olup olmadığını kontrol etme
Saldırıya uğramış dosyaları temizleme işlemini tamamladıktan sonra, sıkı çalışmanızın karşılığını alıp almadığınızı kontrol edin. Daha önce belirlediğiniz anlamsız kelimeler sayfalarını hatırlıyor musunuz? Bu sayfaların hâlâ mevcut olup olmadığını görmek için Google Gibi Getir aracını tekrar kullanın.
Google Gibi Getirme'de"Bulunamadı" yanıtını alırsanız büyük olasılıkla durumunuz iyidir ve sitenizdeki güvenlik açıklarını düzeltmeye geçebilirsiniz.
Yeniden saldırıya uğramayı nasıl önleyebilirim?
Sitenizdeki güvenlik açıklarını düzeltmek, sitenizi düzeltmek için gerekli olan son adımdır. Yakın zamanda yapılan bir çalışmada, saldırıya uğrayan sitelerin% 20'sinin bir gün içinde tekrar saldırıya uğradığı tespit edildi. Sitenizin tam olarak nasıl saldırıya uğradığını bilmek yararlı olacaktır. İncelemenize başlamak için Web sitelerinin spam yapanların saldırısına uğramasının en popüler yolları başlıklı kılavuzumuzu okuyun. Sitenizin nasıl saldırıya uğradığını belirleyemiyorsanız sitenizdeki güvenlik açıklarını azaltmak için bu kontrol listesini uygulayın.
- Bilgisayarınızı düzenli olarak tarayın: Virüs veya güvenlik açığı olup olmadığını kontrol etmek için popüler bir antivirüs yazılımı kullanın.
- Şifrelerinizi düzenli olarak değiştirin: Hosting sağlayıcınız, FTP ve içerik yönetim sisteminiz gibi tüm web sitesi hesaplarınızın şifrelerini düzenli olarak değiştirmek, sitenize yetkisiz erişimi önleyebilir. Her hesap için güçlü ve benzersiz bir şifre oluşturmak önemlidir.
- 2 Adımlı Kimlik Doğrulama'yı (2FA) kullanın: Oturum açmanızı gerektiren tüm hizmetlerde 2FA'yı etkinleştirmeyi düşünün. Bu sayede, bilgisayar korsanları şifrenizi çalmayı başarsa bile oturum açamaz.
- İçerik yönetim sisteminizi, eklentilerinizi, uzantılarınızı ve modüllerinizi düzenli olarak güncelleyin: Bu adımı zaten tamamlamış olabilirsiniz. Birçok site, güncel olmayan yazılımlar kullandığı için saldırıya uğrar. Bazı CMS'ler otomatik güncellemeyi desteklemektedir.
- Sitenizi izlemek için bir güvenlik hizmetine abone olmayı düşünebilirsiniz: Sitenizi küçük bir ücret karşılığında izlemenize yardımcı olabilecek birçok hizmet vardır. Sitenizi güvende tutmak için bu tür bir hizmete kaydolabilirsiniz.
Ek kaynaklar
Sitenizi düzeltmekte hâlâ sorun yaşıyorsanız size yardımcı olabilecek birkaç kaynak daha vardır.
Bu araçlar sitenizi tarar ve sorunlu içerikleri bulabilir. VirusTotal dışındaki araçları Google çalıştırmamakta veya desteklememektedir.
Bunlar, sitenizi sorunlu içerik açısından tarayabilecek araçlardan yalnızca bazılarıdır. Bu tarayıcıların her tür sorunlu içeriği tanımlayacağını garanti edemeyeceğini unutmayın.
Google'ın sunduğu, size yardımcı olabilecek ek kaynaklarından bazıları: