Bu kılavuz, sitenizde Japonca anahtar kelime saldırısı adını verdiğimiz otomatik oluşturulmuş Japonca metin oluşturan bir saldırı türü için özel olarak hazırlanmıştır. Popüler İçerik Yönetim Sistemleri (CMS) kullanıcıları için tasarlanmıştır ancak İYS kullanmasanız bile bu kılavuzu faydalı bulabilirsiniz.
Bu kılavuzun sizin için gerçekten yararlı olduğundan emin olmak istiyoruz. İyileştirmemize yardımcı olmak için geri bildirim bırakın!
Bu saldırı türünü tanımlayın
Japonca anahtar kelime saldırısı genellikle sitenizde rastgele oluşturulmuş dizin adlarında otomatik olarak Japonca metin içeren (örneğin, http://example.com/ltjmnjp/341.html) yeni sayfalar oluşturur. Bu sayfalar sahte markalı ürünler satan mağazaların satış ortağı bağlantıları kullanılarak para kazandırır ve daha sonra Google Arama'da gösterilir. Aşağıda, bu sayfalardan birinin nasıl göründüğüne ilişkin bir örnek verilmiştir:
Bu saldırı türünde, bilgisayar korsanı sitenizin coğrafi hedefleme veya site haritaları gibi ayarlarını değiştirerek kârını artırmak için genellikle kendisini Search Console'a mülk sahibi olarak ekler. Tanımadığınız birinin Search Console'da sitenizi doğruladığına dair bir bildirim aldıysanız, sitenizin saldırıya uğramış olma olasılığı yüksektir.
Google'ın sitenizde bu şekilde saldırıya uğramış sayfalar bulup bulmadığını görmek için Search Console'daki Güvenlik Sorunları aracını kontrol ederek başlayın. Bazen, bir Google Arama penceresi açıp sitenizin kök düzeyi URL'siyle site:_your site url_ yazarak da bunun gibi sayfalar olup olmadığını görebilirsiniz. Bu şekilde arama yaptığınızda, saldırıya uğramış sayfalar da dahil olmak üzere Google'ın siteniz için dizine eklediği sayfalar gösterilir. Normal olmayan URL'ler olup olmadığını görmek için arama sonucu sayfalarına göz atın. Google Arama'da saldırıya uğramış bir içerik görmüyorsanız, aynı arama terimlerini farklı bir arama motorunda kullanın. Bunun nasıl görüneceğine dair
bir örnek verelim:
Saldırıya uğramış bir sayfanın bağlantısını tıkladığınızda, genellikle ya başka bir siteye yönlendirilir ya da anlamsız içeriklerle dolu bir sayfa görürsünüz. Ancak, sayfanın mevcut olmadığını gösteren bir mesaj da görebilirsiniz (örneğin, 404 hatası). Aldanmayın! Bilgisayar korsanları, saldırıya uğramış bir sayfanın kaldırıldığına veya düzeltildiğine inanmanız için sizi kandırmaya çalışacaklardır. Bunu, sayfadaki içeriği gizleyerek yaparlar. URL Denetleme aracına sitenizin URL'lerini girerek gizleme olup olmadığını kontrol edebilirsiniz. Google gibi Getir aracı sayfadaki gizli içeriği görmenize olanak sağlar.
Bu sorunları görürseniz siteniz büyük olasılıkla bu tür bir saldırıdan etkilenmiştir.
Sorunu giderin
Başlamadan önce, dosyaları kaldırmadan çevrimdışı kopyalarını alın. Daha sonra bunları geri yüklemeniz gerekebilir. Daha da iyisi, temizlik işlemine başlamadan önce sitenin tamamını yedekleyin. Bunun için sunucunuzdaki tüm dosyaları sunucu dışındaki bir konuma kaydedebilir veya kullandığınız İçerik Yönetim Sistemi (CMS) için en iyi yedekleme seçeneklerini arayabilirsiniz. CMS kullanıyorsanız veritabanını da yedekleyin.
Yeni oluşturulan hesapları Search Console'dan kaldırma
Tanımadığınız yeni bir sahip Search Console hesabınıza eklenmişse erişimini mümkün olan en kısa sürede iptal edin. Siteniz için doğrulanan kullanıcıları Search Console doğrulama sayfasından kontrol edebilirsiniz. Doğrulanan tüm kullanıcıları görüntülemek için siteye ilişkin "Doğrulama Ayrıntıları"nı tıklayın.
Bir sahibi Search Console'dan kaldırmak için Kullanıcıları, sahipleri ve izinleri yönetme Yardım Merkezi'nin Sahibi Kaldırma bölümüne bakın.
İlişkili doğrulama jetonunu kaldırmanız gerekir. Bu jeton, genellikle sitenizin kök dizininde bulunan bir HTML dosyası veya HTML dosyasını taklit eden dinamik olarak oluşturulmuş .htaccess dosyasıdır.
Sitenizde bir HTML doğrulama jetonu bulamazsanız .htaccess dosyanızda yeniden yazma kuralı olup olmadığını kontrol edin. Yeniden yazma kuralı şuna benzer:
RewriteEngine On
RewriteRule ^google(.*)\.html$ dir/file.php?google=$1 [L]
Dinamik olarak oluşturulan doğrulama jetonunu .htaccess dosyanızdan kaldırmak için şu adımları uygulayın:
.htaccess dosyanızı kontrol edin (2 adım)
Bilgisayar korsanları, dinamik olarak oluşturulmuş doğrulama jetonları oluşturmak için .htaccess dosyası kullanmanın yanı sıra, kullanıcıları yönlendirmek veya anlamsız kelimeler içeren spam içerikli sayfalar oluşturmak için genellikle .htaccess kurallarını kullanırlar. Özel .htaccess kurallarınız yoksa .htaccess öğenizi tamamen yeni bir kopyayla değiştirmeyi düşünebilirsiniz.
1. Adım
.htaccess dosyanızı sitenizde bulun. Dosyayı nerede bulacağınızdan emin değilseniz ve WordPress, Joomla veya Drupal gibi bir CMS kullanıyorsanız, bir arama motorunda İYS'nizin adıyla birlikte ".htaccess dosyasının konumu" araması yapın.
Sitenize bağlı olarak birden fazla .htaccess dosyası görebilirsiniz.
.htaccess dosya konumunun tümünün bir listesini yapın.
2. Adım
Tüm .htaccess dosyalarını .htaccess dosyasının temiz veya varsayılan sürümüyle değiştirin. Bir .htaccess dosyasının varsayılan sürümünü genellikle "varsayılan .htaccess dosyası" ve İYS'nizin adını arayarak bulabilirsiniz. Birden fazla .htaccess dosyası içeren sitelerde her birinin temiz bir sürümünü bulup değiştirin.
Varsayılan .htaccess yoksa ve sitenizde hiç .htaccess dosyası yapılandırmadıysanız sitenizde bulduğunuz .htaccess dosyası muhtemelen kötü amaçlıdır. Her ihtimale karşı .htaccess dosyanın bir kopyasını çevrimdışına kaydedin ve .htaccess dosyasını sitenizden silin.
Tüm Kötü Amaçlı Dosyaları ve Komut Dosyalarını Kaldırma (4 adım)
Kötü amaçlı dosyaların tanımlanması zor olabilir ve zaman alabilir. Dosyalarınızı kontrol edin. Henüz yapmadıysanız sitenizdeki dosyaları yedeklemenin tam zamanıdır. Sitenizi nasıl yedekleyeceğinizle ilgili talimatları görmek için Google'da "site yedekleme" ve İYS'nizin adını arayın.
1. Adım
CMS kullanıyorsanız, eklediğiniz tüm öğelerin (temalar, modüller veya eklentiler gibi) yanı sıra CMS'nizin varsayılan dağıtımında gelen tüm temel (varsayılan) dosyaları yeniden yükleyin. Bu şekilde dosyaların saldırıya uğrayan içerik barındırmadığından emin olabilirsiniz. Yeniden yükleme talimatlarını bulmak için Google'da "yeniden yükleme" ve CMS adınızı aratabilirsiniz. Eklenti, modül, uzantı veya temalarınız varsa, bunları da yeniden yüklediğinizden emin olun.
2. Adım
Bilgisayar korsanları genellikle URL'lerinin daha hızlı dizine eklenmesine yardımcı olmak için site haritanızı değiştirir veya yeni site haritaları eklerler. Önceden bir site haritası dosyanız varsa, dosyada şüpheli bağlantılar olup olmadığını kontrol edin ve bunları site haritanızdan kaldırın. Sitenize eklediğinizi hatırlamadığınız herhangi bir site haritası dosyası varsa, bunları tekrar kontrol edin ve yalnızca spam içerikli URL'ler içeriyorsa kaldırın.
3. Adım
Kötü amaçlı veya güvenliği ihlal edilmiş başka dosyalar olup olmadığına bakın. Önceki iki adımda tüm kötü amaçlı dosyaları önceden kaldırmış olabilirsiniz, ancak sitenizde güvenliği ihlal edilmiş daha fazla dosya olması ihtimaline karşı bu sonraki birkaç adımı uygulamak en iyisidir.
Her PHP dosyasını açıp incelemeniz gerekeceğini düşünerek endişelenmeyin. İncelemek istediğiniz şüpheli PHP dosyalarının bir listesini oluşturarak başlayın. Şüpheli PHP dosyalarını belirlemenin birkaç yolu vardır:
- CMS dosyalarınızı yeniden yüklediyseniz yalnızca varsayılan CMS dosyalarınızın veya klasörlerinizin parçası olmayan dosyalara bakın. Bu şekilde çok sayıda PHP dosyasını eler ve bakmanız gereken az sayıda dosya kalır.
- Sitenizdeki dosyaları en son değiştirilme tarihine göre sıralayın. Sitenizin saldırıya uğradığını ilk keşfettiğiniz tarihten önceki birkaç ay içinde değiştirilmiş dosyaları arayın.
- Sitenizdeki dosyaları boyuta göre sıralayın. Normaldan büyük dosyaları arayın.
4. Adım
Şüpheli PHP dosyalarının bir listesini hazırladıktan sonra bu dosyalarda kötü amaçlı içerik olup olmadığını kontrol edin. PHP'ye aşina değilseniz bu işlem uzun sürebilir. Bu nedenle bazı PHP dokümanlarına göz atmak isteyebilirsiniz. Kodlamada tamamen yeniyseniz yardım almanızı öneririz. Bu arada, kötü amaçlı dosyaları tanımlamak için arayabileceğiniz bazı temel kalıplar vardır.
Bir İçerik Yönetim Sistemi kullanıyorsanız ve PHP dosyalarını doğrudan düzenleme alışkanlığınız yoksa, sunucunuzdaki dosyaları, CMS'nin yanı sıra eklentiler ve temalarla paket halinde sunulan varsayılan dosyalar listesiyle karşılaştırın. Varsayılan sürümlerinden büyük olan dosyaların yanı sıra ait olmayan dosyaları da arayın.
Halihazırda belirlediğiniz şüpheli dosyalarda karartılmış kod blokları olup olmadığına göz atın. Karışık harfler ve rakamlardan oluşan bir kombinasyon gibi görünebilir. Bu kombinasyondan önce genellikle base64_decode, rot13, eval, strrev veya gzinflate gibi PHP işlevleri kullanılır. Örnek bir kod bloğunu
burada görebilirsiniz. Bazen tüm bu kod uzun bir metin satırına yerleştirilir ve bu şekilde gerçekte olduğundan daha küçük görünür.
$O_O0O_O0_0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70
%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");
$OO0_0OO0__=$O_O0O_O0_0{26}.$O_O0O_O0_0{6}.$O_O0O_O0_0{10}.$O_O0O_O0_0{30}
Sitenizin temiz olup olmadığını kontrol etme
Saldırıya uğrayan dosyalardan kurtulduğunuzda, emeklerinizin karşılığını alıp almadığınızı kontrol edin. Daha önce belirlediğiniz, anlamsız kelimelerin olduğu sayfaları hatırlıyor musunuz? Bu sayfaların hâlâ olup olmadıklarını görmek için bu sayfalarda Google Gibi Getir aracını tekrar kullanın. Google Gibi Getir'de"Bulunamadı" yanıtını döndürürlerse, durumunuz oldukça iyi demektir ve sitenizdeki güvenlik açıklarını düzeltmeye devam edebilirsiniz.
Yeniden saldırıya uğramayı nasıl önleyebilirim?
Sitenizdeki güvenlik açıklarını düzeltmek, sitenizi düzeltme işleminin son adımıdır ve çok önemlidir. Yakın zamanda yapılan bir araştırma, saldırıya uğrayan sitelerin% 20'sinin bir gün içinde tekrar saldırıya uğradığını gösteriyor. Sitenizin tam olarak nasıl saldırıya uğradığını bilmek yararlı olacaktır. Araştırmaya başlamak üzere spam yapanların web sitelerine saldırmak için en çok kullandığı yöntemler rehberimizi okuyun. Ancak sitenizin nasıl saldırıya uğradığını bulamıyorsanız, sitenizdeki güvenlik açıklarını azaltmak için yapabileceklerinizin bir listesi aşağıda verilmiştir.
- Bilgisayarınızı düzenli aralıklarla tarayın: Virüsleri veya güvenlik açıklarını kontrol etmek için bilinen virüs tarayıcılarından birini kullanın.
- Şifrelerinizi düzenli olarak değiştirin: Barındırma sağlayıcı, FTP ve CMS gibi tüm web sitesi hesaplarınızın şifrelerini düzenli olarak değiştirmek, sitenize yetkisiz erişimi önleyebilir. Her hesap için güçlü, benzersiz bir şifre oluşturmanız önemlidir.
- İki Faktörlü Kimlik Doğrulama (2FA) kullanın: Oturum açmanızı gerektiren herhangi bir hizmette 2FA'yı etkinleştirmeyi düşünün. 2FA, bilgisayar korsanlarının şifrenizi başarıyla çalsalar bile oturum açmalarını zorlaştırır.
- İYS'nizi, eklentilerinizi, uzantılarınızı ve modüllerinizi düzenli olarak güncelleyin: Bu adımı zaten uyguladığınızı umarız. Çoğu site eski yazılımlar çalıştırdıkları için saldırıya uğrar. Bazı CMS'ler otomatik güncellemeyi desteklemektedir.
- Sitenizi izlemek için bir güvenlik hizmetine abone olmayı düşünün: Sitenizi küçük bir ücret karşılığında izlemenize yardımcı olabilecek birçok etkili hizmet bulunmaktadır. Sitenizi güvende tutmak için bu tür bir hizmete kaydolabilirsiniz.
Ek kaynaklar
Sitenizi düzeltme konusunda sorun yaşamaya devam ederseniz, size yardımcı olabilecek başka kaynaklar da mevcuttur.
Bu araçlar sitenizi tarar ve sorunlu içerikleri bulabilir. VirusTotal dışındaki araçları Google çalıştırmamakta veya desteklememektedir.
Bunlar, sitenizdeki sorunlu içeriği tarayabilecek araçlardır. Bu tarayıcıların, her türlü sorunlu içeriği tanımlayacaklarını garanti edemediklerini unutmayın.
Google'ın sunduğu, size yardımcı olabilecek ek kaynaklarından bazıları: