Sitenizi temizleme ve bakımını yapma

Sitenizi temiz tutmak ve gelecekteki saldırıları önlemek için aşağıdakilere ihtiyacınız vardır:

  • Sitenizin sunucularına kabuk veya terminal yöneticisi erişimi: web, veritabanı, dosyalar
  • Kabuk veya terminal komutları bilgisi
  • Kodu anlama (PHP veya JavaScript gibi)
  • Dosyalar, veritabanı ve resimler dahil olmak üzere sitenizin yedeklerini oluşturmak için depolama alanı

Sonraki işlemler

Bu adımda çeşitli işlemleri anlatacağız:

  • Bilgisayar korsanının kullanıcıların kişisel bilgilerini ele geçirmek istediğini düşünüyorsanız (ör. kimlik avı sayfaları kullanarak) ek kaynakların nerede bulunabileceği.
  • Bilgisayar korsanı tarafından oluşturulan ve Google Arama sonuçlarında görünmesini istemediğiniz tamamen yeni, istenmeyen, kullanıcı tarafından görülebilen URL'leri kaldırma işlemini hızlandırmak için Search Console'da URL'leri kaldır'ı kullanma seçeneği.
  • Google Arama sonuçlarında görünmesini istediğiniz temiz sayfaların (yani yeni olan veya yeni güncellenmiş sayfaların) Google tarafından işlenmesini hızlandırmak için Search Console'da Google'dan URL'lerinizi yeniden taramasını isteyin seçeneği.
  • Yazılımın en son, en güvenli sürümünün yüklenmesi.
  • Sitenizi gelecekte tehlikelere daha açık hale getirebilecek gereksiz veya kullanılmayan uygulamaları ya da eklentileri kaldırma.
  • İyi içeriği geri yükleme ve bilgisayar korsanının içeriğini kaldırma.
  • Bilgisayar korsanı tarafından kötüye kullanılan güvenlik açığının asıl nedenini ortadan kaldırma.
  • Tüm şifreler değiştiriliyor.
  • Sitenizi güvende tutmayı planlama.

1. Destek kaynaklarını bulma

Sitenizden gizli kullanıcı bilgileri elde edilmişse (örneğin, bir kimlik avı saldırısı için), sitenizi temizlemeye veya dosyaları silmeye başlamadan önce işle ilgili, düzenleyici veya yasal sorumlulukları göz önünde bulundurmak isteyebilirsiniz. Kimlik avı durumunda, antiphishing.org adresinde Siteniz kimlik avı yapanlar tarafından saldırıya uğramışsa ne yapacaksınız? başlıklı belge gibi yararlı kaynaklar bulunmaktadır.

2. Bilgisayar korsanı tarafından oluşturulan yeni URL'lerin kaldırılması işlemini hızlandırmayı düşünün

Bilgisayar korsanı tamamen yeni, kullanıcı tarafından görülebilen URL'ler oluşturmuşsa Search Console'daki URL'leri kaldır özelliğini kullanarak bu sayfaların Google Arama sonuçlarından daha hızlı şekilde kaldırılmasını sağlayabilirsiniz. Bu adım isteğe bağlıdır. Yalnızca sayfaları siler ve ardından sunucunuzu bir 404 durum kodu döndürecek şekilde yapılandırırsanız sayfalar zaman içinde doğal olarak Google'ın dizininden kalkar.

  • URL Kaldırma işlevini kullanma kararı muhtemelen oluşturulan yeni, istenmeyen sayfaların sayısına (çok fazla sayıda sayfanın URL Kaldırma işlevine eklenmesi zahmetli olabilir) ve bu sayfaların kullanıcılarda neden olabileceği olası hasara bağlı olacaktır. URL Kaldırma işleviyle gönderilen sayfaların arama sonuçlarında artık görünmemesi için sayfaların istenmeyen ve kaldırılan URL'ler için "404 Dosya Bulunamadı" yanıtı döndürecek şekilde yapılandırıldığından da emin olun.
  • Önceden iyi olup yalnızca bilgisayar korsanı tarafından zarar gören sayfaların kaldırılmasını istemek için bu aracı kullanmayın. Bu sayfaların temizlendikten sonra arama sonuçlarında görünmesini istersiniz. URL Kaldırma aracı sadece sonuçlarda hiçbir zaman görmek istemediğiniz sayfalar içindir.

3. Google'ın temiz sayfalarınızı işlemesini hızlandırmayı düşünün

Yeni veya güncellenmiş temiz sayfalarınız varsa, bu sayfaları Google'ın dizinine göndermek için Search Console'da Google'dan URL'lerinizi yeniden taramasını isteyebilirsiniz. Bu işlem isteğe bağlıdır; bu adımı atlarsanız yeni veya değiştirilmiş sayfalarınız muhtemelen zaman içinde taranır ve işlenir.

4. Sunucularınızı temizlemeye başlayın.

Şimdi Hasarı değerlendirme ve Güvenlik açığını bulma adımlarında aldığınız notlara dayanarak sitenizi temizlemeye sıra geldi. Bu adımda kullanacağınız yol, elinizdeki yedeğin türüne bağlıdır:

  • Temiz ve güncel yedek
  • Temiz, ancak eski yedek
  • Hiç yedek yok

Öncelikle, yedeğinizin, siteniz saldırıya uğramadan önce oluşturulup oluşturulmadığını kontrol edin.

Temiz ve güncel yedek

  1. Yedeğinizi geri yükleyin.
  2. Varolan yeni yazılım sürümlerini, güncellemeleri veya yamaları yükleyin. Buna, sunucu kontrolünüz sizde olduğu için işletim sistemi yazılımları ve içerik yönetimi sistemi, e-ticaret platformu, eklentiler veya şablonlar gibi tüm uygulamalar dahildir.
  3. Sitenin artık kullanmadığı yazılımları (widget'lar, eklentiler veya uygulamalar gibi) sunucunuzdan kaldırmayı düşünün.
  4. Güvenlik açığını kapatın.
  5. Hasarı değerlendirme adımında bulunan tüm sorunların düzeltildiğinden emin olun.
  6. Siteyle ilgili tüm hesaplar için şifreleri (ör. FTP erişimi, veritabanı erişimi, sistem yöneticileri ve CMS hesapları için girişler) bir kez daha değiştirin. Unix tabanlı sistemlerde:
passwd admin1

Temiz, ancak eski yedek

  1. Hâlâ virüslü olsa bile geçerli sitenizin bir disk görüntüsünü oluşturun. Bu kopya sadece güvenlik içindir. Kopyayı diğerlerinden ayırt etmek için virüslü olarak işaretleyin. Unix tabanlı bir sistemde disk görüntüsü şu şekilde oluşturulabilir:
dd if=/dev/sda bs=1024 conv=noerror,sync | gzip -c -9 \
> /mirror/full-backup-20120125-infected.gz
  1. Resimler ve medya dosyaları da dahil olmak üzere sunucunuzun bir yedek dosya sistemi kopyasını oluşturun. Veritabanınız varsa onu da yedekleyin.
tar -pczf full-backup-20120125-infected.tar.gz www/
mysqldump -u root -p --all-databases | gzip -9 \
> fulldb_backup-20120125-infected.sql
  1. Temiz, ancak eski yedeği sunucunuza geri yükleyin.
  2. Sunucunuzda sitenin artık kullanmadığı yazılımları (ör. widget'lar, eklentiler veya uygulamalar) kaldırıp kaldıramayacağınızı düşünün.
  3. Sunucunun kontrolü sizde ise işletim sistemi dahil tüm yazılımları ve yazılım uygulamalarını (içerik yönetimi sistemi, e-ticaret platformu, eklentiler ve şablonlar gibi) yeni sürüme geçirin. Mevcut güvenlik güncellemelerini ve yamaları kontrol edip yüklediğinizden emin olun.
  4. Güvenlik açığını kapatın.
  5. Temiz yedek ile virüs bulaşmış geçerli kopya arasında manuel veya otomatik olarak bir site diff işlemi gerçekleştirin.
diff -qr www/ backups/full-backup-20120124/
  1. Virüslü kopyadan korumak istediğiniz yeni ve temiz içeriği yeni sürüme geçirilmiş sunucuya yükleyin.
rsync -avz /backups/full-backup-20120124/www/clean-file.jpg /www/
  1. Hasarı değerlendirme adımında listelenen tüm URL'lerin düzeltildiğinden emin olun.
  2. Siteyle ilgili tüm hesaplar için şifreleri (ör. FTP erişimi, veritabanı erişimi, sistem yöneticileri ve CMS hesapları için girişler) bir kez daha değiştirin. Unix tabanlı sistemlerde:
$passwd admin1

Hiç yedek yok

Hâlâ virüslü olsa da sitenizin iki yedeğini oluşturun. Ekstra bir yedek sahibi olmak, yanlışlıkla silinen içeriği kurtarmanıza ve işler ters gittiğinde geri dönüp tekrar denemenize yardımcı olur. Gelecekte referans olması için her yedeğe “virüslü” etiketi ekleyin.

Yedeklerinizden biri bir disk görüntüsü veya sitenizin "klon sürümü" olacaktır. Bu biçim, içerik geri yüklemeyi çok daha basit hale getirir. Acil durum için disk görüntüsünü bir kenarda tutabilirsiniz. Unix tabanlı bir sistemde, disk görüntüsü oluşturmak için aşağıdaki kodu kullanın:

dd if=/dev/sda bs=1024 conv=noerror,sync | gzip -c -9 \
> /mirror/full-backup-20120125-infected.gz

Diğer yedek, sunucunuzdan bir dosya sistemi kopyası (görseller ve medya dosyaları dahil) olacaktır. Veritabanınız varsa onu da yedekleyin.

tar -pczf full-backup-20120125-infected.tar.gz www/
mysqldump -u root -p --all-databases | gzip -9 \
> fulldb_backup-20120125-infected.sql

Disk görüntünüz yoksa veritabanının ve dosya sisteminin ikişer yedeğini oluşturun.

Yeni yedek dosya sistemi kopyasında (sunucunun kendisinde değil) sitenin içeriğini temizlemek için aşağıdakileri yapın:

  1. Daha önceki araştırmanızda çok esnek dosya izinleri bulduysanız devam edin ve onları düzeltin. Bunu sunucunun kendisinde değil, yedek kopyada yaptığınızdan emin olun.
  2. Ayrıca yedek kopyada, Hasarı değerlendirme bölümünde güvenliği ihlal edildiği tespit edilen URL'lere ilişkin tüm dosyaları temizleyin. Bunlar, sunucu yapılandırma dosyaları, JavaScript, HTML veya PHP olabilir.
  3. Ayrıca, Search Console'daki URL Kaldırma aracını kullanarak göndermiş veya göndermemiş olabileceğiniz, bilgisayar korsanının oluşturduğu yeni dosyalar için (bir 404 yanıtı sunma) dosyanın da kaldırıldığından emin olun.
  4. Kodunuzda veya kırılan şifrelerinizde güvenlik açığı varsa kapatın. Giriş doğrulama kitaplıkları veya güvenlik denetlemeleri yardımcı olabilir.
  5. Sitenizde veritabanı varsa, yedeğinizde bilgisayar korsanı tarafından değiştirilmiş kayıtları temizlemeye başlayın. Bitti demeden önce, veritabanının temiz göründüğünden emin olmak için daha fazla kaydı kontrol edin.
  6. Siteyle ilgili tüm hesaplar için şifreleri (örneğin, FTP erişimi, veritabanı erişimi, sistem yöneticileri ve CMS hesapları için girişler) bir kez daha değiştirin. Unix tabanlı sistemlerde şu kodu kullanın:
$passwd admin1

Bu noktada, daha önce virüslü olan sitenizin yedek kopyası artık yalnızca temiz veriler içermelidir. Bu temiz kopyayı bir kenarda saklayın ve 5 numaralı işleme gidin.

5. Gereksiz yazılımları kaldırın

Sunucunuzda sitenin artık kullanmadığı yazılımları (ör. widget'lar, eklentiler veya uygulamalar) kaldırıp kaldıramayacağınızı düşünün. Bu, güvenliği artırabilir ve gelecekte bakımı basitleştirebilir.

6. Tüm sunucuları temizleyin

  1. Sadece yeni sürüme geçme değil, temiz bir yükleme yapın. Yeni sürüme geçme işlemleri geride eski bir sürümden dosya bırakabilir. Virüslü bir dosya sunucuda kalırsa sitenizin tekrar saldırıya uğrama olasılığı artar.
    • Yeni yükleme, sunucunun kontrolü sizde ise işletim sistemini ve tüm yazılım uygulamalarını (içerik yönetim sistemi, e-ticaret platformu, eklentiler ve şablonlar gibi) içermelidir. Mevcut güvenlik güncellemelerini ve yamalarını kontrol ettiğinizden emin olun.
  2. Temiz yedek dosya sistemi kopyasından iyi içerikleri yeni yüklenmiş sunuculara aktarın. Yalnızca bilinen temiz dosyaları veya veritabanını yükleyin ve geri yükleyin. Uygun dosya izinlerini koruduğunuzdan ve yeni yüklenen sistem dosyalarının üzerine yazmadığınızdan emin olun.
  3. Siteyle ilgili tüm hesaplar için şifreleri (ör. FTP erişimi, veritabanı erişimi, sistem yöneticileri ve CMS hesapları için girişler) son bir kez daha değiştirin. Unix tabanlı sistemlerde şu kodu kullanın:
passwd admin1

7. Uzun vadeli bir bakım planı yapın

Aşağıdakileri yapmanızı kesinlikle öneririz:

  • Sitenizin düzenli olarak ve otomatik şekilde yedeklerini oluşturun.
  • Yazılımı güncel tutma konusunda tedbirli olun.
  • Sunucunuza yüklemeden önce tüm uygulamaların, eklentilerin ve diğer üçüncü taraf yazılımların güvenlik uygulamalarını öğrenin. Bir yazılım uygulamasındaki güvenlik açığı, sitenizin tamamının güvenliğini etkileyebilir.
  • Güçlü şifreler oluşturulmasını zorunlu kılın.
  • Makinede oturum açmak için kullanılan tüm cihazları güvenli tutun (güncellenmiş işletim sistemi ve tarayıcı).

8. Temizleme işleminin tamamlandığını bir daha kontrol edin

Aşağıdaki sorulara “evet” yanıtı verebildiğinizden emin olun:

  • Bilgisayar korsanı kullanıcıların kişisel bilgilerini ele geçirmişse uygun adımları attım mı?
  • Sistemde yazılımın en yeni, en güvenli sürümü mü çalışıyor?
  • Sitemi gelecekte tehditlere açık hale getirebilecek gereksiz veya kullanılmayan tüm uygulamaları veya eklentileri kaldırdım mı?
  • İçeriğimi geri yükleyip bilgisayar korsanının içeriklerini kaldırdım mı?
  • Siteme saldırı yapılmasına olanak veren güvenlik açığının asıl nedenini ortadan kaldırdım mı?
  • Sitemi güven altında tutacak bir planım var mı?

Şimdi sitenizi tekrar çevrimiçi yapabilirsiniz.