Chrome Dev Summit 2018 is happening now and streaming live on YouTube. Watch now.

Gizlenmiş anahtar kelimeler ve bağlantılar saldırısını düzeltme

Bu rehber, anlamsız kelimeler saldırısı adını verdiğimiz ve sitenize anahtar kelime ağırlıklı anlamsız sayfalar ekleyen belirli bir tür saldırı hakkında bilgi vermek için hazırlandı. Popüler İçerik Yönetim Sistemleri (CMS) kullanıcıları için tasarlanan bu rehberi, CMS kullanmasanız bile faydalı bulacağınızı düşünüyoruz.

Not: Sitenizin saldırıya uğramış olup olmadığından emin değil misiniz? İlk olarak, sitenizin saldırıya uğramış olup olmadığını kontrol etme rehberimizi okuyun.

İçindekiler

Bu tür saldırıları belirleme

Gizlenmiş anahtar kelimeler ve bağlantı saldırısı, anlamlı olmayan metin, bağlantı ve resimlerin olduğu çok sayıda sayfayı otomatik olarak oluşturur. Bu sayfalar bazen orijinal sitedeki temel şablon öğelerini içerir. Bu nedenle içerik okununcaya kadar sayfalar ilk bakışta sitenizin normal bölümleri gibi görünebilir.

Saldırıya uğramış sayfalar, Google'ın sıralama faktörlerini değiştirmek amacıyla oluşturulur. Bilgisayar korsanları sıklıkla, saldırıya uğramış sayfalardaki bağlantıları farklı üçüncü taraflara satarak para kazanmaya çalışırlar. Saldırıya uğramış sayfalar çoğu kez ziyaretçileri, bilgisayar korsanlarının para kazanabileceği pornografi içerikli site gibi alakasız bir sayfaya yönlendirir.

Böyle bir sorunun olup olmadığını kontrol etmek için ilk olarak Search Console'daki Güvenlik Sorunları aracını kullanın. Bu araç, Google'ın sitenizde bu tür saldırıya uğramış sayfa bulup bulmadığını gösterir. Bazen, bir Google Arama penceresi açıp site:[your site] yazarak da bunun gibi sayfalar olup olmadığını görebilirsiniz. Bu şekilde arama yaptığınızda, saldırıya uğramış sayfalar da dahil olmak üzere Google'ın siteniz için dizine eklediği sayfalar gösterilir. Normal olmayan URL'ler olup olmadığını görmek için arama sonuçlarının birkaç sayfasına göz atın. Google Arama'da saldırıya uğramış bir içerik görmüyorsanız, aynı arama terimlerini farklı bir arama motoruyla deneyin. Diğer arama motorları, Google'ın dizinden kaldırdığı saldırıya uğramış içeriği gösterebilir. Bunun nasıl görüneceğine ilişkin bir örnek aşağıda verilmiştir.

Not: Buradaki arama sonuçlarının, site sahibi tarafından oluşturulmayan birçok sayfa içerdiğine dikkat edin. İkinci ve üçüncü arama sonuçlarının açıklamalarını yakından incelerseniz, bu saldırının oluşturduğu anlamsız metin örnekleri görürsünüz.

Saldırıya uğramış bir sayfayı ziyaret ettiğinizde, sayfanın mevcut olmadığını gösteren bir mesaj (404 hatası gibi) görebilirsiniz. Aldanmayın! Bilgisayar korsanları, saldırıya uğramış sayfaların kaldırıldığına veya düzeltildiğine inanmanızı sağlayarak, sitenizin düzelmiş olduğunu düşünmeniz için sizi kandırmaya çalışacaklardır. Bunu, sayfadaki içeriği gizleyerek yaparlar. Google Gibi Getir aracına sitenizin URL'lerini girerek, gizleme olup olmadığını kontrol edebilirsiniz. Google Gibi Getir aracı sayfadaki gizli içeriği görebilmenize olanak sağlar. Saldırıya uğramış sayfaların neye benzediğine ilişkin bir örneği aşağıda bulabilirsiniz.

Sorunu düzeltme

Başlamadan önce, dosyaları kaldırmadan çevrimdışı kopyalarını alın. Daha sonra bunları geri yüklemeniz gerekebilir. Daha da iyisi, temizlik işlemine başlamadan önce sitenin tamamını yedekleyin. Bunun için sunucunuzdaki tüm dosyaları sunucu dışındaki bir konuma kaydedebilir veya kullandığınız CMS'nin en iyi yedekleme seçenekleri için arama yapabilirsiniz.

.htaccess dosyanızı kontrol edin (3 adım)

Gizli anahtar kelimeler ve bağlantı saldırısı sitenizde otomatik olarak gizli sayfalar oluşturmak için .htaccess dosyanızı kullanır. Resmi Apache sitesindeki .htaccess ile ilgili temel bilgiler konusunda bilgi edinirseniz, saldırının sitenizi nasıl etkilediğini daha iyi anlayabilirsiniz, ama bu zorunlu değildir.

1. Adım

Sitenizde .htaccess dosyanızı bulun. Dosyanın yerinden emin değilseniz ve WordPress, Joomla veya Drupal gibi bir CMS kullanıyorsanız, bir arama motorunda CMS'nizin adıyla birlikte ".htaccess dosyasının konumu" araması yapın. Sitenize bağlı olarak birden fazla .htaccess dosyası görebilirsiniz. Tüm .htaccess dosya konumlarının bir listesini yapın.

Not: .htaccess genellikle "gizli bir dosyadır". Arama yaparken gizli dosyaları gösterme seçeneğini etkinleştirdiğinizden emin olun.

2. adım

Dosyadaki içeriği görüntülemek için .htaccess dosyasını açın. Dosyada, aşağıdakine benzer bir kod satırı görmelisiniz:

  RewriteRule (.*cj2fa.*|^tobeornottobe$) /injected_file.php?q=$1 [L]

Bu satırdaki değişkenler değişebilir. Hem "cj2fa" hem de "tobeornottobe" karışık harfler veya kelimelerden oluşan herhangi bir dize olabilir. Önemli olan bu satırda başvuruda bulunulan .php dosyasını belirleyebilmektir.

.htaccess dosyasında bahsedilen .php dosyasının yazın. Örnekteki .php dosyasının adı "injected_file.php" olarak belirtilmiştir, ancak gerçekte .php dosyasının böyle açıkça belli bir adı olmayacaktır. Genellikle "horsekeys.php", "potatolake.php" gibi zararsız kelimelerden oluşur. Bu büyük olasılıkla izlememiz ve daha sonra kaldırmamız gereken kötü amaçlı .php dosyasıdır.

.htaccess dosyanızda RewriteRule ve .php olan satırların hepsi kötü amaçlı değildir. Bir kod satırının işlevinden emin değilseniz, Web Yöneticisi Yardım Forumlarında deneyimli yöneticilerden yardım alabilirsiniz.

3. adım

Tüm .htaccess dosyalarını .htaccess dosyasının temiz veya varsayılan sürümü ile değiştirin. Genellikle .htaccess dosyasının varsayılan bir sürümünü "varsayılan .htaccess dosyası" ve CMS'nizin adını arayarak bulabilirsiniz. Birden fazla .htaccess dosyasına sahip sitelerde her birinin temiz sürümünü bulun ve değiştirin.

Varsayılan .htaccess yoksa ve daha önce sitenizde hiç .htaccess dosyası yapılandırmadıysanız, sitenizde bulacağınız .htaccess dosyası muhtemelen kötü amaçlıdır. Gerekli olması ihtimaline karşın .htaccess dosyalarının kopyasını çevrimdışı olarak kaydedin ve sitenizdeki .htaccess dosyasını silin.

Diğer kötü amaçlı dosyaları bulma ve kaldırma (5 adım)

Kötü amaçlı dosyaların belirlenmesi zor olabilir ve birkaç saat sürebilir. Dosyalarınızı kontrol etmek için zaman ayırın. Henüz yapmadıysanız sitenizdeki dosyaları yedeklemek için bu iyi bir zamandır. Sitenizi nasıl yedekleyeceğinizle ilgili talimatları öğrenmek için Google'da "site yedekleme" ve CMS'nizin adını arayın.

1. adım

CMS kullanıyorsanız, varsayılan dağıtımla birlikte gelen çekirdek (varsayılan) dosyaların tamamını ve sonradan eklediğiniz (temalar, modüller, eklentiler gibi) her şeyi yeniden yükleyin. Bu şekilde dosyaların saldırıya uğrayan içerik barındırmadığından emin olabilirsiniz. Yeniden yükleme işlemiyle ilgili talimatları bulmak için Google'da "yeniden yükleme" ve CMS adınızı aratabilirsiniz. Eklenti, modül, uzantı veya temalarınız varsa, bunları da yeniden yüklediğinizden emin olun.

Çekirdek dosyalarınızı yeniden yüklemek, yaptığınız tüm özelleştirmeleri kaybetmenize neden olabilir. Yeniden yüklemeden önce veritabanınızı ve tüm dosyalarınızı yedeklediğinizden emin olun.

2. adım

Daha önce .htaccess dosyasında tanımladığınız .php dosyasını arayarak başlayın. Sunucunuzdaki dosyalara erişme yönteminize bağlı olarak, bir şekilde arama işlevinizin olması gerekir. Kötü amaçlı dosyanın adını arayın. Bulursanız, önce yedek bir kopyasını oluşturun ve daha sonra geri yüklemenizin gerekmesi ihtimaline karşın başka bir yerde saklayın, ardından dosyayı siteden silin.

3. adım

Kötü amaçlı veya güvenliği ihlal edilmiş başka dosyalar olup olmadığına bakın. Önceki iki adımda tüm kötü amaçlı dosyaları kaldırmış olabilirsiniz, ancak sitenizde güvenliği ihlal edilmiş başka dosyalar kalmış olması ihtimaline karşın sonraki birkaç adımı uygulamanız en iyisidir.

Her PHP dosyasını açıp incelemeniz gerekeceğini düşünerek endişelenmeyin. Araştırmak istediğiniz şüpheli PHP dosyalarının bir listesini oluşturarak başlayın. Şüpheli PHP dosyalarını belirlemenin birkaç yolu vardır:

  • CMS dosyalarınızı yeniden yüklediyseniz, yalnızca varsayılan CMS dosyalarınızın veya klasörlerinizin parçası olmayan dosyalara bakın. Bu şekilde çok sayıda PHP dosyasını elerseniz ve bakmanız gereken az sayıda dosya kalır.
  • Sitenizdeki dosyaları en son değiştirilme tarihine göre sıralayın. Sitenizin saldırıya uğradığınızı ilk keşfettiğiniz tarihten önceki birkaç ay içinde değiştirilmiş dosyaları arayın.
  • Sitenizdeki dosyaları boyuta göre sıralayın. Normaldan büyük dosyaları arayın.

4. Adım

Şüpheli PHP dosyalarının bir listesini hazırladıktan sonra bu dosyaların normal veya kötü amaçlı olup olmadıklarını kontrol edin. PHP'ye aşina değilseniz bu işlem uzun sürebilir. Bu nedenle bazı PHP dokümanlarına göz atmak isteyebilirsiniz. Ancak kodlama konusunda tamamen yeni olsanız bile, kötü amaçlı dosyaları belirlemek için bakabileceğiniz bazı temel kalıplar vardır.

Öncelikle, halihazırda belirlediğiniz şüpheli dosyalara göz atarak karışık harflerden ve rakamlardan oluşan büyük metin blokları olup olmadığına bakın. Büyük metin bloğunun öncesinde genellikle, base64_decode, rot13, eval, strrev, gzinflate gibi PHP işlevleri olur. Örnek bir kod bloğunu burada görebilirsiniz. Bazen tüm bu kod uzun bir metin satırına yerleştirilir ve bu şekilde gerçekte olduğundan daha küçük görünür.

<!--Hackers try to confuse webmasters by encoding malicious code into blocks of texts.
Be wary of unfamiliar code blocks like this.-->

base64_decode(strrev("hMXZpRXaslmYhJXZuxWd2BSZ0l2cgknbhByZul2czVmckRWYgknYgM3ajFGd0FGIlJXd0Vn
ZgknbhBSbvJnZgUGdpNHIyV3b5BSZyV3YlNHIvRHI0V2Zy9mZgQ3Ju9GRg4SZ0l2cgIXdvlHI4lmZg4WYjBSdvlHIsU2c
hVmcnBydvJGblBiZvBCdpJGIhBCZuFGIl1Wa0BCa0l2dgQXdCBiLkJXYoBSZiBibhNGIlR2bjBycphGdgcmbpRXYjNXdmJ2b
lRGI5xWZ0Fmb1RncvZmbVBiLn5WauVGcwFGagM3J0FGa3BCZuFGdzJXZk5Wdg8GdgU3b5BicvZGI0xWdjlmZmlGZgQXagU2ah
1GIvRHIzlGa0BSZrlGbgUGZvNGIlRWaoByb0BSZrlGbgMnclt2YhhEIuUGZvNGIlxmYhRWYlJnb1BychByZulGZhJXZ1F3ch
1GIlR2bjBCZlRXYjNXdmJ2bgMXdvl2YpxWYtBiZvBSZjVWawBSYgMXagMXaoRFIskGS"));

Bazen kod karıştırılmaz ve normal yazı gibi görünür. Kodun kötü olup olmadığından emin değilseniz dosyalara bakmanıza yardımcı olabilecek deneyimli web yöneticilerini bulacağınız Web Yöneticisi Yardım Forumlarımıza uğrayın.

5. Adım

Artık şüpheli dosyaların hangileri olduğunu bildiğinize göre, kötü amaçlı olmamaları ihtimaline karşın bunları bilgisayarınıza kaydederek yedekleyin veya yerel bir kopyasını oluşturun ve sonra şüpheli dosyaları silin.

Sitenizin temiz olup olmadığını kontrol etme

Saldırıya uğrayan dosyalardan kurtulduğunuzda tüm bu çabalarınızın işe yarayıp yaramadığını kontrol edin. Daha önce belirlediğiniz, anlamsız kelimelerin olduğu sayfaları hatırlıyor musunuz? Bu sayfaların hâlâ olup olmadıklarını görmek için bu sayfalarda Google Gibi Getir aracını tekrar kullanın. Google Gibi Getir'de "Bulunamadı" yanıtını döndürürlerse, durumunuz oldukça iyi demektir ve sitenizdeki güvenlik açıklarını düzeltmeye devam edebilirsiniz.

Sitenizde hâlâ saldırıya uğramış içerik olup olmadığını kontrol etmek için Saldırıya Uğramış Siteler İçin Sorun Giderici'deki adımları da uygulayabilirsiniz.

Yeniden saldırıya uğramayı nasıl önleyebilirim?

Sitenizdeki güvenlik açıklarını düzeltmek, sitenizi düzeltme işleminin son adımıdır ve çok önemlidir. Yakın zamanda gerçekleştirilen bir araştırma, saldırıya uğrayan sitelerin %20'sinin 1 gün içinde tekrar saldırıya uğradığını gösteriyor. Sitenizin tam olarak nasıl saldırıya uğradığını bilmek yararlı olacaktır. Araştırmaya başlamak üzere spam yapanların web sitelerine saldırmak için en çok kullandığı yöntemler rehberimizi okuyun. Ancak sitenizin ne şekilde saldırıya uğradığını bulamıyorsanız, sitenizdeki güvenlik açıklarını azaltmak için yapabileceklerinizin bir listesi aşağıda verilmiştir.

  • CMS, eklentiler, uzantılar ve modüllerinizi düzenli olarak güncelleyin: Bu adımı zaten uyguladığınızı umarız. Çoğu site, çalıştırdıkları eski yazılımlar nedeniyle saldırıya uğramaktadır. Bazı CMS'ler otomatik güncellemeyi desteklemektedir.
  • Bilgisayarınızı düzenli aralıklarla tarayın: Virüsleri veya güvenlik açıklarını kontrol etmek için bilinen virüs tarayıcılarından birini kullanın.
  • Şifrelerinizi düzenli olarak değiştirin: Barındırma sağlayıcı, FTP ve CMS gibi tüm web sitesi hesaplarınızın şifrelerini düzenli olarak değiştirmek, sitenize yetkisiz erişimi önleyebilir. Her hesap için güçlü ve benzersiz bir şifre oluşturmanız önemlidir.
  • İki Faktörlü Kimlik Doğrulama (2FA) kullanın: Oturum açmanızı gerektiren herhangi bir hizmette 2FA'yı etkinleştirmeyi düşünün. 2FA, bilgisayar korsanlarının şifreleri başarıyla çalsalar dahi giriş yapmalarını zorlaştırır.
  • Sitenizi izlemek için bir güvenlik hizmetine abone olmayı düşünün: Sitenizi küçük bir ücret karşılığında izlemenize yardımcı olabilecek birçok etkili hizmet bulunmaktadır. Sitenizi güvende tutmak için bu tür bir hizmete kaydolabilirsiniz.

Ek kaynaklar

Sitenizi düzeltme konusunda sorun yaşamaya devam ederseniz, size yardımcı olabilecek başka kaynaklar da mevcuttur.

Bu araçlar sitenizi tarar ve sorunlu içerikleri bulabilir. VirusTotal dışındaki araçları Google çalıştırmaz veya desteklemez.

Virus Total, Aw-snap.info, Sucuri Site Check, Quttera: Bunlar, sitenizdeki sorunlu içeriği tarayabilecek araçlardır. Bu tarayıcıların, her türlü sorunlu içeriği bulmayı garanti edemediklerini unutmayın.

Google'ın sunduğu, size yardımcı olabilecek ek kaynaklarından bazıları:

Yararlı olabileceğini düşündüğünüz bir araç burada yok mu? Geri bildirim bırakın ve bize bildirin.