Anlamsız kelimeler sorununu düzeltme

Bu kılavuz, anlamsız kelimeler saldırısı adını verdiğimiz ve sitenize anahtar kelime ağırlıklı anlamsız sayfalar ekleyen belirli bir tür saldırı hakkında bilgi vermek için hazırlandı. Platform, popüler İçerik Yönetim Sistemleri (CMS) kullanıcıları için tasarlanmıştır ancak İYS kullanmasanız bile bu kılavuzu faydalı bulabilirsiniz.

Bu kılavuzun sizin için gerçekten yararlı olduğundan emin olmak istiyoruz. İyileştirmemize yardımcı olmak için geri bildirim bırakın!

Bu saldırı türünü tanımlayın

Anlamsız kelimeler saldırısı, sitenizde anahtar kelimelerle dolu anlamsız cümleler içeren çok sayıda sayfayı otomatik olarak oluşturur. Bunlar sizin oluşturmadığınız sayfalardır, ancak kullanıcıları tıklamaya teşvik edebilecek URL'ler içerir. Bilgisayar korsanları bunu, saldırıya uğramış sayfaların Google Arama'da gösterilmesi için yaparlar. Ardından, bu sayfaları ziyaret etmeye çalışan kullanıcılar alakasız bir sayfaya yönlendirilir. Kullanıcılar bu alakasız sayfaları ziyaret ettiklerinde bilgisayar korsanları para kazanırlar. Anlamsız kelimeler saldırısından etkilenmiş bir sitede görebileceğiniz dosya türlerine bazı örnekler:

  • www.example.com/cheap-hair-styles-cool.html
  • www.example.com/free-pictures-fun.html
  • www.example.com/nice-song-download-file.php

Bazen rastgele karakterlerden oluşan bir klasörde görünürler ve farklı diller kullanırlar:

  • www.example.com/jfwoea/cheap-hair-styles-cool.html
  • www.example.com/jfwoea/free-pictures-fun.html
  • www.example.com/jfwoea/www-ki-motn-dudh-photo.php
  • www.example.com/jfwoea/foto-cewe-zaman-sekarang.php

Google'ın sitenizde bu şekilde saldırıya uğramış sayfalar bulup bulmadığını görmek için Search Console'daki Güvenlik Sorunları aracını kontrol ederek başlayın. Bazen, bir Google Arama penceresi açıp sitenizin kök düzeyi URL'siyle site:_your site url_ yazarak da bunun gibi sayfalar olup olmadığını görebilirsiniz. Bu şekilde arama yaptığınızda, saldırıya uğramış sayfalar da dahil olmak üzere Google'ın siteniz için dizine eklediği sayfalar gösterilir. Normal olmayan URL'ler olup olmadığını görmek için arama sonucu sayfalarına göz atın. Google Arama'da saldırıya uğramış bir içerik görmüyorsanız, aynı arama terimlerini farklı bir arama motorunda kullanın. Bunun nasıl görüneceğine dair bir örnek verelim:

Bu saldırıdaki sayfaları gösteren arama sonuçları.
Saldırıya uğramış sayfalar Google Arama sonuçlarında görünür.

Saldırıya uğramış bir sayfanın bağlantısını tıkladığınızda, genellikle ya başka bir siteye yönlendirilir ya da anlamsız içeriklerle dolu bir sayfa görürsünüz. Ancak, sayfanın mevcut olmadığını gösteren bir mesaj da görebilirsiniz (örneğin, 404 hatası). Aldanmayın! Bilgisayar korsanları, saldırıya uğramış bir sayfanın kaldırıldığına veya düzeltildiğine inanmanız için sizi kandırmaya çalışacaklardır. Bunu, sayfadaki içeriği gizleyerek yaparlar. URL Denetleme aracına sitenizin URL'lerini girerek gizleme olup olmadığını kontrol edebilirsiniz. Google gibi Getir aracı sayfadaki gizli içeriği görmenize olanak sağlar.

Bu sorunları görürseniz siteniz büyük olasılıkla bu tür bir saldırıdan etkilenmiştir.

Sorunu giderin

Başlamadan önce, dosyaları kaldırmadan çevrimdışı kopyalarını alın. Daha sonra bunları geri yüklemeniz gerekebilir. Daha da iyisi, temizlik işlemine başlamadan önce sitenin tamamını yedekleyin. Bunun için sunucunuzdaki tüm dosyaları sunucu dışındaki bir konuma kaydedebilir veya kullandığınız İçerik Yönetim Sistemi (CMS) için en iyi yedekleme seçeneklerini arayabilirsiniz. CMS kullanıyorsanız veritabanını da yedekleyin.

.htaccess dosyanızı kontrol edin (2 adım)

Anlamsız kelimeler saldırısı, .htaccess dosyasını kullanarak ziyaretçileri sitenizden yönlendirir.

1. Adım

.htaccess dosyanızı sitenizde bulun. Dosyayı nerede bulacağınızdan emin değilseniz ve WordPress, Joomla veya Drupal gibi bir CMS kullanıyorsanız, bir arama motorunda İYS'nizin adıyla birlikte ".htaccess dosyasının konumu" araması yapın. Sitenize bağlı olarak birden fazla .htaccess dosyası görebilirsiniz. .htaccess dosya konumunun tümünün bir listesini yapın.

2. Adım

Tüm .htaccess dosyalarını .htaccess dosyasının temiz veya varsayılan sürümüyle değiştirin. Bir .htaccess dosyasının varsayılan sürümünü genellikle "varsayılan .htaccess dosyası"nı ve İYS'nizin adını arayarak bulabilirsiniz. Birden fazla .htaccess dosyası içeren sitelerde her birinin temiz bir sürümünü bulup değiştirin.

Varsayılan bir .htaccess yoksa ve sitenizde daha önce hiç .htaccess dosyası yapılandırmadıysanız sitenizde bulduğunuz .htaccess dosyası muhtemelen kötü amaçlıdır. Her ihtimale karşı .htaccess dosyanın bir kopyasını çevrimdışına kaydedin ve .htaccess dosyasını sitenizden silin.

Diğer kötü amaçlı dosyaları bulma ve kaldırma (5 adım)

Kötü amaçlı dosyaların tanımlanması zor olabilir ve zaman alabilir. Dosyalarınızı kontrol edin. Henüz yapmadıysanız sitenizdeki dosyaları yedeklemek için iyi bir zamandır. Sitenizi nasıl yedekleyeceğinizle ilgili talimatları görmek için Google'da "site yedekleme" ve içerik yönetim sisteminizin adını arayın.

1. Adım

İçerik yönetim sistemi kullanıyorsanız içerik yönetim sisteminizin varsayılan dağıtımında gelen çekirdek (varsayılan) dosyaların yanı sıra eklemiş olabileceğiniz her şeyi (temalar, modüller, eklentiler gibi) yeniden yükleyin. Bu şekilde dosyaların saldırıya uğrayan içerik barındırmadığından emin olabilirsiniz. Yeniden yükleme talimatlarını bulmak için Google'da "yeniden yükleme" ve CMS adınızı aratabilirsiniz. Eklenti, modül, uzantı veya temalarınız varsa, bunları da yeniden yüklediğinizden emin olun.

2. Adım

Şimdi kalan kötü amaçlı veya güvenliği ihlal edilmiş dosyaları arayın. Bu, sürecin en zor ve zaman alan kısmıdır ancak bu adımdan sonra neredeyse tamamlanmış olursunuz.

Bu saldırı genellikle iki tür dosya bırakır: .txt dosyaları ve .php dosyalar. .txt dosyaları şablon dosyalarıdır, .php dosyaları ise sitenize hangi tür anlamsız içeriğin yükleneceğini belirler.

.txt dosyalarını arayarak başlayın. Sitenize nasıl bağlandığınıza bağlı olarak, dosyalar için bir tür arama özelliği görmeniz gerekir. .txt uzantısına sahip tüm dosyaları bulmak için ".txt" araması yapın. Bu dosyaların çoğu, lisans sözleşmeleri veya readme dosyaları gibi meşru dosyalardır. Spam içerikli şablonlar oluşturmak için kullanılan HTML kodunu içeren .txt dosyalarından oluşan bir kümeyi arıyorsunuz. Bu kötü amaçlı .txt dosyalarında bulabileceğiniz farklı kod snippet'lerini burada bulabilirsiniz.

<title>{keyword}</title>
<meta name="description" content="{keyword}" />
<meta name="keywords" content="{keyword}" />
<meta property="og:title" content="{keyword}" />

Bilgisayar korsanları spam yapan sayfalar oluşturmak için anahtar kelime yerleştirme işlevi kullanırlar. Büyük olasılıkla saldırıya uğramış dosyada değiştirilebilecek bazı genel kelimeler görürsünüz.

Ayrıca bu dosyaların çoğu, spam içerikli bağlantıları ve spam içerikli metinleri görünür sayfanın dışına konumlandıran bir tür kod içerir.

<div style="position: absolute; top: -1000px; left: -1000px;">
    Cheap prescription drugs
</div>

Bu .txt dosyayı kaldır. Dosyaların hepsi aynı klasördeyse klasörün tamamını kaldırın.

3. Adım

Kötü amaçlı PHP dosyalarını belirlemek biraz daha zordur. Sitenizde bir veya daha çok sayıda kötü amaçlı PHP dosyası olabilir. Bunların tümü aynı alt dizinde veya sitenizde farklı yerlerde olabilir.

Her PHP dosyasını açıp incelemeniz gerekeceğini düşünerek endişelenmeyin. Araştırmak istediğiniz şüpheli PHP dosyalarının bir listesini oluşturarak başlayın. Şüpheli PHP dosyalarını belirlemenin birkaç yolu vardır:

  • CMS dosyalarınızı halihazırda yeniden yüklemiş olduğunuzdan, yalnızca varsayılan CMS dosyalarınızın veya klasörlerinizin parçası olmayan dosyalara bakın. Bu şekilde çok sayıda PHP dosyasını elerseniz ve bakmanız gereken az sayıda dosya kalır.
  • Sitenizdeki dosyaları en son değiştirilme tarihine göre sıralayın. Sitenizin saldırıya uğradığını ilk keşfettiğiniz tarihten önceki birkaç ay içinde değiştirilmiş dosyaları arayın.
  • Sitenizdeki dosyaları boyuta göre sıralayın. Normaldan büyük dosyaları arayın.

4. Adım

Şüpheli PHP dosyalarının bir listesini hazırladıktan sonra bu dosyaların kötü amaçlı olup olmadıklarını kontrol edin. PHP'ye aşina değilseniz bu işlem uzun sürebilir. Bu nedenle bazı PHP dokümanlarına göz atmak isteyebilirsiniz. Kodlamada tamamen yeniyseniz yardım almanızı öneririz. Bu arada, kötü amaçlı dosyaları belirlemek için bakabileceğiniz bazı temel kalıplar vardır.

İçerik Yönetim Sistemi kullanıyorsanız ve bu dosyaları doğrudan düzenleme alışkanlığınız yoksa, sunucunuzdaki dosyaları, CMS'nin yanı sıra diğer eklentiler ve temalarla birlikte sunulan varsayılan dosyalar listesiyle karşılaştırın. Varsayılan sürümlerinden büyük olan dosyaların yanı sıra ait olmayan dosyaları da arayın.

Öncelikle, halihazırda belirlediğiniz şüpheli dosyalara göz atarak karışık harflerden ve rakamlardan oluşan büyük metin blokları olup olmadığına bakın. Büyük metin bloğunun önünde genellikle base64_decode, rot13, eval, strrev veya gzinflate gibi PHP işlevleri olur. Örnek bir kod bloğunu burada görebilirsiniz. Bazen tüm bu kod uzun bir metin satırına yerleştirilir ve bu şekilde gerçekte olduğundan daha küçük görünür.

// Hackers try to confuse site owners by encoding malicious code into
// blocks of text. Be wary of unfamiliar code blocks like this.

base64_decode(strrev("hMXZpRXaslmYhJXZuxWd2BSZ0l2cgknbhByZul2czVmckRWYgknYgM3ajFGd0FGIlJXd0Vn
ZgknbhBSbvJnZgUGdpNHIyV3b5BSZyV3YlNHIvRHI0V2Zy9mZgQ3Ju9GRg4SZ0l2cgIXdvlHI4lmZg4WYjBSdvlHIsU2c
hVmcnBydvJGblBiZvBCdpJGIhBCZuFGIl1Wa0BCa0l2dgQXdCBiLkJXYoBSZiBibhNGIlR2bjBycphGdgcmbpRXYjNXdmJ2b
lRGI5xWZ0Fmb1RncvZmbVBiLn5WauVGcwFGagM3J0FGa3BCZuFGdzJXZk5Wdg8GdgU3b5BicvZGI0xWdjlmZmlGZgQXagU2ah
1GIvRHIzlGa0BSZrlGbgUGZvNGIlRWaoByb0BSZrlGbgMnclt2YhhEIuUGZvNGIlxmYhRWYlJnb1BychByZulGZhJXZ1F3ch
1GIlR2bjBCZlRXYjNXdmJ2bgMXdvl2YpxWYtBiZvBSZjVWawBSYgMXagMXaoRFIskGS"));

Bazen kod karıştırılmaz ve normal yazı gibi görünür. Kodun kötü olup olmadığından emin değilseniz dosyalara bakmanıza yardımcı olabilecek deneyimli web yöneticilerini bulacağınız Google Arama Merkezi Yardım Topluluğumuzu ziyaret edin.

5. Adım

Artık hangi dosyaların şüpheli olduğunu bildiğinize göre, dosyalardan herhangi birinin kötü amaçlı olmaması ihtimaline karşın bunları bilgisayarınıza kaydederek bir yedek veya yerel kopya oluşturun ve şüpheli dosyaları sitenizden silin.

Sitenizin temiz olup olmadığını kontrol etme

Saldırıya uğrayan dosyalardan kurtulduğunuzda, emeklerinizin karşılığını alıp almadığınızı kontrol edin. Daha önce belirlediğiniz, anlamsız kelimelerin olduğu sayfaları hatırlıyor musunuz? Bu sayfaların hâlâ olup olmadıklarını görmek için bu sayfalarda Google Gibi Getir aracını tekrar kullanın. Google Gibi Getir'de"Bulunamadı" yanıtını döndürürlerse, durumunuz oldukça iyi olabilir ve sitenizdeki güvenlik açıklarını düzeltmeye devam edebilirsiniz.

Yeniden saldırıya uğramayı nasıl önleyebilirim?

Sitenizdeki güvenlik açıklarını düzeltmek, sitenizi düzeltme işleminin son adımıdır ve çok önemlidir. Yakın zamanda yapılan bir araştırma, saldırıya uğrayan sitelerin% 20'sinin bir gün içinde tekrar saldırıya uğradığını gösteriyor. Sitenizin tam olarak nasıl saldırıya uğradığını bilmek yararlı olacaktır. Araştırmaya başlamak üzere spam yapanların web sitelerine saldırmak için en çok kullandığı yöntemler rehberimizi okuyun. Ancak sitenizin nasıl saldırıya uğradığını bulamıyorsanız, sitenizdeki güvenlik açıklarını azaltmak için yapabileceklerinizin bir listesi aşağıda verilmiştir:

  • Bilgisayarınızı düzenli aralıklarla tarayın: Virüsleri veya güvenlik açıklarını kontrol etmek için bilinen virüs tarayıcılarından birini kullanın.
  • Şifrelerinizi düzenli olarak değiştirin: Barındırma sağlayıcı, FTP ve CMS gibi tüm web sitesi hesaplarınızın şifrelerini düzenli olarak değiştirmek, sitenize yetkisiz erişimi önleyebilir. Her hesap için güçlü, benzersiz bir şifre oluşturmanız önemlidir.
  • İki Faktörlü Kimlik Doğrulama (2FA) kullanın: Oturum açmanızı gerektiren herhangi bir hizmette 2FA'yı etkinleştirmeyi düşünün. 2FA, bilgisayar korsanlarının şifrenizi başarıyla çalsalar bile oturum açmalarını zorlaştırır.
  • İYS'nizi, eklentilerinizi, uzantılarınızı ve modüllerinizi düzenli olarak güncelleyin: Bu adımı zaten uyguladığınızı umarız. Çoğu site eski yazılımlar çalıştırdıkları için saldırıya uğrar. Bazı CMS'ler otomatik güncellemeyi desteklemektedir.
  • Sitenizi izlemek için bir güvenlik hizmetine abone olmayı düşünün: Sitenizi küçük bir ücret karşılığında izlemenize yardımcı olabilecek birçok etkili hizmet bulunmaktadır. Sitenizi güvende tutmak için bu tür bir hizmete kaydolabilirsiniz.

Ek kaynaklar

Sitenizi düzeltme konusunda sorun yaşamaya devam ederseniz, size yardımcı olabilecek başka kaynaklar da mevcuttur.

Bu araçlar sitenizi tarar ve sorunlu içerikleri bulabilir. VirusTotal dışındaki araçları Google çalıştırmamakta veya desteklememektedir.

Bunlar, sitenizdeki sorunlu içeriği tarayabilecek araçlardır. Bu tarayıcıların, her türlü sorunlu içeriği tanımlayacaklarını garanti edemediklerini unutmayın.

Google'ın sunduğu, size yardımcı olabilecek ek kaynaklarından bazıları: