The #ChromeDevSummit site is live, happening Nov 12-13 in San Francisco, CA
Check it out for details and request an invite. We'll be diving deep into modern web tech & looking ahead to the platform's future.

Anlamsız kelime sorununu düzeltme

Bu rehber, anlamsız kelimeler saldırısı adını verdiğimiz ve sitenize anahtar kelime ağırlıklı anlamsız sayfalar ekleyen belirli bir tür saldırı hakkında bilgi vermek için hazırlandı. Popüler İçerik Yönetim Sistemleri (CMS) kullanıcıları için tasarlanan bu rehberi, CMS kullanmasanız bile faydalı bulacağınızı düşünüyoruz.

Not: Sitenizin saldırıya uğramış olup olmadığından emin değil misiniz? İlk olarak, sitenizin saldırıya uğramış olup olmadığını kontrol etme rehberimizi okuyun.

İçindekiler

Bu tür saldırıları belirleme

Anlamsız kelimeler saldırısı, hedef sitede anahtar kelimelerle dolu anlamlı olmayan cümlelerin olduğu çok sayıda sayfayı otomatik olarak oluşturur. Bunlar sizin oluşturmadığınız sayfalardır, ancak kullanıcıları tıklamaya teşvik eden URL'ler içerir. Bilgisayar korsanları, bunu saldırıya uğramış sayfaların Google Arama'da gösterilmesi için yapar. Daha sonra, kullanıcılar bu sayfaları ziyaret etmeye çalışırlarsa alakasız bir sayfaya, örneğin pornografik içerikli bir siteye yönlendirilirler. Kullanıcılar bu ilgisiz sayfaları ziyaret ettiklerinde bilgisayar korsanları para kazanırlar. Anlamsız kelimeler saldırısından etkilenmiş bir sitede görebileceğiniz dosya türlerine örnekler aşağıda verilmiştir:

  • www.example.com/ucuz-telefonlar.html
  • www.example.com/bedava-komik-resimler.html
  • www.example.com/güzel-şarkılar-indirin.php

Bazen rastgele karakterlerden oluşan bir klasörde görünürler ve farklı diller kullanırlar:

  • www.example.com/jfwoea/ucuz-telefonlar.html
  • www.example.com/jfwoea/bedava-komik-resimler.html
  • www.example.com/jfwoea/www-ki-motn-dudh-photo.php
  • www.example.com/jfwoea/foto-cewe-zaman-sekarang.php

Google'ın sitenizdeki saldırıya uğramış sayfalardan herhangi birini keşfedip keşfetmediğini görmek için Search Console'daki Güvenlik Sorunları aracını kontrol ederek başlayın. Bazen, bir Google Arama penceresi açıp site:your site url yazarak da sitenizin kök düzeyi URL'sine sahip bunun gibi sayfalar olup olmadığını görebilirsiniz. Bu şekilde arama yaptığınızda, saldırıya uğramış sayfalar da dahil olmak üzere Google'ın siteniz için dizine eklediği sayfalar gösterilir. Normal olmayan URL'ler olup olmadığını görmek için arama sonucu sayfalarına göz atın. Google Arama'da saldırıya uğramış bir içerik görmüyorsanız, aynı arama terimlerini farklı bir arama motorunda kullanın. Bunun nasıl görüneceğine ilişkin bir örnek aşağıda verilmiştir.

Buradaki arama sonuçlarının, site sahibi tarafından oluşturulmayan birçok sayfa içerdiğine dikkat edin. Açıklamaları yakından incelerseniz bu saldırının oluşturduğu anlamsız metin örneklerini görürsünüz.

Saldırıya uğramış bir sayfaya yönlendiren bir bağlantıyı tıkladığınızda, genellikle ya başka bir siteye yönlendirilirsiniz ya da anlamsız içeriklerle dolu bir sayfa görürsünüz. Bununla birlikte, sayfanın mevcut olmadığını gösteren bir mesaj da görebilirsiniz (örneğin, 404 hatası). Aldanmayın! Bilgisayar korsanları, saldırıya uğramış sayfanın kaldırıldığına veya düzeltildiğine inanmanızı sağlamak için sizin kandırmaya çalışırlar. Bunu, sayfadaki içeriği gizleyerek yaparlar. Google Gibi Getir aracına sitenizin URL'lerini girerek, gizleme olup olmadığını kontrol edebilirsiniz. Google Gibi Getir aracı sayfadaki gizli içeriği görebilmenize olanak sağlar.

Bu sorunları görürseniz siteniz büyük olasılıkla bu tür bir saldırıdan etkilenmiştir.

Sorunu düzeltme

Başlamadan önce, dosyaları kaldırmadan çevrimdışı kopyalarını alın. Daha sonra bunları geri yüklemeniz gerekebilir. Daha da iyisi, temizlik işlemine başlamadan önce sitenin tamamını yedekleyin. Bunun için sunucunuzdaki tüm dosyaları çevrimdışı olarak kaydedebilir veya kullandığınız CMS'nin en iyi yedekleme seçenekleri için arama yapabilirsiniz.

.htaccess dosyanızı kontrol etme (2 adım)

Anlamsız kelimeler saldırısı .htaccess dosyasını kullanarak, sitenize gelen ziyaretçileri başka sayfalara yönlendirir.

1. adım

Sitenizde .htaccess dosyanızı bulun. Dosyanın yerinden emin değilseniz ve WordPress, Joomla veya Drupal gibi bir CMS kullanıyorsanız, bir arama motorunda CMS'nizin adıyla birlikte ".htaccess dosyasının konumu" araması yapın. Sitenize bağlı olarak birden fazla .htaccess dosyası görebilirsiniz. Tüm .htaccess dosya konumlarının bir listesini yapın.

Not: .htaccess genellikle "gizli bir dosyadır". Arama yaparken gizli dosyaları gösterme seçeneğini etkinleştirdiğinizden emin olun.

2. adım

Tüm .htaccess dosyalarını .htaccess dosyasının temiz veya varsayılan sürümü ile değiştirin. Genellikle .htaccess dosyasının varsayılan bir sürümünü "varsayılan .htaccess dosyası" ve CMS'nizin adını arayarak bulabilirsiniz. Birden fazla .htaccess dosyasına sahip sitelerde her birinin temiz sürümünü bulun ve değiştirin.

Varsayılan .htaccess yoksa ve daha önce sitenizde hiç .htaccess dosyası yapılandırmadıysanız, sitenizde bulacağınız .htaccess dosyası muhtemelen kötü amaçlıdır. Gerekli olması ihtimaline karşın .htaccess dosyalarının kopyasını çevrimdışı olarak kaydedin ve sitenizdeki .htaccess dosyasını silin.

Diğer kötü amaçlı dosyaları bulma ve kaldırma (5 adım)

Kötü amaçlı dosyaların belirlenmesi zor olabilir ve birkaç saat sürebilir. Dosyalarınızı kontrol etmek için zaman ayırın. Henüz yapmadıysanız sitenizdeki dosyaları yedeklemek için bu iyi bir zamandır. Sitenizi nasıl yedekleyeceğinizle ilgili talimatları öğrenmek için Google'da "site yedekleme" ve CMS'nizin adını arayın.

1. adım

CMS kullanıyorsanız, varsayılan dağıtımla birlikte gelen çekirdek (varsayılan) dosyaların tamamını ve sonradan eklediğiniz (temalar, modüller, eklentiler gibi) her şeyi yeniden yükleyin. Bu şekilde dosyaların saldırıya uğrayan içerik barındırmadığından emin olabilirsiniz. Yeniden yükleme işlemiyle ilgili talimatları bulmak için Google'da "yeniden yükleme" ve CMS adınızı aratabilirsiniz. Eklenti, modül, uzantı veya temalarınız varsa, bunları da yeniden yüklediğinizden emin olun.

Çekirdek dosyalarınızı yeniden yüklemek, yaptığınız tüm özelleştirmeleri kaybetmenize neden olabilir. Yeniden yüklemeden önce veritabanınızı ve tüm dosyalarınızı yedeklediğinizden emin olun.

2. adım

Şimdi, geri kalan diğer kötü amaçlı veya güvenliği ihlal edilmiş olan dosyaları arayın. Bu işlem, tüm sürecin en zor ve zaman alıcı bölümüdür, ancak bunu tamamladığınızda neredeyse bitmiş olur.

Bu saldırı genellikle iki tür dosya bırakır: .txt dosyalar ve .php dosyalar. .txt dosyalar şablon görevi görürken .php dosyalar sitenize hangi tür anlamsız içeriğin yükleneceğini belirler. İlk olarak .txt dosyaları arayın. Sitenize bağlanma yönteminize göre değişiklik gösterse de bir şekilde arama işlevinizin olması gerekir. .txt uzantılı tüm dosyaları bulmak için ".txt" araması yapın. Bu dosyaların çoğu, lisans sözleşmeleri, readme dosyaları vb. sorunsuz dosyalar olacaktır. Siz, spam yapan şablonlar oluşturmak için kullanılan HTML kodunun olduğu belirli .txt dosyalarını aramalısınız. Bu tür kötü amaçlı .txt dosyalarında bulabileceğiniz farklı kod snippet'lerini aşağıda bulabilirsiniz.

Bilgisayar korsanları spam yapan sayfalar oluşturmak için anahtar kelime yerleştirme işlevi kullanırlar. Büyük olasılıkla, saldırıya uğrayan sayfada değiştirilecek bazı genel türde kelimeler göreceksiniz.

  <title>{keyword}</title>
  <meta name="description" content="{keyword}" />
  <meta name="keywords" content="{keyword}" />
  <meta property="og:title" content="{keyword}" />

Ayrıca bu dosyaların çoğunda, spam içerikli bağlantıları ve spam olan metni görünür sayfanın üzerine yerleştiren bazı kod türleri bulunur.

  <div style="position: absolute; top: -1000px; left: -1000px;">
  Cheap prescription drugs
  </div>

Bu .txt dosyalarını kaldırın. Dosyaların hepsi aynı klasördeyse, klasörün tamamını kaldırabilirsiniz.

3. adım

Kötü amaçlı PHP dosyalarını belirlemek biraz daha zordur. Sitenizde bir veya daha fazla sayıda kötü amaçlı PHP dosyası olabilir. Bunların hepsi aynı alt dizinde bulunabilir veya sitenizde farklı yerlere dağılmış olabilir.

Her PHP dosyasını açıp incelemeniz gerekeceğini düşünerek endişelenmeyin. Araştırmak istediğiniz şüpheli PHP dosyalarının bir listesini oluşturarak başlayın. Şüpheli PHP dosyalarını belirlemenin birkaç yolu vardır:

  • CMS dosyalarınızı halihazırda yeniden yüklemiş olduğunuzdan, yalnızca varsayılan CMS dosyalarınızın veya klasörlerinizin parçası olmayan dosyalara bakın. Bu şekilde çok sayıda PHP dosyasını elerseniz ve bakmanız gereken az sayıda dosya kalır.
  • Sitenizdeki dosyaları en son değiştirilme tarihine göre sıralayın. Sitenizin saldırıya uğradığınızı ilk keşfettiğiniz tarihten önceki birkaç ay içinde değiştirilmiş dosyaları arayın.
  • Sitenizdeki dosyaları boyuta göre sıralayın. Normaldan büyük dosyaları arayın.

4. Adım

Şüpheli PHP dosyalarının bir listesini hazırladığınıza göre, şimdi bu dosyaların normal veya kötü amaçlı olup olmadıklarını kontrol edebilirsiniz. PHP'ye aşina değilseniz bu işlem uzun sürebilir. Bu nedenle bazı PHP dokümanlarına göz atmak isteyebilirsiniz. Ancak kodlama konusunda tamamen yeni olsanız bile, kötü amaçlı dosyaları belirlemek için bakabileceğiniz bazı temel kalıplar vardır.

Öncelikle, halihazırda belirlediğiniz şüpheli dosyalara göz atarak karışık harflerden ve rakamlardan oluşan büyük metin blokları olup olmadığına bakın. Büyük metin bloğunun öncesinde genellikle, base64_decode, rot13, eval, strrev, gzinflate gibi PHP işlevleri olur. Örnek bir kod bloğunu burada görebilirsiniz. Bazen tüm bu kod uzun bir metin satırına yerleştirilir ve bu şekilde gerçekte olduğundan daha küçük görünür.

<!--Hackers try to confuse webmasters by encoding malicious code into blocks
of texts. Be wary of unfamiliar code blocks like this.-->

base64_decode(strrev("hMXZpRXaslmYhJXZuxWd2BSZ0l2cgknbhByZul2czVmckRWYgknYgM3ajFGd0FGIlJXd0VnZgk
nbhBSbvJnZgUGdpNHIyV3b5BSZyV3YlNHIvRHI0V2Zy9mZgQ3Ju9GRg4SZ0l2cgIXdvlHI4lmZg4WYjBSdvlHIsU2chVmcnBydv
JGblBiZvBCdpJGIhBCZuFGIl1Wa0BCa0l2dgQXdCBiLkJXYoBSZiBibhNGIlR2bjBycphGdgcmbpRXYjNXdmJ2blRGI5xWZ0Fmb
1RncvZmbVBiLn5WauVGcwFGagM3J0FGa3BCZuFGdzJXZk5Wdg8GdgU3b5BicvZGI0xWdjlmZmlGZgQXagU2ah1GIvRHIzlGa0B
SZrlGbgUGZvNGIlRWaoByb0BSZrlGbgMnclt2YhhEIuUGZvNGIlxmYhRWYlJnb1BychByZulGZhJXZ1F3ch1GIlR2bjBCZlRXY
jNXdmJ2bgMXdvl2YpxWYtBiZvBSZjVWawBSYgMXagMXaoRFIskGS"));

Bazen kod karıştırılmaz ve normal yazı gibi görünür. Kodun kötü olup olmadığından emin değilseniz dosyalara bakmanıza yardımcı olabilecek deneyimli web yöneticilerini bulacağınız Web Yöneticisi Yardım Forumlarımıza uğrayın

5. Adım

Artık şüpheli dosyaların hangileri olduğunu bildiğinize göre, kötü amaçlı olmamaları ihtimaline karşın bunları bilgisayarınıza kaydederek yedekleyin veya yerel bir kopyasını oluşturun ve sonra şüpheli dosyaları silin.

Sitenizin temiz olup olmadığını kontrol etme

Saldırıya uğrayan dosyalardan kurtulduğunuzda tüm bu çabalarınızın işe yarayıp yaramadığını kontrol edin. Daha önce belirlediğiniz, anlamsız kelimelerin olduğu sayfaları hatırlıyor musunuz? Bu sayfaların hâlâ olup olmadıklarını görmek için bu sayfalarda Google Gibi Getir aracını tekrar kullanın. Google Gibi Getir'de "Bulunamadı" yanıtını döndürürlerse, durumunuzun oldukça iyi olduğu söylenebilir!

Sitenizde hâlâ saldırıya uğramış içerik olup olmadığını kontrol etmek için Saldırıya Uğramış Siteler İçin Sorun Giderici'deki adımları da uygulayabilirsiniz.

Yeniden saldırıya uğramayı nasıl önleyebilirim?

Sitenizdeki güvenlik açıklarını düzeltmek, sitenizi düzeltme işleminin son adımıdır ve çok önemlidir. Yakın zamanda gerçekleştirilen bir araştırma, saldırıya uğrayan sitelerin %20'sinin 1 gün içinde tekrar saldırıya uğradığını gösteriyor. Sitenizin tam olarak nasıl saldırıya uğradığını bilmek yararlı olacaktır. Araştırmaya başlamak için spam yapanların web sitelerine saldırmak için en çok kullandığı yöntemler rehberimizi okuyun. Ancak sitenizin ne şekilde saldırıya uğradığını bulamıyorsanız, sitenizdeki güvenlik açıklarını azaltmak için yapabileceklerinizin bir listesi aşağıda verilmiştir.

  • Bilgisayarınızı düzenli aralıklarla tarayın: Virüsleri veya güvenlik açıklarını kontrol etmek için bilinen virüs tarayıcılarından birini kullanın.
  • Şifrelerinizi düzenli olarak değiştirin: Barındırma sağlayıcı, FTP ve CMS gibi tüm web sitesi hesaplarınızın şifrelerini düzenli olarak değiştirmek, sitenize yetkisiz erişimi önleyebilir. Her hesap için güçlü ve benzersiz bir şifre oluşturmanız önemlidir.
  • İki Faktörlü Kimlik Doğrulama (2FA) kullanın: Oturum açmanızı gerektiren herhangi bir hizmette 2FA'yı etkinleştirmeyi düşünün. 2FA, bilgisayar korsanlarının şifreleri başarıyla çalsalar dahi giriş yapmalarını zorlaştırır.
  • CMS, eklentiler, uzantılar ve modüllerinizi düzenli olarak güncelleyin: Bu adımı zaten uyguladığınızı umarız. Çoğu site, çalıştırdıkları eski yazılımlar nedeniyle saldırıya uğramaktadır. Bazı CMS'ler otomatik güncellemeyi desteklemektedir.
  • Sitenizi izlemek için bir güvenlik hizmetine abone olmayı düşünün: Sitenizi küçük bir ücret karşılığında izlemenize yardımcı olabilecek birçok etkili hizmet bulunmaktadır. Sitenizi güvende tutmak için bu tür bir hizmete kaydolabilirsiniz.

Ek kaynaklar

Sitenizi düzeltme konusunda sorun yaşamaya devam ederseniz, size yardımcı olabilecek başka kaynaklar da mevcuttur.

Bu araçlar sitenizi tarar ve sorunlu içerikleri bulabilir. VirusTotal dışındaki araçları Google çalıştırmamakta veya desteklememektedir.

Virus Total, Aw-snap.info, Sucuri Site Check, Quttera: Bunlar, sitenizdeki sorunlu içeriği tarayabilecek araçlardır. Bu tarayıcıların, her türlü sorunlu içeriği tanımlayacaklarını garanti edemediklerini unutmayın.

Google'ın sunduğu, size yardımcı olabilecek ek kaynaklarından bazıları:

Yararlı olabileceğini düşündüğünüz bir araç burada yok mu? Geri bildirim bırakın ve bize bildirin.