Missed the action at the 2018 Chrome Dev Summit? Catch up with our playlist on the Google Chrome Developers channel on YouTube. Watch now.

Japonca anahtar kelime saldırısını düzeltme

Bu rehber, Japonca anahtar kelime saldırısı adını verdiğimiz ve sitenize otomatik oluşturulmuş Japonca metin ekleyen belirli bir tür saldırı hakkında bilgi vermek için hazırlandı. Popüler İçerik Yönetim Sistemleri (CMS) kullanıcıları için tasarlanan bu rehberi, CMS kullanmasanız bile faydalı bulacağınızı düşünüyoruz.

Not: Sitenizin saldırıya uğramış olup olmadığından emin değil misiniz? İlk olarak, sitenizin saldırıya uğramış olup olmadığını kontrol etme rehberimizi okuyun.

İçindekiler

Bu tür saldırıları belirleme

Japonca anahtar kelime saldırısı, genellikle sitenizde rastgele oluşturulan adlara sahip dizinlerin içinde (örneğin http://example.com/ltjmnjp/341.html) otomatik olarak oluşturulmuş Japonca metinleri içeren yeni sayfalar oluşturur. Bu sayfalar, sahte marka ürün satan mağazalara satış ortaklığı kapsamında bağlantılar oluşturup, daha sonra Google aramada bunları göstererek para kazanılmasını sağlar. Böyle bir sayfanın nasıl görüneceğine ilişkin bir örnek aşağıda verilmiştir:

Bu saldırı türünde, bilgisayar korsanı genellikle kendisini Search Console'a mülk sahibi olarak ekler. Bu şekilde, sitenin coğrafi hedefleme veya site haritaları gibi ayarlarını değiştirerek daha fazla kâr eder. Tanımadığınız birinin Search Console'da sitenizi doğruladığına dair bir bildirim aldıysanız, sitenizin saldırıya uğramış olma olasılığı yüksektir.

Google'ın sitenizde bu şekilde saldırıya uğramış sayfalar bulup bulmadığını görmek için Search Console'daki Güvenlik Sorunları aracını kontrol edin. Ayrıca Google Arama'yı açıp site:[your site root URL] araması yaparak da böyle sayfalar olup olmadığını görebilirsiniz. Bu şekilde arama yaptığınızda, saldırıya uğramış sayfalar da dahil olmak üzere Google'ın siteniz için dizine eklediği sayfalar gösterilir. Normal olmayan URL'ler olup olmadığını görmek için arama sonucu sayfalarına göz atın. Google Arama'da saldırıya uğramış bir içerik görmüyorsanız, aynı arama terimlerini farklı bir arama motorunda kullanın. Diğer arama motorları, Google'ın dizinden kaldırdığı saldırıya uğramış içeriği gösterebilir. Bunun nasıl görüneceğine ilişkin bir örnek aşağıda verilmiştir.

Buradaki arama sonuçlarının, site sahibi tarafından oluşturulmayan birçok sayfa içerdiğine dikkat edin. Açıklamaları yakından incelerseniz bu saldırının oluşturduğu Japonca metin örneklerini görürsünüz.

Saldırıya uğramış bir sayfayı ziyaret ettiğinizde, sayfanın mevcut olmadığını gösteren bir mesaj (404 hatası gibi) görebilirsiniz. Aldanmayın! Bilgisayar korsanları, saldırıya uğramış sayfaların kaldırıldığına veya düzeltildiğine inanmanızı sağlayarak, sitenizin düzelmiş olduğunu düşünmeniz için sizi kandırmaya çalışacaklardır. Bunu, sayfadaki içeriği gizleyerek yaparlar. Google Gibi Getir aracına sitenizin URL'lerini girerek, gizleme olup olmadığını kontrol edebilirsiniz. Google Gibi Getir aracı sayfadaki gizli içeriği görebilmenize olanak sağlar.

Sorunu düzeltme

Başlamadan önce, dosyaları kaldırmadan çevrimdışı kopyalarını alın. Daha sonra bunları geri yüklemeniz gerekebilir. Daha da iyisi, temizlik işlemine başlamadan önce sitenin tamamını yedekleyin. Bunun için sunucunuzdaki tüm dosyaları sunucu dışındaki bir konuma kaydedebilir veya kullandığınız İçerik Yönetimi Sistemi'nin (CMS) en iyi yedekleme seçenekleri için arama yapabilirsiniz. CMS kullanıyorsanız veritabanını da yedeklemeniz gerekir.

Yeni oluşturulan hesapları Search Console'dan kaldırma

Tanımadığınız yeni bir kullanıcı, Search Console hesabınıza sahip olarak eklendiğinde, erişimini mümkün olan en kısa sürede iptal edin. Siteniz için doğrulanan kullanıcıları Search Console doğrulama sayfasında kontrol edebilirsiniz. Doğrulanan tüm kullanıcıları görmek için siteye ilişkin "Doğrulama Ayrıntıları"nı tıklayın.

Sahip olarak atanmış bir kullanıcıyı Search Console'dan kaldırmak için Yardım Merkezi'ndeki Kullanıcıları, sahipleri ve izinleri yönetme Yardım Merkezi bölümünü okuyun. İlişkilendirilmiş doğrulama jetonunu kaldırmanız gerekecektir. Bu, genel olarak sitenizin kök dizinindeki bir HTML dosyası ya da dinamik olarak oluşturulmuş ve HTML dosyasını taklit eden .htaccess dosyasıdır.

Sitenizde bir HTML doğrulama jetonu bulamıyorsanız, .htaccess dosyanızda yeniden yazma kuralı olup olmadığını kontrol edin. Yeniden yazma kuralı şuna benzer:

  RewriteEngine On
  RewriteRule ^google(.*)\.html$ dir/file.php?google=$1 [L] 

Not: Dinamik olarak oluşturulmuş bir doğrulama jetonunu başarıyla kaldırıp kaldırmadığınızı genellikle wwww.example.com/google[random number and letters].html gibi benzer bir doğrulama jetonu dosyasına giderek kontrol edebilirsiniz. Örneğin, siteniz www.brandonsbaseballcards.com ise www.brandonsbaseballcards.com/google1234.html adresine gitmeyi deneyin. Bu sayfa HTTP 404 döndürürse, dinamik olarak oluşturulmuş doğrulama jetonu muhtemelen düzelmiştir.

Dinamik olarak oluşturulan doğrulama jetonunu .htaccess dosyanızdan kaldırmak için aşağıdaki adımları uygulayın.

.htaccess dosyanızı kontrol etme (2 adım)

Bilgisayar korsanları dinamik doğrulama simgelerini oluşturmak için .htaccess dosyasını kullanmanın yanı sıra, çoğu zaman kullanıcıları yönlendirmek veya anlamsız kelimelerle dolu spam yapan sayfalar oluşturmak için .htaccess kurallarını kullanırlar. Özel .htaccess kurallarınız yoksa, .htaccess dosyanızı tamamen yeni bir kopyayla değiştirmeyi düşünün.

1. adım

Sitenizdeki .htaccess dosyasını bulun. Dosyanın yerinden emin değilseniz ve WordPress, Joomla veya Drupal gibi bir CMS kullanıyorsanız, bir arama motorunda CMS'nizin adıyla birlikte ".htaccess dosyasının konumu" araması yapın. Sitenize bağlı olarak birden fazla .htaccess dosyası görebilirsiniz. Tüm .htaccess dosya konumlarının bir listesini yapın.

2. adım

Tüm .htaccess dosyalarını .htaccess dosyasının temiz veya varsayılan sürümü ile değiştirin. Genellikle .htaccess dosyasının varsayılan bir sürümünü "varsayılan .htaccess dosyası" ve CMS'nizin adını arayarak bulabilirsiniz. Birden fazla .htaccess dosyasına sahip sitelerde her birinin temiz sürümünü bulun ve değiştirin.

Not: .htaccess genellikle "gizli bir dosyadır". Arama yaparken gizli dosyaları gösterme seçeneğini etkinleştirdiğinizden emin olun.

Tüm Kötü Amaçlı Dosyaları ve Komut Dosyalarını Kaldırma (4 adım)

Kötü amaçlı dosyaların belirlenmesi zor olabilir ve birkaç saat sürebilir. Dosyalarınızı kontrol etmek için zaman ayırın. Henüz yapmadıysanız sitenizdeki dosyaları yedeklemek için bu iyi bir zamandır. Sitenizi nasıl yedekleyeceğinizle ilgili talimatları öğrenmek için Google'da "site yedekleme" ve CMS'nizin adını adını.

1. adım

CMS kullanıyorsanız, varsayılan dağıtımla birlikte gelen çekirdek (varsayılan) dosyaların tamamını yeniden yükleyin. Bu şekilde dosyaların saldırıya uğrayan içerik barındırmadığından emin olabilirsiniz. Yeniden yükleme işlemiyle ilgili talimatları bulmak için Google'da "yeniden yükleme" ve CMS adınızı aratabilirsiniz. Eklenti, modül, uzantı veya temalarınız varsa, bunları da yeniden yüklediğinizden emin olun.

Çekirdek dosyalarınızı yeniden yüklemek, yaptığınız tüm özelleştirmeleri kaybetmenize neden olabilir. Yeniden yüklemeden önce veritabanınızı ve tüm dosyalarınızı yedeklediğinizden emin olun.

2. adım

Bilgisayar korsanları, genellikle URL'lerinin daha hızlı dizine eklenmesine yardımcı olmak için site haritanızı değiştirecek veya yeni site haritaları ekleyecektir. Daha önce bir site haritası dosyası yüklediyseniz, dosyada şüpheli bağlantılar olup olmadığını kontrol edin ve bunları site haritanızdan kaldırın. Sitenize eklediğinizi hatırlamadığınız herhangi bir site haritası dosyası varsa, bunları tekrar kontrol edin ve sadece spam olan URL'ler içeriyorsa kaldırın.

3. adım

Kötü amaçlı veya güvenliği ihlal edilmiş başka dosyalar olup olmadığına bakın. Önceki iki adımda tüm kötü amaçlı dosyaları kaldırmış olabilirsiniz, ancak sitenizde güvenliği ihlal edilmiş başka dosyalar kalmış olması ihtimaline karşın sonraki birkaç adımı uygulamanız en iyisidir.

Her PHP dosyasını açıp incelemeniz gerekeceğini düşünerek endişelenmeyin. Araştırmak istediğiniz şüpheli PHP dosyalarının bir listesini oluşturarak başlayın. Şüpheli PHP dosyalarını belirlemenin birkaç yolu vardır:

  • CMS dosyalarınızı halihazırda yeniden yüklemiş olduğunuzdan, yalnızca varsayılan CMS dosyalarınızın veya klasörlerinizin parçası olmayan dosyalara bakın. Bu şekilde çok sayıda PHP dosyasını elerseniz ve bakmanız gereken az sayıda dosya kalır.
  • Sitenizdeki dosyaları en son değiştirilme tarihine göre sıralayın. Sitenizin saldırıya uğradığınızı ilk keşfettiğiniz tarihten önceki birkaç ay içinde değiştirilmiş dosyaları arayın.
  • Sitenizdeki dosyaları boyuta göre sıralayın. Normaldan büyük dosyaları arayın.

Not: Saldırganlar genellikle şu dosyalara komut dizileri eklerler: index.php, wp-load.php, 404.php ve view.php.

4. Adım

Şüpheli PHP dosyalarının bir listesini hazırladıktan sonra bu dosyaların kötü amaçlı olup olmadıklarını kontrol edin. PHP'ye aşina değilseniz bu işlem uzun sürebilir. Bu nedenle bazı PHP dokümanlarına göz atmak isteyebilirsiniz. Kodlamada tamamen yeniyseniz yardım almanızı öneririz. Bu arada, kötü amaçlı dosyaları belirlemek için bakabileceğiniz bazı temel kalıplar vardır.

CMS kullanıyorsanız ve bu dosyaları doğrudan düzenleme alışkanlığınız yoksa, sunucunuzdaki dosyaları CMS'nin yanı sıra diğer eklenti ve tema paketlerindeki varsayılan dosyaların listesiyle karşılaştırın. Bu listede bulunmayan dosyaların yanı sıra varsayılan değerlerinden daha büyük görünen dosyaları arayın.

Halihazırda belirlediğiniz şüpheli dosyalarda anlaşılmaz görünecek şekilde gizlenmiş kod blokları olup olmadığına göz atın. Bu tür kodlar anlamsız karışık harfler ve rakamlardan oluşuyormuş gibi görünür. Gizlenmiş metnin öncesinde genellikli öncesinde genellikle, base64_decode, rot13, eval, strrev, gzinflate gibi PHP işlevleri olur. Örnek bir kod bloğunu burada görebilirsiniz. Bazen tüm bu kod uzun bir metin satırına yerleştirilir ve bu şekilde gerçekte olduğundan daha küçük görünür.

  $O_O0O_O0_0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70
  %78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");
  $OO0_0OO0__=$O_O0O_O0_0{26}.$O_O0O_O0_0{6}.$O_O0O_O0_0{10}.$O_O0O_O0_0{30}

Sitenizin temiz olup olmadığını kontrol etme

Saldırıya uğrayan dosyalardan kurtulduğunuzda tüm bu çabalarınızın işe yarayıp yaramadığını kontrol edin. Daha önce belirlediğiniz, anlamsız kelimelerin olduğu sayfaları hatırlıyor musunuz? Bu sayfaların hâlâ olup olmadıklarını görmek için bu sayfalarda Google Gibi Getir aracını tekrar kullanın. Google Gibi Getir'de "Bulunamadı" yanıtını döndürürlerse, durumunuzun oldukça iyi olduğu söylenebilir!

Sitenizde hâlâ saldırıya uğramış içerik olup olmadığını kontrol etmek için Saldırıya Uğramış Siteler İçin Sorun Giderici'deki adımları da uygulayabilirsiniz.

Yeniden saldırıya uğramayı nasıl önleyebilirim?

Sitenizdeki güvenlik açıklarını düzeltmek, sitenizi düzeltme işleminin son adımıdır ve çok önemlidir. Yakın zamanda gerçekleştirilen bir araştırma, saldırıya uğrayan sitelerin %12'sinin 30 gün içinde tekrar saldırıya uğradığını gösteriyor. Sitenizin tam olarak nasıl saldırıya uğradığını bilmek yararlı olacaktır. Araştırmaya başlamak üzere spam yapanların web sitelerine saldırmak için en çok kullandığı yöntemler rehberimizi okuyun. Ancak sitenizin ne şekilde saldırıya uğradığını bulamıyorsanız, sitenizdeki güvenlik açıklarını azaltmak için yapabileceklerinizin bir listesi aşağıda verilmiştir.

  • Bilgisayarınızı düzenli aralıklarla tarayın: Virüsleri veya güvenlik açıklarını kontrol etmek için güvenilen virüs tarayıcılarından birini kullanın.
  • Şifrelerinizi düzenli olarak değiştirin: Barındırma sağlayıcı, FTP ve CMS gibi tüm web sitesi hesaplarınızın şifrelerini düzenli olarak değiştirmek, sitenize yetkisiz erişimi önleyebilir. Her hesap için güçlü ve benzersiz bir şifre oluşturmanız önemlidir.
  • İki Faktörlü Kimlik Doğrulama (2FA) kullanın: Oturum açmanızı gerektiren herhangi bir hizmette 2FA'yı etkinleştirmeyi düşünün. 2FA, bilgisayar korsanlarının şifreleri başarıyla çalsalar dahi giriş yapmalarını zorlaştırır.
  • CMS, eklentiler, uzantılar ve modüllerinizi düzenli olarak güncelleyin: Bu adımı zaten uyguladığınızı umarız. Çoğu site, çalıştırdıkları eski yazılımlar nedeniyle saldırıya uğramaktadır. Bazı CMS'ler otomatik güncellemeyi desteklemektedir.
  • Sitenizi izlemek için bir güvenlik hizmetine abone olmayı düşünün: Sitenizi küçük bir ücret karşılığında izlemenize yardımcı olabilecek birçok etkili hizmet bulunmaktadır. Sitenizi güvende tutmak için bu tür bir hizmete kaydolabilirsiniz.

Ek kaynaklar

Sitenizi düzeltme konusunda sorun yaşamaya devam ederseniz, size yardımcı olabilecek başka kaynaklar da mevcuttur.

Bu araçlar sitenizi tarar ve sorunlu içerikleri bulabilir. VirusTotal dışındaki araçları Google çalıştırmamakta veya desteklememektedir.

Virus Total, Aw-snap.info, Sucuri Site Check, Quttera: Bunlar, sitenizdeki sorunlu içeriği tarayabilecek araçlardır. Bu tarayıcıların, her türlü sorunlu içeriği tanımlayacaklarını garanti edemediklerini unutmayın.

Google'ın sunduğu, size yardımcı olabilecek ek kaynaklarından bazıları: