Birden fazla bağımsız saldırı yapılmış olabileceği için, bir güvenlik açığını bulup düzeltebilmiş olsanız bile başkalarını aramaya devam etmenizi öneririz. Araştırmanıza spam yapanların web sitelerine saldırmak için en çok kullandıkları yöntemler makalesini okuyarak başlayın.
Şunlara ihtiyacınız olacaktır:
- Sitenizin sunucularına kabuk veya terminal yöneticisi erişimi: web, veritabanı ve dosyalar
- Kabuk veya terminal komutları bilgisi
- Kodu anlama (PHP veya JavaScript gibi)
- İki tane virüsten koruma tarayıcısını çalıştırabilme
Sonraki işlemler
Bir sitenin güvenliğinin ihlal edilmesinin yaygın yollarından bazılarını anlatacağız. Bunlardan birinin siteniz için geçerli olacağını veya en azından ek olasılıklara ışık tutacağını umarım.
Güvenlik açığı tarayıcılarının virüsten korunma tarayıcılarından farklı olduğunu unutmayın. Güvenlik açığı tarayıcıları çok daha zararlı olabilir ve sitenizde istenmeyen hasarlara neden olma olasılığı çok daha fazladır. Tarayıcıyı çalıştırmadan önce sitenizi yedekleme gibi tüm talimatları uygulayın.
Potansiyel güvenlik açıkları {potential-vulnerabilities}
Araştırılacak olası güvenlik açıkları aşağıdakileri içerir:
Virüs bulaşmış yönetici bilgisayarı
Bilgisayar korsanı, bir yöneticinin virüs bulaşmış bilgisayarına site yöneticisinin tuş vuruşlarını kaydetmek için casus yazılım yüklemiş olabilir.
- Yöneticilerin sistemlerinde virüs olup olmadığını kontrol edin. Bir yöneticinin sitede oturum açmak için kullandığı her bilgisayarda tanınmış birkaç virüsten koruma (AV) tarayıcısını çalıştırmanızı öneririz. Sürekli olarak kötü amaçlı yazılımlar
tarayıcılardan kaçmak amacıyla yeni bulaşma yöntemleri tasarlandığından,
bu, virüs algılamasında dört dörtlük bir yöntem değildir. Birden fazla tarayıcı çalıştırmak yanlış pozitiflerden kaçınmaya yardımcı olur ve bir güvenlik açığının olup olmadığını belirlemek için daha fazla veri noktası sağlar. Ayrıca güvende olmak için hem web sunucunuzu hem de siteyi güncellemek veya sitede içerik yayınlamak için kullanılan tüm cihazları taramayı da düşünün.
- AV tarayıcısı tarafından casus yazılım, virüs, truva atı veya başka herhangi bir şüpheli program tespit edilirse, virüslü bilgisayarın sahibi olan yönetici tarafından yapılan etkinlikleri denetlemek için sitenin sunucu günlüklerini araştırın.
- Bilgisayar korsanı günlük dosyalarını değiştirmiş olabilir. Bunu yapmamışlarsa, yönetici kullanıcı adı ile günlük dosyasındaki şüpheli komutlar arasında ilişki kurmak, sitenin güvenlik açığına neden olduğuna dair bir kanıttır.
Zayıf veya tekrar kullanılmış şifreler
Zayıf şifreler, bilgisayar korsanlarının kolayca keşfetmesini sağlar ve sunucunuza doğrudan erişim sağlar. Güçlü şifrelerde; harfler, sayılar ve noktalama işaretleri kullanılır; bir sözlükte bulunabilecek kelimeler veya argo ifadeler kullanılmaz. Şifreler yalnızca bir uygulama için kullanılmalıdır, web'de başka yerlerde tekrar kullanılamaz. Aynı şifreler kullanıldığında, bir bilgisayar korsanının başka bir yerde kullanabileceği giriş bilgilerini ve şifreyi ele geçirmesi için tek bir uygulamada yalnızca bir güvenlik ihlali yapılması yeterlidir.
Sunucu günlüğünde, bir yönetici tarafından birden fazla giriş yapma girişimi veya bir yöneticinin beklenmedik komutlar girmesi gibi istenmeyen etkinlikler olup olmadığını kontrol edin. Şüpheli etkinliğin gerçekleştiği zamanı not edin, çünkü saldırının ilk gerçekleştiği zamanı belirlemek, hangi yedeklerin temiz olabileceğini belirlemeye yardımcı olur.
Eski yazılımlar
Sunucularınızda işletim sisteminin, içerik yönetim sisteminin, blog platformunun, uygulamaların, eklentilerin ve sitenin kullandığı diğer yazılımların en son sürümünün yüklü olduğundan emin olun.
- Sürümünüzün bir güvenlik önerisi içerip içermediğini öğrenmek için yüklü tüm yazılımları araştırın (web'de arama yaparak). Sorun gideriliyorsa muhtemelen eski yazılımlar sitenizi savunmasız hale getirmiştir.
- En iyi uygulama olarak, söz konusu güvenlik açığı sorunlarına eski yazılımlar neden olup olmadığından bağımsız olarak, sunucularınızın yazılımlarını her zaman güncel tutmayı hedeflemelisiniz.
4. Açık yönlendirmeler ve SQL yerleştirme gibi izin verici kod uygulamaları
Açık yönlendirmeler
Açık yönlendirmeler, kullanıcıların sitedeki yararlı bir dosyaya veya sayfaya ulaşabilmesi için URL yapısına başka bir URL'nin eklenmesine izin verilecek biçimde kodlanır. Örneğin:
http://example.com/page.php?url=http://example.com/good-file.pdf
veya
http://example.com/page.php?url=malware-attack-site>
- Siteniz açık yönlendirmeler tarafından kötüye kullanılmışsa muhtemelen Search Console'daki mesajın, istenmeyen bir hedefe götüren açık yönlendirmeler içeren örnek URL'ler sağladığını fark etmişsinizdir.
- İleride açık yönlendirmeleri önlemek için aşağıdakileri kontrol edin:
- Yazılımınızda "açık yönlendirmelere izin ver" ayarının varsayılan olarak etkin olup olmadığı.
- Kodunuzun alan dışına yönlendirmeleri yasaklayıp yasaklayamayacağı.
- Yalnızca düzgün şekilde karma oluşturma işlemi uygulanmış URL'lere ve doğru şifreli imzaya sahip yönlendirmeleri yapacak şekilde yönlendirmeyi imzalayıp imzalayamayacağınız.
SQL yerleştirme
SQL yerleştirme işlemi, bir bilgisayar korsanının veritabanınızın yürüttüğü kullanıcı girişi alanlarına hileli komutlar ekleyebilmesidir. SQL yerleştirme işlemleri, veritabanınızdaki kayıtları istenmeyen spam veya kötü amaçlı yazılım içeriğiyle günceller veya değerli verileri bilgisayar korsanı için çıktıya atar. Sitenizde bir veritabanı kullanılıyorsa ve özellikle de sitenize kötü amaçlı yazılım bulaşmışsa, sitenizde bir SQL yerleştirme işlemiyle güvenlik ihlali yapılmış olması mümkündür.
- Veritabanı sunucusunda oturum açın ve veritabanında, normalde iframe'ler veya komut dosyaları gösteren normal metin alanları gibi şüpheli içerikleri arayın.
- Şüpheli değerler için kullanıcı girişinin doğrulandığından ve doğru şekilde çıkış yapılıp yapılmadığını kontrol edin veya kod olarak yürütülemeyecek şekilde güçlü bir şekilde yazıldığından emin olun. Kullanıcı girişi, veritabanı işleme işleminden önce kontrol edilmezse SQL yerleştirme işlemi, sitenizde temel nedenden kaynaklanan bir güvenlik açığı olabilir.