Açıklama
Bir bilgisayar korsanı sitenizin güvenliğini ihlal etmiş ve muhtemelen sunucunuzun yapılandırma dosyalarını değiştirerek ziyaretçileri iyi sitenizden kötü amaçlı kendi saldırı sitesine yönlendirmiştir. Sunucu yapılandırma dosyaları genellikle site yöneticisinin bir web sitesindeki belirli sayfalar veya dizinler için URL yönlendirmeleri belirtmesine olanak verir. Örneğin, Apache sunucularında bunlar .htaccess ve httpd.conf dosyalarıdır.
Sorunu düzeltme
1. Sorunu onaylayın
Güvenlik Sorunları raporunda gösterilen örnek URL’lerin bazılarını ziyaret edin.
Sitenizdeki zararlı kod bulaşmış sayfaları doğrudan görüntülemek için tarayıcı kullanmaktan kaçının.
Kötü amaçlı yazılımlar çoğunlukla tarayıcılardaki güvenlik açıklarını kullanarak yayıldığından, kötü amaçlı yazılımın bulaştığı bir sayfayı bir tarayıcıda açmak bilgisayarınıza zarar verebilir. Ayrıca, bilgisayar korsanları, spam içeriklerinin site sahipleri tarafından tespit edilmesini önlemek için gizleme teknikleri kullanabilirler.
İçeriği bilgisayarınızda daha güvenli bir şekilde görüntülemek için iki alternatif yöntem aşağıda verilmiştir:
2. Sitenizi "sunucu yapılandırması" kötü amaçlı yazılımından temizleyin
Kabuk/terminal erişimi üzerinden sunucunuza giriş yapın (isterseniz site çevrimdışı olabilir) ve ilgili sunucu yapılandırma dosyalarını inceleyin. Sitenizde saldırıya uğramış birden fazla sunucu yapılandırma dosyası olabilir. Bu dosyalarda, bilgisayar korsanının sitenizi bilinmeyen kötü amaçlı yazılım saldırı sitelerine yönlendirme yapacak şekilde yapılandırabileceği istenmeyen yönergeleri (ör. yönlendirmeler) kontrol edin. Örneğin, .htaccess dosyasında şunun gibi bir yönlendirme görebilirsiniz:
Buna ek olarak:
Bir bilgisayar korsanı sitenizin güvenliğini ihlal etmiş ve muhtemelen sunucunuzun yapılandırma dosyalarını değiştirerek ziyaretçileri iyi sitenizden kötü amaçlı kendi saldırı sitesine yönlendirmiştir. Sunucu yapılandırma dosyaları genellikle site yöneticisinin bir web sitesindeki belirli sayfalar veya dizinler için URL yönlendirmeleri belirtmesine olanak verir. Örneğin, Apache sunucularında bunlar .htaccess ve httpd.conf dosyalarıdır.
Sorunu düzeltme
1. Sorunu onaylayın
Güvenlik Sorunları raporunda gösterilen örnek URL’lerin bazılarını ziyaret edin.
Sitenizdeki zararlı kod bulaşmış sayfaları doğrudan görüntülemek için tarayıcı kullanmaktan kaçının.
Kötü amaçlı yazılımlar çoğunlukla tarayıcılardaki güvenlik açıklarını kullanarak yayıldığından, kötü amaçlı yazılımın bulaştığı bir sayfayı bir tarayıcıda açmak bilgisayarınıza zarar verebilir. Ayrıca, bilgisayar korsanları, spam içeriklerinin site sahipleri tarafından tespit edilmesini önlemek için gizleme teknikleri kullanabilirler.
İçeriği bilgisayarınızda daha güvenli bir şekilde görüntülemek için iki alternatif yöntem aşağıda verilmiştir:
- Sayfanızı Google'ın gördüğü gibi görmek için URL Denetleme aracını kullanın. Çoğu bilgisayar korsanı yalnızca Google makineleri tarafından görünen değişiklikler yaptığı için bu yöntem faydalıdır. Örneğin, sitenizden kendi sitelerine bağlantılar ekleyip bunların yalnızca yönlendiren Google olduğunda oluşturulmasını sağlayabilirler.
- Komut satırından HTTP istekleri (bir sayfayı getirmek gibi) gerçekleştirmek için cURL veya Wget araçlarını kullanın. Ücretsiz kullanılabilen bu araçlar yönlendirmeleri teşhis etmeye yardımcı olur ve yönlendiren veya kullanıcı aracısı bilgilerini belirtme olanağı sunar. Bilgisayar korsanları, tespit edilmekten kaçınmak ve daha iyi hedefler seçmek için genellikle yalnızca belirli kullanıcı aracılarına veya yönlendirenlere saldırırlar. Bu araçları kullanmak hedefi taklit etmenizi sağlar. İsteğiniz spam içerikli davranış ortaya çıkarmıyorsa, farklı yönlendirme adreslerini (büyük web sitelerinden veya farklı arama motorlarından gelen bağlantılar gibi) kullanmayı deneyin. Örneğin, bir Windows makinesinde Google Arama sonuçlarından www.example.com/page.html adresine giden bir bağlantıyı takip eden kullanıcıyı taklit etmek için cURL'yi şu şekilde kullanırsınız:
-
Kod:
$curl -v --referer "https://www.google.com" --user-agent "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; FSL 7.0.7.01001)" http://www.example.com/page.html
Kod:
...
< HTTP/1.1 301 Moved Permanently
< Date: Sun, 24 Feb 2013 21:06:45 GMT
< Server: Apache
< Location: http://<malware-attack-site>/index.html
< Content-Length: 253
...2. Sitenizi "sunucu yapılandırması" kötü amaçlı yazılımından temizleyin
Kabuk/terminal erişimi üzerinden sunucunuza giriş yapın (isterseniz site çevrimdışı olabilir) ve ilgili sunucu yapılandırma dosyalarını inceleyin. Sitenizde saldırıya uğramış birden fazla sunucu yapılandırma dosyası olabilir. Bu dosyalarda, bilgisayar korsanının sitenizi bilinmeyen kötü amaçlı yazılım saldırı sitelerine yönlendirme yapacak şekilde yapılandırabileceği istenmeyen yönergeleri (ör. yönlendirmeler) kontrol edin. Örneğin, .htaccess dosyasında şunun gibi bir yönlendirme görebilirsiniz:
Kod:
RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.*
RewriteRule ^third-page.html($|/) http://<kötü-amaçlı-yazılım-sitesi>/index.html [R=301]Buna ek olarak:
- Bilgisayar korsanının, kolayca gözden kaçabileceğini düşünerek dosyanın sonuna kendi kodunu eklediği durumlar için tüm dosyayı kontrol ettiğinizden emin olun.
- Bilgisayar korsanının .htaccess dosyasını sürekli olarak güncellemesi için tasarlayıp oluşturduğu olası cron işlerini araştırın. Cron işleri, aralarında /etc/crontab (ayrıca birçok /etc/cron* dizini) ve /var/spool/cron dizinlerinin de bulunduğu birkaç yerde listelenebilir.
- Sitenizle ilgili olarak temizlik adımlarını ve sitenizin tekrar saldırıya uğramasını önlemeye yönelik ipuçlarını da içeren eksiksiz bir düzeltme akışı için Saldırıya uğramış siteler kılavuzunu okuyun.