Siteniz hacklendi veya deface edildi, cPanel veya Plesk Panel tarafından oluşturulmuş olan yedeklerinizi yükleyerek web sayfanızı eski haline çevirdiniz, hosting panel şifrenizi ve hacklenmiş olması muhtemel tüm şifrelerinizi de değiştirdiniz. Web sayfanız 3 gün sonra tekrar hacklendi.
Sırayla Yapmanız Gerekenler
Hosting paneliniz üzerinde ki işlem yöneticisi veya varsa ssh ile çalışan tüm işlemleri kontrol edin.
/home/yourname/public_html/site/js/c99.php veya /home/yourname/public_html/site/js/shell.php gibi satırlar ile karşılaşırsanız bu tür satırlar içeren tüm işlemleri iptal edin.
Saldırganların tahmin etmekte güçlük çekeceğiniz dizinlere backdoor bırakmış olma ihtimali yüksek olduğundan tüm scriptinizi silin.
“Scalp” ile log dosyalarını inceleyin. Saldırganın girişimlerini ve hareketlerini göreceksiniz. Bu sayede web uygulamanızda zaaf içeren kısımları keşfetme şansınız olacak.
Daha önceden oluşturduğunuz backup/restore/kurtarma dosyalarına asla güvenmeyin. Bu şekilde online olarak depoladığınız yedek dosyalarınızı tamamen silin. Saldırganların bu yedekleme dosyaları içine backdoor bırakmış olma ihtimali yüksektir. Güncelleme/Yeniden yükleme gibi işlemler için daima local yani kendi bilgisayarınızda barınan dosyaları kullanın.
Kurtarma işleminden önce yapmanız gereken birkaç önemli şey var. Eğer bu haliyle, güvenlik yamaları ve güncelleştirmeleri yapmadan sitenizi olduğu gibi tekrar kurarsanız, saldırganlar birkaç gün içinde tekrar geri gelecek ve sayfanızı yine hackleyeceklerdir. Eğer açık kaynak kodlu bir uygulama kullanıyorsanız (WordPress, drupal, joomla vs.) google’dan bunların son sürümleri veya güvenlik güncelleştirmeleri ile ilgili bilgi alın. Eğer mevcut ise son sürümü kullanın veya güvenlik günceleştirmelerini tamamlayın. Dosyaları veya klasörleri yetkilendirmek ve istemediğiniz veya erişmesi gerekmeyecek kişilerin erişimine kapatmak için .htaccess kullanın. Deneme-yanılma yapmakta kullandığınız, üzerinde sürekli oynadığınız kod dosyalarının ismini değiştirin veya silin. Bir güvenlik uzmanının fikirlerini alın, yardım isteyin. Web uygulamanıza bir güvenlik mekanizması eklemeyi deneyin. Bu konu hakkında forumlardan ve google’dan bir çok yardım bulabilirsiniz. Örnek vermek gerekirse : PHP-IDS – CrackerTracker for phpBB – Php-Brute-Force-Attack Detector. Daha sonra kendi bilgisayarınızdan, tamamen temiz olduğunuza inandığınız dosyalar ile kurulumu tekrar yapınız.
.htaccess ile saldırganların IP adreslerini engelleyin.
Günümüzde web uygulamaları en çok güvensiz kodlamalar ve güvensiz sunucu konfigürasyonları yüzünden hacklenmekte olduğunu belirterek yazımı bitiriyorum.
Sırayla Yapmanız Gerekenler
Hosting paneliniz üzerinde ki işlem yöneticisi veya varsa ssh ile çalışan tüm işlemleri kontrol edin.
/home/yourname/public_html/site/js/c99.php veya /home/yourname/public_html/site/js/shell.php gibi satırlar ile karşılaşırsanız bu tür satırlar içeren tüm işlemleri iptal edin.
Saldırganların tahmin etmekte güçlük çekeceğiniz dizinlere backdoor bırakmış olma ihtimali yüksek olduğundan tüm scriptinizi silin.
“Scalp” ile log dosyalarını inceleyin. Saldırganın girişimlerini ve hareketlerini göreceksiniz. Bu sayede web uygulamanızda zaaf içeren kısımları keşfetme şansınız olacak.
Daha önceden oluşturduğunuz backup/restore/kurtarma dosyalarına asla güvenmeyin. Bu şekilde online olarak depoladığınız yedek dosyalarınızı tamamen silin. Saldırganların bu yedekleme dosyaları içine backdoor bırakmış olma ihtimali yüksektir. Güncelleme/Yeniden yükleme gibi işlemler için daima local yani kendi bilgisayarınızda barınan dosyaları kullanın.
Kurtarma işleminden önce yapmanız gereken birkaç önemli şey var. Eğer bu haliyle, güvenlik yamaları ve güncelleştirmeleri yapmadan sitenizi olduğu gibi tekrar kurarsanız, saldırganlar birkaç gün içinde tekrar geri gelecek ve sayfanızı yine hackleyeceklerdir. Eğer açık kaynak kodlu bir uygulama kullanıyorsanız (WordPress, drupal, joomla vs.) google’dan bunların son sürümleri veya güvenlik güncelleştirmeleri ile ilgili bilgi alın. Eğer mevcut ise son sürümü kullanın veya güvenlik günceleştirmelerini tamamlayın. Dosyaları veya klasörleri yetkilendirmek ve istemediğiniz veya erişmesi gerekmeyecek kişilerin erişimine kapatmak için .htaccess kullanın. Deneme-yanılma yapmakta kullandığınız, üzerinde sürekli oynadığınız kod dosyalarının ismini değiştirin veya silin. Bir güvenlik uzmanının fikirlerini alın, yardım isteyin. Web uygulamanıza bir güvenlik mekanizması eklemeyi deneyin. Bu konu hakkında forumlardan ve google’dan bir çok yardım bulabilirsiniz. Örnek vermek gerekirse : PHP-IDS – CrackerTracker for phpBB – Php-Brute-Force-Attack Detector. Daha sonra kendi bilgisayarınızdan, tamamen temiz olduğunuza inandığınız dosyalar ile kurulumu tekrar yapınız.
.htaccess ile saldırganların IP adreslerini engelleyin.
Günümüzde web uygulamaları en çok güvensiz kodlamalar ve güvensiz sunucu konfigürasyonları yüzünden hacklenmekte olduğunu belirterek yazımı bitiriyorum.
