Saldırıya uğramış bir WordPress sitesi nasıl belirlenir

Yayınlanan: 2017-04-14

Saldırıya uğramış bir WordPress sitesi çoğu zaman çeşitli belirtiler gösterir. Bu gönderide, bu semptomların neler olduğunu açıklayacağız ve web sitenizin bunlardan herhangi birinden mi yoksa hepsinden mi etkilendiğini belirlemeniz için size bazı araçlar vereceğiz.

Saldırıya uğramış bir WordPress sitesinin belirtileri

Belirtilerin çoğu, web sitenizin garip bir şekilde davranmasının yanı sıra garip görünen dosyalar ve HTML kodunun sol ve sağda görünmeye başlamasını içerir. Gelin bunları tek tek inceleyelim!

1. Web siteniz spam göndermeye başlar

Gelen spam'leri belirlemek gidenlerden çok daha kolay olsa da, birisinin sitenizi spam göndermek için kullanıp kullanmadığını görmek için yapabileceğiniz birkaç şey vardır:

  • Posta günlüklerinizi kontrol edin (genellikle /var/log altındadır). SPF hata mesajı tarafından yasaklanan bir 550 Gönderici ile olağandışı miktarda e-postanın engellendiğini görmek şüpheli kabul edilir. Özellikle alan adınız için yapılandırılmış SPF kayıtlarınız varsa. O zaman kesinlikle kırmızı bayraktır.
  • Sitenizin bir spam kaynağı olarak kara listeye alınıp alınmadığını size söyleyebilecek MXToolbox ve UltraTools RBL Database LookUp gibi çeşitli web siteleri vardır. Bunlardan birkaç tane mevcut ve bulabildiğiniz kadarını aramanız gerekiyor. Birinde kara listeye alınmamış olmak %100 temiz olduğunuz anlamına gelmez.

2. Web siteniz sizi başka bir yere yönlendiriyor.

Bu muhtemelen tespit edilmesi en kolay semptomdur. Web sitenizi ziyaret ettiğinizde, web sayfanızı görüntülemek yerine garip bir yere yönlendirilirsiniz. Öncelikle DNS kayıtlarınızın değişip değişmediğini kontrol edin ve şimdi farklı bir IP adresine gelin.

 DNS kayıtlarınız iyi görünüyorsa, HTML sayfanızda bu yönlendirmeye neden olan bir şey olması kuvvetle muhtemeldir. Tarayıcınızın Javascript desteğini devre dışı bırakmayı deneyin ve web sitenizin sizi yeniden yönlendirip yönlendirmediğini tekrar görün. Yönlendirme devam ederse, bu, web sitenizin diğer alanlarının büyük olasılıkla kurcalanmış olduğunun bir işaretidir (veritabanınız, web sitenizin .htaccess dosyası veya web sunucusu yapılandırmanız).

3. Web siteniz şüpheli iframe'ler içeriyor.

Bir iframe, başka bir kaynaktan, genellikle reklamlardan gelen içeriği görüntülemek için kullanılan, başka bir HTML içinde "gömülü" bir HTML belgesidir. Görünür iframe'leri fark etmek kolaydır, ancak çoğu o kadar küçüktür (bazen sadece birkaç piksel alır!) ve onları kolayca gözden kaçırabilirsiniz. HTML dosyanızı bir düzenleyicide açın ve bilinmeyen veya şüpheli görünen URL'lere bağlanmaya çalışan <iframe> etiketlerini arayın. Bunları HTML yorum etiketlerinin <!– içine koyarak yorum yapın. Burada durmamalısınız, çünkü muhtemelen HTML dosyalarını kurcaladıysanız, bu, web sitenizin güvenliğinin kesinlikle ihlal edildiği ve web sitenizin kurcalandığı başka yerler olabileceği anlamına gelir.

4. Web siteniz yüklendiğinde açılır pencereler açar.

Bu aynı zamanda fark edilmesi kolay bir işarettir. Web siteniz, açıkça yerinde olmayan açılır pencereler yüklüyor. Arkada açılır olarak adlandırılan bazıları daha sinsidir. Bunlar, web sitenizi ziyaret ettiğinizde görünmez, ancak arka planda yüklenir. Ancak, tarayıcınızı küçültürseniz, genellikle ekranınızın büyük bir bölümünü kaplayarak onları anında görürsünüz.

Pressidium ile web sitenizi barındırın

60 GÜN PARA GERİ GARANTİSİ

PLANLARIMIZI GÖRÜN

5. Bozuk ve tuhaf görünümlü PHP dosyaları.

Aşağıdaki örnekte olduğu gibi görünüşte anlaşılmaz görünen PHP dosyalarını keşfetmek, her zaman birisinin web sitenizi kurcaladığına dair kesin bir uyarı işaretidir:

<?php değerlendirme(“\145\166\141\154\050\142\141\163'==QfgsDdphXZgsTKog2c1xmZgszJ+QHcpJ3Yz […]

Bu tür dosyalar için teknik terim "gizlenmiş"tir. Gizleme, genellikle kötü niyetli bir kod parçasının kaynağını gizlemek veya işlevinin ne olduğunu okumayı ve anlamayı çok zorlaştırmak için bilgisayar korsanları tarafından kullanılan yaygın bir tekniktir.

6. Arka kapılar, web kabukları, yönetici hesapları

Web kabukları, bilgisayar korsanları tarafından uzaktan bağlanmak ve web sitenize tam yönetim erişimi elde etmek için kullanılabilecek programlardır. Bu programlar, sunucunuzun kabuğuna (dolayısıyla web kabuğu terimi) uzaktan web erişimine izin verir, böylece onlara bağlanan herkes komutları çalıştırabilir. Bir yerde karmaşık bir PHP dosyası bulursanız, bu bir web kabuğudur.

Bilgisayar korsanları, bunları arka kapı olarak kullanmak için yönetici haklarına sahip hesaplar da oluşturabilir. WordPress arka ucunda veya veritabanınızda görünür olduklarından bunları bulmak nispeten kolaydır.

Şüpheli etkinliği belirlemenize yardımcı olacak araçlar

Web sitenizin kurcalanıp kurcalanmadığını belirlemenize yardımcı olabilecek birkaç araç vardır. Güvenliğinizin ihlal edildiğini veya virüs bulaştığınızı düşünüyorsanız, hepsini kullanarak web sitenizi kontrol etmek iyi bir fikirdir. Bu şekilde daha kapsamlı bir görünüm elde edersiniz çünkü bu servislerin hepsi aynı şeyleri kontrol etmez. Aşağıdaki kaynakların tümü ücretsizdir ve yalnızca web sitenizin URL'sini yazmanızı gerektirir.

Özellikle, kötü niyetli iframe'ler, açılır pencereler, yönlendirmeler ve diğer javascript canavarları ile enfekte olduğunuzu düşünüyorsanız, aşağıdaki web siteleri hemen sizi bilgilendirecektir:

  1. Sucuri'nin SiteCheck ve unmaskparasites . Bunlar, web sitenizin kara listede olup olmadığını ve çok daha fazlasını, bilinen kötü amaçlı yazılımları kontrol eder.
  2. Google Şeffaflık Raporu . Bu, web sitenizin Google'a göre "ziyaret edilmesi tehlikeli" olup olmadığını size gösterecektir.
  3. VirusTotal , kötü amaçlı içerik içerip içermediklerini görmek için URL'leri ve dosyaları analiz edebilen ücretsiz bir hizmettir.
  4. PC Riskine Göre Ücretsiz Çevrimiçi Web Sitesi Kötü Amaçlı Yazılım Tarayıcı . Sitenizde ""kötü amaçlı kod, gizli iframe'ler, güvenlik açığından yararlanma, virüs bulaşmış dosyalar ve diğer şüpheli etkinlikler" araması yapar.
  5. Quttera'nın Ücretsiz Web Sitesi Kötü Amaçlı Yazılım Tarayıcısı. Sitenizde "şüpheli komut dosyaları, kötü amaçlı medya ve yasal içeriğe gizlenmiş ve web sitelerinde bulunan diğer web güvenliği tehditleri" için arama yapar. Her bulgunun tehdit düzeyine göre sınıflandırıldığı bir güvenlik raporu üretir.

WordPress sitenizi güvende tutmanıza yardımcı olan birkaç WordPress eklentisi de vardır. InfoSec'in sunduğu en iyi 7 WordPress güvenlik Eklentisi için bu mükemmel kılavuzu da kontrol ettiğinizden emin olun .

Herhangi bir kötü amaçlı içerik bulduğunuzda sitenizi temizlemeniz ve güvenlik açıklarını düzeltmeniz son derece önemlidir. Güvenliği ihlal edilmiş bir web sitesi, işletmenizin geçimini eninde sonunda etkileyebilecek ve etkileyecek kesintiler veya anormal davranışlar anlamına gelir!