Kötü Amaçlı Yönlendirme Kötü Amaçlı Yazılım Hackinden Nasıl Kurtarılır

Kötü niyetli saldırganların en popüler taktiklerinden biri, trafiği başka bir siteye yönlendirmek amacıyla bir siteye kötü amaçlı yönlendirme kötü amaçlı yazılımları eklemektir. Bu sadece site sahibine değil, site ziyaretçilerine de zarar verebilir. Kötü amaçlı bir yönlendirme, genellikle, istenmeyen bir site ziyaretçisini spam sitelerine ve hatta kullanıcının bilgisayarına ortadan kaldırılması zor olabilecek kötü amaçlı yazılım bulaştırabilecek sitelere getirir.

Bu yazıda, kötü amaçlı yeniden yönlendirme kötü amaçlı yazılımının ne olduğundan, bilgisayar korsanlarının neden bu taktiği kullandığından, sitenizin bu kötü amaçlı yazılımdan etkilenip etkilenmediğinin nasıl belirleneceğinden ve sitenizi kötü amaçlı yeniden yönlendirme kötü amaçlı yazılımlarının etkilerinden kurtarmak için bazı olası çözümlerden bahsedeceğiz. .

Ayrıca, sitenizin kurtarıldıktan sonra korunmaya devam etmesini sağlamak için bazı önemli adımları özetleyeceğiz.

Kötü Amaçlı Yönlendirme Kötü Amaçlı Yazılım Nedir?

Kötü amaçlı yönlendirme, site ziyaretçisini başka bir web sitesine yönlendirmek amacıyla bir web sitesine eklenen, genellikle Javascript olan koddur. Genellikle, bu kötü amaçlı kötü amaçlı yazılım, saldırganlar tarafından başka bir sitede reklam gösterimleri oluşturmak amacıyla bir WordPress web sitesine eklenir. Ancak, bazı kötü niyetli yönlendirmelerin daha ciddi sonuçları olabilir. Daha ciddi bir kötü amaçlı yönlendirme, site ziyaretçisinin bilgisayarındaki olası güvenlik açıklarından yararlanabilir. Bu tür kötü amaçlı yazılımlar, bir kullanıcının Mac veya Windows bilgisayarına çok zarar verebilecek kötü amaçlı kötü amaçlı yazılımlarla kişisel bilgisayara bulaşan kötü amaçlı yazılım yüklemeyi amaçlar.

Sitenize virüs bulaşıp bulaşmadığını belirleme

Site sahipleri, sitelerinin yeniden yönlendirildiğinin farkında olmayabilir. Genellikle, kötü niyetli yönlendirmeler gizlenir, böylece yalnızca kimliği doğrulanmamış (oturum açmamış kullanıcılar) yeniden yönlendirilir. Veya kullanıcının siteyi ziyaret ederken kullandığı tarayıcıyı algılayabilir ve yalnızca o tarayıcıya yönlendirebilir. Örneğin, yalnızca Chrome'un savunmasız sürümlerine bulaşabilecek kötü amaçlı yazılım içeren bir kişisel bilgisayardan yararlanmayı hedefliyorlarsa, yalnızca kötü amaçlı komut dosyası tarafından algılandığı şekilde bu sürümü kullananlar yeniden yönlendirilecektir. Neler olup bittiğini belirlemek biraz araştırma gerektirebilir.

Bir site sahibi, bir müşteri tarafından bildirilen yeniden yönlendirmeyi kopyalamayı deneyebilir, ancak bunun için kendi bilgisayarında her şeyin yolunda olduğunu görebilir. Mobil platformlardaki site ziyaretçileri aynı zamanda kötü niyetli faaliyetlerle de karşılaşabilir. Yönlendirme bazı sayfalarda gerçekleşirken bazılarında gerçekleşmeyebilir. Veya site yüklenmeden önce olabilir.

WordPress Sitem Neden Başka Bir Siteye Yönlendiriliyor?

Siteniz yeniden yönlendirme yapıyorsa, saldırganların yönlendirme oluşturmak için kullanabileceği birkaç yöntem vardır. Tabii ki, bunların hepsi bir yönlendirme oluşturmanın çok geçerli yolları olabilir, ancak kötü niyetli durumlarda bunlar kesinlikle site ziyaretçisinin yararına değildir. Saldırganların yeniden yönlendirmek için kullandıkları bazı yöntemler şunlardır. Birincil yeniden yönlendirme yöntemleri, bir .htaccess yönlendirmesini veya bir Javascript yönlendirmesini içerir. Nadir durumlarda, bir HTTP başlığı bulabilirsiniz (örneğin, META HTTP-EQUIV=REFRESH yönlendirmesi), ancak bunlar nadirdir. Çoğu durumda, yönlendirme bulanıktır, yani işlevlerin kodun gerçek amacını gizlemek için kullanıldığı anlamına gelir. Bu şaşırtma genellikle bir şeylerin yanlış olduğunun ilk anahtarıdır, ancak saldırganlar çoğu WordPress site sahibinin bu şaşırtmacadan korkacağına ve daha derine inmek istemeyeceğine bahse girerler.

Yönlendirme Enfeksiyonu Tam Olarak Nerede Bulunur?

Bilgisayar korsanlarının bir WordPress yönlendirme kesmesinin gerçekleşmesine neden olmak için kötü amaçlı kodlarını ekleyecekleri birkaç alan vardır.

1. PHP dosyaları

Bir saldırgan, WordPress çekirdek dosyalarından herhangi birine kod ekleyerek sitenize bulaşabilir. Sorununuza neden olan kötü amaçlı kodu içerebilecek dosyalardan bazıları şunlardır:

Saldırganlar, WordPress'teki çekirdek dosyalardan herhangi birine kod enjekte ederek web sitesine bulaşabilir. Bu dosyaları kötü amaçlı kod için kontrol edin. Hangi kodun kötü amaçlı olup olmadığından emin değilseniz, dosyaları her zaman WordPress çekirdeğinin bilinen iyi kopyalarıyla veya tema ve eklenti dosyalarınızla karşılaştırabilirsiniz.

• index.php
• wp-config.php
• wp-settings.php
• wp-load.php
• .htaccess
• Tema dosyaları (wp-content/themes/{themeName}/)
  • başlık.php
  • işlevler.php
  • altbilgi.php

2. JavaScript dosyaları

Yönlendirme kötü amaçlı yazılımının bazı çeşitleri, sitenizdeki tüm JavaScript (.js) dosyalarını etkiler. Bu, eklentideki Javascript dosyalarını, tema klasörlerini ve wp-include'ları içerecektir.

Ve genellikle, aynı kötü amaçlı kod, her JavaScript dosyasının en üstüne veya en altına eklenir.

3. .htaccess dosyası

.htaccess dosyanız, web sunucunuza bir site ziyaretçisinden bir istek alır almaz ne yapacağını söyleyen bir dizi yönergedir. PHP'den önce, veritabanınıza yapılan herhangi bir çağrıdan önce devreye girer ve sunucunuza, tarayıcı, bilgisayar türü ve hatta istek gibi bir kullanıcının bulunduğu sistem hakkında biraz bilgi veren belirli "ortam değişkenlerini" algılayabilir. sitenizin sayfaları için bir arama motoru tarayıcısından geliyor.

Normal bir WordPress .htaccess dosyasının neye benzediğini bilmiyorsanız, .htaccess içindeki kodun çoğu kafa karıştırıcı olabilir. Ve daha derine inmek için .htaccess dosyasını sabit sürücünüze indirirseniz, bu dosya türünü “gizli dosya” olarak kabul eden birçok kişisel bilgisayarda genellikle sizde kaybolabilir.

.htaccess dosyasına kötü amaçlı kodun eklendiği çok yaygın İlaç saldırısı, genellikle site ziyaretçilerini yalnızca bir arama motoru sonuç sayfasından geliyorlarsa yönlendirir.

Bilgisayar korsanları, kötü niyetli kodlarını, çok sağa kaydırmadığınız sürece dosyanın içinde gizlenmiş halde bulamayacağınız şekilde yerleştirir. Bu, bu yeniden yönlendirme hack'lerini tespit etmeyi ve kaldırmayı çok daha zor hale getirir.

3. WordPress veritabanı

wp_options ve wp_posts tabloları, genellikle kötü amaçlı yönlendirmeler ekleyen bilgisayar korsanları tarafından hedeflenen bir WordPress veritabanındaki tablolardır. Javascript kodu, gönderilerinizin her birine veya hatta tümüne gömülü olarak bulunabilir. Widget'larda gizliyse, wp_options tablonuzda yönlendirmeleri de bulabilirsiniz.

4. Sahte favicon.ico dosyaları

Sitenizin sunucusunda kötü niyetli PHP kodu içeren rastgele bir .ico dosyası veya sahte favicon.ico dosyası oluşturacak kötü amaçlı yazılımlar var. Bu .ico dosyaları, daha sonra sitenizdeki başka bir dosyaya dahil edilen kötü amaçlı yönlendirmeyi içerecektir.

 @include "/home/sitename/sitename.com/cdhjyfe/cache/.2c96f35d.ico";

Kötü amaçlı bir yönlendirmeden hızlı bir şekilde kurtarma

Kötü amaçlı bir yönlendirme saldırısına maruz kaldıysanız, bu tür kötü amaçlı yazılımlardan kurtulmanın en hızlı ve en kolay yolu, iyi olduğu bilinen bir yedekten geri yüklemektir. BackupBuddy ile sitenizin düzenli yedeğini alıyorsanız, sitenizin iyi bir kopyasını içeren yeni bir yedeğiniz olduğunu bilirsiniz. Sitenizi bilinen iyi bir yedekten geri yüklemek, sitenizi hızlı bir şekilde yeniden çalışır duruma getirmenin mükemmel bir yoludur.

Elbette, sık sık değişen içeriğe sahip bir site çalıştırıyorsanız, kötü amaçlı bir yönlendirmeye karşı en iyi savunma, yakın zamanda yapılan iyi bir yedekleme ve izinsiz giriş tespitidir, böylece bir soruna karşı hızlı bir şekilde uyarılırsınız. Bu sayede hızlı bir şekilde aksiyon alabilir ve arıza süresini en aza indirebilirsiniz.

Tabii ki, o zaman bilgisayar korsanının yeniden yönlendirmeyi nasıl yerleştirdiğini belirlemek için erişim günlüklerinize dönmelisiniz.

Eklenti alan adları hakkında bir not

WordPress sitelerinin saldırıya uğramasının en yaygın yollarından biri, bakımı yapılmayan eklenti etki alanlarından veya barındırma hesabınızdaki ek WordPress yüklemelerindendir. Belki aynı hesapta bir şeylerin işe yarayıp yaramadığını görmek için bir test sitesi kurdunuz ve bu yüklemeyi unuttunuz. Bir bilgisayar korsanı bunu keşfeder ve ana sitenize kötü amaçlı yazılım yüklemek için bakımı yapılmayan sitedeki güvenlik açıklarından yararlanır. Veya paradan tasarruf etmek için aile üyenizin sitesini de aynı alanda barındırıyorsunuz, ancak güvenliği ihlal edilmiş parolaları yeniden kullanıyorlar.

Bir barındırma hesabında bir WordPress sitesine sahip olmak her zaman en iyisidir veya aynı barındırma hesabında birden fazla site kullanıyorsanız, bunların birbirinden izole edildiğinden emin olun ve her site için farklı bir sunucu tabanlı kullanıcı kullanın. Bu şekilde, savunmasız bir siteden diğer bitişik siteye çapraz kontaminasyon gerçekleşemez.

Barındırma hesabınızda birden fazla siteniz varsa, aynı alanda çalışan tüm sitelere (örneğin, public_html altında çalışan tüm siteler), hepsine kötü niyetli yeniden yönlendirme kötü amaçlı yazılımları bulaşmış gibi davranmanız gerekir. Böyle bir durumunuz varsa, bu adımların her birinin, o barındırma örneğindeki sitelerin her biri için yapıldığından emin olun. Emin değilseniz, barındırma sağlayıcınıza danışın.

Sitenizi WordPress yönlendirme hack kötü amaçlı yazılımı için tarama

Yakın zamanda temiz bir yedeğiniz yoksa, kötü amaçlı yazılımları yine de kendi başınıza kaldırabilirsiniz. Bunu yapmak sıkıcı bir süreç olabilir ve kötü amaçlı yazılımı yeniden yönlendirmekten fazlasını aramanız gerekir. Yönlendirme kötü amaçlı yazılımlarına, arka kapılar ve hileli yönetici kullanıcıları dahil olmak üzere diğer kötü amaçlı yazılımların eşlik etmesi en yaygın olanıdır ve ayrıca, genellikle "izinsiz giriş vektörü" olarak adlandırılan bilgisayar korsanının nasıl girdiğini belirlemeniz gerekir. Kötü amaçlı yazılımların kaldırılmasına yönelik bütünsel bir yaklaşım benimsememek, yeniden yönlendirme sorununun geri gelmesini sağlar.

iThemes Security Pro, web sitenizde herhangi bir dosya değişikliği meydana geldiğinde, örneğin bir yönlendirme hack'i veya arka kapılara işaret edecek değişiklikler gibi sizi uyaran bir Dosya Değişikliği Algılama özelliğine sahiptir.

İşte önerilen kötü amaçlı yazılım temizleme işlemimiz.

1. Siteyi yedekleyin

Evet, siteye virüs bulaşmış olsa bile, ne olduğuna dair kanıtları korumak isteyeceksiniz. Herhangi bir olay mahallini hacklemeyi düşünün ve ne olduğunu ve ne zaman olduğunu bilmek isteyeceksiniz. Dosya zaman damgaları, izinsiz girişin nasıl gerçekleştiğini belirlediğinizde, yeniden olmasını önleyebilmeniz için araştırmanızda yardımcı olacaktır.

2. Siteyi kaldırmanız gerekip gerekmediğini belirleyin

Kötü amaçlı bir yönlendirme ile sitenizi bakım için geçici olarak kapatmak isteyebilirsiniz. Tüm yönlendirmeler bunu garanti etmez, ancak siteniz kullanıcının bilgisayarına zarar verebilecek bir yere yönlendirme yapıyorsa, siteyi bir süreliğine kapatmak daha fazla hasarı önleyecektir.

Bilgisayar korsanının sitede hâlâ etkin olabileceğini düşünüyorsanız (bilmiyorsanız, öyle olduğunu varsayın), siteyi kapatıp erişilemez hale getirmek daha fazla hasarı önleyebilir.

Her durum farklı olacaktır; olup bitenlere göre bu belirlemeyi yapmanız gerekecek.

3. Siteyi yerel bir sürücüye kopyalayın

Yedeklemenizi koruyarak siteyi yerel bir sürücüye kopyalayın. Yerel bir sürücüde bir metin düzenleyici kullanarak temizleme yapmanızı ve yerel olarak karşılaştırmanızı ve internete erişilemeyen yerel bir durumda PHP ve Javascript dosyalarınızdan .htaccess dosyalarınıza kadar tüm dosyaları incelemenizi öneririz. Bu sayede dosyaları incelemek için kontrollü bir ortama sahip olursunuz. WordPress'in, temanızın ve eklentilerinizin yeni bir kopyasını indirebilir ve hangi dosyaların değiştirildiğini ve hangi dosyaların ait olmadığını görmek için saldırıya uğramış sitenizle dosya karşılaştırmaları yapabilirsiniz. Kullanabileceğiniz çok sayıda dosya karşılaştırma aracı vardır.

4. Yönlendirmeleri ve gizli arka kapıları kaldırın

Dosyalarınıza bakarken, içinde kötü amaçlı yazılım bulunan dosyaları bilinen iyi kopyalarla değiştirebilir veya bunu yapmakta rahatsanız, orada olmaması gereken dosyaları (genellikle arka kapılar) ve kod satırlarını kaldırabilirsiniz. bir metin düzenleyici ile orada olmamalı.

/wp-content/uploads dizininizi ve orada olmaması gereken PHP dosyaları için tüm alt dizinleri kontrol edin.

Bazı dosyalar, WordPress.org deposundan indirdiğiniz herhangi bir dosyadan farklı olacaktır. Bu dosyalar, .htaccess dosyanızı ve wp-config.php dosyanızı içerir. Bunların herhangi bir hatalı kötü amaçlı kod için yakından incelenmesi gerekecektir. Her ikisi de yönlendirmeler içerebilir ve wp-config.php dosyası arka kapılar içerebilir.

5. Temizlenen dosyalarınızı sunucunuza yükleyin

Tüm kötü amaçlı yazılımları bir kerede silmek ve saldırıya uğramış sitede etkin olan arka kapılara erişimi engellemek için temizlenmiş sitenizi saldırıya uğramış sitenizin yanına yükleyin. Örneğin, siteyi hacklediyseniz /public_html/ altındaysa, temiz sitenizi yanına /public_html_clean/ dizinine yükleyin. Bir kez orada, canlı /public_html/ dizinini /public_html_hacked/ olarak yeniden adlandırın ve /public_html_clean/ dizinini public_html olarak yeniden adlandırın. Bu, yalnızca birkaç saniye sürer ve sitenizi temizleme işleminin başlangıcında kapatmamayı seçtiyseniz kesinti süresini en aza indirir. Ayrıca, aktif bir saldırganla "köstebek vur" oynayarak saldırı altındaki canlı bir siteyi temizlemeye çalışmanızı da engeller.

Artık dosyalar temizlendiğine göre, hala yapacak bazı işleriniz var. Sitenin ön uçta ve ayrıca wp-admin içinde iyi göründüğünü iki kez kontrol edin.

6. Kötü niyetli yönetici kullanıcıları arayın

Sitenize eklenen kötü niyetli yönetici kullanıcıları arayın. wp-admin > users bölümüne gidin ve tüm admin kullanıcılarının geçerli olduğunu tekrar kontrol edin.

7. Tüm yönetici şifrelerini değiştirin

Tüm yönetici hesaplarının güvenliğinin ihlal edildiğini düşünün ve herkes için yeni şifreler belirleyin.

8. Kötü amaçlı kayıtlara karşı koruyun

wp-admin > settings > general'e gidin ve "Herkes Kayıt Olabilir" adlı "Üyelik" ayarının devre dışı olduğundan emin olun. Kullanıcıların kaydolmasına ihtiyacınız varsa, “Yeni Kullanıcı Varsayılan Rolü”nün Yönetici veya Düzenleyici olarak değil, yalnızca Abone olarak ayarlandığından emin olun.

9. Herhangi Bir Kötü Amaçlı Bağlantı İçin Veritabanını Arayın

Dosya sistemindeki sorunları bulmak için yaptığınıza benzer şekilde, kötü amaçlı PHP işlevleri için WordPress veritabanınızı manuel olarak arayın. Bunu yapmak için PHPMyAdmin'de veya başka bir veritabanı yönetim aracında oturum açın ve sitenizin kullandığı veritabanını seçin.

Ardından aşağıdaki gibi terimleri arayın:

• değerlendir
• senaryo
• Gzinflate
• Base64_decode
• Str_replace
• preg_replace

Veritabanındaki herhangi bir şeyi değiştirmeden önce son derece dikkatli olun. Yanlışlıkla boşluk eklemek gibi çok küçük bir değişiklik bile sitenizi çökertebilir veya düzgün yüklenmesini engelleyebilir.

10. Siteyi güvenli hale getirin

Bir izinsiz giriş olduğu için, sitenizle ilişkili her şeyin güvenliğinin ihlal edildiğini varsaymanız gerekir. WordPress sitenizin WordPress veritabanınızda oturum açabilmesi için barındırma hesabı panelinizdeki veritabanı şifrenizi ve wp-config.php dosyanızdaki kimlik bilgilerinizi değiştirin.

Ayrıca, SFTP/FTP şifrenizi ve hatta cPanel veya barındırma hesabınızın şifresini değiştirin.

11. Google ile ilgili sorunları kontrol edin

Google Arama Konsolunuza giriş yapın ve kötü niyetli site uyarılarınız olup olmadığına bakın. Öyleyse, düzeltmelerinizin sorunu çözüp çözmediğini görmek için bunları inceleyin. Eğer öyleyse, bir inceleme isteyin.

12. iThemes Security'yi yükleyin

Henüz iThemes Security'yi yüklemediyseniz ve yapılandırmadıysanız, şimdi en iyi zaman. iThemes Security, sitenizi izinsiz girişlerden korumanın en iyi yoludur

13. Güvenlik açığı bulunan tüm yazılımları güncelleyin veya kaldırın

Güncelleme gerektiren herhangi bir yazılımınız, temanız, eklentiniz veya çekirdeğiniz varsa, şimdi güncelleyin. Kullanmakta olduğunuz bir eklentide yama uygulanmamış bir güvenlik açığı varsa (iThemes Security kullanarak kontrol edebilirsiniz), bu yazılımı devre dışı bırakın ve sitenizden tamamen kaldırın.

Bu noktada sitenizi kilitlediyseniz, sitenizi tekrar erişilebilir hale getirmek için bakım bildirimini kaldırabilirsiniz.

Başka bir izinsiz girişi önle

Sitenizi kilitleyip yayına aldıktan sonra, izinsiz girişlerin tekrar olmasını önlemek için adımlar atmanız çok önemlidir. İlk etapta izinsiz girişin nasıl olduğunu görmek için günlük dosyalarınızı kontrol edin. Savunmasız bir yazılım mıydı? Güvenliği ihlal edilmiş bir yönetici kullanıcı hesabı mıydı? Bitişik, bakımsız bir WordPress kurulumundan çapraz bulaşma mıydı? İzinsiz girişin nasıl gerçekleştiğini bilmek, gelecekte tekrar olmasını önlemek için adımlar atmanız konusunda sizi bilgilendirecektir.

Ayrıca, iThemes Security kullanmak sitenizi güvende tutmanın önemli bir ilk adımıdır.

WordPress şu anda tüm web sitelerinin %40'ından fazlasına güç sağlıyor, bu nedenle kötü niyetli bilgisayar korsanları için kolay bir hedef haline geldi. Saldırganlar, WordPress kullanıcılarının daha az güvenlik bilgisine sahip olduğunu varsayarlar, bu nedenle korunmayan WordPress sitelerini bulurlar ve şüpheli olmayan barındırma hesaplarında bir yer edinmek için kötü parolalardan, yeniden kullanılan parolalardan veya savunmasız yazılımlardan yararlanırlar.

Verizon'un 2022 için DBIR Raporu, ihlallerin %80'inden fazlasının çalınan kimlik bilgileriyle ilişkilendirilebileceğini ve güvenlik açığından yararlanmaya karşı birincil izinsiz giriş vektörü olarak çalınan kimlik bilgilerinin %30'luk bir artış olduğunu bildiriyor. Bu, iThemes Security'nin WordPress sitelerini bu izinsiz girişlerden korumak için geçiş anahtarları ve iki faktörlü kimlik doğrulama gibi kullanıcı kimlik bilgileri yeniliklerine öncelik vermesinin nedenlerinden biridir.

Bu makalede herhangi bir şey gördüyseniz, bir ihlalden ÖNCE güvenliği ciddiye almanızın ne kadar önemli olduğunu umuyoruz. Sadece birkaç ayar ile kodu incelerken sayısız saatlerce baş ağrısından tasarruf edebilirsiniz. Kurtarmayı çok daha kolay hale getirmek ve iThemes Security Pro'yu kullanarak yetkisiz erişime karşı koruma sağlamak için BackupBuddy'yi kullanın.

WordPress'i Güvence Altına Almak ve Korumak için En İyi WordPress Güvenlik Eklentisi

WordPress şu anda tüm web sitelerinin %40'ından fazlasına güç sağlıyor, bu nedenle kötü niyetli bilgisayar korsanları için kolay bir hedef haline geldi. iThemes Security Pro eklentisi, WordPress web sitenizi güvenli hale getirmeyi ve korumayı kolaylaştırmak için WordPress güvenliğindeki varsayımları ortadan kaldırır. WordPress sitenizi sizin için sürekli izleyen ve koruyan tam zamanlı bir güvenlik uzmanına sahip olmak gibidir.

iThemes Security Pro'yu edinin

iThemes Editör Ekibi

iThemes ekibi her hafta, Haftalık WordPress Güvenlik Açığı Raporu da dahil olmak üzere yeni WordPress öğreticileri ve kaynakları yayınlar. 2008'den beri iThemes, kendiniz veya müşterileriniz için WordPress siteleri oluşturmanıza, sürdürmenize ve güvenliğini sağlamanıza yardımcı olmaya kendini adamıştır. Görevimiz? İnsanların Hayatlarını Harika Hale Getirin .