Bulaşma gerçekleşmiş bir siteyi nasıl temizlerim

Nereden başlamalıyım?

Enfeksiyonun olası yollarını analiz edin:

  • Bir hacker, CMS yönetici panellerine, FTP veya SSH hesaplarına parolaları alabilir. Parolalar genellikle web yöneticisinin bilgisayarına virüs bulaştıran Truva atı programları kullanılarak kırılır veya çalınır.

  • Bir web uygulamasındaki güvenlik açıkları, dışarıdan gelenlerin kendi kodlarını siteye yerleştirmelerine izin verebilir.

  • Virüs bulaşmış bir harici kaynak (bir ortak program, banner sistemi veya izleyici) nedeniyle, size sunulan kod kullanıcılar için bir tehdit haline gelebilir.

Tarayıcı tabanlı kötü amaçlı kodu bulun

Yandex Webmaster’ın Güvenlik ve İhlaller sayfasında enfeksiyonla ilgili bilgileri analiz edin. Bölüm, virüs bulaşmış sayfaların bir listesini, kontrol tarihlerini ve antivirüs tarafından verilen kararları içerir. Karar başlığındaki bağlantıya tıklayarak açıklamasını ve karara karşılık gelen örnek kodu (site sayfalarında görünen kod) görebilirsiniz.

Sorunu sanal bir makine kullanarak da yeniden üretebilirsiniz.

Sunucu taraflı kötü amaçlı kodu bulun

  1. Potansiyel tehditten site ziyaretçilerini korumak için web sunucusunu durdurun. Daha sonra web sunucusu dosyalarını ve sunucuyu yönetmek için kullanılan iş istasyonlarını taramak için antivirüs kullanın ve tüm parolaları değiştirin: root, FTP, SSH, barındırma yönetim panelleri ve CMS.
  2. Enfeksiyondan önce yapılmış bir yedek kopya varsa, onu geri yükleyin.
  3. Site tarafından kullanılan tüm programları en son sürümlerine güncelleyin ve düzeltilmiş güvenlik açıklarının açıklamalarını arayın. Bu, siteye nasıl virüs bulaştığını anlamanıza yardımcı olabilir.
  4. Genişletilmiş izinlere sahip gereksiz kullanıcıları silin ve bir hacker’ın yetkilendirmeyi atlayarak sitenin kodunu değiştirmek için kullanabileceği bir web kabuğunun varlığı için sunucuyu dikkatlice kontrol edin.
  5. Kötü amaçlı kodu kontrol edin:

    • Tüm sunucu betiklerinde, CMS şablonlarında ve veritabanlarında.

    • Web sunucusu veya sunucu betik yorumlayıcısı için yapılandırma dosyalarında.

    • Paylaşımlı barındırma kullanıyorsanız, aynı sunucudaki diğer siteleri kontrol edin — tüm sunucuya virüs bulaşmış olabilir.

Kötü amaçlı kodun belirtileri:

  • Yedek kopya veya sürüm kontrol sistemiyle uyuşmayan garip veya tanıdık olmayan kod.

  • Gizlenmiş (okunamaz, yapısız) kod.

  • Enfeksiyon verileriyle veya daha sonraki tarihlerle çakışan dosya değiştirme tarihleri. (Bu parametre güvenilir değildir, çünkü dosya değiştirme tarihi virüs tarafından değiştirilebilir.)

  • Kötü amaçlı kod için tipik olan işlevlerin kullanımı. PHP için bu tür işlevlerin örnekleri:

    • Dinamik kod yürütme (eval, assert, create_function).

    • Gizleme (base64_decode, gzuncompress, gzinflate, str_rot13, preg_replace).

    • Uzaktan kaynak yükleme (file_get_contents, curl_exec).

Kötü amaçlı kod kaldırıldı, sırada ne var?

Yandex robotu bir sonraki taramada bir bulaşma tespit etmezse, sitenin tehdit oluşturduğuna dair uyarı arama sonuçlarından kaldırılacaktır. Yeniden kontrolü hızlandırmak için Yandex.Webmaster’ı açın, Güvenlik ve ihlaller sayfasına gidin ve Düzelttim düğmesine tıklayın.

Enfeksiyondan sonraki haftalarda, güvenlik açığı çözülmemişse veya bilgisayar korsanları hala siteye erişime sahipse, dosyaları ve site kodunu düzenli olarak yeniden kontrol etmeye devam edin.

Eğer ilginç bir şey bulduysanız

Yandex sürekli olarak yeni enfeksiyon biçimlerini arar ve araştırır ve araştırma sonuçlarını Yandex web yöneticileri blogunda yayınlar.

Sitenizde kötü amaçlı veya şüpheli bir kod keşfettiyseniz, analiz için uzmanlarımıza gönderin.

Destek Birimiyle İletişime Geçin

Sorunuzun ne hakkında olduğunu bize söylerseniz, sizi doğru uzmana yönlendirebiliriz:

Bu durumda, İstenmeyen programlar ve tehlikeli dosyalar bölümündeki önerileri okuyun. Ayrıca söz konusu sayfadan destek birimiyle iletişime geçebilirsiniz.

Site güvenliğiyle ilgili başka bir sorun hakkında bir mesaj görürseniz, ihlal türünü seçin.




Ayrıca şuraya gidebilirsiniz:

Önceki
Sitenizi bulaşmalardan nasıl korursunuz
Sonraki
Sorunu sanal makine kullanarak kendim nasıl yeniden üretebilirim?