Web sitenizin saldırıya uğradığından şüpheleniyor ve “sitem hacklendi mi, sitemin hacklendiğini nasıl anlarım” sorularına cevap mı arıyorsunuz? Bu yazıda, merak edilen detayları paylaştık…
İnternet live stats (İnternet canlı istatistikleri) her gün “100 bin“den fazla web sitesinin saldırıya uğradığını gösteriyor. Bu sitelerin arasında yer almamak için düzenli olarak sitenizi taramalı ve bir web sitesinin saldırıya uğrayıp uğramadığını anlamanıza yardımcı olacak işaretlere dikkat etmeniz gerekir.
Kötü amaçlı yazılımın ve saldırının türüne bağlı olarak, sitelere yapılan saldırıların birçok farklı işareti olabilir. Ancak, web sitenizi sık sık taramadan tespit edilmesi imkansız olan hack’ler de vardır. Ve hatta zarara uğramadan saldırıları fark edemeyeceğiniz durumlarla da karşılaşabilirsiniz.
Web sitenizin saldırıya uğradığını veya şüpheli etkinlikleri nasıl tespit edebileceğinizi ve bu tür saldırıların artmasına neden olan güvenlik açıklarını önlemek için neler yapabileceğinizi aşağıda açıklamaya çalıştık.
Web Sitemin Saldırıya Uğradığını Nasıl Anlarım? Saldırı Belirtileri Nelerdir?
Web sitenizin saldırıya uğrayıp uğramadığını anlamanın birkaç yolu vardır. Hacklenmiş bir web sitesinde görülebilecek en yaygın işaretler şunlardır:
1. Google Search Consol’da uyarı mesajı
Web sitenizin saldırıya uğradığını anlamanızın en iyi yolu Search Consol Güvenlik sekmesini sürekli kontrol etmektir. Hacker’lar genellikle kötü amaçlı yazılımları site yöneticilerinden kolaylıkla gizleyebilirler. Ancak zararlı faaliyetleri Google gibi arama motorlarından gizlemeleri çok daha zordur.
Google, web sitelerini dizine eklemek için önce derinlemesine tarar. Bu işlemi yaparken de son derece gelişmiş araçlar kullanır. Eğer sitenizde herhangi bir kötü amaçlı yazılım vs. tespit ederse, bu durumu Search Consol Güvenlik ve Manuel İşlemler–Güvenlik Sorunları sekmesinde bir uyarı ile bildirir. Ayrıca, bu konu hakkında Google’dan bir mail de alabilirsiniz.
2. Tarayıcıda siteniz için uyarılar
“Sitemin saldırıya uğrayıp uğramadığını nasıl anlarım” sorusu için verebileceğimiz bir diğer yanıt da, web sitenizi düzenli olarak tarayıcıdan girip kontrol etmeniz gerektiğidir.
Tarama esnasında Googlebot kötü amaçlı bir yazılım tespit ederse, hemen web sitesini işaretler. Algılanan kötü amaçlı yazılımın türüne bağlı olarak, saldırıya uğramış web sitesi için tarayıcıda aşağıdaki gibi uyarılarla karşılaşılabilir:
- “Bu site saldırıya uğramış olabilir”
- “Bu site bilgisayarınıza zarar verebilir”
- “Aldatıcı site …”
- “Kimlik avı …”
- “Bu site güvenli değil”
- URL çubuğundaki “Tehlikeli” etiketi
Google, kötü amaçlı yazılım veya şüpheli etkinlik tespit ettiği web sitelerini yukarıdaki gibi işaretleyerek kara listeye alır. Bu liste diğer arama motorları ve güvenlik şirketleri tarafından da kullanılır.
Kara listeye alınmak, web sitenizin hacklendiğinin ya da diğer bir tabirle saldırıya uğramış olabileceğinin belirgin bir işaretidir.
3. Google ADS Hesabınızın Askıya Alınması
Google’da reklam yayınlıyorsanız, Google’ın ziyaretçileri saldırıya uğramış sitelere yönlendiren reklamları düzenli olarak izlediğini bilmelisiniz.
Google, web sitenizin kötü amaçlı içerik veya kötü amaçlı yazılım barındırdığından veya bunları dağıtmaktan sorumlu olduğundan şüphelenirse, kullanıcılarını korumak için Ads hesabınızı askıya alabilir. Ads hesabınız askıya alınırsa, Google bunun nedenini açıklayan bir e-posta gönderir.
4. Hosting firmanızın web sitenizi askıya alması
Hosting şirketleri, sunucularını kötü amaçlı kodlara karşı düzenli olarak tarar ve enfeksiyonun o sunucudaki diğer web sitelerine yayılmadığından emin olmak için genellikle saldırıya uğramış web sitelerini hemen devre dışı bırakır.
Bazı durumlarda, barındırma şirketi web sitenizi tamamen devre dışı bırakmak yerine kaynakları sınırlandırabilir.
5. Web sitenizin spam içerikli sitelere yönlendirilmesi
Yönlendirme hack’leri şu anda en yaygın hack’lerdir. Web sitenizin URL’si (veya web sayfalarınızdan biri) sizi spam içerikli veya kötü niyetli bir alana/siteye yönlendirdiğinde, buna “yönlendirme hacki” denir. Bu durum, web sitenize virüs bulaştığının en açık işaretlerinden biridir.
Yönlendirme hack’leri yıllar içinde çok karmaşık hale geldi. Artık bilgisayar korsanları web sitenize yalnızca müşterilerinizin yönlendirileceği şekilde bulaşabilir. Yani siz sitenizin sorunsuz işlediğini görürsünüz ve kullanıcılarınızın farklı yerlere yönlendirildiklerinin farkında olmazsınız.
Bu, bilgisayar korsanları tarafından saldırıyı web sitesi sahibinden gizlemek için kullanılan en kurnazca numaralardan biridir. Ayrıca, sadece belirli tarayıcılardan web sitenize girenlerin yönlendirildiği bazı hack saldırıları ve zincirleme yönlendirme saldırıları gibi çeşitli saldırı yöntemleri de vardır.
Eğer, Web siteniz başka bir alana yönlendiriliyorsa, bu durum kesinlikle saldırıya uğradığınızın bir işaretidir.
6. E-postaların SPAM Klasörüne Düşmesi
Bilgisayar korsanlarının, çok sayıda kişiye spam e-posta göndermek için saldırıya uğramış web sitelerinde kötü amaçlı yazılım kullandığı bilinmektedir. E-postaların spam niteliğinde olması nedeniyle, dünyanın dört bir yanındaki e-posta sunucuları, sunucunuzu ve IP adresinizi kara listeye almış olabilir.
Sonuç olarak, sizin tarafınızdan gönderilen meşru e-postalar bile spam klasörüne düşer. İstenmeyen posta klasöründeki her e-posta, iş ve çevrimiçi itibar kaybıdır!
7. Web site yönetim paneline giriş yapamama
Bir web sitesi hacklendiğinde karşılaşılabilecek en yaygın sorunlardan biri de site yönetim paneline giriş yapamamaktır. Bu durumla karşılaştıysanız web sitenizin ele geçirilmiş olması muhtemeldir.
Hacker’lar .htaccess dosyanıza bir komut ekleyerek yönetim alanını kilitlemiş olabilir ya da daha farklı kötü amaçlı işlemler de uygulanmış olabilir. Böyle bir durumda vakit kaybetmeden hosting firmanızla iletişime geçebilir veya cPanel’e giriş yapıp örneğin phpMyAdmin’den kullanıcı adı ve parola değişikliği yapabilirsiniz. Tahmin edilmesi zor parola seçmek ve parolayı düzenli aralıklarla değiştirmek saldırılara karşı iyi bir önlem olacaktır.
8. Meta açıklamalarda değişiklik
Kötü niyetli rakipleriniz, web sitenizi daha yüksek sıralamalar elde etmek veya satış ortaklığı gibi bağlantılar aracılığıyla satışlarını artırmak için kullanmak isteyebilir. Bunun için de web sayfalarınızın meta açıklamalarını arama motorlarında değiştirmek için sitenizi hacklemiş olabilirler.
Bunu tespit etmenin en iyi yolu, meta açıklamalarınızın anlamsız değerler veya Japonca karakterlerle değiştirilip değiştirilmediğini kontrol etmektir. Bu kontrolleri düzenli bir alışkanlık haline getirmek, olası bir sakıncalı durumun hızlıca önüne geçmenize olanak tanır.
9. Alakasız Reklamlar ve Pop-up
Web sitenizin ziyaretçileri, bilginiz dışında açılan spam reklamlar veya açılır pencereler görüyorsa, Siteler Arası Komut Dosyası Çalıştırma (XSS) veya kötü amaçlı kod yerleştirme nedeniyle web sitenizin güvenliği ihlal edilmiş olabilir.
Bazı Web korsanları reklam gösterimlerinden para kazanır. Google güvenli tarama ekibi, web sitenizde sosyal mühendislik içeriği tespit ettiklerinde size bir e-posta gönderirler.
10. Mevcut veya Var Olmayan Sayfalarda Ani Bir Trafik Artışı Görme
Bilgisayar korsanları, saldırıya uğramış web sitenizi ‘spam reklamcılık’ için kullanabilir ve bu da trafikte ani bir artışa neden olur. Sunucunuzdan, saldırganlar tarafından oluşturulan mevcut veya yeni sayfalara reklam bağlantıları içeren spam e-postalar gönderilir.
Spam reklamlar, kötü niyetli kişilerin kendi web siteleri için daha yüksek bir sıralama elde etmek amacıyla blogları, web sitelerini, forumları hiper bağlantılarla tahrip etmek üzere kullanılır.
11. Sitenin normalden yavaş yüklenmesi ve hatalar
Web sitenizin saldırıya uğradığının bir başka işareti, sitenizin anormal derecede yavaşlaması veya hatalar vererek ziyaretçileriniz tarafından erişilemez hale gelmesidir. Ayrıca, hosting sağlayıcınızdan olağandışı aşırı yükleme uyarıları almaya başlarsınız.
Bu durum, birinin sunucu kaynaklarınızda gizlendiğine dair bir ipucu olabilir. Bir web sitesinin çökmesi veya bu nedenle aşırı yavaşlaması, bir hacker saldırısının muhtemel işaretlerinden biridir.
12. Olağan Dışı Trafik Artışları
Ani trafik artışları genellikle bir saldırının en belirgin işaretlerindendir. Site istatistiklerini dikkatle inceleyin ve özellikle trafiğinizin artmasının bir nedeni yoksa (örneğin, pazarlama kampanyaları) bu trafiğin nereden geldiğini araştırın.
Aynı şekilde, trafiğinizde ani bir düşüş olması da web sitenizin kötü niyetli faaliyetlere maruz kalmış olabileceğini akla getirmelidir.
13. Yeni Kullanıcılar veya Oluşturmadığınız FTP Hesapları
Sizin tarafınızdan eklenmeyen veya oluşturulmayan yeni kullanıcılar (yönetici, yazar, editör vb.), yeni veritabanı kullanıcıları ve yeni FTP hesabı kullanıcıları bulursanız bu durum tehdit altında olduğunuzun son derece güçlü bir belirtisidir.
Bu tür işlemler, kötü niyetli kişilerce web sitenize arka kapılar açmak ve istedikleri zaman erişmek için kullanılır.
14. Dosyaların bilginiz dışında değiştirilmiş olması
Çekirdek dosyaların yakın zamanda değiştirildiğini fark ederseniz, neyin değiştiğini bulmak için dosyaları önceki sürümlerle karşılaştırın. Saldırgan, kötü amaçlı kod çalıştırmak, istenmeyen e-postalar göndermek veya web sitenize arka kapılar oluşturmak için dosyaları değiştirebilir.
Yükleme dizinlerinde şüpheli görünen dosya adlarına sahip dosyalar, sunucu tarafı komut dosyaları (.php, .aspx, .py vb.) varsa, aklınıza bir saldırı ihtimali gelmelidir.
15. Bilinmeyen Eklentiler
Web sitelerinin çoğu, belirli işlevler için eklentilere dayanan bir CMS kullanır. İnternet korsanları bunu bilir ve genellikle web sitene kendilerini eklenti olarak gizleyebilecekleri dosyalar enjekte ettikleri bir taktik kullanırlar.
Web sitenizde bilinmeyen (sizin tarafınızdan eklenmeyen) eklentiler fark ederseniz, birilerinin sitenizin yönetim paneline erişmiş olması muhtemeldir. Bu eklentilerin nereden geldiğini ve ne yaptıklarını araştırmanız gerekir.
Ayrıca, herhangi bir eklenti kullanacağınız zaman da güvenilir olduklarından emin olmanız son derece önemlidir.
16. Olağan Dışı Sunucu İşlemleri
Web sitenizi ve site altyapısını düzenli olarak izlemenizi şiddetle tavsiye ederiz. Bazen o ortamda açıklayamadığınız şüpheli davranışlar görebilirsiniz.
Örneğin, şu anda sitenizde aktif ziyaretçiniz olmamasına rağmen, e-posta sunucu işleminizin sürekli olarak %30 kullanım civarında olduğunu fark edebilirsiniz. Bu durum, sitenizin saldırıya uğradığının ve e-posta göndermek için kullanıldığının oldukça açık bir işaretidir.
Ek olarak, sunucunuzda perl’in (bir web betik dili) çalıştığını görüyorsanız, ancak perl kullanmadığınızdan eminseniz, bu, birinin sunucunuzda yetkisiz bir işlem yürüttüğünün bir işareti olabilir. Sunucunuzun düzenli olarak izlenmesi bu durumları tespit etmenize yardımcı olacaktır.
17. Alakasız dizinler
Web sitenizi “site:siteniz.com” şeklinde Googe’da arattığınızda web sitenize ait tüm indeksleri görebilirsiniz. Eğer indekslenmesini istediğinizden daha fazla sayfa görüyorsanız, kötü amaçlı bir yazılımın web sitenizdeki spam sayfaları dizine eklemiş olması muhtemeldir.
18. Google Analytics verilerinde anormallikler
Web sitesi analizleriniz size sitenizdeki trafikten daha fazlasını gösterebilir. Bazı faktörlerdeki ani bir değişiklik, bir hack işareti olabilir. Analitik verilerinizi izlerken birkaç şeye dikkat edin:
- Olağandışı trafik artışları: Özellikle hedef kitlenizin bir parçası olmayan belirli ülkelerden gelen trafikte ani artışlar fark ederseniz, bunun nedeni web sitenizdeki kötü amaçlı bir yazılım olabilir.
- Tuhaf dönüşümler: Kötü amaçlı yazılımlar, web sitenizdeki kullanıcı deneyimini tamamen bozabilir. Trafiği spam sitelerine yönlendirebilir, web sitenizi bozabilir veya sitenizdeki içeriği değiştirebilir. Bu durum, dönüşümleri büyük ölçüde etkiler. Dönüşümde küçük düşüşler ve tümsekler normal olsa da, dönüşümlerde gözle görülür bir düşüş görürseniz, bu muhtemelen kötü amaçlı yazılımın bir sonucudur.
- Artan hemen çıkma oranı: Azalan dönüşümler gibi, artan hemen çıkma oranı da web sitenizdeki kötü amaçlı yazılımlar nedeniyle oluşan düzensiz kullanıcı deneyiminin bir sonucudur. Ziyaretçileriniz çok sayıda reklam görebilir, daha yüksek yükleme süresi yaşayabilir ve hatta sürekli olarak yeniden yönlendirilerek hemen çıkma oranının yükselmesine neden olabilir.
Web Site Saldırıları Nasıl Tespit Edilir, Korunmak İçin Neler Yapılabilir?
Yukarıdakilere ek olarak daha bir çok saldırı belirtisi mevcuttur, ancak asla tam olarak emin olamayabilirsiniz.
Sitenizin saldırıya uğradığını düşünüyorsanız, hem sitenizi kurtarmak hem de ziyaretçi (veya müşteri) güvenliğini sağlamak için hızlı hareket etmeniz gerekir.
Elbette, garip bir kod tespit etmeniz veya bir sayfanın yüklenmesinin uzun sürmesi, her zaman sitenizin saldırıya uğradığı anlamına gelmez. Belki bir ekip üyesi size haber vermeden yeni bir eklenti yüklemiştir veya siteniz o an daha fazla bellek gerektiren bir süreçtedir vs. Herhangi bir sonuca varmadan önce durum hakkında olabildiğince fazla bilgi toplayın.
👉Araştırmanız birisinin siteyi ele geçirdiğini gösteriyorsa, herhangi bir ciddi hasar meydana gelmeden ve müşteriler saldırıdan haberdar olmadan önce web sitenizi bakım moduna alın ve erişimi yalnızca yetkili kullanıcılarla sınırlandırın.
👉”Acaba sitem hacklendi mi” sorusunun yanıtı için yapılması gereken ilk şeylerden bir diğeri de kapsamlı bir site taramasını yapmaktır. Bunun için belirli aralıklarla web sitenizi otomatik olarak tarayan ve şüpheli bir şey tespit edildiğinde sizi uyaran güvenlik eklentilerini ve araçlarını kullanabilirsiniz.
👉Google, sitenizin saldırıya uğrayıp uğramadığını görmenin hızlı ve etkili yollarından biri olan Güvenli Tarama aracı sunar. Bu araç ile anında web sitenizin durumunu kontrol edebilirsiniz. edebilirsiniz. Siteniz Google Güvenli Tarama’da saldırıya uğramış veya güvenliği ihlal edilmiş olarak görünüyorsa sorunu düzeltmeye başlayın.
👉VirusTotal.com, web sitenizin saldırıya uğrayıp uğramadığını kontrol etmek için aynı anda 70’den fazla büyük kara liste ve kötü amaçlı yazılım motorunu tarayan, Google tarafından desteklenen harika bir araçtır. Sitenizi taramak için bu aracı ücretsiz olarak kullanabilirsiniz.
👉Sitenizi saldırılara karşı manuel olarak taramak da mümkündür, ancak bu çok zahmetli ve zaman alan bir uğraş olacağından önermiyoruz. Uzmanlar bile, saldırıya uğramış sitelerdeki kötü amaçlı yazılımları taramak ve temizlemek için araçlar kullanır.
Web sitenizi taramak, her bir kod satırına bakmayı ve tonlarca kod içerisinden kötü amaçlı yazılımları tanımlamayı içerir. Bu herkes için zor bir iş ama süreci basitleştirmenin bazı yolları var. Örneğin, Dosya Yöneticisi’nde en son değiştirilen dosyalara bakarak başlayabilirsiniz. Herhangi bir dosya bilginiz dışında değiştirilmişse, bunun nedeni kötü amaçlı yazılım içermeleri olabilir.
Not: İnternet korsanları, kötü amaçlı yazılımları mümkün olduğunca uzun süre bulmanızı önlemek için dosyalardaki zaman damgasını değiştirebileceğinden, bu yöntem kusursuz değildir.
👉Web siteniz veya tarayıcınız, sitesinin bir kimlik avı saldırısının kurbanı olduğunu gösteren şüpheli etkinlik sinyalleri veya uyarı ekranları gösterebilir. Bu durumda, sorunu hemen değerlendirmek ve kullanıcılarınız bundan zarar görmeden çözmeye çalışmak önemlidir.
Kimlik avı saldırıları, suçluların e-posta, metin mesajları, reklamlar veya hassas bilgileri çalmak için diğer yollarla meşru kuruluşların kimliğine büründüğü sosyal mühendislik dolandırıcılıklarıdır. Kişisel bilgileri, kredi kartı bilgilerini, sosyal güvenlik numaralarını, e-posta hesaplarını, banka hesaplarını çalmaya çalışırlar. Yapmanız gereken ise,
- Web sitesini kaydedip ve bakım moduna almak.
- Web sitenizin önceki bir yedeğini geri yüklemek.
- Durumun tespiti için gerekirse profesyonel yardım almak.
- Emniyet ve güvenlik konularında hukuki işlemlere başlamak.
👉Nadir durumlarda, web site kullanıcılarınız ekibinizi güvenlik sorunları konusunda uyarabilir. Örneğin, sitenizdeki tuhaf davranışları bildirmek için birileri size e-posta gönderebilir veya sizi arayabilir. Bu kullanıcıları göz ardı etmeyin ve bildirilen şikayetler için web sitenizi detaylıca kontrol edin.
👉 Gelen bağlantıları da kontrol etmenizi öneririz. Bazı saldırılar, kötü niyetli kişilerin sitenize alakasız ve zararlı backlinkler yönlendirmesiyle de olur ve durumla sıkça karşılaşılır. Bunu incelemek için de backlink kontrol araçlarından faydalanabilirsiniz.
👉Son olarak, “Web sitem saldırıya mı uğradı?” sorusuna en doğru yanıtı alabileceğiniz ücretsiz bir araç olan Google Search Console kullanmanızı şiddetle tavsiye ederiz. Web sitenizi Search Console’a kaydedin ve hem istatistikleri hem de sitenizin güvenlik durumu ile ilgili bilgilere hızlı bir şekilde ulaşın!
Web site güvenlik önlemleri ile sitenizi saldırılara karşı korumanız mümkün. Ancak, %100 güvenlik diye bir durum ne yazık ki söz konusu değil. Bu nedenle, web sitenize yapılan saldırıları erken fark edip önlem almanıza yardımcı olabilecek yukarıdaki işaretlere mutlaka dikkat etmeye çalışmanız yararınıza olacaktır.