Kötü amaçlı yazılım bulaşma türü: Sunucu yapılandırması

Search Console'da kötü amaçlı yazılım bulaşma türlerinden “Sunucu yapılandırması” ile işaretlenmiş URL'lere sahip olmak ne demektir?

Bu, bir bilgisayar korsanının sitenizin güvenliğini ihlal ettiği ve muhtemelen sunucunuzun yapılandırma dosyalarını değiştirerek ziyaretçileri iyi sitenizden kötü amaçlı kendi saldırı sitesine yönlendirdiği anlamına gelir. Sunucu yapılandırma dosyaları genellikle site yöneticisinin bir web sitesindeki belirli sayfalar veya dizinler için URL yönlendirmeleri belirtmesine olanak verir. Örneğin, Apache sunucularında bunlar .htaccess ve httpd.conf dosyalarıdır.

Kötü amaçlı yazılımları dağıtmak üzere güvenliği ihlal edilen siteler hakkında daha fazla genel bilgi edinmek için Hasarı değerlendirme (kötü amaçlı yazılımla saldırıya uğramış) konusuna bakın.

"Sunucu yapılandırması" kötü amaçlı yazılım türünün yönlendirme davranışını nasıl onaylayabilirim?

Öncelikle, sitenizdeki zararlı kod eklenmiş sayfaları görüntülemek için bir tarayıcı kullanmaktan kaçının. Kötü amaçlı yazılımlar çoğunlukla tarayıcılardaki güvenlik açıklarını kullanarak yayıldığından, kötü amaçlı yazılımın bulaştığı bir sayfayı bir tarayıcıda açmak bilgisayarınıza zarar verebilir.

HTTP istekleri gerçekleştirmek (örneğin, bir sayfa getirmek) için cURL veya Wget'i kullanarak davranışı onaylamayı düşünün. Ücretsiz kullanılabilen bu araçlar yönlendirmeleri teşhis etmeye yardımcı olur ve yönlendiren veya kullanıcı aracısı bilgileri ekleme esnekliğine sahiptir. Bilgisayar korsanı, zararlı içeriği yalnızca belirli kullanıcı aracılarına veya yönlendirenlere sahip kullanıcılara sunarak daha "gerçek kişileri" hedefleyebilir ve site sahiplerinin ve kötü amaçlı yazılım tarayıcılarının algılamasından kurtulabilir. (Bu araçların kullanılabilmesi için siteniz çevrimiçi olmalıdır.) Örneğin:

$curl -v --referer <yönlendiren-alanı> --user-agent "Mozilla/5.0 
  (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) 
  Chrome/12.0.742.112 Safari/534.30" </zararlı-kod-bulaşmış-url'niz>
örneğin:
$curl -v --referer "http://www.google.com" --user-agent "Mozilla/5.0 
  (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) 
  Chrome/12.0.742.112 Safari/534.30" http://www.example.com/page.html
"Sunucu yapılandırması" türünde enfeksiyon bulunan bir sayfanın getirilmesi aşağıdaki üstbilgileri döndürebilir:
...
< HTTP/1.1 301 Moved Permanently
< Date: Sun, 24 Feb 2013 21:06:45 GMT
< Server: Apache
< Location: http://<kötü-amaçlı-yazılım-saldırı-sitesi>/index.html
< Content-Length: 253
...

 

Sitemi "sunucu yapılandırması" kötü amaçlı yazılım türünden nasıl temizlerim?

Kabuk/terminal erişimi üzerinden sunucunuza giriş yapın (isterseniz site çevrimdışı olabilir) ve ilgili sunucu yapılandırma dosyalarını inceleyin. Sitenizde bilgisayar korsanı tarafından değiştirilmiş birden fazla sunucu yapılandırma dosyası bulunabilir. Bu dosyalarda, bilgisayar korsanının sitenizi bilinmeyen kötü amaçlı yazılım saldırı sitelerine yönlendirme yapacak şekilde yapılandırabileceği istenmeyen yönergeleri (ör. yönlendirmeler) kontrol edin. Örneğin, .htaccess dosyasında:

RewriteEngine On 
RewriteCond %{HTTP_REFERER} .*google.* 
RewriteRule ^third-page.html($|/) http://<kötü-amaçlı-yazılım-sitesi>/index.html [R=301]
Buna ek olarak:
  • Bilgisayar korsanının, kolayca gözden kaçabileceğini düşünerek dosyanın sonuna kendi kodunu eklediği durumlar için tüm dosyayı kontrol ettiğinizden emin olun.
  • Bilgisayar korsanının .htaccess dosyasını sürekli olarak güncellemesi için tasarlayıp oluşturduğu olası cron işlerini araştırın. Cron işleri, aralarında /etc/crontab (ayrıca birçok /etc/cron* dizini) ve /var/spool/cron dizinlerinin de bulunduğu birkaç yerde listelenebilir.

Sitenizi temizlemeye hazır olduğunuzda, sunucu yapılandırma dosyalarını bilinen iyi bir yedekle değiştirebilir veya mevcut dosyadaki istenmeyen kodu silebilirsiniz. Yeni yapılandırma dosyalarının etkin olması için, gerekiyorsa web sunucunuzu yeniden başlattığınızdan emin olun.

"Sunucu yapılandırması" türündeki kötü amaçlı yazılımın temizlenmesi, saldırıya uğramış bir siteyi kurtarmaya yardımcı olabilir, ancak bilgisayar korsanının ilk başta sitenizin güvenliğini ihlal etmesine izin veren temeldeki güvenlik açığını kapatmaz. Tüm sitenizi temizleme hakkında daha fazla bilgi edinmek için, saldırıya uğramış siteleri kurtarma dokümanlarındaki Hacked with malware (Kötü amaçlı yazılımla saldırıya uğrama) konusuna bakın.

Bu size yardımcı oldu mu?
Bunu nasıl iyileştirebiliriz?