Web Sitesindeki Zararlı Kodları Temizle

WordPress gibi dünyadaki web sitelerinin %30’u gibi büyük bir kısmını sunan bir platform kullanıyorum. Böyle yaygın kullanılan bir teknoloji saldırıların odağında olacaktır. Peki bir WP sitene zararlı kod eklendiyse bunu nasıl bulabilir ve silebilirsin. Öncelikle silme işlemini anlatmak istiyorum zira bulmak zararlı koda göre değişkenlik gösterecektir. Silme işleminde bir SSH bağlantısı kullanmak kesinlikle işleri kolaylaştıracaktır […]

Yazan - Fatih Anıl

Ocak 07, 2021
"

WordPress gibi dünyadaki web sitelerinin %30’u gibi büyük bir kısmını sunan bir platform kullanıyorum. Böyle yaygın kullanılan bir teknoloji saldırıların odağında olacaktır. Peki bir WP sitene zararlı kod eklendiyse bunu nasıl bulabilir ve silebilirsin.

Öncelikle silme işlemini anlatmak istiyorum zira bulmak zararlı koda göre değişkenlik gösterecektir.

Silme işleminde bir SSH bağlantısı kullanmak kesinlikle işleri kolaylaştıracaktır çünkü SSH bağlantısı ile sunucuda oturum açılınca Unix kabuk komutlarını kullanarak dosyalar üzerinde işlemleri hızlı bir biçimde sonuçlandırabiliriz. Bu noktada sunucunun bir Linux dağıtımı olduğu üzerine yazıyorum. Windows sunucu üzerindeki bir host için durum farklı olabilir.

Bir web sitesinde Google’ın siteyi zararlı yazılım yayan bir site olduğu uyarısını almaya neden olacak yönlendirmeler görünmeye başladı. Bu yönlendirmeler elbet bir css, html, javscript, ya da php ile yapılan yönlendirmeler olacaktı. Site dizinlerindeki dosyaları inceleyip WordPress dağıtımındaki standart dosyalarla ve kodlarla karşılaştırmalar sonucu tespit ettiğim kodu nasıl temizleyebilirdim. Tabi bu zararlı kodlar kendilerini yönlendirmeyi garantiye almak için her dizinin altında yeni bir .htaccess dosyası oluşturup içeriğine de yönlendirme kodlarını yerleştirmişlerdi.

Arama yapmak için yeterli olan 2 tespitim oldu.

  1. base64 ile encode edilmiş “atob(“aHR0cDovL2MyMDExMjIuZ2V0YmVzdHByaXplLmxpZmU=”)” javascript yönlendirmesi index.html sayfalarında oluşturulmuştu.
  2. .htaccess dosyası içine “bestprice.life” url temelinde bir yönlendirme enjekte edilmişti.

Tabiki bu kodlar onlarca dosyada yer alıyordu. Bu dosyaları hızlıca temizleyebilmek için Linux sunucuya SSH ile bağlandım.

Dosyaların içeriğine göre arama yapmak için grep komutunu kullandım. grep komutunun aramayı düzgün sonuçlandırabilmek için bazı parametreler almalı. Kullandığım parametrelerden

  • -r alt dizinler içinde geri dönüşümlü arama yapmayı sağlıyor.
  • -H insan okuması biçimiyle metin dizesini aramayı sağlıyor.
  • -l dosya içinde aranam metni bulduğunda bulunan satırları döndürmek yerine dosya adını döndürüyor.

grep -r -H -l “getbestprize.life” . .*

komutu ile arama yaptığım dizin altında hangi dosyalarda bu yönlendirme var tespit edebildim.

0 Comments

Submit a Comment

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir