Tip:
Highlight text to annotate it
X
[MÜZİK ÇALIYOR]
MAILE OHYE: Merhaba, Ben Maile Ohye.
Saldırıya uğramış siteleri kurtarma konulu serimizde ilerliyoruz.
Artık hasar değerlendirme adımına hazırsınız.
Bu video, sitelerinin kötü amaçlı yazılımdan etkilendiğini
bildiren bir mesaj alan ve kaynak kodunu görüntüleme ile terminalde komut çalıştırma
konularında yeterli teknik bilgiye sahip olanlar için
hazırlanmıştır.
Kötü amaçlı yazılımlarla olan mücadelede yardımcı olmak ve uzmanlığını paylaşmak
için Google'ın Güvenli Tarama ekibinden bir mühendis olan
Lucas Ballard ile birlikteyim.
LUCAS BALLARD: Merhaba Maile.
MAILE OHYE: Yardım teklifin için teşekkürler.
Şu ana kadar saldırı konusuna genel olarak baktık ve kötü amaçlı yazılım
tarafından kullanılmak üzere sitemizin güvenliğinin ihlal edildiğini doğruladık.
Şimdi ise hasarı değerlendirmeye hazırız.
Ama devam etmeden önce, kötü amaçlı yazılımın tam olarak
ne olduğunu açıklar mısın?
LUCAS BALLARD: Elbette.
Kötü amaçlı yazılım, bir bilgisayara veya ağa zarar vermek için tasarlanmış
zararlı yazılımlar için kullanılan genel bir terimdir.
Kötü amaçlı yazılımda, virüs, solucan, casus yazılım, tuş kaydedici ve
Truva atı gibi şeyler bulunur.
Web'deki herkesi zararlı yazılımlardan korumak üzere Google Güvenli Tarama
ekibi zararlı sayfaları bulmak için internet çapında tarayıcılar
çalıştırmaktadır.
Otomatik tarayıcılarımız zararlı içerikleri algılayarak
sayfaların virüslü olup olmadığını belirler.
Web yöneticisinin saygınlığı bu süreçte önemli bir unsur değildir.
Sitenize kötü amaçlı yazılım bulaşmışsa yalnız değilsiniz.
Her gün yeni virüs bulaşan yaklaşık 10.000 web sitesi buluyoruz.
MAILE OHYE: Bunu bilmek yararlı oldu.
Bir siteye kötü amaçlı yazılım bulaşmasının ne demek olduğuna
ilişkin somut bir örnek de verebilir misin?
LUCAS BALLARD: Tabii.
Yasal siteler "kötü amaçlı yazılım tespit edildi" etiketiyle işaretlendiğinde
Google, bu siteleri ziyaret eden kullanıcıların otomatik olarak
tarayıcılarına saldıracak başka bir siteyi
ziyarete yönlendirildiklerini
belirlemiş demektir.
Tipik olarak, tarayıcının bu saldırı sitesini ziyaret etmesinin nedeni,
yasal sitenin veya yasal sitedeki kaynaklardan birinin,
saldırı sitesinden içerik bulunduracak şekilde
değiştirilmiş olmasıdır.
Kötü amaçlı yazılım yükleyen sayfalar hakkında kullanıcıları uyarırız, çünkü
bir kullanıcı virüslü bir sayfayı ziyaret ettiğinde bir saldırı sitesine ait içerikler
kullanıcının tarayıcısındaki bir güvenlik açığını kötüye kullanır.
Bu suistimal başarılı olduğunda zararlı yazılım otomatik olarak
kullanıcının bilgisayarına
gizlice yüklenir.
Zararlı yazılım, kullanıcının banka kimlik bilgilerini ele geçirecek bir
casus yazılım veya spam göndermek için virüslü bilgisayarı kullanan
kötü amaçlı bir yazılım olabilir.
Kullanıcının güvenliği ihlal edilmiş bilgisayarıyla, bilgisayar korsanı
başka bilgisayarlara veya web sitelerine saldırmak için
kullanabileceği kötü amaçlı yazılım yükleyen ağına
bir düğüm daha eklemiş demektir.
MAILE OHYE: Verdiğin örnek gerçekten kötü amaçlı yazılımların
nasıl bulaşıcı bir hastalık gibi yayıldığını iyi gösteriyor.
Site sahiplerinin, sitelerine kötü amaçlı yazılımın bulaşıp bulaşmadığını
veya başkalarına bu tür yazılımları bulaştırmak için kurulan bir ağda yer
alıp almadığını nasıl anlayacaklarını da açıklar mısın lütfen?
LUCAS BALLARD: Tamam.
Doğrulanmış site sahibi olsanız da olmasanız da, Google Güvenli Tarama
bu bilgileri herkese açık şekilde tüm kullanıcılara
görüntüler.
Şimdi dizüstü bilgisayarımıza gidelim ve Google Güvenli Tarama
teşhis sayfasına bakalım.
Bu sayfaya, www.google.com/safebrowsing/diagnostic?site=
ve ardından site adresinizi yazarak ulaşabilirsiniz.
Örneğin, googleonlinesecurity.blogspot.com adresini ekleyebilirim.
Burada sitenizin geçerli durumunu, kullanıcılarınızın sayfalarınıza
güvenli şekilde göz atıp atmadığını görebilirsiniz.
Ekibim bu verileri üreten tarayıcılar
çalıştırıyor.
Neyse ki çevrimiçi güvenlik blogumuz güvenli.
Her birinizin neler görebildiğine ilişkin daha fazla bilgiye ulaşmak için
kötü amaçlı yazılım bulaşmış bir siteye bakalım.
Güvenli Tarama teşhis sayfasında göreceğiniz bilgiler sitenin geçerli
durumu, yani sitenin
güvenli olup olmadığıdır.
Ya da kullanıcılar açısından şüpheli ve tehlikeli olup olmadığı.
Kötü amaçlı yazılım bulaşmış siteler açık şekilde şüpheli olarak listelenir.
Onun altında, Google siteyi ziyaret ettiğinde ne olduğu yazar,
daha ayrıntılı bilgiler veririz.
Örneğin, sitenizden hangi saldırı sitelerinin eklendiğini
görebilirsiniz.
Saldırı sitesiyle ilgili bilgileri de görüntüleyebilirsiniz.
Saldırı sitesi aslında kullanıcılara bulaştırılacak kötü amaçlı yazılımı
barındırmak için kullanılmaktadır; sitenizin daha büyük bir kötü amaçlı yazılım ağına
eklenip eklenmediğini kontrol edin.
Bu saldırı sitesini veya ağını tıkladığınızda,
Güvenli Tarama içinde daha fazla bilgiye ulaşırsınız.
Bu sayfadaki son bilgi parçası, sitenizin başka sitelere zarar vermek
veya kötü amaçlı yazılım barındırmak üzere bir aracı olarak
kullanılıp kullanılmadığını gösterir.
MAILE OHYE: Teşekkürler Lucas.
Devam ediyoruz, kötü amaçlı yazılımın ne olduğunu anladığımıza göre
şimdi kendi sitemizdeki hasarı güvenli şekilde nasıl
araştırabileceğimizi anlatabilir misin?
LUCAS BALLARD: Güzel soru.
Bunu sorduğuna sevindim.
Sayfaları görüntülemeden, dosyaları silmeden veya sitenizde değişiklik
yapmadan önce, kötü amaçlı yazılımları araştırmayla ilgili bazı ipuçlarıyla başlayalım.
Öncelikle, lütfen virüslü bir web sayfasını açmak için
tarayıcınızı kullanmayın.
Daha önce dediğimiz gibi, kötü amaçlı yazılımlar
çoğunlukla tarayıcılardaki güvenlik açıklarını kullanarak yayılır.
Virüslü bir web sayfasını tarayıcınızda açtığınızda
başınıza dert açmış olursunuz.
İkinci olarak, zararlı kodları araştırırken sunucu erişiminizin olması
çok işe yarar.
Bazı kötü amaçlı yazılımlar sadece kullanıcı aracısına,
çerezlere, yönlendirene, günün saatine, işletim sistemine
veya tarayıcı sürümüne göre görüntülenecek şekilde
yapılandırıldığından, sayfanın içeriğini ve çalışma biçimini
daha iyi anlamak için kaynak kodunu görüntülemek
çok iyi olur.
Üçüncü olarak, sitenizdeki hasarı değerlendirmek için teşhis
HTTP isteklerinde bulunmak, sayfa getirmek ve benzeri işlemlerde faydalı olan
çeşitli araçlar vardır.
Bilgisayar korsanları sitelere saldırmak için çoğunlukla
yasal sitelerden yönlendirmeler yapılandırdığından, yönlendirmeleri
algılamak için sadece sayfanın kaynak koduna bakmak yeterli olmayabilir.
Sayfayı gerçekten getirmeniz de gerekir.
Çoğunlukla ücretsiz iki araç olan Wget ve cURL
bu konuda yardımcı olabilir.
Hem Wget hem de cURL, HTTP istekleri oluşturur ve
başvuru, kullanıcı aracısı veya tarayıcı bilgileri içerecek şekilde
yapılandırılabilir.
Bunlar, bilgisayar korsanlarının algılanmayı önlemek için kullandığı
karmaşık tekniklerden bazılarını ortaya çıkarmaya
yardım eder.
Örneğin bilgisayar korsanı, bir arama sonuçları sayfasından
URL istendiğinde sadece zararlı içeriklere yönlendirme yapacak şekilde
siteyi yapılandırabilir. Yani kullanıcı google.com'da arama yapmışsa,
sayfa isteğinde bir de Google yönlendireni
bulunur.
Bilgisayar korsanı zararlı içerikleri
kullanıcılara sadece bir Google yönlendireniyle sunarak
daha fazla sayıda kişiyi hedeflemiş olur ve web yöneticileri
ile kötü amaçlı yazılım tarayıcılarının algılamasından
daha iyi kurtulabilir.
Wget ve cURL'yi aratırsanız
daha detaylı kullanımlarına ilişkin kaynaklara ulaşabilirsiniz.
MAILE OHYE: Anlattıklarını özetlemek gerekirse;
sitemizde kötü amaçlı yazılım araştırması yaparken,
birincisi, sayfayı bir tarayıcıda açmayacağız.
İkincisi, sayfanın kaynak kodunu bir dosya sisteminde görüntüleyeceğiz.
Üçüncüsü, Wget veya cURL kullanarak yönlendirmeleri arayacağız ve
kaynak kodunu kontrol edeceğiz.
LUCAS BALLARD: Evet, sitemizin nasıl etkilendiğine ilişkin
daha ayrıntılı bilgi edinmek için Güvenli Tarama Teşhis Sayfası
kısmını tamamladık.
Bundan sonra bakacağımız yer, Web Yöneticisi Araçları'nın
kötü amaçlı yazılım bölümü.
MAILE OHYE: Sitemin doğrulanmış sahibi olarak, Web Yöneticisi Araçları'na
giriş yapıp, Sitem, Teşhis ve ardından Kötü Amaçlı Yazılım'ı
seçeceğim.
Lucas, bize ekibinizin bu sayfada görüntülediği bilgilerle ilgili
biraz daha ayrıntı verebilir misin?
LUCAS BALLARD: Elbette.
Kötü Amaçlı Yazılım sayfasının üst tarafında
iki düğme vardır: Tabloyu İndir ve İnceleme Talebinde Bulun.
Siteniz kötü amaçlı yazılımdan temizlendiğinde, İnceleme Talebinde Bulun
düğmesini kullanırsınız.
Oraya gitmeden önce, hasarı değerlendirmemiz
gerekecektir.
Bu sayfadaki tabloda, sitenizdeki virüs bulaşmış
URL'lere ilişkin bir örnek, tarayıcılarımızın algıladığı
virüs türü ve algılandığı en son tarih
gösterilmektedir.
URL'yi tıkladığınızda belirli işlem öğeleri içeren
Kötü Amaçlı Yazılım Ayrıntıları sayfasına gidersiniz.
Bazı URL örneklerinde virüs türü bilgisi yoktur.
Tarayıcılarımız URL'nin zararlı olduğunu algılamış olsa da,
çalışma biçimini belirleyememişizdir.
Diğerleri için, ayrı bir videoda her virüs türü
ile ilgili ayrıntılı açıklama yapacağım.
Web Yöneticisi Araçları'ndaki her örnek URL araştırıldıktan sonra
bu adımdaki son işlem, sitenizdeki
hasarı daha genel olarak değerlendirmektir.
MAILE OHYE: Evet.
Bu adımda izleyeceğiniz son video Dosya Sistemi
Hasar Değerlendirmesi'dir.
Dosya Sistemi Hasar Değerlendirmesi, ileriki
temizleme adımlarına hazırlık olarak, siber saldırgan tarafından değiştirilmiş
veya eklenmiş dosyaların listesini oluşturmanıza yardımcı olur.
Teşekkürler Lucas.
Sitenizdeki tüm kötü amaçlı yazılım türleri için lütfen hepiniz
Lucas'ın sunucu yapılandırması, SQL yerleştirme ve hata şablonu
gibi konulardaki videolarına bakın.
Sitenizde tüm kötü amaçlı yazılım türlerine ilişkin hasarı
araştırdıktan sonra bir Genel Dosya Sistemi Değerlendirmesi
yapmayı unutmayın.
Bu işlemler tamamlandıktan sonra, sıradaki adım olan
güvenlik açığını belirleme adımına geçin.
Kurtarma işlemine gitgide yaklaşıyoruz.
İyi iş çıkartıyorsunuz.