Merhaba Arkadaşlar,
Bu yazıyı yazmamın amacı web siteniz hacklendikten sonra yapmanız gerekenlerin neler olduğudur. Öncelikle şunu söylemeliyim ki, eğer karşınızdaki kişi uzman ve takıntılı ise boşu boşuna uğraşmayınm. Çünkü böylesi tipler her türlü sitenizin açığından faydalanıp size zarar verilrler. Bu yüzden mümkün olduğunca kendinize kimseleri düşman yapmamaya çalışın. Unutmayınki güvenli bilgisayar yoktur ve dolayısıyla güvenli bir sitede yoktur. Hatırlar mısınız bilmem ama 2007 yılında Birleşmiş Milletlerin web sitesi ile yine İngiltere Hava Üssünün SSL sistemini tek başına dağıtmıştım. Yani en güvenli sistemlerin bile ufacık açıkları olabiliyor ve hack bazen kaçınılmaz oluyor. Şimdi konumuza geri dönelim.
Şimdi öncelikle sisteminiz belli başlı yöntemlerle shell yemiş veya paneline girilmiş veya SQL Injection kodları vs siteniz üzerinde denenmiş ve root erişimi sağlanmış olabilir. Her neyse Diyelimki herhangi bir yolla hacklendiniz, index yediniz veya hacklink girdi sitenize. Bu durumda yapmanız gerekenleri anlatacağım sizlere. İlk başta panik atak olmayın ve sizler için hazırladığım bu dökümanı mutlaka adınızı ezberler gibi ezberleyin. Basit yöntemler olabilir fakat sizleri en az zararla hack olayından sonra rahatlatmaya yetecektir.
1-) Siteniz hacklendiğine göre sitenizdeki tüm bilgiler hacker tarafından çekilmiş olabilir, sitenizde farklı dizinlere shell veya upload dosyaları oluşturulmuş olabilir. Bunu anlamanız zor. Onun için, hack yedikten sonra tüm dosyalarınızı ftpden silin ve daha öncesinde almış olduğunuz site yedeklerini kurun. Bu, hackerların size ftp üzerinden geri dönüşünü engelleyecektir.
2-) Fakat bu kadarı yetmez hackerımız bunla yetinmeyip, databasenizi çekmiş olabilir. Bu durumda user tablosu hackerımızın elinde, şifrelerimiz ve tüm site verilerimiz hackerın elinde olabilir. User tablosu hackerımızın eline geçtikten sonra hackerımız hangi userin admin olduğunu ufak bir tablo okumasıyla rahatlıkla anlayabilir ve user tablomuzu okuması sonucu şifrelerimiz hackerımızın eline geçer. Şifrelerimiz sistemine göre kriptografili veya direkt düz olarak databasemizde saklanır. Fakat unutmayın ki artık kriptografiler de çözülebiliyor. Bu durumu da göz önüne alarak admin bilgilerimizi yani şifremizi ve e-mail aktivasyon kodumuzuda değiştirmeliyiz. Böylece hackerımızın bir dönüş yolunu daha kapatmış bulunmaktayız.
3-) Bu kadarı yeter mi? Tabi ki de hayır. Hackerımız, config dosyamızı çekmiş ve database bağlantı bilgilerimizi eline geçirmiş olabilir ki, bazı configlerde FTP bilgileri de yer alır. (Örneğin: Joomlaya isterseniz koyabilirsiniz). Bunun için hemen database bağlantı bilgilerimizi de değiştiriyoruz ve config.php dosyamızı düzenliyoruz.
4-) Ardından FTP bilgilerimizi de değiştiriyoruz ki, FTP bilgilerimiz alındıysa alınan bilgileri geçersiz kılmak için.
5-) Bir diğer önlemimizde tabloları inceleyeceğiz. Bu yöntemimizde tablolara base kodlaması ile gizlenmiş olan bir **** veya yabancı bir kod var mı diye bakmalıyız. Tablolara **** veya başka bir kod gömülmüş mü, ona bakmalıyız. Eğer **** koyulmuşsa tablomuzun o verisinin gözüktüğü yere girince, ****da verilmiş olan yere yönlendirilmeye maruz kalırız. Bu durum hakkında fazla bir bilginiz yoksa o iş için bir uzman tutmanızı tavsiye ediyorum.
Lütfen arkadaşlar baştaki tavsiyemi unutmayın. Sanalda düşman değil, dost yapmaya bakın. Düşmanınız ne kadar çok olursa sizin için o kadar kötü olur. Yıkıcı değil, yapıcı ve uzlaşmacı olun. Şimdi siz bunları yaptıktan sonra rahatlayacaksınız değil mi? Kusura bakmayın ama rahatlamayın. karşınızdaki kişi uzmansa ve size kafayı takmışsa sitenizin bulunduğu makinaya bir backdoor bırakır. İstediği zaman hiç zorlanmadan ziyaretinize gelir. Bu yüzden bu kardeşinize kulak verin ve gerekli güvenlik önlemleri için şayet serverde root admin iseniz php.ini yapılandırması yapın, yok eğer bir host hizmetinden yararlanıyor iseniz, ilk başta dosya izinleri (CH Mod) ayarlarını düzenleyin ve sadece okunabilir hale getirin. Hackerlar, bu bahsettiğim ayarları 777 yapmış olabilir. Yani yazma izni vermiş olabilir ve diledikleri zaman yeniden exploit kullanarak sisteminize sızmaya çalışabilirler. 15 yıllık Web Security tecrübemle şunu söylemek istiyorum. En çok önem vermeniz gereken konu FTP şifreniz ile Database yani kurulum (MySqL) şifreleriniz aynı olmasın. Mümkünse 14 haneli büyük-küçük harf, karakter ve sayı dizini bulunan şifreler oluşturunuz. Eno7.orgun en son FTP şifresinin ne olduğunu merak ediyor musunuz? e&8/!*en07s3cnr!+y idi. Böylesi bir şifreyi Bruce Attack kullanan hackerlar dahi kıramazlar. Güvenliğin ilk adımı sizlersiniz. Ser verin, sır vermeyin. Şifrenizi sizden başkası bilmesin. Böylelikle güvende olacaksınız. Mutlu ve güvenli günler diliyorum.
Bu yazıyı yazmamın amacı web siteniz hacklendikten sonra yapmanız gerekenlerin neler olduğudur. Öncelikle şunu söylemeliyim ki, eğer karşınızdaki kişi uzman ve takıntılı ise boşu boşuna uğraşmayınm. Çünkü böylesi tipler her türlü sitenizin açığından faydalanıp size zarar verilrler. Bu yüzden mümkün olduğunca kendinize kimseleri düşman yapmamaya çalışın. Unutmayınki güvenli bilgisayar yoktur ve dolayısıyla güvenli bir sitede yoktur. Hatırlar mısınız bilmem ama 2007 yılında Birleşmiş Milletlerin web sitesi ile yine İngiltere Hava Üssünün SSL sistemini tek başına dağıtmıştım. Yani en güvenli sistemlerin bile ufacık açıkları olabiliyor ve hack bazen kaçınılmaz oluyor. Şimdi konumuza geri dönelim.
Şimdi öncelikle sisteminiz belli başlı yöntemlerle shell yemiş veya paneline girilmiş veya SQL Injection kodları vs siteniz üzerinde denenmiş ve root erişimi sağlanmış olabilir. Her neyse Diyelimki herhangi bir yolla hacklendiniz, index yediniz veya hacklink girdi sitenize. Bu durumda yapmanız gerekenleri anlatacağım sizlere. İlk başta panik atak olmayın ve sizler için hazırladığım bu dökümanı mutlaka adınızı ezberler gibi ezberleyin. Basit yöntemler olabilir fakat sizleri en az zararla hack olayından sonra rahatlatmaya yetecektir.
1-) Siteniz hacklendiğine göre sitenizdeki tüm bilgiler hacker tarafından çekilmiş olabilir, sitenizde farklı dizinlere shell veya upload dosyaları oluşturulmuş olabilir. Bunu anlamanız zor. Onun için, hack yedikten sonra tüm dosyalarınızı ftpden silin ve daha öncesinde almış olduğunuz site yedeklerini kurun. Bu, hackerların size ftp üzerinden geri dönüşünü engelleyecektir.
2-) Fakat bu kadarı yetmez hackerımız bunla yetinmeyip, databasenizi çekmiş olabilir. Bu durumda user tablosu hackerımızın elinde, şifrelerimiz ve tüm site verilerimiz hackerın elinde olabilir. User tablosu hackerımızın eline geçtikten sonra hackerımız hangi userin admin olduğunu ufak bir tablo okumasıyla rahatlıkla anlayabilir ve user tablomuzu okuması sonucu şifrelerimiz hackerımızın eline geçer. Şifrelerimiz sistemine göre kriptografili veya direkt düz olarak databasemizde saklanır. Fakat unutmayın ki artık kriptografiler de çözülebiliyor. Bu durumu da göz önüne alarak admin bilgilerimizi yani şifremizi ve e-mail aktivasyon kodumuzuda değiştirmeliyiz. Böylece hackerımızın bir dönüş yolunu daha kapatmış bulunmaktayız.
3-) Bu kadarı yeter mi? Tabi ki de hayır. Hackerımız, config dosyamızı çekmiş ve database bağlantı bilgilerimizi eline geçirmiş olabilir ki, bazı configlerde FTP bilgileri de yer alır. (Örneğin: Joomlaya isterseniz koyabilirsiniz). Bunun için hemen database bağlantı bilgilerimizi de değiştiriyoruz ve config.php dosyamızı düzenliyoruz.
4-) Ardından FTP bilgilerimizi de değiştiriyoruz ki, FTP bilgilerimiz alındıysa alınan bilgileri geçersiz kılmak için.
5-) Bir diğer önlemimizde tabloları inceleyeceğiz. Bu yöntemimizde tablolara base kodlaması ile gizlenmiş olan bir **** veya yabancı bir kod var mı diye bakmalıyız. Tablolara **** veya başka bir kod gömülmüş mü, ona bakmalıyız. Eğer **** koyulmuşsa tablomuzun o verisinin gözüktüğü yere girince, ****da verilmiş olan yere yönlendirilmeye maruz kalırız. Bu durum hakkında fazla bir bilginiz yoksa o iş için bir uzman tutmanızı tavsiye ediyorum.
Lütfen arkadaşlar baştaki tavsiyemi unutmayın. Sanalda düşman değil, dost yapmaya bakın. Düşmanınız ne kadar çok olursa sizin için o kadar kötü olur. Yıkıcı değil, yapıcı ve uzlaşmacı olun. Şimdi siz bunları yaptıktan sonra rahatlayacaksınız değil mi? Kusura bakmayın ama rahatlamayın. karşınızdaki kişi uzmansa ve size kafayı takmışsa sitenizin bulunduğu makinaya bir backdoor bırakır. İstediği zaman hiç zorlanmadan ziyaretinize gelir. Bu yüzden bu kardeşinize kulak verin ve gerekli güvenlik önlemleri için şayet serverde root admin iseniz php.ini yapılandırması yapın, yok eğer bir host hizmetinden yararlanıyor iseniz, ilk başta dosya izinleri (CH Mod) ayarlarını düzenleyin ve sadece okunabilir hale getirin. Hackerlar, bu bahsettiğim ayarları 777 yapmış olabilir. Yani yazma izni vermiş olabilir ve diledikleri zaman yeniden exploit kullanarak sisteminize sızmaya çalışabilirler. 15 yıllık Web Security tecrübemle şunu söylemek istiyorum. En çok önem vermeniz gereken konu FTP şifreniz ile Database yani kurulum (MySqL) şifreleriniz aynı olmasın. Mümkünse 14 haneli büyük-küçük harf, karakter ve sayı dizini bulunan şifreler oluşturunuz. Eno7.orgun en son FTP şifresinin ne olduğunu merak ediyor musunuz? e&8/!*en07s3cnr!+y idi. Böylesi bir şifreyi Bruce Attack kullanan hackerlar dahi kıramazlar. Güvenliğin ilk adımı sizlersiniz. Ser verin, sır vermeyin. Şifrenizi sizden başkası bilmesin. Böylelikle güvende olacaksınız. Mutlu ve güvenli günler diliyorum.
