Japonca anahtar kelime saldırısı, WordPress veya diğer popüler CMS sistemlerinde karşılaşabildiğiniz bir saldırı türüdür. Bu saldırı dahilinde sitenizin başlığı ve içeriği japonca olarak görülebilir. Bu saldırı türü spam saldırılar arasında olup sitenize ciddi zararlar verebilmektedir.

 Sitenizin saldıraya uğradığını nasıl anlarsınız?

  • Ziyaretçi sayısında ciddi oranlı düşüşler
  • Google aramalarında anlamsız veya farklı dilde sonuçlar
  • Google’dan sitenizin saldırıya uğradığına ilişkin uyarı aldınız
  • Aramada sitenizin saldırıya uğradığını veya güvenliğinin ihlal edildiğini belirten bir uyarı görüyorsunuz

“Google’da sitem japonca çıkıyor”

Tebrikler Hacklendiniz. Japonca anahtar kelime saldırısı, sitenizde rastgele otomatik olarak url yapıları oluşturur.  (örneğin http://example.com/ltjmnjp/341.html) Oluşturulan bu URL yapılarında jjaponca iççerikler ve sayfalar eklenerek sahte marka ürün satan sitelere yönlendirebilir. Bu tip saldırı türlerinde bilgisayar korsanları kendilerini search consola üzerinden mülk sahhibi olarak ekler. Yapmış olduğu bu işlem sayesinde sitenin coğrafi ve dil yapısını değiştirerek daha fazla kar etmeyi amaçlar.

Saldıraya uğramış sayfalarınızı görmek için ilk sırada çıktığınız anahtar kelimeleri aratabilir veya google arama kısmına site:siteismi.com/ şeklinde bir arama gerçekleştirerek sitenizin saldırıya uğramış sayfalarınızla, beraber otomatik olarak oluşturulmuş sayfalarıda görebilirsiniz.

İlgili sayfalara tıkladığınızda sayfanın sitenizde yer almadığına dair (404 hatası gibi) mesaj görebilirsiniz. Bu tip durumlar bilgisayar korsanı tarafından bilerek yapılır. Bu sayede sizi sitenizdeki saldırıların geçtiğine inandırmayı hedefleyerek sizi kandırmaya çalışır. Bunu da sitenizde yer alan içeriği gizleyerek gerçekleştirir. Webmaster Tools üzerinden Google Gibi Getir seçeneğini kullanarak, ilgili sayfalardaki içeriği görebilirsiniz.

Japonca Anahtar Kelime Saldırısı Nasıl düzeltirim?

Her sistem güncellemesinde ve düzeltmede olduğu gibi bu işleme başlamadann öncede mutlaka mevcut sitenizin bir kopyasını alın. Daha sonradan bu yedeklere ihtiyaç duyabilirsiniz. FTP ve databese’inizi komple yedekleyin.  Bunlara ek olarak, her ihtimale karşı yazı ve kategori bazlı yedeklemede yapın.

Search Console Kontrolü

Google Search Console üzerinden tanımadığınız mülk sahiplerinnin erişimini iptal edin. Doğrulanan tüm kullanıcıları görmek için siteye ilişkin “Doğrulama Ayrınları”na tıklayın.  Herhangi bir kullanıcı mevcutsa kaldırın. FTP üzerinden Google doğrulama sayfası olup olmadığını kontrol edin.

Sitenizde bir HTML doğrulama jetonu bulamıyorsanız, .htaccess dosyanızda yeniden yazma kuralı olup olmadığını kontrol edin.

 

.htaccess dosyanızı kontrol etme

Bilgisayar korsanları google doğrulama yapmak için  .htaccess kurallarını kullanabilirler. Özel bir  .htaccess yapılandırmanız yoksa, yeni bir  .htaccess dosyasıyla değiştirin.

  1. Sitenizdeki  .htaccess dosyasını bulun. WordPress sistemlerde ana dizinde direkt olarak göreblirsiniz.
  2. Temiz bir  .htaccess dosyasıyla değiştirin.

Tüm Kötü Amaçlı Dosyaları ve Komut Dosyalarını Kaldırma

Bu işlem için biraz vakit ayırmanız gerekecek. 1-2 saatinizi alabilir. WordPress ana dizinizde bulunan dosyaları tek tek kontrol etmeniz gerekebilir. Sitenizde yedekleme yapmadıysanız bu aşamada mutlaka yedekleme yapın. Aksi takdirde bu işlem geri dönülemez sonuçlara yol açabilir.

  1. WordPress çekirdek dosyalarınınn tamamını değiştirin. Bu işlem için WordPress son sürümünü indirip, direkt FTP sürükle burak yöntemiyle değiştirme işlemini gerçekleştirebilirsiniz. Aynı işlemi tüm eklenti ve tema dosyalarınız içinde gerçekleştirin.
  2. Bilgisayar korsanları, genellikle URL’lerinin daha hızlı dizine eklenmesine yardımcı olmak için site haritanızı değiştirecek veya yeni site haritaları ekleyecektir. Daha önce bir site haritası dosyası yüklediyseniz, dosyada şüpheli bağlantılar olup olmadığını kontrol edin ve bunları site haritanızdan kaldırın. Sitenize eklediğinizi hatırlamadığınız herhangi bir site haritası dosyası varsa, bunları tekrar kontrol edin ve sadece spam olan URL’ler içeriyorsa kaldırın.
  3. Kötü amaçlı veya güvenliği ihlal edilmiş başka dosyalar olup olmadığına bakın. Önceki iki adımda tüm kötü amaçlı dosyaları kaldırmış olabilirsiniz, ancak sitenizde güvenliği ihlal edilmiş başka dosyalar kalmış olması ihtimaline karşın sonraki birkaç adımı uygulamanız en iyisidir.
    • WordPress’in çekirdek dosyaları haricinde dosya olup olmadığını kontrol edin, varsa bu dosyaları temizleyin.
    • Sitenizdeki dosyaları değiştirme tarihine göre sıralayın, saldıraya uğradığınız tarihe göre dosyaları kontrol edin.
    • Boyuta göre sıralayıp, normalden büyük olan dosyaları kontrol edin.
  4. Şüpheli PHP dosyalarını listeleyip kodlarını kontrol edin. CMS sistemlerin kodlarına hakim değilseniz orjinal dosyalarla karşılaştırın. Belirlediğiniz dosyalar içerisinde anlamsız kod dizimlileri görürseniz kaldırın. Gizlenmiş metnin öncesinde genellikli öncesinde genellikle, base64_decode, rot13, eval, strrev, gzinflate gibi PHP işlevleri olur. Örnek bir kod bloğunu burada görebilirsiniz. Bazen tüm bu kod uzun bir metin satırına yerleştirilir ve bu şekilde gerçekte olduğundan daha küçük görünür.

$O_O0O_O0_0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70
%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");
$OO0_0OO0__=$O_O0O_O0_0{26}.$O_O0O_O0_0{6}.$O_O0O_O0_0{10}.$O_O0O_O0_0{30}

Sitenizin temiz olup olmadığını kontrol etme

Tüm herşeyi eksiksiz bir biçinde gerçekleştirdikten sonra, Google gibi getir seçeneğiyle çabalarınızın işe yarayıp yaramadığını kontrol edin. Google gibi getir seçeneğinde ilgili hataları artık görmüyorsanız, tebrikler çabalarınız gerçekten işe yaradı 🙂

Yeniden saldırıya uğramayı nasıl önleyebilirim?

  • Bilgisayarınızı düzenli aralıklarla tarayın; Virüsleri veya güvenlik açıklarını kontrol etmek için güvenilen virüs tarayıcılarından birini kullanın.
  • Şifrelerinizi düzenli olarak değiştirin: Barındırma sağlayıcı, FTP ve CMS gibi tüm web sitesi hesaplarınızın şifrelerini düzenli olarak değiştirmek, sitenize yetkisiz erişimi önleyebilir. Her hesap için güçlü ve benzersiz bir şifre oluşturmanız önemlidir.
  • İki faktörlü kimlik doğrulama kullanın: Oturum açmanızı gerektiren herhangi bir hizmette 2FA’yı etkinleştirmeyi düşünün. 2FA, bilgisayar korsanlarının şifreleri başarıyla çalsalar dahi giriş yapmalarını zorlaştırır.
  • CMS, eklentiler, uzantılar ve modüllerinizi düzenli olarak güncelleyin: Bu adımı zaten uyguladığınızı umarız. Çoğu site, çalıştırdıkları eski yazılımlar nedeniyle saldırıya uğramaktadır. Bazı CMS’ler otomatik güncellemeyi desteklemektedir.
  • Sitenizi izlemek için bir güvenlik hizmetine abone olmayı düşünün: Sitenizi küçük bir ücret karşılığında izlemenize yardımcı olabilecek birçok etkili hizmet bulunmaktadır. Sitenizi güvende tutmak için bu tür bir hizmete kaydolabilirsiniz.
  • Firewall kullanın: Maxcdn veya cloudflare’ın firewall seçeneklerini kullanabilirsiniz.
  • Dosya izinlerini kesinle 777 yapmayın: Upload klasörünüz dahi olsa asla 777 yetkisi vermeyin.