Merhaba Arkadaşlar,
Bu yazıyı yazmamın amacı sizlere hack yedikten sonra yapmanız gerekenlerin neler olduğudur. Öncelikle şunu söylemeliyim ki eğer karşınızda ki kişi uzman ve takıntılı ise boşuna uğarşmayın her türlü sitenizi basar bu yüzden mümkün olduğunca kendinize düşman yapmamaya çalışın. Unutmayın ki güvenli bilgisayar yoktur ve dolayısıyla güvenli bir sitede yoktur. Yanlış hatırlamıyorsam geçen sene İranlı bir hacker SSL sistemini tek başına dağıtmıştı. Şimdi konumuza geri dönelim.
Şimdi öncelikle sisteminiz belli başlı yöntemlerle shell yemiş veya paneline girilmiş vs… olabilir. Neyse herhangi bir yolla hacklendiniz index yediniz veya hacklink girdi sitenize bu durumda yapmanız gerekenleri anlatacağım size.
1-) Siteniz hacklendiğine göre sitenizde ki tüm bilgiler hacker tarafından çekilmiş olabilir, sitenizde farklı dizinlere shell veya upload dosyaları oluşturulmuş olabilir bunu anlamanız zor onun için hack yedikten sonra tüm dosyalarınızı silin ftpden ve yedekleri kurun bu sizi hackerımızın size ftp üzerinden geri dönüşünü engelleyecektir.
2-) Fakat bu kadarı yetmez hackerımız bunla yetinmeyip databasenizi çekmiş olabilir bu durumda user tablosu hackerımızın elinde şifrelerimiz ve tüm site verilerimiz hackerın elinde olabilir user tablosu hackerımızın eline geçtikten sonra hackerımız hangi userin admin olduğunu ufak bir tablo okumasıyla rahatlıkla anlayabilir ve user tablomuzu okuması sonucu şifrelerimiz hackerımızın eline geçer şifrelerimiz sistemine göre kriptografili veya direk düz olarak databasemizde saklanır. Fakat unutmayın ki artık kriptografilerde çözülebiliyor. Bu durumuda göz önüne alarak admin bilgilerimizi yani şifremizi ve e-mail aktivasyon kodumuzuda değiştirmeliyiz. Böylece hackerımızın bir dönüş yolunu daha kapatmış bulunmaktayız.
3-) Bu kadarı yeter mi :) tabi ki de hayır. Hackerımız config dosyamızı çekmiş ve database bağlantı bilgilerimizi eline geçirmiş olabilir ki bazı configlerde FTP bilgileride yer alır (Örneğin: Joomla’ya isterseniz koyabilirsiniz.). Bunun için hemen database bağlantı bilgilerimize de değiştiriyoruz ve config dosyamızı düzenliyoruz.
4-) Ardından FTP bilgilerimizide değiştiriyoruz ki FTP bilgilerimiz alındıysa alınan bilgileri geçersiz kılmak için.
5-) Bir diğer önlemimizde tabloları inceleyeceğiz. Bu yöntemimizde tablolara base kodlaması ile gizlenmiş olan bir meta veya yabancı bir kod var mı diye bakmalıyız. Tabloalara meta veya başka bir kod gömmüş mü ona bakmalıyız. Eğer meta koyulmuşsa tablomuzun o verisini gözüktüğü yere girince meta da verilmiş olan yere yönlendirmeye maruz kalırız. Bu durum hakkında fazla bir bilginiz yoksa o iş için bir uzman tutmanızı tavsiye ediyorum.
Lütfen arkadaşlar başta ki tavsiye mi unutmayın sanalda düşman değil dost yapmaya bakın düşmanınız ne kadar çok olursa sizin için o kadar kötü olur yıkıcı değil yapıcı ve uzlaşmacı olun. Şimdi siz bunları yaptıktan sonra rahatlayacaksınız değil mi? Kusura bakmayın ama rahatlamayın karşınızda ki kişi uzmansa ve size kafayı takmışsa sitenizin bulunduğu makinaya bir backdoor bırakır istediği zaman hiç zorlanmadan ziyaretinize gelir. Bu yüzden bu kardeşinize kulak verin. Bu yazıyı 10 dakika’da yazdığım için mutlaka hatalarım ve eksiklerim vardır. Eğer belirtirseniz düzeltmeye çalışacağım. İlerde başka yazılarımla karşınızda olmaya çalışacağım. Üslubumda bir hata olduysa maruz görün.
Muhammet Dilmaç
muhammetdilmac@odablog.net
Kaynak:http://odablog.net/guvenlik/web-site-guvenligi/1389-siteniz-hacklendikten-sonra-ne-yapmalisiniz.html
Not: Yazı tamamen bana aittir adımın kaynak gösterilmeden yayınlanmamasını rica ediyorum. Eğer yayınlanmaya layık görürseniz şimdiden teşekkür ederim...
