SocGholish Botnet ve Evil Corp'a Bağlı 15.000'e Yakın WordPress Sitesi Temizlendi

Giriş

Uluslararası kolluk kuvvetleri tarafından yürütülen ortak operasyon kapsamında, SocGholish botnet ve Evil Corp adlı Rus siber suç grubuna bağlı yaklaşık 15.000 WordPress sitesi temizlendi. Ayrıca, bu botnetin arkasındaki altyapının önemli bir kısmını oluşturan 100'den fazla sunucu da devre dışı bırakıldı. Bu operasyon, WordPress tabanlı web sitelerini hedef alan ve kullanıcıları zararlı yazılımlara maruz bırakan SocGholish adlı tehdidin yayılmasını önemli ölçüde engelledi.

Sorun Tanımı

SocGholish Botnet ve Evil Corp'un Rolü

SocGholish, kullanıcıları kandırarak zararlı yazılımları indirmeye yönlendiren bir botnet ve sosyal mühendislik saldırı aracıdır. Genellikle, güncelleme uyarıları, PDF dosyaları veya sahte sistem uyarıları gibi yöntemlerle kullanıcıları tuzağa düşürür. Bu botnetin arkasındaki ana aktörlerden biri olan Evil Corp, dünya genelinde milyonlarca dolarlık siber suç faaliyetleri yürütmektedir.

Etkilenen Sistemler ve Etkileri

Saldırılar, özellikle WordPress gibi popüler içerik yönetim sistemlerine (CMS) sahip web sitelerini hedef almaktadır. Etkilenen sitelerde aşağıdaki sorunlar gözlemlenebilir:

• Kullanıcıların bilgisayarlarına uzaktan erişim sağlayan RAT (Remote Access Trojan) yazılımları yüklenir.
• Kullanıcı verileri (şifreler, finansal bilgiler) çalınır.
• Saldırganlar, etkilenen siteleri komuta ve kontrol (C2) sunucuları olarak kullanarak diğer sistemlere yayılır.
• SEO sıralamaları düşer ve web sitesinin itibarı zarar görür.

Çözüm Adımları

1. Etkilenen Sitelerin Tespiti

SocGholish botnetinin tespiti için aşağıdaki yöntemler kullanılabilir:

1. Web Sitesi Trafiğinin İzlenmesi

   • Web sitenizin trafik verilerini analiz edin. Anormal trafik artışları veya şaşırtıcı referans kaynakları (örneğin, sahte güncelleme siteleri) olabilir.
   • Google Analytics veya benzeri araçlarla kaynak/medium verilerini inceleyin.

2. Dosya ve Dizin Kontrolleri

   Sitenizin kök dizininde aşağıdaki dosyaları arayın (genellikle gizlenmiştir):

   find /var/www/html -type f -name "*.php" | xargs grep -l "eval(base64_decode" 2>/dev/null

   Uyarı: Bu komut, zararlı kod içeren dosyaları bulmanıza yardımcı olur. Ancak, komutu çalıştırmadan önce yedek alın ve test ortamında deneyin.

3. Sunucu Loglarının İncelenmesi

   Web sunucunuzun log dosyalarını inceleyerek suspicious IP adresleri veya anormal istekler arayın:

   grep -i "eval(base64_decode" /var/log/apache2/access.log

2. Zararlı Kodun Temizlenmesi

Etkilenen dosyaları bulduktan sonra, aşağıdaki adımları izleyerek temizleyin:

1. Yedekleme

   Öncelikle, sitenizin tam bir yedeğini alın:

   tar -czvf website_backup_$(date +%Y%m%d).tar.gz /var/www/html

2. Zararlı Dosyaların Silinmesi

   Bulunan zararlı dosyaları silin. Örneğin:

   rm -f /var/www/html/wp-content/themes/twentyseventeen/header.php.bak

   İpucu: Zararlı dosyaları silmeden önce, zararlı kodun tam olarak nerede olduğunu doğrulayın. Bazı durumlarda, zararlı kod meşru dosyalara enjekte edilmiş olabilir.

3. Veritabanının Kontrolü

   WordPress veritabanında şüpheli kayıtlar olup olmadığını kontrol edin. Aşağıdaki SQL sorgusunu kullanabilirsiniz:

   SELECT * FROM wp_options WHERE option_name LIKE '%eval%';

   Uyarı: Veritabanında değişiklik yapmadan önce yedek alın ve test ortamında deneyin.

3. Sunucunun Güçlendirilmesi

Temizlik işlemi tamamlandıktan sonra, sunucunuzu gelecekteki saldırılara karşı korumak için aşağıdaki adımları uygulayın:

1. Güncellemelerin Yapılması

   Tüm yazılımları en son sürüme güncelleyin:

   apt update && apt upgrade -y  # Debian/Ubuntu
   

   yum update -y  # CentOS/RHEL

2. Güvenlik Duvarı Kuralları

   Sunucunuza iptables veya ufw gibi araçlarla güvenlik duvarı kuralları ekleyin:

   ufw allow 80/tcp
   ufw allow 443/tcp
   ufw enable

   İpucu: Yalnızca gerekli portları açın ve diğer tüm portları kapatın.

3. WordPress Güvenliği

   WordPress için aşağıdaki güvenlik önlemlerini uygulayın:

   • Güçlü şifreler kullanın ve iki faktörlü kimlik doğrulama (2FA) etkinleştirin.
   • Güncellemeleri otomatikleştirin (WordPress çekirdeği, eklentiler ve temalar).
   • Güvenlik eklentileri kullanın (örneğin, Wordfence, Sucuri).
   • Dosya izinlerini sıkılaştırın (örneğin, chmod 644 için dosyalar, chmod 755 için dizinler).

4. Olay Sonrası Kontroller

Temizlik işlemi tamamlandıktan sonra, aşağıdaki kontrolleri yapın:

1. Web Sitesi Testi

   Web sitenizin tüm fonksiyonlarının çalıştığından emin olun. Örneğin:

   • Sayfaların düzgün yüklenip yüklenmediğini kontrol edin.
   • Formların ve diğer etkileşimli unsurların çalışıp çalışmadığını test edin.

2. Güvenlik Tarama Araçları

   Aşağıdaki araçları kullanarak sitenizi tarayın:

   • VirusTotal (dosya ve URL taraması)
   • Sucuri SiteCheck (web sitesi taraması)
   • Malwarebytes (yerel tarama)

3. Kullanıcı Bildirimleri

   Kullanıcılarınıza, sitenizin güvenli olduğunu ve önceden yaşanan sorunların çözüldüğünü bildirin.

Önleyici Tedbirler

SocGholish botnet'inden korunmanın en etkili yolu, sürekli güvenlik kontrolleri yapmak ve güvenlik açıklarını hızlıca kapatmaktır.

Aşağıdaki önleyici tedbirleri uygulayarak gelecekteki saldırıları engelleyebilirsiniz:

• Düzenli yedeklemeler yapın ve yedekleri harici bir konumda saklayın.
• Güvenlik duvarı ve saldırı tespit sistemleri (IDS/IPS) kullanın.
• Kullanıcıları bilinçlendirin (örneğin, sosyal mühendislik saldırıları hakkında eğitim verin).
• SSL/TLS sertifikaları kullanarak veri iletimini şifreleyin.
• Sunucu kaynaklarını izleyin (örneğin, CPU, bellek ve disk kullanımı).

Sonuç

Uluslararası kolluk kuvvetleri tarafından gerçekleştirilen bu operasyon, SocGholish botnet'ine ve Evil Corp'a önemli bir darbe indirdi. Ancak, siber suç örgütleri sürekli olarak yeni yöntemler geliştirmektedir. Bu nedenle, web site yöneticilerinin güvenlik açıklarını sürekli olarak izlemeleri ve önleyici tedbirler almaları hayati önem taşımaktadır. Yukarıda belirtilen adımları izleyerek, sitenizi ve kullanıcılarınızı gelecekteki saldırılardan koruyabilirsiniz.