Giriş
Web sitesi tahrifatı (defacement), bir saldırganın web sunucusuna yetkisiz erişim sağlayarak sitenin ön yüzünü değiştirmesi durumudur. Seiko USA örneğinde olduğu gibi, bu durum genellikle daha büyük bir veri ihlalinin habercisi olabilir. Bu rehber, bir web sitesi saldırıya uğradığında izlenmesi gereken teknik adımları kapsar.
Zorluk Seviyesi: Intermediate
Adım 1: İzolasyon ve Erişim Kesimi
Saldırı fark edildiği anda, etkilenen sunucuların ağ ile olan bağlantısı kesilmelidir. Bu, saldırganın içerideki hareketlerini kısıtlar.
- Sunucu üzerindeki tüm aktif oturumları sonlandırın.
- Web sunucusu servisini durdurun:
sudo systemctl stop nginx # veya apache2 - Veritabanı erişimlerini kısıtlayın.
Adım 2: Adli Bilişim ve İnceleme
Saldırganın sisteme nasıl girdiğini anlamak için log dosyalarını inceleyin. Özellikle /var/log/auth.log ve web sunucusu loglarını kontrol edin.
İpucu: Log dosyalarını değiştirmemek için her zaman salt okunur (read-only) kopyalar üzerinde çalışın.
Aşağıdaki komut ile şüpheli IP adreslerini tespit edebilirsiniz:
grep "POST" /var/log/nginx/access.log | awk '{print $1}' | sort | uniq -c | sort -nrAdım 3: Veri İhlali Değerlendirmesi
Saldırganın Shopify veritabanı gibi hassas verilere erişip erişmediğini doğrulamak için veritabanı sorgu loglarını inceleyin. Eğer veri sızıntısı kesinleşirse, KVKK/GDPR kapsamında yasal bildirim süreçlerini başlatın.
Adım 4: İyileştirme ve Güvenlik Sıkılaştırma
Sistemi temizledikten sonra açıkları kapatın:
- Tüm yönetici parolalarını değiştirin.
- SSH anahtarlarını yenileyin.
- Web uygulaması güvenlik duvarı (WAF) kurallarını güncelleyin.
Uyarı: Sadece ön yüzü düzeltmek sorunu çözmez; arka plandaki güvenlik açığını (CVE) yamalamadan sistemi tekrar yayına almayın.
Sonuç
Web sitesi tahrifatı sadece bir görsel bozulma değil, sistemin güvenliğinin tamamen ihlal edildiğinin kanıtıdır. Olay müdahale planınızı (IRP) her zaman güncel tutun ve düzenli yedeklemelerle sistemin hızlıca geri döndürülebilir olmasını sağlayın.
