Web Sitesinin Hacklenmesi ve Olay Sonrası Vaka Analizi

Giriş

Bu yazımızda; internet sitelerine yönelik gerçekleştirilen yetkisiz erişimler sonucu olayın çözümlenmesi ve şüpheli/şüphelilerin tespitine yönelik çalışmaların yapılması hakkında temel bilgilere değinilecektir.

Olay Oldu Ama Nasıl Olmuş Olabilir ?

Bir internet sitesinin hacklendiğini ve bu konuyla ilgili inceleme yapılması istendiğini düşünelim. Peki bu işleme nereden başlayacağız? Nerelere bakmamız gerekiyor? Tüm bu sorulara doğru cevap verebilmek için öncelikle bir internet sitesinin hangi yöntemlerle hacklenmiş olabileceğini bilmemiz akabinde ise doğru kayıtlara göz atılması gerekmektedir.

Bu nedenle hacklendiği belirtilen internet sitesi ile ilgili inceleme işlemine başlamadan önce başlangıçta;

  • Saldırının ne zaman fark edildiği ?
  • Sitede ne tür bir değişikliğin olduğu ?
    • Siteye erişim sağlanamaması (dos/ddos saldırıları)
    • Siteye index atılması, içeriğin, dosyaların vb. değiştirilmesi
    • Sitenin başka bir yere yönlendirilmesi vb.

vb. soruların cevaplarının alınması ilk tespit noktasında oldukça önemlidir. İnternet sitesinin hacklenmesi sonrası log kayıtları analizi aşamasında netleştirilmesi gereken diğer önemli hususlara Erişim Log Kayıtları ve Analizi kısmında değindiğimiz için bu yazımızda tekrar değinmiyoruz.

Sitedeki değişiklik bilgisini önce kendi analizlerimiz sonucu ve sonrasında site sahibinin beyanı doğrultusunda edindikten sonra ilgili log kayıtlarının incelenmesi ya da şüphelinin tespitine yönelik diğer bilgilerin tespitine yönelik çalışmaların yapılması gerekmektedir. Tam bu noktada internet sitesinin nasıl hacklendiği konusunu netleştirmek oldukça önemlidir.

İnternet Sitesi Nasıl Hacklenmiş Olabilir ?

Bir internet sitesine yetkisiz erişim gerçekleştirmek için pek çok yöntem bulunmaktadır. Günümüzde en sık görülen yöntemlerden bahsedecek olursak;

  • Web uygulamasındaki zafiyetlerden faydalanılarak,
  • Sunucuya sızılması, (Sunucunun ya da sunucuda barınan başka bir sitenin zafiyetinden faydalanılarak)
  • Yönetim panelinin (admin/parola) ele geçirilmesi sonucu,
  • FTP kullanıcı adı ve şifrelerinin ele geçirilmesi sonucu,
  • Siteye dışarıdan dahil edilen dosyalar (js vb.),
  • Alan adı kayıt firmasının ya da firmada bulunan üyeliğinizin ele geçirilmesi sonucu (ns değiştirilerek vb.)

vb. yöntemler ile bir internet sitesi hacklenmiş olabilir. Tüm bu durumlar göz önünde bulundurulduğunda; ftp kullanıcı adı ve şifreleri başkasının eline geçmesi sonucu hacklenen bir internet sitesi ile ilgili erişim log kayıtlarından ziyade FTP log kayıtlarına bakılması gerekmektedir.

Ya da alan adı kayıt firmasındaki üyelik bilgilerinin başkasının eline geçmesi sonucu name server bilgileri değiştirilerek başka bir sayfaya yönlendirilen bir internet sitesinin erişim log kayıtlarını incelemekden ziyade; alan adı kayıt firmasına girerek name server bilgilerini değiştiren kullanıcının tespiti oldukça önemlidir.

Son bir örnek verecek olursak; dışarıdaki bir siteden sitemize dahil ettiğimiz bir dosyada yapılan değişiklik sonucu sayfamız hacklenmiş gibi gözükebilir.

Ki bunun en güzel örneğini 2014 yılında görüldü. Dünyada birçok kullanıcısı olan sosyal giriş servisi Gigya’ya Suriye Elektronik Ordusu tarafından gerçekleştirilen saldırıda yerleştirilen javascript kodu sebebiyle yemeksepeti, Ferrari, Forbes, The Telegraph, Al Jazeera gibi bir çok platform saldırıdan nasibini aldı.

Sonuç

Yazımızda belirtilen hususlar göz önünde bulundurularak saldırı öncesi, olayın nasıl gerçekleştiğinin netleştirilmesi oldukça önemlidir. Olayın netleşmesinin akabinde ilgili log kayıtlarının incelenmesi mi, yoksa komple sunucunun imajının alınarak mı incelenmesi gerektiğine karar verilebilir. Belki de sorun, dışarıdaki bir servisten dahil edilen bir dosyadan kaynaklandığı için incelemeye gerek kalmadan tedbir almak yeterli olacaktır.

Site Footer