Kötü amaçlı yazılım bulaşmış web sitelerinin analizinin ve temizlenmesinin önemli bir bileşeni, günlük dosyalarını görüntülemek ve değerlendirmektir. Ancak burada bile ilk bakışta tuhaf görünebilecek şeyler var. Kötü amaçlı yazılım içeren bir web sitesinde şüpheli bir xyz.php dosyası bulduğunuzu varsayalım. Şimdi, ilk adım dosya bilgilerine bakmak olacaktır.stat xyz.php. Çıktı, alıntılarda şöyle görünebilir:Erişim: 2022-01-25 17:49:11.033089757 +0100Değiştir: 2021-12-10 17:35:44.160789235 +0100Değişiklik: 2021-12-10 17:35:44.184790689 +0100. Yani bu dosya 10 Aralık 2021’de oluşturulmuş veya en son değiştirilmiştir (Fakat dikkat, bu bilgiler bile sahte olabilir!).
Bir sonraki adımda, bu süre içinde gerçekleşen aramalar için ilgili web sayfasının access.log’una bakarız. Düşük trafikli web sayfaları için, etkilenen dönemde tüm günlük dosyasını satır satır incelemek sorun değildir, ancak yüksek trafikli sayfalar için bu (o kadar kolay) mümkün değildir. O yüzden daraltıyoruz. grep ’10/Aralık/2021:17:35′ access.log. Yine, bu yine de çok fazla sonuç döndürebilir ve dağınık olabilir, bu yüzden yalnızca başarılı aramaları filtreleyerek deniyoruz. grep ’10/Aralık/2021:17:35′ access.log | grep -E ‘” (20.|30.)’ Komut, bu döneme ait 20x veya 30x koduyla yanıtlanan tüm çağrıları, yani url’nin bulunduğu veya yönlendirildiği yerde seçer.Ancak, tam olarak “kaybettiğimiz” yer burasıdır. Aşağıdaki günlük alıntısına bakalım: xx.xx.xx.xx – – [10/Aralık/2021:17:35:13 +0100] “POST /wp/wordpress/wp-includes/css/dist/editor/themes.php HTTP/2.0” 404 49793 “-” “Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, Gecko gibi) Chrome/97.0.4692.99 Safari/537.36” Filtremizle bu girişi tespit edemezdik, çünkü sunucudan gelen yanıt 404 idi, yani çağrılan komut dosyası mevcut değil. Bilgisayar korsanları ve botlar, güvenlik açıkları için bilinen giriş noktalarını rastgele bulmak için çok sayıda url denediğinden, günlükte 404 hataları çok yaygındır. Aklımızda tutmamız gereken şey şudur: HTTP kodu yalnızca web sunucusu tarafından AYARLANMAMIŞTIR. İşte bir PHP kötü amaçlı yazılımından bir örnek kod:<?phperror_reporting(0);http_response_code(404);// kötü niyetli kod izler. Ah! Bu nedenle, bu komut dosyası, arama başarılı olsa bile, günlükte her zaman 404 kodunu verir. Dolayısıyla, günlük dosyalarını filtrelerken HTTP koduna (dışlama kriteri olarak) dikkat etmemeliyiz. Günlük dosyası analizi için patent çözümü yoktur. Bir stat filename.php çıktısının verdiği zaman her zaman doğru olmayabilir. Ve çoğu kötü amaçlı yazılım araması POST isteği aracılığıyla yapılsa da, durumun her zaman böyle olması gerekmez. Sonuç olarak, bir web sitesini temizlemek her zaman uzun süren ve çok dikkatli ve odaklı bir şekilde yapılması gereken bir iştir. Etkilenen tüm dosyaları silmek bile her zaman doğru seçenek değildir, çünkü mevcut dosyalar genellikle yalnızca birkaç satır kötü amaçlı yazılım içerecek veya içerecek şekilde değiştirilir. Dosya silindiğinde, web sitesi artık işlevsel değildir. En iyi durumda, henüz güvenliği ihlal edilmiş herhangi bir dosya içermeyen (neredeyse) tüm güncel verilerle bir yedekleme mevcuttur. En kötü durumda, içeriğin (manuel) aktarımıyla tüm web sitesini yeniden yüklemek en güvenli seçenektir.