Sunucu Güvenlik İhlali Sonrası Adım Adım Müdahale Rehberi

Son Güncelleme: Mart 2026

Sunucu güvenliği ihlali sonrası doğru adımları atmak, zararları sınırlamak ve hizmet sürekliliğini sağlamak için hayati önem taşır. Bu rehber, VPS, VDS, kiralık sunucu ve paylaşımlı hosting gibi ortamlarda uygulanabilecek, adım adım müdahale süreçlerini ve uygulamalı örnekleri içerir.

İçindekiler

• Saldırı (İhlal) Tespiti
• İzolasyon ve Hızlı Müdahale
• Adli Tanımlama (Forensics)
• İyileştirme ve Geri Dönüş
• Kalıcı Güçlendirme (Hardening)
• Pratik Kullanım Senaryoları
• Araçlar ve Karşılaştırma Tablosu
• Sıkça Sorulan Sorular
• Sonuç

Saldırı (İhlal) Tespiti

Her müdahale süreci doğru tespit ile başlar. İhlali fark etmek için düzenli izleme (monitoring) ve log (kayıt) incelemesi gereklidir. Aşağıdaki göstergeler sık görülen uyarılardır:

• Beklenmeyen CPU/Memory Kullanımı: Normalin üzerinde süreçler veya patlamalar.
• Şüpheli Ağ Trafiği: Bilinmeyen IP'lere ani çıkışlar veya yüksek outbound (giden) trafik.
• Değişen Dosyalar ve İzinler: Sistem dosyalarında beklenmedik değişiklikler.
• Yetkisiz Kullanıcılar: Yeni oluşturulmuş root/administrator hesapları veya yetki değişiklikleri.
• Giriş Denemeleri: Başarısız/sürekli brute-force denemeleri ve başarılı yabancı oturumlar.

Log Kaynakları

• Sunucu Sistem Logları: /var/log/auth.log, /var/log/syslog, journalctl çıktıları.
• Web Sunucu Logları: Apache/Nginx erişim ve hata logları.
• Uygulama Logları: PHP, uygulama framework (ör. Laravel) logları.
• Firewall/WAF Logları: Engellenen istekler, kural tetiklemeleri.

İzolasyon ve Hızlı Müdahale

İhlali doğruladıktan sonra en önemli hedef, saldırganın yayılmasını ve veri sızıntısını engellemektir. İzolasyon adımları dikkatle ve kaydetme (logging) yapılarak uygulanmalıdır.

Öncelikli Adımlar

1. Ağ İzolasyonu: Etkilenen sunucunun dışa erişimini sınırlayın; gerekiyorsa ağdan tamamen çıkarın.
2. Hesap Kilitleme: Şüpheli kullanıcı hesaplarını geçici kilitleyin veya şifrelerini değiştirin.
3. Servis Durdurma: Zararlı işlem veya servisleri kontrollü şekilde durdurun (ör. şüpheli process ID'lerini izleyerek).
4. İzleme Devreye Alma: Ağ ve dosya sisteminde daha ayrıntılı logging (ör. auditd) aktif edin.
5. İletişim: İç ekiplere ve gerektiğinde yasal danışmana durumu bildirin.

Adli Tanımlama (Forensics)

Adli tanımlama (forensics) süreci, olayın nasıl gerçekleştiğini, etki alanını ve saldırganın izlerini açığa çıkarır. Bu adım, kanıt bütünlüğünü korumaya odaklanır.

Örnek Adli Prosedür

• İmaj Alma: Etkilenen sistemin disk imajını alın (dd, fsarchiver). Bu işlem canlı (live) kopyalama veya offline kopyalama şeklinde yapılır.
• Volatil Bilgi Toplama: Bellek (RAM), aktif ağ bağlantıları, çalışan işlemler kayıtları toplanmalıdır.
• Log Analizi: Zaman damgalarına (timestamp) dikkat ederek, olay zincirini yeniden oluşturun.
• Dosya Bütünlüğü Kontrolü: sha256/md5 değerleri ile dosya değişikliklerini doğrulayın.
• İzlerin Korunması: Kanıt dosyalarının hash'lerini alın ve güvenli bir lokasyona taşıyın.

İyileştirme ve Geri Dönüş

Adli süreç tamamlandığında sistemleri güvenli hale getirip üretime kademeli dönüş planı uygulayın. Aşağıdaki kontrol listesi (checklist) yol göstericidir.

• Temiz Kurulum veya Onarım: Zarar gören servisler için temiz/aktüel paketlerle yeniden kurulum tercih edilir.
• İşletim Sistemi ve Yazılım Güncellemeleri: Tüm kritik yamaları ve paket güncellemelerini uygulayın.
• Şifre ve Anahtar Değişimi: Etkilenen kullanıcıların şifrelerini, SSH anahtarlarını, API anahtarlarını resetleyin.
• İzin ve Erişim Denetimi: Gereksiz yetkileri kaldırın ve ilke tabanlı erişim (least privilege) uygulayın.
• İzleme Kurulumu: IDS/IPS, WAF ve merkezi loglama (SIEM) çözümlerini etkinleştirin.

Kalıcı Güçlendirme (Hardening)

Tekrar yaşanmaması için kalıcı güvenlik önlemleri uygulanmalıdır. Aşağıda önerilen teknikler bulunmaktadır.

Temel Güçlendirme Adımları

• SSH Hardening: Password auth kapatmak, sadece anahtar tabanlı giriş, root doğrudan login devre dışı.
• Firewall Kuralları: Gereksiz portlar kapatılmalı; sadece gerekli IP/port kombinasyonlarına izin verilmeli.
• Uygulama Güvenliği: Sızma testi (penetration test) periyotları belirleyin ve güvenlik açıklarını düzenli tarayın.
• SSL/TLS Kullanımı: Tüm web servislerinde güçlü SSL/TLS konfigürasyonu uygulayın ve süresi yaklaşan sertifikaları yenileyin.
• Yedekleme Stratejisi: Düzenli, doğrulanmış yedekleme (backup) ve offsite (uzak lokasyon) kopyalama uygulayın.

Pratik Kullanım Senaryoları

Aşağıda sık karşılaşılan iki senaryo ve uygulanabilir adımlar yer almaktadır.

Senaryo 1: Web Uygulaması Üzerinden Yetki Yükseltme

• Tespit: Web uygulaması hata loglarında kod enjekte edildiğine dair girişler.
• İzolasyon: Hedef uygulama konteynerini (veya sanal sunucuyu) izole edin.
• Geri Alma: Etkin yedeğe geri dönün, zafiyeti kapatın, test ortamında doğrulayın.
• Örnek Yönlendirme: Daha yüksek kaynak gerekiyorsa Türkiye VPS Sunucu veya Kiralık Sunucu seçeneklerini değerlendirin.

Senaryo 2: Ransomware (Fidye Yazılımı) Saldırısı

• Tespit: Birden fazla dosyanın aynı anda şifrelenmesi, uzantı değişikliği, fidye mesajı.
• İzolasyon: Ağdan çıkarma, yedek depoların korunması.
• İyileştirme: Temiz yedekten geri yükleme; saldırı vektörünü kapatma ve parola/anahtar rotasyonu.
• Önlem: Düzenli test edilmiş yedeklemeler için Yedekleme Hizmeti inceleyin.

Araçlar ve Karşılaştırma Tablosu

Olay müdahalesinde kullanılan araçların kısa karşılaştırması aşağıdadır.

Sıkça Sorulan Sorular

Sonuç

Sunucu güvenlik ihlali sonrası hızlı, planlı ve belgelenmiş bir müdahale süreci hasarı minimize eder ve hizmet sürekliliğini sağlar. Rehberdeki adımları kurum politikalarınıza göre uyarlayarak uygulayın. Eğer daha güçlü bir altyapıya veya uzman desteğe ihtiyaç duyuyorsanız Corelux’un sunucu ve hizmet seçeneklerini inceleyebilirsiniz:

• Kiralık Sunucu: https://www.corelux.com.tr/kiralik-sunucu
• Sanal Sunucu (VPS/VDS): https://www.corelux.com.tr/sanal-sunucu/turkiye-vps ve https://www.corelux.com.tr/sanal-sunucu/turkiye-vds
• Yedekleme Hizmeti: https://www.corelux.com.tr/hizmetler/yedekleme
• SSL Sertifikası ve Yönetimi: https://www.corelux.com.tr/hizmetler/ssl-sertifikasi

Bu rehber, sunucu ihlali sonrası müdahale sürecinin temel çerçevesini sunar. Kurumunuz için özel bir müdahale planı ve tatbikat (tabletop exercise) çalışması hazırlamamı isterseniz, daha ayrıntılı bir eylem planı sunabilirim.