Subdomain Takeover ve Boşta Kalan DNS Kayıtları: Alan Adı Güvenliği, Marka ve SEO Riskleri

Subdomain Takeover ve Boşta Kalan DNS Kayıtları Neden Bu Kadar Kritik?

DNS tarafında yapılan küçük bir ihmalin, doğrudan markanızın alan adında saldırganlara web sitesi açma imkânı verdiğini düşünün. Ne sunucunuz hacklenmiş, ne de panel şifreniz çalınmış; sadece zamanında temizlenmemiş bir DNS kaydı yüzünden bir alt alan adınız (subdomain) tamamen başkalarının kontrolüne geçmiş durumda. İşte subdomain takeover tam olarak bu tabloyu ifade ediyor ve son yıllarda hem güvenlik hem de SEO dünyasında en çok konuşulan risklerden biri haline geldi.

DCHost’ta yeni projelerin planlama toplantılarında artık sadece CPU, RAM ve trafik tahminlerini değil; hangi subdomain’in nerede, ne kadar süreyle yaşayacağını, DNS kayıtlarının yaşam döngüsünü ve olası takeover risklerini de masaya yatırıyoruz. Çünkü özellikle ajanslar, SaaS projeleri, kampanya siteleri ve çok sayıda alt alan adına sahip kurumsal yapılar için boşta kalan DNS kayıtları; alan adı güvenliği, marka itibarı ve organik trafik açısından ciddi bir saldırı yüzeyi oluşturuyor.

Bu yazıda, subdomain takeover’ın ne olduğunu, boşta kalan DNS kayıtlarının nasıl ortaya çıktığını, bunun marka ve SEO’ya gerçek etkilerini ve DCHost tarafında benimsediğimiz pratik önleme stratejilerini adım adım anlatacağız.

Subdomain Takeover Nedir?

Subdomain takeover, bir alt alan adınızın (örneğin blog.ornek.com) DNS kayıtları hâlâ sizin zon dosyanızda dururken, bu kaydın işaret ettiği altyapının artık sizin kontrolünüzde olmaması ve saldırganların bu boşluğu kullanarak alt alan adınızı ele geçirmesi anlamına gelir.

Klasik senaryo şöyle gelişir:

• Projeye başlarken kampanya2024.ornek.com için bir üçüncü parti hizmete veya geçici bir sunucuya CNAME / A kaydı verirsiniz.
• Kampanya biter, sunucuyu silersiniz veya ilgili SaaS hesabınızı kapatırsınız.
• Ancak DNS kaydını unutursunuz; yani subdomain hâlâ o servis veya IP adresine işaret eder.
• Saldırgan, o servis üzerinde aynı isimle yeni bir kaynak oluşturabilir ya da terk edilmiş IP aralığını kullanarak içeriğini yayınlar.
• Sonuç: kampanya2024.ornek.com tamamen saldırgan tarafından yönetilen, ama sizin alan adınız altında görünen bir siteye dönüşür.

Buradaki kritik nokta, ana alan adınızın hâlâ size ait olması. Kullanıcılar gözünde bu subdomain, markanızın bir parçası olarak algılanır. Tarayıcı adres çubuğunda alan adınız görünür; SSL sertifikanız yenilenmiş olabilir; hatta HSTS ve diğer güvenlik başlıklarınız aktif olabilir. Buna rağmen içerik, sizin kontrol etmediğiniz, saldırganın yönettiği bir kaynaktan gelir.

Boşta Kalan (Dangling) DNS Kayıtları Nasıl Oluşur?

Subdomain takeover’ın temel sebebi, teknik literatürde dangling DNS records olarak geçen, Türkçe’de de yaygınlaşan tabiriyle boşta kalan DNS kayıtlarıdır. Yani DNS tarafında hâlâ var olan, ama işaret ettiği hedefi artık kontrol etmediğiniz kayıtlar.

Bu kayıtlar birçok şekilde ortaya çıkar:

1. Geçici Projeler ve Kampanyalar

• Kampanya veya lansman için açılan kısa süreli alt alan adları: kampanya.ornek.com, blackfriday.ornek.com gibi.
• Kampanya bitince sunucu veya üçüncü parti hizmet kapatılır, ama DNS kayıtları silinmez.

2. Staging ve Test Ortamları

• staging.ornek.com, test.ornek.com, dev.ornek.com gibi ortamlar sık sunucu değiştirir.
• Eski VPS/dedicated sunucular kapatılırken, DNS tarafında temizlik yapılmaz.

3. Üçüncü Parti SaaS Entegrasyonları

• E-posta pazarlama, landing page, helpdesk, statik site ve benzeri SaaS ürünleri için CNAME ile subdomain yönlendirilir.
• Abonelik iptal edildiğinde, SaaS tarafındaki kaynak silinir ama DNS kaydı kalır.

4. Bulut / VPS Geçişleri ve IP Değişiklikleri

• Sunucu taşıma veya IPv4 tasarrufu için IP değiştirirken eski IP için tanımlı A/AAAA kayıtları bırakılır.
• IP bloğu artık size ait değildir; başka birine tahsis edildiğinde, üzerinde yayın yapan farklı bir site görünmeye başlar.

5. Yetkisiz veya Unutulmuş NS Delege Edilmeleri

• Bazı büyük projelerde cdn.ornek.com veya app.ornek.com için ayrı bir zon delege edilir.
• Bu alt zonu yöneten nameserver’lar değişir ya da kapanır ama NS kayıtları güncellenmez.

Boşta kalan kayıtları anlamak için önce temel DNS kayıt türlerini kafada netleştirmek önemli. DNS’e yeni başladıysanız, DNS kayıt türleri (A, CNAME, MX, TXT vb.) hakkında detaylı rehberimiz iyi bir temel sağlayacaktır. Ayrıca, sahada en sık gördüğümüz yanlışları en sık yapılan DNS hataları listemiz altında derledik; subdomain takeover riski doğuran birçok hatanın orada bire bir karşılığını görebilirsiniz.

Subdomain Takeover’ın Güvenlik Riskleri

Bir subdomain takeover genellikle güvenlik açığı olarak raporlanır çünkü saldırganın eline sadece bir alan adı değil, aynı zamanda pek çok başka saldırı vektörü de geçmiş olur.

1. Phishing ve Kimlik Avı Saldırıları

Saldırganlar, markanızın alan adını kullanarak sahte giriş sayfaları, ödeme formları veya destek panelleri yayınlayabilir. Kullanıcı, tarayıcıda sizin alan adınızı gördüğü için güven duyar; bu da:

• Kullanıcı şifrelerinin çalınmasına,
• Kredi kartı bilgilerinin ele geçirilmesine,
• Müşteri hesabı ele geçirmelerine

yol açabilir. Özellikle bankacılık, e-ticaret ve SaaS projeleri için bu risk, doğrudan finansal ve hukuki sonuçlar doğurur.

2. Zararlı Yazılım ve Exploit Yayını

Saldırgan, ele geçirdiği subdomain altında zararlı yazılımlar dağıtabilir, tarayıcı exploit’leri barındırabilir veya reklam ağları üzerinden kullanıcıları başka sitelere yönlendirebilir. Bu durumda:

• Antivirüs ve güvenlik yazılımları alan adınızı kara listeye alabilir,
• Tarayıcılar siteniz için uyarı göstermeye başlayabilir,
• Kurumsal ağlar, alan adınızı tamamen engelleyebilir.

3. Oturum (Session) ve Çerez Güvenliği

Birçok uygulama, cookie alanını .ornek.com şeklinde tüm alan adına yayılmış şekilde ayarlar. Böyle bir durumda, ele geçirilmiş bir subdomain şu riskleri doğurabilir:

• JavaScript ile tarayıcıdaki çerezlerin okunması (uygun flag’ler set edilmemişse),
• Oturum çerezlerinin çalınması ve kullanıcı oturumu ele geçirilmesi,
• CSRF veya XSS zincirlerinin kolaylaşması.

Bu noktada HTTP güvenlik başlıklarının (CSP, HSTS, X-Frame-Options vb.) doğru ayarı da kritik. Daha önce HTTP güvenlik başlıkları rehberimizde detaylandırdığımız gibi, güvenlik başlıklarıyla alan adı politikanız uyumlu değilse, takeover edilen bir subdomain tüm bu savunmaları dolanmak için kullanılabilir.

4. OAuth Redirect URI ve Call-back İstismarları

Birçok OAuth / SSO entegrasyonunda redirect_uri veya benzeri call-back adresleri subdomain olarak tanımlanır. Eğer bu subdomain takeover’a açıksa, saldırgan:

• OAuth token’larını ele geçirebilir,
• Kullanıcıyı oturum açmış halde farklı bir hesaba yönlendirebilir,
• Üçüncü parti entegrasyonlarınızı suistimal edebilir.

Marka, İtibar ve Hukuki Riskler

Teknik açıdan bakıldığında takeover “sadece bir DNS hatası” gibi görünse de, yönetim seviyesinde tablo çok daha ağırdır:

• Marka itibarı zedelenir: Kullanıcılar için alt alan adının kime ait olduğu değil, ana alan adının kim olduğu önemlidir. Bir kez kötü deneyim yaşayan ziyaretçi geri dönmeyebilir.
• Hukuki sorumluluk doğabilir: Saldırgan sizin alan adınız üzerinden dolandırıcılık yaparsa, mağdur kullanıcılar ilk olarak markanıza döner.
• Kurumsal iş ortaklıkları etkilenir: Güvenlik skoru düşen bir alan adı, entegrasyonlarda soru işaretleri yaratır.

Ajans tarafında ise durum daha da hassas. Müşteri adına alan adı, hosting ve DNS yöneten ajanslar için takeover, sözleşmesel sorumluluk doğurabilecek büyük bir hatadır. Bu nedenle ajans müşterilerimiz için ajanslar için DNS ve alan adı erişimi yönetimi rehberimizde süreç ve yetki tasarımına özellikle vurgu yapıyoruz.

SEO ve Organik Trafik Üzerindeki Etkiler

Subdomain takeover’ın SEO tarafındaki etkileri çoğu zaman geç fark edilir ve uzun vadeli hasar bırakabilir.

1. Spam İçerik ve Manuel İşlemler

Saldırgan genellikle takeover edilen subdomain’de spam içerik, adult/gambling sayfalar veya doorway sayfalar yayınlar. Bunun sonuçları:

• Arama motorları tarafında manuel spam işlemleri,
• Güvensiz site / zararlı içerik uyarıları,
• Marka aramalarında istenmeyen sonuçların görünmesi

şeklinde ortaya çıkar. Teknik güvenlik açığını kapatsanız bile, algoritmik veya manuel cezaların temizlenmesi, itibarın geri kazanılması zaman alır.

2. Link Profili Kirliliği

Yıllar içinde inşa ettiğiniz backlink’lerin bir kısmı alt alan adlarına gidiyor olabilir: blog.ornek.com, docs.ornek.com, status.ornek.com gibi. Bu subdomain takeover’a uğradığında:

• Otorite sinyalleriniz spam içeriklere akmaya başlar,
• İlgili alt alan adına giden linkler disavow sürecine girebilir,
• Marka ile bağlantılı aramalarda istenmeyen sayfalar üst sıralara çıkabilir.

3. Site Haritaları, Canonical ve İç Linkleme

Eğer takeover edilen subdomain’i zamanında sildiyseniz, ama sitemap.xml veya iç linkler hâlâ onu işaret ediyorsa, arama motorları uzun süre 404/5xx yanıtlarıyla karşılaşabilir. Bu da:

• Crawl bütçesinin boşa harcanmasına,
• Site genel kalite sinyallerinin zayıflamasına,
• Önemli sayfalarınızın daha seyrek taranmasına

sebep olabilir. Üstelik takeover döneminde oluşturulmuş rel="canonical" veya yönlendirmeler varsa, yanlış URL’lere güç aktarımı söz konusu olabilir.

4. Güvenlik Uyarıları ve Tıklama Oranları

Tarayıcı veya güvenlik araçları, takeover edilmiş subdomain’i işaretleyen uyarıları ana alan adıyla ilişkilendirebilir. Kullanıcıların gözünde bu fark çoğu zaman yoktur; marka adı = alan adı demektir. Bu da:

• Organik sonuçlarda tıklama oranının (CTR) düşmesine,
• Reklam kampanyalarında kalite skorlarının etkilenmesine,
• Marka aramalarında “güvenilirlik” algısının zayıflamasına

yol açabilir.

Gerçekçi Senaryolar: Ajans, SaaS ve Kurumsal Yapılar

Senaryo 1: Kampanya Subdomain’i Unutan Ajans

Bir dijital ajans, büyük bir markanın Black Friday kampanyası için bf2024.marka.com altında landing page hazırlar. Sunucu bir VPS üzerinde, DNS kaydı CNAME ile bu VPS’e yönlendirilmiştir. Kampanya biter, VPS kapatılır, ama DNS kaydı kalır. Bir süre sonra aynı IP bloğu başka birine tahsis edilir; yeni kullanıcı o IP üzerine kendi içeriğini koyar. Farkında olmadan marka, alt alan adı üzerinden bambaşka bir siteye trafik yönlendirmiş olur. Eğer bu süreci kötü niyetli biri fark ederse, bilerek takeover senaryosu kurgulanabilir.

Senaryo 2: SaaS Uygulamasında Müşteri Alt Alan Adları

Multi-tenant bir SaaS ürünü, her müşteri için musteriadi.uygulama.com veya müşterinin kendi alan adında CNAME tanımıyla çalışır. Müşteri aboneliği bittikten sonra uygulama tarafında tenant silinir, ama DNS kaydı müşterinin tarafında unutulabilir. Bu tür senaryolarda takeover riski çok daha karmaşık hale gelir. Bu konuyu multi-tenant SaaS uygulamalarında müşteri alan adı yönetimi rehberimizde mimari açıdan detaylandırmıştık.

Senaryo 3: Kurumsal IT’de Staging Ortamlarının Temizlenmemesi

Kurumsal bir yapıda hem web ekibi hem de yazılım ekibi, sık sık yeni staging ortamları açar: v2-staging.ornek.com, pilot.ornek.com gibi. Proje kapanırken sunucu silinir, ama DNS kayıtlarını temizlemek için net bir süreç yoktur. Yıllar içinde onlarca unutulmuş alt alan adı oluşur. Bu liste, saldırganlar için adeta bir hediye paketi haline gelir.

Riskleri Azaltmak İçin Teknik ve Operasyonel Stratejiler

Subdomain takeover tamamen önlenebilir bir risktir, ancak bunun için hem teknik önlemler hem de süreç tarafında disiplin gerekir.

1. DNS Envanteri ve Etiketleme

• Tüm alan adlarınız ve subdomain’leriniz için merkezi bir DNS envanteri tutun.
• Her kayıt için “sorumlu ekip”, “amaç”, “oluşturulma tarihi” ve “planlanan yaşam süresi” gibi alanlar belirleyin.
• Staging / test ortamlarını isimlendirme standardı ile ayırın (örneğin *.stg.ornek.com gibi).

2. Yaşam Döngüsü (Lifecycle) ve Otomatik Temizlik

• Geçici projeler için DNS kaydı açarken, bizzat kayda bir son kullanma tarihi not edin.
• CI/CD veya altyapı otomasyonu kullanıyorsanız (Terraform, Ansible vb.), DNS kayıtlarının da bu otomasyonun bir parçası olmasını sağlayın.
• Sunucu veya SaaS hesabı kapatılırken, aynı iş emri içinde DNS kaydının silinmesini zorunlu hale getirin.

3. Düzenli Tarama: Boşta Kalan Kayıt Avı

Belirli periyotlarda tüm subdomain’lerinizi tarayıp, aşağıdaki durumları işaretleyecek bir süreç kurun:

• Hedef IP’ye erişilemiyor (timeout / connection refused),
• Hedef servis “kaynak bulunamadı” benzeri hata dönüyor,
• Üçüncü parti hizmet, kaynağın silindiğine dair standart bir hata sayfası gösteriyor,
• Beklediğiniz SSL sertifikası veya HTTP başlıkları yerine farklı bir yapı görünüyor.

Cloudflare veya cPanel DNS kullanan projeler için, subdomain takeover taramasını pratik şekilde nasıl yapabileceğinizi Cloudflare ve cPanel için uygulamalı subdomain takeover tarama rehberimizde adım adım anlattık. Bu yazıyı onun üzerine stratejik bir katman olarak düşünebilirsiniz.

4. TTL Stratejisi ve Hızlı Müdahale

DNS kayıtlarının TTL değerleri, kriz anında ne kadar hızlı aksiyon alabileceğinizi belirler.

• Geçici kampanya ve test subdomain’lerinde TTL’i makul derecede düşük tutarak, yanlış bir durumda hızlıca etkisizleştirme imkânı kazanın.
• Kalıcı prod kayıtlarında ise TTL daha yüksek olabilir, ancak takeover riski olan CNAME/A kayıtlarını periyodik olarak gözden geçirmeyi unutmayın.

TTL ayarları konusunda daha detaylı strateji için DNS TTL değerlerini doğru ayarlama rehberimize göz atabilirsiniz.

5. Erişim Yetkileri ve İş Akışları

• DNS paneline erişimi, gerçekten ihtiyacı olan kişilerle sınırlandırın.
• Ajans veya dış tedarikçi çalıştırıyorsanız, kimin neyi hangi alan adı üzerinde değiştirebileceği net olsun.
• Değişiklikler için onay mekanizması ve log tutulması (kim, ne zaman, hangi kaydı ekledi/sildi) kritik önemdedir.

Bu alanda iyi tasarlanmış bir yetki modeli kurmak için ajanslar için DNS ve alan adı erişimi yönetimi rehberimiz size pratik bir çerçeve sunar.

6. Alan Adı Güvenliğini Tamamlayıcı Önlemler

Subdomain takeover doğrudan DNS kayıtları üzerinden gerçekleşse de, genel alan adı güvenliği mimarinizin güçlü olması saldırı yüzeyini daraltır:

• Registrar lock ve transfer kilidi kullanın.
• Mümkünse DNSSEC etkinleştirin.
• Alan adı ve DNS hesabı girişlerinde mutlaka 2FA kullanın.

Bu başlıkların tümünü, alan adınızı uçtan uca korumak için alan adı güvenliği rehberimizde detaylı şekilde ele aldık.

DCHost Tarafında Nasıl Yaklaşıyoruz?

DCHost olarak alan adı, DNS, hosting, VPS, dedicated sunucu ve colocation hizmetlerimizi sunarken, subdomain takeover ve boşta kalan DNS kayıtlarını sadece “güvenlik ekibinin meselesi” değil, aynı zamanda altyapı tasarımı ve operasyonel süreç meselesi olarak ele alıyoruz.

• Yeni bir domain veya DNS zonu açılırken, müşterilerimize subdomain planlaması ve isimlendirme konusunda danışmanlık veriyoruz.
• VPS veya dedicated sunucu taşıma / IP değişikliği süreçlerinde, eski kayıtların temizlenmesi için kontrol listeleri kullanıyoruz.
• Ajans ve çoklu domain yöneten müşterilerimize, DNS erişim yetkilerini bölerek takeover riskini azaltan yapı öneriyoruz.
• Talep eden müşteriler için DNS zon analizi yaparak, olası boşta kalan kayıtları raporlayıp temizliyoruz.

Özellikle çok sayıda alt alan adına sahip kurumsal yapılar ve ajanslar için, alan adı portföyü ve DNS mimarisinin ilk günden itibaren doğru kurulması, ileride oluşabilecek takeover risklerini ciddi şekilde azaltıyor.

Adım Adım Kontrol Listesi: Subdomain Takeover Riskini Hızlıca Tarayın

Kendi alan adlarınız için hemen bugün uygulayabileceğiniz pratik bir kontrol listesi:

1. Tüm alan adlarınızı ve subdomain’lerinizi listeleyin (DNS panelinden export alabilirsiniz).
2. CNAME ve A/AAAA kayıtlarını ayrı bir listeye çıkartın.
3. Bu kayıtların işaret ettiği IP veya host’lara tek tek HTTP/HTTPS isteği atarak:
• Hata sayfası mı dönüyor?
• Kaynak bulunamadı / hesap yok uyarısı mı var?
• Beklediğiniz içerik ve SSL sertifikasıyla mı karşılaşıyorsunuz?
4. Üçüncü parti SaaS hizmetleri için, ilgili hesapların gerçekten aktif olup olmadığını kontrol edin.
5. Staging / test / kampanya subdomain’lerini gözden geçirip ihtiyaç olmayanları tamamen silin.
6. Son olarak, bu süreci bir defaya mahsus değil, periyodik (örneğin 3 ayda bir) yapılacak bir güvenlik rutini haline getirin.

Bu manuel kontrolü yaptıktan sonra, daha otomatik ve kapsamlı bir yaklaşım için Cloudflare ve cPanel için hazırladığımız uygulamalı subdomain takeover rehberini de süreçlerinize entegre edebilirsiniz.

Sonuç: Alan Adınızı Korumak, Trafiğinizi ve Markanızı Korumaktır

Subdomain takeover ve boşta kalan DNS kayıtları, ilk bakışta “ufak bir konfigürasyon hatası” gibi görünse de, sonuçları itibarıyla doğrudan marka itibarınızı, müşteri güvenini ve SEO performansınızı etkileyen kritik bir güvenlik başlığıdır. İyi haber şu ki, doğru DNS mimarisi, düzenli envanter yönetimi ve net iş süreçleriyle bu riski büyük ölçüde sıfıra indirebilirsiniz.

Elinizde çok sayıda alan adı, onlarca subdomain veya ajans/müşteri yapısı varsa, nereden başlayacağınızı düşünmek bile yorucu olabilir. Böyle durumlarda DCHost ekibi olarak; domain ve DNS envanterinizi birlikte gözden geçirip, takeover risklerini tespit eden, temizlik ve yeniden tasarım içeren net bir aksiyon planı çıkarabiliyoruz. Yeni bir proje, hosting geçişi veya kampanya dönemine girmeden önce, alan adı ve DNS mimarinizi masaya yatırmak için doğru zaman tam da şimdi.

Eğer siz de DNS tarafında gri alanlar olduğundan şüpheleniyorsanız, altyapınız DCHost’ta olsun olmasın, teknik ekibiniz veya ajansınızla bu yazıdaki kontrol listesini paylaşın; DCHost üzerinde çalışan domain ve sunucularınız için ise destek ekibimize ulaşıp birlikte detaylı bir DNS güvenlik taraması planlayabilirsiniz.