تنظيف الموقع وصيانته

للحفاظ على أمان موقعك الإلكتروني ومنع عمليات الاختراق المستقبلية، ستحتاج إلى ما يلي:

  • إمكانية وصول مشرف واجهة أوامر النظامية أو الوحدة الطرفية إلى خوادم موقعك: الويب، قاعدة البيانات، الملفات
  • معرفة بأوامر واجهة المستخدم أو الوحدة الطرفية
  • استيعاب الشفرة (مثل PHP أو جافا سكريبت)
  • مساحة تخزين لإنشاء نسخ احتياطية من موقعك، بما في ذلك الملفات وقاعدة البيانات والصور

الإجراءات التالية

سنتناول عدة إجراءات في هذه الخطوة:

  • أين يمكنني العثور على موارد إضافية إذا كنت تعتقد أن المتطفل يريد الحصول على حسابات المستخدمين المعلومات الشخصية (كما هو الحال في صفحات التصيّد الاحتيالي).
  • خيار استخدام إزالة عناوين URL في Search Console لتسريع عملية إزالة المواقع الإلكترونية الجديدة وغير المرغوب فيها عناوين URL المرئية للمستخدم والتي أنشأها المخترق ولا تريدها أن تظهر في نتائج "بحث Google"
  • يتيح لك خيار الطلب من Google إعادة الزحف إلى عناوين URL في Search Console لتسريع عملية معالجة Google للصفحات النظيفة -- بمعنى تلك التي تكون إما جديدة أو مُحدثة حديثًا، والتي تريد تظهر في نتائج بحث Google.
  • تثبيت أحدث إصدار من البرامج وأكثره أمانًا.
  • إزالة التطبيقات أو المكوّنات الإضافية غير الضرورية أو غير المستخدمة التي قد تتسبب في أن موقعك سيكون أكثر عرضة للاختراق في المستقبل.
  • استعادة المحتوى الجيد وإزالة المحتوى الذي وضعه المخترق
  • إصلاح ثغرة السبب الجذري التي استغلها المخترق.
  • تغيير جميع كلمات المرور
  • التخطيط للحفاظ على أمان موقعك الإلكتروني

1. البحث عن موارد الدعم

إذا تم الحصول على معلومات سرية عن المستخدم من موقعك (على سبيل المثال، لأنها كانت جزءًا من هجوم تصيّد احتيالي)، فقد تريد التفكير في أي والمسئوليات التجارية أو التنظيمية أو القانونية قبل البدء في التنظيف موقعك أو حذف أي ملفات. في حالات التصيّد الاحتيالي، يتضمن antiphishing.org موارد مفيدة مثل المستند ما الذي يجب فعله إذا تم اختراق موقعك الإلكتروني المتصيّدين الاحتياليين

2. محاولة تسريع إزالة عناوين URL الجديدة التي أنشأها الهاكر

فإذا أنشأ المخترق عناوين URL جديدة تمامًا ومرئية للمستخدم، فيمكن أن تجعل هذه العناوين التي تتم إزالتها بسرعة أكبر من نتائج بحث Google باستخدام إزالة عناوين URL الميزة في Search Console. هذه الخطوة اختيارية. إذا حذفت الصفحات فقط ثم ضبط الخادم لعرض حالة 404 الرمز، سيتم إسقاط الصفحات من فهرس Google بشكل طبيعي بمرور الوقت.

  • ويعتمد قرار استخدام "إزالة عناوين URL" على عدد المستخدمين إنشاء صفحات غير مرغوب فيها (قد يكون من الصعب تضمين عدد كبير جدًا من الصفحات في وعليك إزالة عناوين URL) إلى جانب الضرر المحتمل الذي قد تسببه هذه الصفحات للمستخدمين. لمنع ظهور الصفحات التي يتم إرسالها من خلال "إزالة عناوين URL" مطلقًا في نتائج البحث، فتأكد من تهيئة الصفحات أيضًا لعرض خطأ 404 استجابة "لم يتم العثور على الملف" لعناوين URL غير المرغوب فيها والتي تمت إزالتها
  • لا تستخدم هذه الأداة لطلب إزالة أي صفحات كانت جيدة من قبل متضرّرة فقط من قِبل المخترق. سترغب في ظهور هذه الصفحات في نتائج البحث بعد أن يتم تنظيفها. يمكن إزالة عناوين URL فقط للصفحات التي لا تريدها أن تظهر أبدًا في النتائج

3- محاولة تسريع معالجة Google للصفحات النظيفة

إذا كانت لديك صفحات نظيفة جديدة أو محدثة، يمكنك الطلب من Google إعادة الزحف إلى عناوين URL في Search Console لإرسال هذه الصفحات إلى فهرس Google. هذا هو اختيارية إذا تخطيت هذه الخطوة، فمن المرجح أن تكون صفحاتك الجديدة أو المعدلة الزحف إليها ومعالجتها مع مرور الوقت.

4. بدء تنظيف الخادم (الخوادم)

حان الوقت الآن لبدء تنظيف موقعك بناءً على الملاحظات التي قمت بتدوينها أثناء عملية تقييم الضرر تحديد الثغرة الأمنية: تشير رسالة الأشكال البيانية يعتمد المسار الذي ستتخذه في هذه الخطوة على نوع النسخة الاحتياطية المتاحة لك:

  • نسخة احتياطية نظيفة وحديثة
  • نسخة احتياطية نظيفة ولكنها قديمة
  • عدم توفر نسخة احتياطية

أولاً، تحقّق من أنه تم إنشاء النسخة الاحتياطية قبل تعرض موقعك الإلكتروني للاختراق.

نسخة احتياطية نظيفة وحديثة

  1. نفِّذ استرداد النسخة الاحتياطية.
  2. ثبِّت أية ترقيات برامج أو تحديثات أو تصحيحات متوفرة. وتشمل هذه المعلومات ما يلي: برنامج لنظام التشغيل إذا كنت تتحكم في الخادم وفي جميع التطبيقات، مثل نظام إدارة المحتوى أو منصة التجارة الإلكترونية أو المكوّنات الإضافية أو النماذج.
  3. فكّر في إزالة البرامج التي لم يعد الموقع يستخدمها من خادمك (مثل التطبيقات المصغّرة أو المكوّنات الإضافية أو التطبيقات) .
  4. صحح الثغرة الأمنية.
  5. تأكَّد من جميع المشاكل التي تم العثور عليها أثناء عملية تقييم الضرر. معينة.
  6. يجب تغيير كلمات المرور مرة أخرى لجميع الحسابات المرتبطة بالموقع (على سبيل المثال، معلومات تسجيل الدخول إلى بروتوكول نقل الملفات، والوصول إلى قاعدة البيانات، ومسؤولي النظام، حسابات نظام إدارة المحتوى). وفي الأنظمة التي تعمل بـ Unix:
passwd admin1

نسخة احتياطية نظيفة ولكنها قديمة

  1. أنشِئ نسخة على قرص من موقعك الإلكتروني الحالي بالرغم من أنه لا يزال مصابًا. فهذه الصورة مجرد احتياط أمني. وضع علامة على النسخة كمصابة لتمييزها عن الآخرين. وبالنسبة إلى النظام الذي يعمل بـ Unix، يمكن أن يكون الاحتفاظ بنسخة على قرص كالتالي:
dd if=/dev/sda bs=1024 conv=noerror,sync | gzip -c -9 \
> /mirror/full-backup-20120125-infected.gz
  1. إنشاء نسخة نظام ملفات احتياطية من الخادم، بما في ذلك الصور والوسائط الملفات. وإذا كانت لديك قاعدة بيانات، فاحتفظ بنسخة احتياطية من قاعدة البيانات أيضًا.
tar -pczf full-backup-20120125-infected.tar.gz www/
mysqldump -u root -p --all-databases | gzip -9 \
> fulldb_backup-20120125-infected.sql
  1. استرد النسخة الاحتياطية النظيفة ولكنها قديمة على الخادم.
  2. فكّر في ما إذا كان بإمكانك التخلص من البرامج على الخادم (مثل الأدوات، أو المكونات الإضافية أو التطبيقات) التي لم يعد الموقع يستخدمها.
  3. ترقية جميع البرامج، بما فيها نظام التشغيل إذا كنت تتحكم في الخادم، وجميع تطبيقات البرامج، مثل نظام إدارة المحتوى منصّة التجارة الإلكترونية والمكوّنات الإضافية والنماذج. تأكد من التحقق من تثبيت تحديثات الأمان والتصحيحات المتوفرة.
  4. صحح الثغرة الأمنية.
  5. تنفيذ diff على الموقع الإلكتروني إما يدويًا أو بطريقة آلية -- بين النسخة الاحتياطية النظيفة والنسخة الحديثة المصابة.
diff -qr www/ backups/full-backup-20120124/
  1. حمّل أي محتوى جديد وواضح تريد الاحتفاظ به من النسخة المصابة بالفيروسات على الخادم الذي تمت ترقيته.
rsync -avz /backups/full-backup-20120124/www/clean-file.jpg /www/
  1. تحقق من أن كل عنوان URL مدرج من صفحة تقييم الضرر تم تصحيحه.
  2. يجب تغيير كلمات المرور مرة أخرى لجميع الحسابات المرتبطة بالموقع (على سبيل المثال، عمليات تسجيل الدخول للوصول عبر FTP، والوصول إلى قاعدة البيانات، ونظام ومشرفي النظام وحسابات نظام إدارة المحتوى). وفي الأنظمة التي تعمل بـ Unix:
$passwd admin1

عدم توفر نسخة احتياطية

احتفظ بنسختين احتياطيتين من موقعك على الرغم من أنه لا يزال مصابًا. إن وجود في استرداد المحتوى المحذوف عن طريق الخطأ، أو يتيح لك الرجوع ومحاولة ومرة أخرى إذا ساءت الأمور. صنِّف كل نسخة احتياطية باستخدام العلامة "مصابة" للرجوع إليها في المستقبل.

ستتم الاستعانة بإحدى النسختين باعتبارها صورة على القرص أو "نسخة مستنسخة" من الموقع. هذا النمط استعادة المحتوى بسهولة أكبر. يمكنك ترك نسخة القرص جانبًا لحالة طوارئ. على نظام يعمل بـ Unix، استخدم الرمز التالي لإنشاء قرص الصورة:

dd if=/dev/sda bs=1024 conv=noerror,sync | gzip -c -9 \
> /mirror/full-backup-20120125-infected.gz

ستكون النسخة الاحتياطية الأخرى نسخة نظام ملفات من الخادم تتضمن الصور وملفات الوسائط. وإذا كانت لديك قاعدة بيانات، فاحتفظ بنسخة احتياطية من قاعدة البيانات أيضًا.

tar -pczf full-backup-20120125-infected.tar.gz www/
mysqldump -u root -p --all-databases | gzip -9 \
> fulldb_backup-20120125-infected.sql

إذا لم تكن لديك نسخة على القرص، فقم بعمل نسختين احتياطيتين من قاعدة البيانات ونسختين احتياطيتين من نظام الملفات.

لتنظيف محتوى الموقع على نسخة نظام الملفات الاحتياطية الجديدة (وليس على الخادم نفسه)، عليك إجراء ما يلي:

  1. إذا أظهر التحقيق السابق أذونات ملفات تتضمن قدرًا كبيرًا من التساهل، يُرجى المتابعة. وتصحيحها. تأكَّد من تنفيذ هذا الإجراء على النسخة الاحتياطية وليس على الخادم. نفسها.
  2. على النسخة الاحتياطية أيضًا، نظِّف جميع الملفات المقابلة لعناوين URL التي تم اكتشافها كما هو موضح في تقييم الضرر. هذه ملفات تهيئة الخادم أو جافا سكريبت أو HTML أو PHP.
  3. تأكد أيضًا من إزالة (عرض استجابة 404) للملفات الجديدة التي تم إنشاؤها بواسطة المخترق، والذي ربما أرسلتَه أو لم ترسله باستخدام أداة إزالة عناوين URL في Search Console.
  4. صحح الثغرة الأمنية إذا كانت موجودة في الشفرة أو كلمات المرور المخترقة. وقد تساعدك مكتبات التحقق أو سجلات الأمان في التنفيذ.
  5. إذا كان موقعك الإلكتروني يتضمّن قاعدة بيانات، ابدأ في تنظيف السجلات التي عدّلها المخترق في نسختك الاحتياطية. وقبل أن تعتقد أنك انتهيت، تحقق من المزيد من للتأكد من أن قاعدة البيانات تبدو نظيفة.
  6. عليك تغيير كلمات المرور مرة أخرى لجميع الحسابات ذات الصلة بالموقع (إذا كان مثل، معلومات تسجيل الدخول إلى بروتوكول نقل الملفات للوصول إلى بروتوكول نقل الملفات والوصول إلى قاعدة البيانات ومسؤولي النظام حسابات نظام إدارة المحتوى). في الأنظمة التي تعمل بـ Unix، استخدم الرمز التالي:
$passwd admin1

وفي هذه المرحلة، يجب أن تحتوي النسخة الاحتياطية التي سبق أن كانت مصابة بموقعك الإلكتروني على وتنظيفها. احتفظ بهذه النسخة النظيفة جانبًا، ثم انتقل إلى الإجراء الخامس.

5- إزالة البرامج غير الضرورية

فكّر في ما إذا كان بإمكانك إزالة برامج على خادمك، مثل الأدوات أو المكونات الإضافية أو التطبيقات التي لم يعد الموقع يستخدمها. وقد يؤدي ذلك إلى زيادة الأمان وتبسيط الصيانة المستقبلية.

6- تنظيف جميع الخوادم

  1. نفِّذ تثبيتًا نظيفًا، وليس مجرد ترقية. الترقيات يمكن أن تترك الملفات من إصدار سابق. وإذا ظل هناك ملف مصاب بالفيروسات على الخادم، فسيترك موقعك يزيد احتمال تعرضك للاختراق مرة أخرى.
    • يجب أن يتضمن التثبيت الجديد نظام التشغيل إذا كنت تتحكم في والخادم وجميع التطبيقات البرمجية، مثل محتوى ومنصة التجارة الإلكترونية والمكوّنات الإضافية والقوالب. التأكد من للتحقق من تحديثات الأمان والتصحيحات المتوفرة.
  2. انقل المحتوى الجيد من نسخة نظام الملفات الاحتياطية النظيفة إلى الخادم(الخوادم) التي تم تثبيتها حديثًا. تحميل واستعادة البيانات النظيفة المعروفة فقط ملف أو قاعدة بيانات. تأكد من الحفاظ على أذونات الملفات المناسبة عدم استبدال ملفات النظام المثبتة حديثًا.
  3. أجرِ عملية تغيير أخيرة لكلمات المرور لجميع الحسابات ذات الصلة بـ (على سبيل المثال، معلومات تسجيل الدخول للدخول إلى بروتوكول نقل الملفات (FTP)، والوصول إلى قاعدة البيانات، ومشرفي النظام، وحسابات نظام إدارة المحتوى). في الأنظمة التي تعمل بـ Unix، استخدم الرمز التالي:
passwd admin1

7. إعداد خطة صيانة طويلة المدى

ننصحك بشدة بإجراء ما يلي:

  • احتفظ بنسخ احتياطية تلقائية ودورية من موقعك.
  • توخ الحذر باستمرار بشأن تحديثات البرامج.
  • فهم ممارسات الأمان لجميع التطبيقات والمكونات الإضافية وغيرها أو برنامج خارجي قبل تثبيتها على الخادم. ورقة مالية ثغرة أمنية في تطبيق برمجي واحد على أمان بأكمله.
  • افرض على المستخدمين سياسة لإنشاء كلمات مرور قوية.
  • الحفاظ على أمان جميع الأجهزة المستخدمة لتسجيل الدخول إلى الجهاز (تحديث قيد التشغيل) النظام والمتصفح).

8. التحقق جيدًا من اكتمال عملية التنظيف

تأكد من أنه يمكنك الإجابة بـ "نعم" على الأسئلة التالية:

  • هل اتخذت الخطوات المناسبة إذا كان المخترق قد حصل على عمليات شخصية المعلومات؟
  • هل يعمل موقعي بأحدث نسخة من البرامج وأكثرها أمانًا؟
  • هل أزلت جميع التطبيقات أو المكوّنات الإضافية غير الضرورية أو غير المستخدمة التي يمكن لجعل موقعي أكثر عرضة للاختراق في المستقبل؟
  • هل استرددت المحتوى وأزلت محتوى المخترق؟
  • هل أصلحت نقطة الضعف التي تمثل السبب الرئيسي الذي سمح بالاستيلاء على موقعي؟
  • هل لدي خطة للحفاظ على أمان موقعي؟

يمكنك الآن إعادة موقعك الإلكتروني على الإنترنت.