إصلاح عمليات الاختراق باستخدام الكلمات الرئيسية والروابط التي تم إخفاء هويتها

تم إنشاء هذا الدليل خصيصًا لنوع التوجيه الذي يضيف إلى موقعك الإلكتروني صفحات هراء مليئة بالكلمات الرئيسية، وهو ما نشير إليه باختراق الروابط والكلمات الرئيسية المخفية الهوية. تمّ تصميم هذا الدليل لمستخدمي أنظمة إدارة المحتوى (CMS) الشائعة، ولكن سيكون هذا الدليل مفيدًا حتى لو لم تكن تستخدم هذه الأنظمة.

نريد التأكد من أنّ هذا الدليل مفيد لك. اترك ملاحظاتك لمساعدتنا على تحسين الخدمة.

حدد هذا النوع من الاختراق

يؤدي الاختراق باستخدام الروابط والكلمات الرئيسية التي تم إخفاء هويتها إلى الإنشاء التلقائي لعدة صفحات تحتوي على نصوص وروابط وصور لا معنى لها. وتحتوي هذه الصفحات أحيانًا على عناصر النموذج الأساسي من الموقع الأصلي، لذا قد تبدو للوهلة الأولى أجزاءً عادية من موقعك الإلكتروني إلى أن تبدأ بقراءة المحتوى.

ويتم إنشاء الصفحات التي تم الاستيلاء عليها للتلاعب بعوامل ترتيب Google. غالبًا ما يحاول المخترقون تحقيق ربح من هذا المحتوى من خلال بيع الروابط الموجودة على هذه الصفحات لجهات خارجية مختلفة. وغالبًا ما تعيد الصفحات التي تم الاستيلاء عليها توجيه الزائرين إلى صفحة غير ذات صلة حيث يمكن للمخترقين جني الأموال.

ابدأ بمراجعة أداة مشاكل الأمان في Search Console لمعرفة ما إذا كان محرّك بحث Google قد اكتشف أيًا من هذه الصفحات التي تم اختراقها على موقعك الإلكتروني. وأحيانًا يمكنك اكتشاف صفحات مثل هذه من خلال فتح نافذة بحث Google وكتابة site:_your site url_، باستخدام عنوان URL لمستوى الجذر لموقعك. وهو ما يُظهر لك الصفحات التي فهرسها محرك بحث Google لموقعك، بما في ذلك الصفحات التي تم الاستيلاء عليها. تصفح بضع صفحات من نتائج البحث لترى إذا ما اكتشفت أي عناوين URL غير معتادة. وإذا لم يظهر لك أي محتوى تم اختراقه في بحث Google، فاستخدم عبارات البحث نفسها مع محرك بحث مختلف. فيما يلي مثال على ما سيبدو عليه:

هي نتائج البحث التي تم إنشاؤها من خلال هذا الاختراق.
تظهر الصفحات التي تم اختراقها في نتائج البحث على Google.

عند النقر عادةً على رابط يؤدي إلى صفحة مخترَقة، ستتم إعادة توجيهك إلى موقع إلكتروني آخر أو ستظهر لك صفحة مليئة بالمحتوى غير المفهوم. ومع ذلك، قد تظهر أيضًا رسالة تشير إلى أن الصفحة غير موجودة (على سبيل المثال، الخطأ 404). لا تنخدع! سيحاول المخترقون خداعك لتعتقد أن الصفحة قد اختفت أو تم إصلاحها إذا كانت لا تزال في حالة اختراق. ويتم ذلك من خلال إخفاء هوية المحتوى. ويمكنك التحقق من إخفاء الهوية من خلال إدخال عناوين URL لموقعك الإلكتروني في أداة فحص عنوان URL. تتيح لك أداة "الجلب مثل Google" رؤية المحتوى الأساسي المخفي.

إذا رأيت هذه المشاكل، يكون موقعك الإلكتروني على الأرجح قد تأثّر بهذا النوع من عمليات الاختراق.

مثال على صفحة تم إنشاؤها من خلال هذا الاختراق.
مثال على صفحة تم إنشاؤها من خلال عملية الاختراق هذه.

إصلاح الاختراق

قبل البدء، أنشئ نسخة بلا اتصال بالإنترنت لأي ملفات قبل إزالتها، في حال احتجت إلى استعادتها لاحقًا. والأفضل من ذلك، أن تحتفظ بنسخة احتياطية من موقعك بالكامل قبل بدء عملية التنظيف. ويمكنك إجراء ذلك من خلال حفظ جميع الملفات الموجودة على خادمك في مكان آخر خارج الخادم أو البحث عن أفضل خيارات النسخ الاحتياطي المناسبة لنظام إدارة المحتوى (CMS) الذي تستخدمه. إذا كنت تستخدم نظام إدارة محتوى، احتفظ أيضًا بنسخة احتياطية من قاعدة البيانات.

التحقّق من ملف ".htaccess" (3 خطوات)

تستخدم الكلمات الرئيسية والروابط التي تم إخفاء هويتها ملف .htaccess لإنشاء صفحات مخفية الهوية على موقعك الإلكتروني تلقائيًا. ويمكنك التعرّف على أساسيات .htaccess على موقع Apache الرسمي على الويب في فهم كيفية تأثير هذا الاختراق على موقعك الإلكتروني بشكل أفضل، إلا أنّ هذا الإجراء ليس إلزاميًا.

الخطوة 1

ابحث عن ملف .htaccess على موقعك الإلكتروني. وإذا لم تكن متأكدًا أين يمكنك العثور عليه وكنت تستخدم نظام إدارة محتوى (CMS) مثل WordPress أو Joomla أو Drupal، فابحث عن "موقع ملف htaccess" في محرك البحث جنبًا إلى جنب مع اسم نظام إدارة المحتوى الذي تستخدمه. وحسب موقعك الإلكتروني، قد تظهر لك ملفات .htaccess متعددة. إنشاء قائمة بجميع مواقع الملفات البالغ عددها .htaccess.

الخطوة 2

افتح ملف .htaccess للاطّلاع على محتوى الملف. ابحث عن سطر من التعليمات البرمجية يبدو شيئًا مثل ما يلي:

RewriteRule (.*cj2fa.*|^tobeornottobe$) /injected_file.php?q=$1 [L]

يمكن أن تختلف المتغيرات المذكورة في هذا السطر، ويمكن أن يتكوّن كل من cj2fa وtobeornottobe من أي مزيج من الأحرف أو الكلمات. المهم هو تحديد .php المُشار إليها في هذا السطر.

اكتب ملف .php المذكور في ملف .htaccess. في المثال، تتم تسمية ملف .php باسم injected_file.php، لكن في الواقع لن يكون اسم الملف واضحًا. وتكون هذه اللغة عادةً مجموعة عشوائية من الكلمات غير الملائمة، مثل horsekeys.php أو potatolake.php. من المرجَّح أن يكون هذا ملف .php ضارًا، ونحتاج إلى تتبُّعه وإزالته لاحقًا.

الخطوة 3

استبدل جميع ملفات .htaccess بنسخة نظيفة أو تلقائية من ملف .htaccess. يمكنك عادةً العثور على نسخة تلقائية من ملف .htaccess من خلال البحث عن "ملف .htaccess التلقائي" واسم نظام إدارة المحتوى الذي تستخدمه. بالنسبة إلى المواقع الإلكترونية التي تحتوي على عدة ملفات .htaccess، ابحث عن نسخة نظيفة من كل ملف وأجرِ الاستبدال.

في حال عدم توفّر .htaccess تلقائي ولم تضبط ملف .htaccess على موقعك الإلكتروني من قبل، من المحتمل أن يكون ملف .htaccess الذي تعثر عليه على موقعك الإلكتروني ضارًا. احفظ نسخة من .htaccess ملف بلا اتصال بالإنترنت تحسّبًا للاحتمالية، واحتفِظ بها من موقعك الإلكتروني.

البحث عن الملفات الضارة الأخرى وإزالتها (5 خطوات)

قد يكون تحديد الملفات الضارة أمرًا صعبًا ويستغرق وقتًا طويلاً. خذ وقتك عند التحقق من ملفاتك. هذا هو الوقت المناسب للاحتفاظ بنسخة احتياطية من الملفات على موقعك إذا لم تكن قد فعلت ذلك بعد. ابحث في Google عن "الاحتفاظ بنسخة احتياطية من الموقع الإلكتروني" واسم نظام إدارة المحتوى (CMS) للحصول على تعليمات حول كيفية الاحتفاظ بنسخة احتياطية من موقعك الإلكتروني.

الخطوة 1

إذا كنت تستخدم نظام إدارة المحتوى، فأعد تثبيت جميع الملفات الأساسية (الافتراضية) التي ترِد في التوزيع التلقائي لنظام إدارة المحتوى، بالإضافة إلى أي ملفات قد أضفتها (مثل المظاهر والوحدات والمكوّنات الإضافية). يساعد ذلك في ضمان خلو هذه الملفات من المحتوى الذي تم اختراقه. يمكنك إجراء بحث على Google عن "إعادة التثبيت" واسم نظام إدارة المحتوى للحصول على تعليمات إعادة التثبيت. وإذا كان لديك أي مكونات إضافية أو وحدات أو إضافات أو مظاهر، فتأكد من إعادة تثبيتها أيضًا.

الخطوة 2

ابدأ بالبحث عن ملف .php الذي حدّدته في ملف .htaccess سابقًا. وحسب كيفية وصولك إلى الملفات على الخادم، ينبغي أن يكون لديك نوع من وظائف البحث. ابحث عن اسم الملف الضار. إذا عثرت عليه، فاحتفظ بنسخة احتياطية منه وخزنه في موقع آخر في حال احتجت إلى استعادته، ثم احذفه من موقعك.

الخطوة 3

ابحث عن أي ملفات ضارة أو مخترَقة متبقية. ربما تكون قد أزلت جميع الملفات الضارة في الخطوتين السابقتين، إلا أنه من الأفضل إجراء هذه الخطوات القليلة التالية في حال وجود المزيد من الملفات المخترقة على موقعك.

لا تشغل بالك بفكرة أنك بحاجة إلى فتح كل ملف PHP والنظر فيه. ابدأ بإنشاء قائمة بملفات PHP المريبة التي تريد التحقق منها. وإليك بعض الطرق لتحديد ملفات PHP المريبة:

  • إذا أعدت تحميل ملفات نظام إدارة المحتوى بالفعل، فراجع الملفات التي لا تشكّل جزءًا من ملفات أو مجلدات نظام إدارة المحتوى الافتراضية فقط. ومن المفترض أن يستبعد هذا الكثير من ملفات PHP ويترك لك مجموعة من الملفات التي يجب الاطلاع عليها.
  • افرز الملفات على موقعك بحسب تاريخ آخر تعديل، ابحث عن الملفات التي تم تعديلها خلال بضعة أشهر من اكتشافك الأول لاختراق موقعك.
  • افرز الملفات على موقعك بحسب الحجم، وانظر في الملفات الكبيرة بشكل غير عادي.

الخطوة 4

بعد أن أصبح لديك قائمة بملفات PHP المشبوهة، تحقق منها لتعرف ما إذا كانت ضارة. إذا كنت غير ملم بلغة PHP، فستستغرق هذه العملية المزيد من الوقت لذا ننصحك بمراجعة بعض وثائق PHP. وإذا كنت جديدًا تمامًا في مجال الترميز، ننصحك بالحصول على المساعدة. في غضون ذلك، هناك بعض الأنماط الأساسية التي يمكنك البحث عنها لتحديد الملفات الضارة.

إذا كنت تستخدم نظام إدارة المحتوى (CMS) ولم تكن معتادًا على تعديل هذه الملفات مباشرةً، فقارن الملفات على خادمك بقائمة الملفات الافتراضية المتوفرة في حزمة مع نظام إدارة المحتوى (CMS) وأي مكونات إضافية ومظاهر. ابحث عن الملفات التي لا تنتمي، بالإضافة إلى الملفات الأكبر من الإصدار الافتراضي لها.

أولاً، افحص الملفات المشبوهة التي حددتها من قبل للبحث عن كتل نصية كبيرة بها مجموعة من الأحرف والأرقام التي تبدو مختلطة. عادةً ما تكون مجموعة النص الكبيرة مسبوقة بمزيج من دوال PHP مثل base64_decode أو rot13 أو eval أو strrev أو gzinflate. في ما يلي مثال على الشكل الذي قد تبدو عليه مجموعة الرموز هذه. في بعض الأحيان يتم حشو كل هذه التعليمات البرمجية في سطر واحد طويل من النص، مما يجعلها تبدو أصغر مما هي عليه في الواقع.

// Hackers try to confuse webmasters by encoding malicious code into
// blocks of text. Be wary of unfamiliar code blocks like this.

base64_decode(strrev("hMXZpRXaslmYhJXZuxWd2BSZ0l2cgknbhByZul2czVmckRWYgknYgM3ajFGd0FGIlJXd0Vn
ZgknbhBSbvJnZgUGdpNHIyV3b5BSZyV3YlNHIvRHI0V2Zy9mZgQ3Ju9GRg4SZ0l2cgIXdvlHI4lmZg4WYjBSdvlHIsU2c
hVmcnBydvJGblBiZvBCdpJGIhBCZuFGIl1Wa0BCa0l2dgQXdCBiLkJXYoBSZiBibhNGIlR2bjBycphGdgcmbpRXYjNXdmJ2b
lRGI5xWZ0Fmb1RncvZmbVBiLn5WauVGcwFGagM3J0FGa3BCZuFGdzJXZk5Wdg8GdgU3b5BicvZGI0xWdjlmZmlGZgQXagU2ah
1GIvRHIzlGa0BSZrlGbgUGZvNGIlRWaoByb0BSZrlGbgMnclt2YhhEIuUGZvNGIlxmYhRWYlJnb1BychByZulGZhJXZ1F3ch
1GIlR2bjBCZlRXYjNXdmJ2bgMXdvl2YpxWYtBiZvBSZjVWawBSYgMXagMXaoRFIskGS"));

في بعض الأحيان لا تكون الرمز مختلطًا ويبدو تمامًا مثل النص البرمجي العادي. إذا لم تكن متأكدًا مما إذا كان الرمز سيئًا أم لا، انتقِل إلى منتديات مساعدة مشرفي المواقع التي تضم مجموعة من مشرفي المواقع ذوي الخبرة لمساعدتك في فحص الملفات.

الخطوة 5

الآن وبعد أن عرفت الملفات المريبة، أنشئ نسخة احتياطية أو نسخة محلية عن طريق حفظها على جهاز الكمبيوتر، في حال لم تكن أي من الملفات ضارة، واحذف الملفات المشبوهة من موقعك.

التحقّق مما إذا كان موقعك الإلكتروني نظيفًا

بمجرد الانتهاء من التخلص من الملفات التي تم الاستيلاء عليها، تحقق لمعرفة ما إذا كان عملك الشاق قد أتى ثماره. هل تتذكر تلك الصفحات التي لا معنى لها التي حددتها سابقًا؟ استخدم أداة الجلب مثل Google معها مرة أخرى لمعرفة ما إذا كانت لا تزال موجودة أم لا. وإذا كانت الاستجابة "غير موجودة" في أداة جلب مثل Google، فمن المحتمل أن تكون في حالة جيدة ويمكنك الانتقال لإصلاح الثغرات على موقعك.

كيف يمكنني الحيلولة دون تعرض موقعي للاستيلاء مرة أخرى؟

إن إصلاح الثغرات الأمنية في موقعك الإلكتروني هو خطوة أخيرة أساسية لإصلاح موقعك الإلكتروني. أظهرت دراسة أجريت مؤخرًا أن 20٪ من المواقع التي تم الاستيلاء عليها تتعرض للاختراق مرة أخرى في غضون يوم واحد. كما كانت معرفة الطريقة التي تم بها الاستيلاء مفيدة. فاقرأ دليل أهم الطرق التي يخترق بها أصحاب الأسلوب غير المرغوب فيه مواقع الويب لبدء التحقيق. ولكن إذا لم تتمكن من معرفة كيف تم اختراق موقعك، فإليك قائمة تحقق بالإجراءات التي يمكنك اتخاذها لتقليل الثغرات على موقعك:

  • فحص جهاز الكمبيوتر بانتظام: استخدم أي برنامج فحص فيروسات شائع للبحث عن الفيروسات أو الثغرات الأمنية.
  • تغيير كلمات المرور بانتظام: يمكن لتغيير كلمات المرور بانتظام إلى جميع حسابات موقعك الإلكتروني، مثل المستضيف وبروتوكول نقل الملفات ونظام إدارة المحتوى، منع الوصول غير المصرَّح به إلى موقعك الإلكتروني. من المهم إنشاء كلمة مرور قوية وفريدة لكل حساب.
  • استخدام المصادقة الثنائية (2FA): ننصحك بتفعيل المصادقة الثنائية على أي خدمة تتطلّب تسجيل الدخول. تجعل ميزة 2FA من الصعب على المخترقين تسجيل الدخول حتى إذا نجحوا في سرقة كلمة مرورك.
  • تحديث نظام إدارة المحتوى والإضافات والوحدات بانتظام: نأمل أن تكون قد نفذت هذه الخطوة من قبل. يتم اختراق العديد من المواقع بسبب تشغيل برامج قديمة. علمًا بأن بعض أنظمة إدارة المحتوى تتيح التحديث التلقائي لها.
  • التفكير في الاشتراك في خدمة أمان لمراقبة موقعك: هناك الكثير من الخدمات الرائعة التي يمكنها مساعدتك في مراقبة موقعك مقابل رسوم بسيطة. ففكر في التسجيل فيها للحفاظ على موقعك آمنًا.

مراجع إضافية

إذا كنت لا تزال تواجه مشاكل في إصلاح موقعك الإلكتروني، هناك بعض الموارد الإضافية التي قد تساعدك.

تفحص هذه الأدوات موقعك وربما يمكنها العثور على المحتوى المتسبب في المشكلة، هذا ولا يستخدم محرك بحث Google أو يتوافق مع أي من هذه الأدوات ما عدا VirusTotal.

هذه ليست سوى بعض الأدوات التي يمكنها فحص موقعك الإلكتروني بحثًا عن المحتوى الذي يتضمّن مشاكل. وتجدر الإشارة إلى أن أدوات الفحص هذه لا يمكنها أن تضمن التعرف على كل نوع من أنواع المحتوى الذي يتضمن مشكلات.

في ما يلي بعض الموارد الإضافية من Google والتي يمكنها مساعدتك: