Chrome Dev Summit 2018 is happening now and streaming live on YouTube. Watch now.

إصلاح الاستيلاء باستخدام كلمات رئيسية يابانية

تم إنشاء هذا الدليل خصيصًا لتناول الاستيلاء الذي ينشئ نصًا يابانيًا تلقائيًا على موقعك الإلكتروني وهو ما نشير إليه باسم الاستيلاء باستخدام الكلمات الرئيسية اليابانية، لذا فإن هذا الدليل مُعد لمستخدمي أنظمة إدارة المحتوى الشائعة (CMS) غير أنك ستستفيد منه حتى وإن لم تكن تستخدم هذه الأنظمة.

ملاحظة: ألست متأكدًا مما إذا كان موقعك قد تعرض للاستيلاء؟ ابدأ بقراءة دليل كيفية التحقق من تعرض موقعك للاستيلاء.

جدول المحتويات

تحديد هذا النوع من الاستيلاء

يؤدي الاستيلاء باستخدام كلمات رئيسية يابانية عادة إلى إنشاء صفحات جديدة على موقعك تحتوي على نص ياباني نشأ تلقائيًا في أسماء دلائل عشوائية (مثل http://example.com/ltjmnjp/341.html). وتهدف هذه الصفحات إلى تحقيق الربح من خلال استخدام روابط معلنين تؤدي إلى متاجر تبيع سلعًا لعلامات تجارية مزيفة ثم تعرضها في بحث Google. وفي ما يلي مثال لما تبدو عليه إحدى هذه الصفحات:

وفي هذا النوع من الاستيلاء، عادة ما يضيف المخترق نفسه بصفته مالك الموقع في Search Console بغرض زيادة الأرباح من خلال التلاعب بإعدادات الموقع مثل الاستهداف الجغرافي أو ملفات sitemap، فإذا تلقيت إشعارًا بأن شخصًا لا تعرفه قد أثبت ملكيته لموقعك في Search Console، فهناك احتمال قوي بأن موقعك قد تعرض للاستيلاء.

ابدأ بمراجعة أداة مشكلات الأمان في Search Console لتعرف إذا ما اكتشف محرك البحث Google أيًا من هذه الصفحات التي تم الاستيلاء عليها على موقعك. كما يمكنك اكتشاف صفحات من هذه النوعية من خلال فتح بحث Google والبحث عن site:[your site root URL]، وهو ما يُظهر لك الصفحات التي فهرسها Google لموقعك بما في ذلك الصفحات التي تم الاستيلاء عليها. انقر على بضع صفحات من نتائج البحث لترى إذا ما يمكن تحديد عناوين URL مخالفة، وإذا لم تعثر على أي محتوى تم الاستيلاء عليه في بحث Google، فاستخدم نفس عبارات البحث مع محرك بحث مختلف، فقد تعرض محركات البحث الأخرى محتوى مُستَولى عليه قد أزاله Google من الفهرس. وفي ما يلي مثال لما قد يبدو عليه هذا.

لاحظ أن نتائج البحث هنا تتضمن الكثير من الصفحات التي لم ينشئها مالك الموقع، وإذا أمعنت النظر في الأوصاف، فسترى أمثلة من النص الياباني الذي ينشئه هذا النوع من الاستيلاء.

عند زيارة صفحة تم الاستيلاء عليها، فقد ترى رسالة تفيد بأن الصفحة غير موجودة (مثل خطأ 404)، فلا تنخدع حيث يحاول المخترقون خداعك لتعتقد بأن موقعك تم إصلاحه وهذا من خلال دفعك لتعتقد بأن الصفحات قيد الاستيلاء قد اختفت أو تم إصلاحها، وهم ينفذون هذا من خلال إخفاء هوية المحتوى. ويمكنك التحقق من إخفاء الهوية بإدخال عناوين URL لموقعك في أداة جلب مثل Google، والتي تتيح لك رؤية المحتوى المخفي.

حل مشكلة الاستيلاء

قبل البدء أنشئ نسخة بدون اتصال لأي ملفات قبل إزالتها في حال احتجت إلى استعادتها لاحقًا، وإن كان من الأفضل أن تحتفظ بنسخة احتياطية من موقعك بالكامل قبل بدء عملية التنظيف، ويمكنك عمل هذا بحفظ جميع الملفات على خادمك إلى مكان آخر أو البحث عن أفضل خيارات للاحتفاظ بنسخة احتياطية يناسب نظام إدارة المحتوى المُستخَدم لديك. وإذا كنت تستخدم نظام إدارة محتوى، فيجب عليك أيضًا حفظ نسخة احتياطية من قاعدة البيانات.

إزالة الحسابات التي تم إنشاؤها حديثًا من Search Console

إذا تمت إضافة مالك جديد لا تعرفه إلى حسابك في Search Console، فأبطل إمكانية وصوله في أقرب وقت ممكن. ويمكنك التحقق من المستخدمين الذين تم إثبات ملكيتهم لموقعك في صفحة إثبات الملكية في Search Console. وانقر على "تفاصيل إثبات الملكية" للموقع لعرض جميع المستخدمين الذين تم إثبات مليكتهم.

لإزالة مالك من Search Console، فاقرأ قسم "إزالة مالك" في مركز المساعدة بشأن إدارة المستخدمين والمالكين والأذونات. وسيلزمك إزالة الرمز المميز المتربط بإثبات الملكية والذي يكون في العادة إما ملف HTML في جذر موقعك أو ملف htaccess تم إنشاؤه ديناميكيًا ويحاكي ملف HTML.

إذا لم تتمكن من العثور على الرمز المميز HTML لإثبات الملكية على موقعك، فابحث عن قاعدة إعادة الكتابة في ملف htaccess والتي تبدو على النحو التالي:

  RewriteEngine On
  RewriteRule ^google(.*)\.html$ dir/file.php?google=$1 [L] 

ملاحظة: يمكن عادة التحقق من النجاح في إزالة رمز إثبات الملكية المميز الذي يتم إنشاؤه ديناميكيًا من خلال الانتقال إلى ملف يحاكي رمز إثبات الملكية المميز مثل wwww.example.com/google[random number and letters].html. إذا كان موقعك هو مثلاً www.brandonsbaseballcards.com، فجرّب الانتقال إلى www.brandonsbaseballcards.com/google1234.html. وإذا عرضت هذه الصفحة الخطأ HTTP 404، فمن المرجح أنه تم إصلاح الرمز المميز.

ولإزالة الرمز من ملف .htacces، فاتبع الخطوات التالية.

التحقق من ملف .htaccess (خطوتان)

بالإضافة إلى استخدام ملف .htaccess لإنشاء رموز إثبات الملكية المميز الذي يتم إنشاؤه ديناميكيًا، يستخدم المخترقون عادة قواعد .htaccess لإعادة توجيه المستخدمين أو لإنشاء صفحات غير مرغوب فيها مليئة بالهراء. وإن لم تكن لديك قواعد htaccess مخصصة، فإننا ننصحك باستبدال ملف .htaccess بنسخة جديدة تامًا.

الخطوة 1

حدد مكان ملف .htaccess على موقعك، وإذا لم تكن متأكدًا أين تجده وكنت تستخدم نظام إدارة محتوى مثل WordPress أو Joomla أو Drupal، فابحث عن "موقع ملف .htaccess" في محرك البحث باستخدام اسم نظام إدارة المحتوى، وربما ترى عدة ملفات .htaccess ويتوقف هذا على موقعك، فأعدّ قائمة بجميع مواقع ملفات .htaccess.

الخطوة 2

استبدل جميع ملفات .htaccess بنسخة نظيفة أو افتراضية من ملف .htaccess، ويمكنك عادة العثور على النسخة الافتراضية من الملف بالبحث عن "ملف .htaccess الافتراضي" واسم نظام إدارة المحتوى. أما بالنسبة إلى المواقع التي لها عدة ملفات .htaccess، فابحث عن نسخة نظيفة لكل ملف ثم أجرِ الاستبدال.

ملاحظة: عادة ما يكون .htaccess "ملفًا مخفيًا"، فتأكد من تمكين إظهار الملفات المخفية عند البحث عنه.

إزالة جميع الملفات والنصوص البرمجية الضارة (4 خطوات)

يمكن أن تكون عملية البحث عن الملفات الضارة معقدة وتستغرق عدة ساعات، فأمهل نفسك الوقت الكافي عند فحص الملفات. كما أنه الوقت المناسب للاحتفاظ بنسخة احتياطية من الملفات على موقعك إذا لم تكن قد فعلت هذا حتى الآن. أجرِ بحثًا على Google عن "الاحتفاظ بنسخة احتياطية من الموقع الإلكتروني" واسم نظام إدارة المحتوى للحصول على تعليمات حول كيفية الاحتفاظ بنسخة احتياطية من موقعك.

الخطوة 1

إذا كنت تستخدم نظام إدارة المحتوى، فأعد تثبيت جميع الملفات الأساسية (الافتراضية) التي تصاحب التوزيع الافتراضي للنظام حيث يساعد هذا في ضمان خلو هذه الملفات من المحتوى الذي تم الاستيلاء عليه. يمكنك إجراء بحث على Google عن "إعادة التثبيت" واسم نظام إدارة المحتوى للحصول على تعليمات حول عملية إعادة التثبيت. وفي حال كانت لديك أي مكونات إضافية أو وحدات أو إضافات أو مظاهر، فتأكد من إعادة تثبيتها هي الأخرى.

يمكن أن تؤدي إعادة تثبيت الملفات الأساسية إلى فقدان أي تخصيصات أجريتها إذا كنت قد عدّلت الملفات مباشرة فاحرص على إنشاء نسخة احتياطية من قاعدة البيانات وجميع الملفات قبل الإقدام على إعادة التثبيت.

الخطوة 2

يعدّل المخترقون عادة ملف sitemap أو يضيفون ملفات sitemap للمساعدة في فهرسة عناوين URL بسرعة أكبر، فإذا كان لديك ملف sitemap من قبل، فافحصه بحثًا عن أي روابط مريبة وأزلها منه. إذا وجدت أي ملفات sitemap لا تتذكر إضافتها إلى موقعك، فافحصها ثانية وأزالها في حال وجود عناوين URL غير مرغوب فيها.

الخطوة 3

ابحث عن أي ملفات ضارة أو مُخترَقة متبقية، ربما تكون قد أزلت جميع المفات الضارة في الخطوتين السابقتين إلا أنه من الأفضل تنفيذ الخطوات التالية القليلة في حال يوجد المزيد من الملفات المتضررة على موقعك.

لا تشغل بالك بفكرة أنه يجب عليك فتح كل ملف PHP والنظر فيه، بل ابدأ بإنشاء قائمة بملفات PHP المشبوهة التي ترغب في فحصها، وإليك بعض الطرق التي تساعدك في تحديد ملفات PHP المريبة:

  • بما أنك أعدت تحميل ملفات نظام إدارة المحتوى قبلاً، فانظر فقط في الملفات التي لا تمثل جزءًا من ملفات أو مجلدات النظام الافتراضية، ويفترض أن يستبعد هذا عددًا كبيرًا من ملفات PHP ويترك لك قدرًا قليلاً من الملفات التي يجب أن تفحصها.
  • افرز الملفات على موقعك بحسب تاريخ آخر تعديل، وانظر في الملفات التي تم تعديلها خلال بضعة أشهر من اكتشافك الأول لتعرض موقعك للاستيلاء.
  • افرز الملفات على موقعك بحسب الحجم، وانظر في الملفات الكبيرة بشكل غير عادي.

ملاحظة: يضيف المهاجمون عادة نصوصًا برمجية إلى الملفات التالية: index.php وwp-load.php و404.php وview.php.

الخطوة 4

بعد أن أصبح لديك قائمة بملفات PHP المشبوهة، تحقق منها لتعرف ما إذا كانت ضارة. إذا كنت غير ملم بلغة PHP، فستستغرق هذه العملية المزيد من الوقت لذا ننصحك بتحسين معرفتك والاطلاع على بعض وثائق PHP. ولكن إذا كنت جديدًا تمامًا في مجال الترميز، فإننا نوصي بالحصول على المساعدة. وفي تلك الأثناء، هناك بعض الأنماط الأساسية التي يمكن البحث عنها لتحديد الملفات الضارة.

إذا كنت تستخدم نظام إدارة المحتوي ولست معتادًا على تعديل هذه الملفات بشكل مباشر، فقارن الملفات الموجودة على خادمك بقائمة الملفات الافتراضية التي تأتي ضمن حزمة النظام وقارنها أيضًا بالمكونات الإضافية والمظاهر، وابحث عن الملفات التي لا تماثلها بالإضافة إلى الملفات التي يزيد حجمها عن الحجم الاقتراضي.

دقق في الملفات المشبوهة التي حددتها قبلاً بحثًا عن قوالب شفرات مبهمة وربما يشبه هذا مزيج من الأحرف والأرقام التي تبدو مختلطة، وعادة ما تكون الشفرة المبهمة مسبوقة بمزيج من دوال PHP مثل base64_decode وrot13 وeval وstrrev وgzinflate وأحيانًا ما تكون هذه الدوال مبهمة أيضًا. وفي ما يلي مثال للشكل المحتمل لقالب الشفرة، وأحيانًا يتم حشو هذه الشفرة كلها في سطر نص واحد طويل مما يجعلها تبدو أصغر مما هي عليه في الواقع.

  $O_O0O_O0_0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70
  %78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");
  $OO0_0OO0__=$O_O0O_O0_0{26}.$O_O0O_O0_0{6}.$O_O0O_O0_0{10}.$O_O0O_O0_0{30}

التحقق لمعرفة ما إذا أصبح موقعك نظيفًا أم لا

بعد الانتهاء من التخلص من الملفات التي تم الاستيلاء عليها، تحقق لترى مردود عملك الجاد. هل تذكر صفحات الهراء التي وجدتها قبلاً؟ استخدم أداة "جلب مثل Google" معها مرة أخرى لمعرفة هل مازالت موجودة أم لا، وإذا كانت الاستجابة "غير موجودة" في أداة جلب مثل Google، فهناك فرص بأن يكون موقعك في حالة جيدة.

يمكنك أيضًا اتباع الخطوات الواردة في أداة حل مشكلات المواقع التي تم الاستيلاء عليها للتحقق من استمرار وجود محتوى تم الاستيلاء عليه على موقعك.

كيف يمكنني الحيلولة دون تعرض موقعي للاستيلاء مرة أخرى؟

إن إصلاح الثغرات الأمنية الموجودة في موقعك خطوة ختامية أساسية لإصلاح موقعك حيث أظهرت دراسة أجريت حديثًا أن 12% من المواقع التي تم الاستيلاء عليها تتعرض للاستيلاء مرة أخرى في غضون 30 يومًا كما كانت معرفة الطريقة التي تم بها الاستيلاء مفيدة. فاقرأ دليل أهم الطرق التي يستولي بها أصحاب الأسلوب غير المرغوب فيه على مواقع الويب لبدء الفحص. ولكن إذا لم تتمكن من معرفة كيف تم الاستيلاء على موقعك، ففي ما يلي قائمة تحقق بالأشياء التي يمكنك فعلها للحد من الثغرات الأمنية على موقعك:

  • فحص جهاز الكمبيوتر بانتظام: استخدم برنامج فحص فيروسات موثوقًا به للبحث عن الفيروسات أو الثغرات الأمنية.
  • تغيير كلمات المرور بانتظام: يمكن للتغيير المنتظم لكلمات المرور إلى جميع حسابات موقعك -مثل موفر خدمة الاستضافة وبرتوكول نقل الملفات ونظام إدارة المحتوى- الحيلولة دون الوصول غير المصرح به إلى موقعك كما أنه من المهم إنشاء كلمة مرور قوية فريدة لكل حساب.
  • استخدام المصادقة الثنائية (2FA): ننصحك بتمكين المصادقة الثنائية لأي خدمة تتطلب تسجيل الدخول فهي تصّعب على المخترقين تسجيل الدخول حتى إذا تمكنوا من سرقة كلمة المرور بنجاح.
  • تحديث نظام إدارة المحتوى والإضافات والوحدات بانتظام: نأمل أن تكون قد نفذّت هذه الخطوة من قبل فهناك الكثير من المواقع التي تتعرض للاستيلاء لأن البرامج التي تعمل عليها غير محدثة علمًا بأن بعض أنظمة إدارة المحتوى تتيح التحديث التلقائي لها.
  • التفكير في الاشتراك في خدمة أمان لمراقبة موقعك: هناك الكثير من الخدمات الرائعة التي يمكنها مساعدتك في مراقبة موقعك مقابل رسوم بسيطة، ففكر في التسجيل فيها للحفاظ على موقعك آمنًا.

موارد إضافية

إذا كنت لا تزال تواجه مشكلات في إصلاح موقعك، فهناك بعض الموارد الإضافية التي قد تساعدك.

تفحص هذه الأدوات موقعك وربما يمكنها العثور على المحتوى المتسبب في المشكلة، هذا ولا يستخدم محرك بحث Google أو يتوافق مع أي من هذه الأدوات ما عدا VirusTotal.

Virus Total و Aw-snap.info وSucuri Site Check وQuttera: هذه بعض الأدوات التي يمكنها فحص موقعك بحثًا عن المحتوى الذي يمثل مشكلة. وتجدر الإشارة إلى أن أدوات الفحص هذه لا يمكنها أن تضمن التعرف على كل نوع من أنواع المحتوى الذي ينطوي على مشكلات.

في ما يلي بعض الموارد الإضافية من Google والتي يمكنها مساعدتك: