The #ChromeDevSummit site is live, happening Nov 12-13 in San Francisco, CA
Check it out for details and request an invite. We'll be diving deep into modern web tech & looking ahead to the platform's future.

تم الاختراق باستخدام البرامج الضارة

تتعلق هذه الخطوة بالمواقع التي تم الاستيلاء عليها لتوزيع البرامج الضارة، بحيث يتم غالبًا عرض التحذير "قد يضر هذا الموقع جهاز الكمبيوتر" في نتائج البحث. وتعد هذه الخطوة واحدة من أطول خطوات عملية الاسترداد. وفي هذه الخطوة، يلزمك إعداد قائمة تتضمن الملفات التالفة على موقعك. وستستخدم هذه القائمة في خطوة لاحقة تنظيف الموقع وصيانته.

وإذا كان موقعك مصابًا بمحتوى غير مرغوب فيه وليس برامج ضارة، ويعرض التحذير "ربما تم اختراق هذا الموقع" في نتائج البحث، يُرجى الاطلاع على الصفحة تقييم ضرر المحتوى غير المرغوب فيه (تم اختراق الموقع باستخدام المحتوى غير المرغوب فيه).

ستحتاج إلى ما يلي:

  • إمكانية دخول مشرف Shell/طرفي إلى خوادم الموقع: الويب وقواعد البيانات والملفات
  • معرفة بأوامر shell/الطرفية
  • إمكانية تشغيل طلبات بحث SQL على قاعدة البيانات.

الإجراءات اللازمة:

الإعداد

  1. تجنب استخدام متصفح للاطلاع على الصفحات على موقعك. ونظرًا لأن البرامج الضارة غالبًا ما تنتشر من خلال استغلال الثغرات الأمنية في متصفحك، فقد يؤدي فتح صفحة مصابة ببرامج ضارة في المتصفح إلى الإضرار بجهاز الكمبيوتر الذي تستخدمه.
  2. أنشئ مستندًا لتسجيل ما يتم التوصل إليه في هذه الخطوة. سيتضمن المستند في النهاية (كحد أدنى) اسم/موقع كل ملف تالف وملاحظات حول الكيفية التي تمت إصابته بها، وسيتم عرضه كأساس لتنظيف الموقع وصيانته.
  3. يمكنك الاطلاع على مزيد من المصادرعند اللزوم:
    • شاهد مقطع الفيديو الوارد أعلاه للاطلاع على كيفية عمل البرامج الضارة وكيف يمكنك حماية نفسك أثناء التحقق من وجود برامج ضارة.
    • راجع صفحة تشخيص التصفح الآمن من Google للاطلاع على معلومات عامة حول ما إذا كان الموقع قد يشكل ضررًا محتملاً للمستخدمين أم لا. ويمكنك الاطلاع على حالة البيانات لموقعك على عنوان URL شبيه بما يلي:
      http://www.google.com/safebrowsing/diagnostic?site=<your-site>
      على سبيل المثال: http://www.google.com/safebrowsing/diagnostic?site=webmastercentralblog.blogspot.com
  4. استخدم cURL أو Wget لتنفيذ طلبات HTTP (لجلب صفحة ما مثلاً).

    وتعد هذه الأدوات المتوفرة مجانًا مفيدة في تشخيص عمليات إعادة التوجيه، كما أنها مرنة بحيث تتضمن معلومات عن المحيل أو وكيل المستخدم. ويساعد تضمين محيل أو وكيل مستخدم معين في محاكاة المخترقين بسبب أن المخترقين ربما يعرضون المحتوى الضار فقط للمستخدمين الذين لديهم وكيل مستخدم أو محيل بعينه وذلك لاستهداف "أشخاص حقيقيين" إلى حد أبعد، ويمكنه تجنب الاكتشاف من مالكي الموقع وأدوات البحث عن البرامج الضارة.

    $curl -v --referer "http://www.google.com" <your-url>

التحقق من أنواع معينة للإصابة ببرامج ضارة على موقعك

  1. حدد موقعك الذي تم إثبات ملكيته في Search Console، ثم انقر على مشاكل الأمان.
  2. تحقق من جميع فئات البرامج الضارة (مثل تهيئة الخادم وإدخال SQL) المدرجة في مشاكل الأمان لموقعك. ويمكن الحصول على معلومات إضافية حول عناوين URL المصابة من الفئة من خلال النقر على "عرض التفاصيل". (وقد تتضمن التفاصيل نماذج لمقتطفات شفرات تم إدخالها بواسطة المخترق). ومع كل فئة انسخ في مستند التحقيق ما يلي:
    • جميع نماذج عناوين URL المصابة والمدرجة لفئة البرامج الضارة في مشاكل الأمان.
    • أية صفحات أخرى تالفة اكتشفتها أثناء التحقيق.
    • تفاصيل النتائج التي توصلت إليها عن عناوين URL المصابة، مثل نوع الضرر الذي حدث.
  3. في ما يلي المعلومات المطلوبة للمساعدة في التحقق من كل فئة من فئات البرامج الضارة على حدة:

تقييم عام للضرر في نظام الملفات

بعد ذلك، ستحتاج إلى تسجيل الدخول إلى نظام ملفات موقعك لإجراء مزيد من التحقيق التفصيلي. انتبه إلى أن المخترق ربما يكون قد عدل صفحات حالية أو سجلات قواعد بيانات أو أنشأ صفحات جديدة تمامًا غير مرغوب فيها، أو كتب دالات لعرض المحتوى غير المرغوب فيه على الصفحات النظيفة، أو ترك "الأبواب الخلفية" التي تتيح له تكرار الدخول إلى موقعك أو مواصلة تنفيذ مهام ضارة في حال عدم الحذف، إلى جانب أشياء أخرى.

وإذا كان موقعك متوفرًا عبر الإنترنت، يمكنك إزالته خلال هذه الخطوة.

  1. وإذا كانت لديك نسخة احتياطية معروفة وجيدة من موقعك، حدد الملفات التي تم إنشاؤها أو تعديلها منذ وقت الاحتفاظ بالنسخة الاحتياطية. أضف هذه الملفات إلى القائمة نظرًا لأنه من المرجح أن تحتاج إليها لمزيد من التحقق. وعلى الأنظمة التي تعمل بـ Unix، يمكنك استخدام أمر مثل:
    $ diff -qr <current-directory> <backup-directory>
    على سبيل المثال:
    $ diff -qr www/ backups/full-backup-20120124/
    وكذلك،
    $ md5sum <current-page> <backup-page>
    على سبيل المثال:
    $ md5sum www/page.html backups/full-backup-20120124/page.html
  2. افحص الخادم وإمكانية الدخول وسجلات الأخطاء بحثًا عن أي نشاط مريب، مثل محاولات تسجيل الدخول المخفقة وسجل الأوامر (خاصة كجذر) وإنشاء حسابات مستخدمين غير معروفة وهكذا. انتبه إلى أن المخترق ربما يكون غيّر هذه السجلات لأغراض خاصة به. (ويمكن الرجوع إلى بعض الأمثلة الواردة في الفيديو المتعلق بتحديد الثغرة الأمنية إن كان ذلك مفيدًا.)
  3. افحص ملفات التهيئة, مثل ‎.htaccess وhttpd.conf، بالنسبة إلى عمليات إعادة التوجيه. غالبًا ما ينشئ المخترق عمليات إعادة تهيئة مشروطة بناءً على وكيل المستخدم والوقت خلال ساعات اليوم أوالمحيل.
  4. افحص أذونات المجلدات والملفات المفرطة في التساهل أيضًا. فكثيرًا ما يتلاعب المخترق بالأذونات بحيث يتمكن من الدخول إلى الموقع مرة أخرى إذا لم يتم اكتشاف الأذونات التي تتضمن تساهلاً بواسطة مالك الموقع. وقد تؤدي الملفات التي تزيد عن 644 (rw-r--r--) والمجلدات التي تزيد عن 755 (rwxr-xr-x) في حدوث مشاكل بالأمان. ولذلك تأكد من أن أية أذونات غير محكمة تمثل أهمية كبيرة. في الأنظمة التي تعمل بـ Unix، جرب ما يلي:
    $ find <your-dir> -type d -not -perm 755 -exec ls -ld {} \;
    $ find <your-dir> -type f -not -perm 644 -exec ls -la {} \;
  5. ​وإذا كانت لديك قاعدة بيانات، تحقق من السجلات واحدًا تلو الآخر باستخدام أداة مثل phpMyAdmin.

الخطوة التالية

الخطوة التالية في العملية هي تحديد الثغرة الأمنية.