The #ChromeDevSummit site is live, happening Nov 12-13 in San Francisco, CA
Check it out for details and request an invite. We'll be diving deep into modern web tech & looking ahead to the platform's future.

تنظيف الموقع وصيانته

ستحتاج إلى ما يلي:

  • إمكانية دخول مشرف Shell/طرفي إلى خوادم الموقع: الويب وقواعد البيانات والملفات
  • معرفة بأوامر shell/الطرفية
  • استيعاب الشفرة (مثل PHP أو جافا سكريبت)
  • سعة تخزينية لإنشاء نسخ احتياطية من موقعك (بما في ذلك الملفات وقاعدة البيانات والصور وما إلى ذلك)

الإجراءات التالية:

سنتناول عدة إجراءات في هذه الخطوة: 

  • كيفية الحصول على مصادر إضافية إذا كنت تعتقد أن المخترق كان يريد الحصول على معلومات شخصية حول المستخدمين (كما هو الحال في صفحات التصيد الاحتيالي)
  • خيار استخدام إزالة عناوين URL في Search Console لتسريع إزالة عناوين URL الجديدة وغير المرغوب فيها تمامًا والتي تكون مرئية للمستخدم وينشئها المخترق ولا تريدها أن تظهر ضمن نتائج بحث Google
  • خيار استخدام الجلب مثل Google في Search Console لتسريع معالجة Google للصفحات النظيفة - الصفحات التي تكون إما جديدة أو تم تحديثها مؤخرًا - والتي تريدها أن تظهر ضمن نتائج بحث Google
  • تثبيت أحدث إصدار آمن من البرامج
  • إزالة التطبيقات أو المكوِّنات الإضافية غير الضرورية وغير المستخدمة التي قد تجعل موقعك عرضة للخطر في المستقبل
  • استعادة المحتوى الجيد وإزالة المحتوى الذي وضعه المخترق
  • إصلاح نقطة الضعف الأساسية التي استغلها المخترق
  • تغيير جميع كلمات المرور
  • التخطيط للحفاظ على أمان الموقع

1- البحث عن مصادر الدعم عند التعامل مع حالة فقد معلومات سرية، كما هو الحال في صفحات التصيد الاحتيالي

إذا تم الحصول على معلومات سرية عن المستخدم من موقعك (في إطار هجمة تصيد احتيالي مثلاً)، قد يلزمك التفكير في أية مسؤوليات تجارية أو تشريعية أو قانونية قبل بدء عملية تنظيف موقعك أو حذف أي ملفات. وفي حالات التصيّد الاحتيالي، يحتوي antiphishing.org على مصادر مفيدة مثل المستند ما يلزمك فعله إذا تم اختراق موقعك بواسطة مستخدمي التصيّد الاحتيالي.

2- محاولة تسريع إزالة عناوين URL الجديدة التي أنشأها الهاكر

فإذا كان المخترق قد أنشأ عناوين URL جديدة تمامًا ومرئية للمستخدم، يمكنك طلب إزالة هذه الصفحات بسرعة أكبر من نتائج بحث Google باستخدام ميزة إزالة عناوين URL في Search Console. وتعد هذه الخطوة اختيارية تمامًا. إذا حذفت الصفحات وهيأت الخادم على عرض شفرة حالة 404، سيتم إسقاط الصفحات من فهرس Google بشكل طبيعي بمرور الوقت.

  • ويعتمد قرار استخدام "إزالة عناوين URL" غالبًا على عدد الصفحات الجديدة غير المرغوب فيها التي تم إنشاؤها (لأن العدد الكبير من الصفحات قد يصعب تضمينه في "إزالة عناوين URL")، كما يعتمد على الأضرار المتوقعة التي قد تتسبب فيها هذه الصفحات للمستخدمين. وحتى تتجنب ظهور الصفحات التي يتم إرسالها عبر "إزالة عناوين URL" ضمن نتائج البحث، تأكد من أنه تمت تهيئة الصفحات بحيث تعرض الاستجابة 404 لم يتم العثور على الملف لعناوين URL غير المرغوب فيها/التي تمت إزالتها.
  • ولا تستخدم هذه الأداة لطلب إزالة أية صفحات كانت جيدة سابقًا والتي تم إتلافها فقط بواسطة المخترق؛ فستحتاج إلى ظهورها ضمن نتائج البحث بمجرد أن يتم تنظيفها. ولذلك تجدر الإشارة إلى أن "إزالة عناوين URL" لا تستخدم إلا مع الصفحات التي لا ترغب في ظهورها أبدًا في النتائج.

3- محاولة تسريع معالجة Google للصفحات النظيفة

إذا كانت لديك صفحات نظيفة جديدة أو تم تحديثها، يمكنك استخدام ميزة الجلب مثل Google في Search Console لإرسال هذه الصفحات إلى فهرس Google. ويعد هذا الأمر اختياريًا تمامًا؛ فعند تخطي هذه الخطوة، من المرجح أن يتم الزحف إلى الصفحات الجديدة أو المعدلة وأن تتم معالجتها بمرور الوقت.

4- بدء تنظيف الخادم (الخوادم)

الآن، حان وقت تنظيف موقعك بالاستناد إلى الملاحظات التي تم تدوينها أثناء تقييم الضرر وتحديد الثغرة الأمنية. ويعتمد المسار التالي الذي ستسير فيه خلال هذه الخطوة على نوع النسخة الاحتياطية المتوفرة لديك.

  • نسخة احتياطية نظيفة وحديثة
  • نسخة احتياطية نظيفة ولكنها قديمة
  • عدم توفر نسخة احتياطية   

أولاً، تحقق من أنه تم إنشاء النسخة الاحتياطية هذه قبل تعرض موقعك للاختراق.

  • نسخة احتياطية نظيفة وحديثة
    1. نفِّذ استرداد النسخة الاحتياطية.
    2. ثبِّت أية ترقيات برامج أو تحديثات أو تصحيحات متوفرة. ويتضمن هذا برامج نظام التشغيل إذا كنت تتحكم في الخادم، وجميع التطبيقات، مثل نظام إدارة المحتوى، ووسيط عرض إعلانات التجارة الإلكترونية، والمكونات الإضافية، والنماذج، وما إلى ذلك.
    3. فكر في ما إذا كان بإمكانك التخلص من برامج الخادم (مثل الأدوات أو المكونات الإضافية أو التطبيقات) التي لم يعد الموقع يستخدمها.
    4. صحح الثغرة الأمنية.
    5. تأكد من أنه تمت معالجة جميع المشكلات التي تم العثور عليها أثناء تقييم الضرر.
    6. غيِّر كلمات المرور مرة أخرى لجميع الحسابات ذات الصلة بالموقع (مثل بيانات تسجيل الدخول إلى بروتوكول نقل الملفات والدخول إلى قاعدة البيانات وحسابات مشرفي النظام ونظام إدارة المحتوى). وفي الأنظمة التي تعمل بـ Unix:
      $passwd admin1
  • نسخة احتياطية نظيفة ولكنها قديمة
    1. احتفظ بصورة على قرص من موقعك الحالي بالرغم من أنه لا يزال مصابًا. فهذه الصورة مجرد احتياط أمني. ضع علامة على النسخة تشير إلى أنها مصابة لتمييزها عن النسخ الأخرى. وبالنسبة إلى النظام الذي يعمل بـ Unix، يمكن أن يكون الاحتفاظ بنسخة على قرص كالتالي:
      $dd if=/dev/sda bs=1024 conv=noerror,sync | gzip -c -9
        > /mirror/full-backup-20120125-infected.gz
    2. احتفظ بنسخة نظام ملفات احتياطية من الخادم تضم الصور وملفات الوسائط. وإذا كانت لديك قاعدة بيانات، فاحتفظ بنسخة احتياطية من قاعدة البيانات أيضًا.
      $tar -pczf full-backup-20120125-infected.tar.gz www/ $ mysqldump -u root
        -p --all-databases | gzip -9 > fulldb_backup-20120125-infected.sql
    3. استرد النسخة الاحتياطية النظيفة ولكنها قديمة على الخادم.
    4. فكر في ما إذا كان بإمكانك التخلص من برامج الخادم (مثل الأدوات أو المكونات الإضافية أو التطبيقات) التي لم يعد الموقع يستخدمها.
    5. نفِّذ ترقية لجميع البرامج، بما في ذلك نظام التشغيل إذا كنت تتحكم في الخادم، وجميع التطبيقات البرمجية، مثل نظام إدارة المحتوى، ووسيط عرض إعلانات التجارة الإلكترونية، والمكونات الإضافية، والنماذج، وما إلى ذلك. تأكد من فحص تحديثات الأمان والتصحيحات المتوفرة وتثبيتها.
    6. صحح الثغرة الأمنية.
    7. أجري مقارنة diff بين النسخة الاحتياطية النظيفة والنسخة الحديثة المصابة على الموقع سواء أكان التنفيذ يدويًا أو آليًا.
      $diff -qr www/ backups/full-backup-20120124/
    8. حمِّل أي محتوى نظيف وجديد تريد الاحتفاظ به من النسخة المصابة على الخادم الذي تمت ترقيته.
      $rsync -avz /backups/full-backup-20120124/www/clean-file.jpg /www/
    9. تأكد من تصحيح كل عنوان URL مدرج من تقييم الضرر.
    10. غيِّر كلمات المرور مرة أخرى لجميع الحسابات ذات الصلة بالموقع (مثل بيانات تسجيل الدخول إلى بروتوكول نقل الملفات والدخول إلى قاعدة البيانات وحسابات مشرفي النظام ونظام إدارة المحتوى). وفي الأنظمة التي تعمل بـ Unix:
      $passwd admin1
  • عدم توفر نسخة احتياطية
    1. احتفظ بنسختين احتياطيتين من موقعك على الرغم من أنه لا يزال مصابًا. ذلك أن الاحتفاظ بنسخة احتياطية إضافية سيساعدك في استرداد المحتوى الذي يتم حذفه بدون قصد، كما أنه يتيح لك العودة إلى النسخة السابقة والمحاولة مرة أخرى إذا حدث خطأ ما. صنِّف كل نسخة احتياطية باستخدام العلامة "مصابة" للرجوع إليها في المستقبل.
      • ستتم الاستعانة بإحدى النسختين الاحتياطيتين باعتبارها صورة على القرص أو "نسخة طبق الأصل" من الموقع. ويبسط هذا التنسيق استعادة المحتوى. ويمكنك ترك نسخة القرص جانبًا للاستعانة بها عند الضرورة. وبالنسبة إلى النظام الذي يعمل بـ Unix، يمكن أن يكون الاحتفاظ بنسخة على قرص كالتالي:
        $dd if=/dev/sda bs=1024 conv=noerror,sync | gzip -c -9 >
          /mirror/full-backup-20120125-infected.gz
      • سيتم الاستعانة بالنسخة الأخرى باعتبارها نسخة نظام ملفات من الخادم تتضمن الصور وملفات الوسائط. وإذا كانت لديك قاعدة بيانات، احتفظ بنسخة احتياطية من قاعدة البيانات أيضًا.
        $tar -pczf full-backup-20120125-infected.tar.gz www/
         
        $mysqldump -u root -p --all-databases | gzip -9 > fulldb_backup-20120125-infected.sql
      • وإذا لم تكن لديك نسخة على قرص، احتفظ بنسختين احتياطيتين من قاعدة البيانات ونسختين احتياطيتين من نظام الملفات.
    2. نظِّف محتوى الموقع على نسخة نظام الملفات الاحتياطية الجديدة (وليس الخادم نفسه)
      1. إذا أسفر التحقيق السابق عن وجود أذونات تتضمن قدرًا كبيرًا من التساهل، انتقل إليها وصححها. وتأكد من إجراء ذلك على النسخة الاحتياطية وليس على الخادم نفسه.
      2. وكذلك على النسخة الاحتياطية، نظِّف جميع الملفات المناظرة لعناوين URL التي تم اكتشافها على أنها مخترقة في تقييم الضرر. وقد تكون هذه الملفات ملفات تهيئة الخادم أو جافا سكريبت أو HTML أو PHP.
      3. تأكد كذلك من إزالة (عرض استجابة 404) بالنسبة إلى الملفات الجديدة التي أنشأها المخترق (والتي ربما تكون أرسلتها باستخدام أداة إزالة عناوين URL في Search Console أو لم ترسلها).
      4. صحح الثغرة الأمنية إذا كانت موجودة في الشفرة أو كلمات المرور المخترقة. وقد تساعدك مكتبات التحقق من الإدخال أو سجلات الأمان في التنفيذ.
      5. إذا كان موقعك يتضمن قاعدة بيانات، ابدأ بتنظيف السجلات التي عدلها المخترق في النسخة الاحتياطية. وقبل أن تقرر بأنك قد انتهيت، نفِّذ فحصًا لمدى السلامة على أحد السجلات للتأكد من أنه يبدو نظيفًا.
      6. غيِّر كلمات المرور مرة أخرى لجميع الحسابات ذات الصلة بالموقع (مثل بيانات تسجيل الدخول إلى بروتوكول نقل الملفات والدخول إلى قاعدة البيانات وحسابات مشرفي النظام ونظام إدارة المحتوى). وفي الأنظمة التي تعمل بـ Unix:
        $passwd admin1
      7. في هذه المرحلة، يجب أن تتضمن النسخة الاحتياطية من موقعك التي سبق أن كانت مصابة بيانات نظيفة فقط. احتفظ بهذه النسخة النظيفة جانبًا، ثم انتقل إلى الإجراء الخامس.

5- التخلص من البرامج غير الضرورية

فكر في ما إذا كان بإمكانك التخلص من برامج الخادم (مثل الأدوات أو المكونات الإضافية أو التطبيقات) التي لم يعد الموقع يستخدمها. ويساعد هذا في زيادة مستوى الأمان وفي تبسيط الصيانة المستقبلية.

6- تنظيف جميع الخوادم

  1. نفِّذ تثبيتًا نظيفًا، وليس مجرد ترقية. فالترقيات قد تترك ملفات من النسخة السابقة. وإذا ظل هناك ملف مصاب على الخادم، فهناك احتمال كبير أن يتمكن المخترق من الاختراق مجددًا.
    • يجب أن يتضمن التثبيت الجديد نظام التشغيل إذا كنت تتحكم في الخادم، وجميع التطبيقات البرمجية، مثل نظام إدارة المحتوى، ووسيط عرض إعلانات التجارة الإلكترونية، والمكونات الإضافية، والنماذج، وما إلى ذلك. تأكد من فحص تحديثات الأمان والتصحيحات المتوفرة.
  2. انقل المحتوى الجيد من نسخة نظام الملفات الاحتياطية النظيفة إلى الخادم (الخوادم) المثبت حديثًا، وحمِّل/استرد الملفات/قاعدة البيانات المعروفة والنظيفة فقط. تأكد من صيانة أذونات الملفات المناسبة ولا تستبدل ملفات النظام المثبتة حديثًا.
  3. غيِّر كلمات المرور للمرة الأخيرة لجميع الحسابات ذات الصلة بالموقع (مثل بيانات تسجيل الدخول إلى بروتوكول نقل الملفات والدخول إلى قاعدة البيانات وحسابات مشرفي النظام ونظام إدارة المحتوى). وفي الأنظمة التي تعمل بـ Unix:
    $passwd admin1

7- إعداد خطة صيانة طويلة المدى

هناك العديد من المصادر التعليمية على الويب التي تقدم صيانة قوية للموقع، مثل حجب البرامج الضارة: الأساسيات المقدم من StopBadware. كما نوصي بأهمية تنفيذ ما يلي:

  • احتفظ بنسخ احتياطية تلقائية ودورية من موقعك.
  • توخ الحذر باستمرار بشأن تحديثات البرامج.
  • حاول استيعاب ممارسات الأمان على جميع التطبيقات والمكونات الإضافية وبرامج الجهات الخارجية، وما إلى ذلك، قبل تثبيتها على الخادم. قد تؤثر الثغرة الأمنية داخل تطبيق برمجي معين في أمان الموقع بالكامل.
  • افرض على المستخدمين سياسة لإنشاء كلمات مرور قوية.
  • حافظ على أمان جميع الأجهزة المستخدمة لتسجيل الدخول إلى النظام (من خلال تحديث نظام التشغيل والمتصفح).

8- التحقق جيدًا من اكتمال عملية التنظيف

تأكد من أنه يمكنك الإجابة بـ "نعم" على الأسئلة التالية:

  • هل اتبعت الخطوات المناسبة إذا كان المخترق قد حصل على المعلومات الشخصية للمستخدمين؟ 
  • هل يعمل موقعي بأحدث نسخة من البرامج وأكثرها أمانًا؟ 
  • هل أزلت جميع التطبيقات أو المكوِّنات الإضافية غير الضرورية وغير المستخدمة التي قد تجعل موقعي عرضة للخطر في المستقبل؟ 
  • هل استرددت المحتوى وتخلصت من محتوى المخترق؟ 
  • هل أصلحت نقطة الضعف التي تمثل السبب الرئيسي الذي سمح بالاستيلاء على موقعي؟ 
  • هل لدي خطة للحفاظ على أمان موقعي؟

9- رد الموقع مرة أخرى على الإنترنت

الخطوة التالية

لقد أنهيت كل شيء تقريبًا. الخطوة الأخيرة في العملية هي طلب إجراء مراجعة.