كيف تستعيد السيطرة بعد اختراق المدونة

التدوين من اكثر اشكال التعبير الكتابي شعبية على الانترنت، سواء كان للاستعمال الشخصي او لقطاع الاعمال. و كان الارتفاع في شعبية المدونات بفضل خدمات التدوين المجانية مثل Blogspot® و WordPress®، اثنان من اكبر مطوري خدمات التدوين.

المدونون الذين اختاروا فتح حساب تدوين مع Blogger™ او WordPress® يحصلون على الخدمات بالاضافة الى دعم و صيانة محترفة من قبل المزود. لهذا السبب عدد الحوادث الأمنية في الغالب أعلى في المدونات التي يقوم المدون باستضافتها و العاملة على نسخ قديمة من برنامج  CMS و التي تملك  نقاط الضعف المختلفة أو خادم غير مهيّأ بشكل جيّد.

اذا كنت تقرأ هذا المقال، فهناك فرصة ان مدونتك ليست بأفضل حالاتها. مع ذلك، فان التعرض للاختراق ليس نهاية العالم، مع ان التعافي من هجوم إختراق ناجح هو تجربة مضنية. الخلاصة هو انه كلما تعرفت اسرع على محاولة الاختراق و قمت بحل المشكلة، قلّت الاضرار التي ستتعرض لها مدونتك. ادناه ستجد لائحة للاجراءات الواجب اتخاذها فوراً عندما تلاحظ ان مدونتك تتصرف بطريقة مشبوهة:

1- بعد ملاحظتك مباشرة ان هناك شيء ليس على ما يرام بمدونتك، اول اهتماماتك ان تقوم بإغلاق مدونتك لحماية مستخدميك من التعرض للبرامج الضارة. بالاضافة الى أن  ايقاف محركات البحث من الزحف الى مدونتك  سيوفر عليك الكثير من الجهد لاحقاً. اذا كانت مدونتك تستضيف برامج ضارة او تعمل على تحويل المستخدمين الى صفحات الويب الخطرة، ستقوم محركات البحث بتصنيف مدونتك كموقع مهاجم و ستعمل على فلترته من نتائج البحث. (إعادة الأمور إلى نصابها مع محرّك البحث عملية شاقّة وتستغرق وقتاّ طويلاً)

2- يمكنك ايقاف الولوج الى مدونتك عن طريق اضافة سطر واحد في الملف htaccess في مجلد root. يجب ان  يشير الملف الى ” حجب الجميع” (Deny from All). اذا كنت تشغل مدونتك على نظام خادم مختلف غير Apache، او انه غير مسموح لك باستعمال  ملفات .htaccess ، يمكنك عندها اغلاق مدونتك عن طريق اعادة تسمية صفحة Index.php لشيء آخر و استبدال صفحة الفهرس بصفحة مزيفة او فارغة.

احذر: لا تترك مجلد الجذر من دون صفحة فهرس لأن هذا قد يؤدي الى كشف كافة الملفات في خادمك.

بعد ذلك قم بعمل نسخ احتياطية من مجلدك سواء  باستخدام بروتوكول نقل الملفات او عن طريق ميزة النسخ الاحتياطي  المضمنة cPanel، اذا توفرت.  تذكر بن تقوم بانشاء ملف تفريغ SQL لقاعدة بيانات المدونة. بعد القيام بعملية النسخ الاحتياطي، قم بمسح الملفات باستخدام أحد برامج مكافحة الفيروسات لانه ممكن اضافة الكثير من النصوص الضارة من قبل المجرمين و يستطيع مكافح الفيروسات ايجادها عن طريق مسح النصوص.

3- قم بتحميل سجلات الوصول من خادم الويب و تخزينها في مكان آخر آمن. هذه العملية هي حساسة من ناحية الوقت لان معظم مزودي خدمة الاستضافة توفر هذه السجلات لمدة 12 او 24 ساعة. محلل الولوج سيساعدك على معرفة كيف تم اختراق مدونتك و ماذا فعل المخترقون خلال فترة سيطرتهم على المدونة. التعرف على نقطة الفشل سوف تساعدك على تأمين الخرق الحاصل و وضمان ان لا يتم الاختراق مرة أخرى باستخدام نفس التقنية.

4- اخرج الملفات الضرورية من التسخة الاحتياطية التي قمت بتنزيلها. و بالضرورية، اعني كل شيء لا تستطيع تنزيله من الويب مجدداً و الذي تحتاجه لبداية جديدة. تأكد من انك قمت بأخذ  وظيفة التوصيل المعدلة، السمات المرئية و كل الملفات التي تم تحميلها كونها المحتوى: الصور و الملفات و غيرها.

5- قم بتفتيش كل الملفات التي اخذتها. ابحث عن اجزاء تبدو مشبوهة مثل(eval(base64_decode “متبوعة بمجموعة من الارقام و الاحرف غير المقروءة“، او اي نصوص من مجالات لا تعرفها ( مثل  > s cript src = ” http://[unknowndomainname] / scriptname.php,<   تشويش Base64 هي الطريقة المفضلة لمجرمي الويب لاخفاء الأكواد الضارة.  مع ذلك فانه ايضا يستخدم من قبل مصممي السمات المرئية لحماية الاشعارات من التغيير، لذا اذا وجدت نص مشفر بكود  base64 ، ليس من الضروري  ان يكون ضاراً. يجب عليك المقارنة بين السمة المرئية الخاصة بك و تلك المعدلة – اذا لم يكن هناك كود Base64 في النسخة الاولية، يجب عليك تنظيفها من الملف المعدل.

6- قم بتفتيش قاعدة البيانات الخاصة بك جدولاً بجدول للبحث عن حسابات ادارية غير معروفة،  و التي يمكن ان تكون قد ادخلت مباشرة في قاعدة بياناتك.- اذا وجدت اي حساب لم يتم انشاؤه من قبلك، قم بالغاءه فوراً. قم ايضاً بالبحث عن تحويلات Javascript  و التي كان من الممكن ادخالها في مشاركات المدونة،. في العادة، محرّرات WYSIWYG لا تقوم باخراج كود Javascript في مشاركات المدونة، مما يسهل عليك البحث.

7- قم بتنظيف حساب المضيف من خلال  قم بمحي تثبيت المدونة بالكامل ولتأكد من أنّك لم تترك اي ملفات غير ضرورية. كلما قَلّتِ الملفات، كان ذلك أكثر اماناً. قم بالغاء قاعدة البيانات و استعادة النسخة التي تمتلكها و التي قمت بالتحقّق منها يدوياً.

8- قم بتنزيل نسخة من نص مدونتك من مستودع رسمي و قم بتحميل الملفات على الخادم.  ربما ترغب في التحقق من ارشيف  MD5 بالمقارنة مع نصوص الموقع الرسمي. من الضروري ان تقوم باستخدام احدث اصدار من نصوص المدونة بشكل دائم.  قم بتعديل ملف التكوين لتعكس بيئة الخادم الخاص بك  ( مستخدم SQL، قاعدة بيانات، كلمات مرور، مسار الملف و بقية اعداداتك). أولِ اهتماماً خاصاً بال(Authentication Unique Keys ) أو أي نوع من التمليح وتأكد من انك لا تستخدم القيم الافتراضية.

و كملاحظة جانبية، يمكن تنزيل الكثير من نصوص CMS المدعومة تجارياً من لوحات “warez” ، من دون  الحماية التجارية . الرجاء الملاحظة ان استخدام نصوص “فارغة” (من الحماية التّجاريّة) هو خطر للغاية، حيث انها تحتوي بالعادة على كود “ملغوم” (backdoors) مدخل من قبل المتسلل الذي قام باختراق الكود الاصلي ليتمكن من التحكم في الموقع الالكتروني للضحية.

9- تأكد من ان جميع الملفات المحملة من قبلك تحتوي على الصلاحيات الصحيحة. لا تحدد الصلاحيات اعلى من الصلاحيات التي يحتاجها النص ليعمل. اعداد الملفات و المجلدات ل(  CHMOD 777) قد يسمح للمهاجم بأن يكتبها و يعيد ادخال كود خبيث عوضاً عنه. اذا لم تكن متأكداً، تحقق من دليل الاستخدام لمعرفة الاعدادات الموصى بها او استفسر عنها. كما من الضروري ان تغير كلمة المرور لمسؤول المدونة  وحساب ال FTP. و اذا امكن، قم بتغيير اسم المستخدم من Admin لاسم آخر يصعب اكتشافه.

10- تخلص من ذاكرة التخزين المؤقت لمتصفحك و قم بتوجيهه نحو عنوان موقعك الالكتروني. اذا سار كل شيء على ما يرام، يجب ان يكون لديك مدونة صحيحة و سليمة> اذا لا، تأكد ان ملف .htaccess الموضوع في مكانه في الخطوة رقم 1 تم الغاؤه او استبداله.

11- ابحث عن مدونتك على قوقل عن طريق البحث عن اسمك ا اسم المدونة و التحقق من نتائج البحث. هذه طريقة احتياطية للتأكد ان ان مدونتك نظيفة، لان بعض النصوص الخبيثة تبحث عن التحويلات  و تعمل على توجيه الزوّار  الذين يستخدمون محرّكات البحث نحو المواقع المصابة (التي تستخدم في الهجمات).

اذا تم اختراق مدونتك على الرغم من اتخاذك كافة الاجراءات لحماية الملفات و اسماء المستخدمين، اذا يجب عليك التحقق اذا كان الخادم يلبي متطلبات نص المدونة. ان التكوينات الضعيفة للخادم، برامج خادم ضعيفة، تثبيتات مدونة غير صحيحة او إضافات تحتوي على ثغرات، هي أسباب رئيسي للاختراق الناجح للموقع.  لمنع اي من هذه المشاكل من التأثير على مدونتك، يجب عليك اتخاذ هذه الاجراءات السهلة و لكن فعالة للغاية:

– استخدم فقط نصوص مدونات من مستودعات رسمية. اذا كانت متوفرة مجاناً من المنتج، لماذا تقوم بتحميلها من مكان آخر؟ و ايضاً ابق بعيداً عن النصوص “الفارغة” (Nulled) من خدمات warez – فانت بالاضافة الى كونك تخرق القانون، فانت تقوم بتعريض موقعك للخطر- و ربما خادم الويب باكمله-  بسبب وجود تعليمات خبيثة من قبل المتسلل.

– لا تحمل حساب FTP الخاص بك بملفات لست بحاجة اليها. هذا يشمل السمات المرئية و وظائف التوصيل التي لا تستخدمها، و لكن قمت بتحميلها للاختبار. بعض السمات المرئية و وظائف التوصيل قد تكون قابلة للتعرض، لذا فكلما قلت اعدادها، قلت احتمالية اختراق موقعك. بالاضافة ان مدونتك  ستحمل بشكل اسرع.

– لا تستخدم أكواد متعددة لنفس عنوان الموقع. لانك ستمنح متسللاً فرصة الاستغلال عن طريق بعض الميزات مثل  تحميل نموذج لاستبدال ملف حساس في حسابك و استخدامه للسيطرة على موقعك.

– قم يتكوين و تخزين نسخ احتياطية لقاعدة بيانات SQL بشكل دوري او قم بتثبيت وظيفة توصيل تعمل على ذلك بشكل تلقائي. من المستحسن الاحتفاظ بهذه النسخ الاحتياطية على حساب FTP ثانوي او ان تعمل على ارسالها بالبريد الالكتروني. لا تستخدم نفس حساب FTP  لتخزين النسخ الاحتياطية ، لأن أي متسلل يستطيع  اختراق النسخ الاختياطية في حال تعرض الموقع للاختراق.

– تأكد بأنك تستخدم كلمات مرور قوية لحساب FTP و حسابات المسؤولين. لا تخبر اي شخص عن كلمة المرور حتى عندما تطلب المساعدة. ان تثبيت حل للحماية من البرامج الخبيثة على جهازك سيكون فكرة جيدة، لان بعض الهجمات الناجحة تمت باستخدام اسماء مستخدمين و كلمات مرور صحيحة تم الحصول عليها عن طريق جاسوس المفاتيح  (keyloggers) او احصنة طروادة المراقبة لذاكرة التخزين المؤقت (cache-monitoring Trojans.)

– استخدم مضيف ويب عالي الجودة. بما ان المستضيف الذي يتقاضى اجراً افضل من البدائل المجانية، تأكد من انك تقوم بانفاق نقودك بالطريقة الصحيحة. قم باختيار مستضيف موصى به من قبل موفر نصوص المدونة. تأكد ايضاً من أن مستضيف الويب  يوفر لك النسخ الاحتياطي التلقائي اليومي وسجلات الوصول للموقع.

المصدر

هذا المقال مقال مترجم. المترجم روزين جمال. الكاتب الأصلي: بودغان بتيزاتو. من موقع Malware City

http://www.malwarecity.com/blog/blog-hacking-recovery-101-849.html

ملاحظة: ننصح باستخدام SFTP أو SCP كبدائل لحسابات FTP، وذلك لأن المعلومات التي يتمّ نقلها تكون مشفرة على عكس FTP والذي يظهر المعلومات كما هي في حال تم استخدام برامج شمّ للحركة في الشبكة.