تنظيف الموقع وصيانته

للحفاظ على نظافة موقعك الإلكتروني ومنع عمليات الاختراق المستقبلية، ستحتاج إلى ما يلي:

  • إذن وصول المشرف إلى shell أو المحطة الطرفية في خوادم موقعك الإلكتروني: الويب وقاعدة البيانات والملفات
  • معرفة أوامر shell أو Terminal
  • استيعاب الشفرة (مثل PHP أو جافا سكريبت)
  • مساحة تخزين لإنشاء نُسخ احتياطية من موقعك الإلكتروني، بما في ذلك الملفات وقاعدة البيانات والصور

الإجراءات التالية

سنتناول عدة إجراءات في هذه الخطوة:

  • مكان العثور على موارد إضافية إذا كنت تعتقد أنّ المخترق قصد الحصول على معلومات المستخدمين الشخصية (مثل صفحات التصيّد الاحتيالي)
  • خيار استخدام إزالة عناوين URL في Search Console لتسريع عملية إزالة عناوين URL الجديدة تمامًا وغير المرغوب فيها والظاهرة للمستخدمين والتي أنشأها المخترق ولا تريد أن تظهر في نتائج "بحث Google"
  • خيار الطلب من Google إعادة الزحف إلى عناوين URL الخاصة بك في Search Console لتسريع معالجة Google للصفحات النظيفة، أي الصفحات الجديدة أو التي تم تعديلها مؤخرًا، والتي تريدها أن تظهر ضمن نتائج "بحث Google".
  • تثبيت أحدث إصدار من البرنامج الأكثر أمانًا
  • إزالة التطبيقات أو المكوّنات الإضافية غير الضرورية أو غير المستخدَمة التي قد تجعل موقعك الإلكتروني أكثر عرضة للاختراق في المستقبل
  • استعادة المحتوى الجيد وإزالة محتوى المخترِق
  • إصلاح الثغرة الأمنية الأساسية التي استغلها المخترق
  • تغيير جميع كلمات المرور
  • التخطيط للحفاظ على أمان موقعك الإلكتروني

1. تحديد مكان موارد الدعم

إذا تم الحصول على معلومات المستخدمين السرية من موقعك الإلكتروني (على سبيل المثال، لأنّه كان جزءًا من هجوم تصيّد احتيالي)، ننصحك بالتفكير في أي التزامات تجارية أو تنظيمية أو قانونية قبل بدء تنظيف موقعك الإلكتروني أو حذف أي ملفات. وفي حالات التصيّد الاحتيالي، يحتوي antiphishing.org على موارد مفيدة مثل المستند ما يجب فعله إذا تم اختراق موقعك الإلكتروني من قِبل المتصيّدين الاحتياليين.

2. محاولة تسريع إزالة عناوين URL الجديدة التي أنشأها الهاكر

إذا كان المخترق قد أنشأ عناوين URL جديدة تمامًا ومرئية للمستخدم، يمكنك طلب إزالة هذه الصفحات بسرعة أكبر من نتائج "بحث Google" باستخدام ميزة إزالة عناوين URL في Search Console. وهذه الخطوة اختيارية. إذا حذفت الصفحات ثم أعددت الخادم لعرض رمز حالة 404، سيتم استبعاد الصفحات تلقائيًا من فهرس Google بمرور الوقت.

  • ويعتمد قرار استخدام "إزالة عناوين URL" على الأرجح على عدد الصفحات الجديدة غير المرغوب فيها التي تم إنشاؤها (قد يكون من الصعب تضمين عدد كبير جدًا من الصفحات في "إزالة عناوين URL")، بالإضافة إلى الضرر المحتمل الذي قد تتسبب فيه هذه الصفحات للمستخدمين. لمنع ظهور الصفحات التي تم إرسالها من خلال ميزة "إزالة عنوان URL" في نتائج البحث، تأكَّد من ضبط الصفحات أيضًا لعرض استجابة 404 لم يتم العثور على الملف لعناوين URL غير المرغوب فيها والمُزالة.
  • ولا تستخدم هذه الأداة لطلب إزالة أي صفحات كانت جيدة من قبل والتي تسببت فقط في إتلافها المخترق. ستريد أن تظهر هذه الصفحات في نتائج البحث بعد تنظيفها. لا تُستخدَم ميزة "إزالة عنوان URL" إلا للصفحات التي لا تريد أن تظهر في النتائج أبدًا.

3- محاولة تسريع معالجة Google للصفحات النظيفة

إذا كانت لديك صفحات نظيفة جديدة أو تم تعديلها، يمكنك الطلب من Google إعادة الزحف إلى عناوين URL في Search Console لإرسال هذه الصفحات إلى فهرس Google. وهذه الخطوة اختيارية، فإذا تخطيت هذه الخطوة، فمن المرجح أن يتم الزحف إلى الصفحات الجديدة أو المعدلة وأن تتم معالجتها بمرور الوقت.

4. بدء تنظيف الخادم (الخوادم)

حان الوقت الآن لبدء تنظيف موقعك الإلكتروني استنادًا إلى الملاحظات التي أخذتها أثناء تقييم الضرر و تحديد الثغرة الأمنية. يعتمد المسار الذي ستتّبعه في هذه الخطوة على نوع الخدمة الاحتياطية المتاحة لك:

  • نسخة احتياطية نظيفة وحديثة
  • نسخة احتياطية نظيفة ولكنها قديمة
  • عدم توفر نسخة احتياطية

أولاً، تحقّق من أنه تم إنشاء النسخة الاحتياطية قبل تعرض موقعك الإلكتروني للاختراق.

نسخة احتياطية نظيفة وحديثة

  1. نفِّذ استرداد النسخة الاحتياطية.
  2. ثبِّت أية ترقيات برامج أو تحديثات أو تصحيحات متوفرة. ويتضمن ذلك برامج نظام التشغيل إذا كنت تتحكم في الخادم، وجميع التطبيقات، مثل نظام إدارة المحتوى أو منصة التجارة الإلكترونية أو المكوّنات الإضافية أو النماذج.
  3. فكّر في إزالة البرامج التي لم يعد الموقع يستخدمها من خادمك (مثل الأدوات أو المكوّنات الإضافية أو التطبيقات) .
  4. صحح الثغرة الأمنية.
  5. تأكَّد من حلّ جميع المشاكل التي تم رصدها أثناء تقييم الضرر.
  6. غيِّر كلمات المرور مرة أخرى لجميع الحسابات المرتبطة بالموقع الإلكتروني (مثل عمليات تسجيل الدخول للوصول إلى بروتوكول FTP والوصول إلى قاعدة البيانات ومشرفي النظام وحسابات نظام إدارة المحتوى). وفي الأنظمة التي تعمل بـ Unix:
passwd admin1

نسخة احتياطية نظيفة ولكنها قديمة

  1. أنشئ صورة قرص لموقعك الإلكتروني الحالي حتى إذا كان لا يزال مصابًا. فهذه الصورة مجرد احتياط أمني. ضَع علامة على النسخة بأنّها مصابة لتمييزها عن غيرها. وبالنسبة إلى النظام الذي يعمل بـ Unix، يمكن أن يكون الاحتفاظ بنسخة على قرص كالتالي:
dd if=/dev/sda bs=1024 conv=noerror,sync | gzip -c -9 \
> /mirror/full-backup-20120125-infected.gz
  1. أنشئ نسخة احتياطية من نظام الملفات على الخادم، بما في ذلك الصور وملفات الوسائط. وإذا كانت لديك قاعدة بيانات، فاحتفظ بنسخة احتياطية من قاعدة البيانات أيضًا.
tar -pczf full-backup-20120125-infected.tar.gz www/
mysqldump
-u root -p --all-databases | gzip -9 \
> fulldb_backup-20120125-infected.sql
  1. استرد النسخة الاحتياطية النظيفة ولكنها قديمة على الخادم.
  2. ننصحك بالتفكير في إمكانية إزالة البرامج من خادمك (مثل التطبيقات المصغرة أو المكوّنات الإضافية أو التطبيقات) التي لم يعُد الموقع الإلكتروني يستخدمها.
  3. عليك ترقية جميع البرامج، بما في ذلك نظام التشغيل إذا كنت تتحكّم في الخادم، وجميع تطبيقات البرامج، مثل نظام إدارة المحتوى، ومنصّة التجارة الإلكترونية والمكونات الإضافية والنماذج. تأكد من فحص وتثبيت تحديثات الأمان والتصحيحات المتوفرة.
  4. صحح الثغرة الأمنية.
  5. أجرِ عملية diff للموقع الإلكتروني يدويًا أو بطريقة آلية بين النسخة الاحتياطية النظيفة والنسخة الحالية المصابة.
diff -qr www/ backups/full-backup-20120124/
  1. حمِّل أي محتوى جديد وخالٍ من الفيروسات تريد الاحتفاظ به من النسخة المصابة على الخادم الذي تمت ترقيته.
rsync -avz /backups/full-backup-20120124/www/clean-file.jpg /www/
  1. تأكد من تصحيح كل عنوان URL مدرج من تقييم الضرر.
  2. غيِّر كلمات المرور مرة أخرى لجميع الحسابات المرتبطة بالموقع الإلكتروني (على سبيل المثال، عمليات تسجيل الدخول للوصول إلى بروتوكول FTP والوصول إلى قاعدة البيانات ومشرفي النظام وحسابات نظام إدارة المحتوى). وفي الأنظمة التي تعمل بـ Unix:
$passwd admin1

عدم توفر نسخة احتياطية

احتفظ بنسختين احتياطيتين من موقعك على الرغم من أنه لا يزال مصابًا. سيساعدك الاحتفاظ بنسخة احتياطية إضافية في استرداد المحتوى الذي تم حذفه عن طريق الخطأ، أو سيتيح لك الرجوع إلى الإصدار السابق والمحاولة مجددًا في حال حدوث أي مشكلة. صنِّف كل نسخة احتياطية باستخدام العلامة "مصابة" للرجوع إليها في المستقبل.

ستتم الاستعانة بإحدى النسختين باعتبارها صورة على القرص أو "نسخة مستنسخة" من الموقع. يسهّل هذا التنسيق استعادة المحتوى. يمكنك ترك صورة القرص جانبًا للاستخدام في حالات الطوارئ. على نظام التشغيل Unix، استخدِم الرمز البرمجي التالي لإنشاء ملف رمز برمجي لجهاز تخزين.

dd if=/dev/sda bs=1024 conv=noerror,sync | gzip -c -9 \
> /mirror/full-backup-20120125-infected.gz

ستكون النسخة الاحتياطية الأخرى هي نسخة من نظام الملفات من خادمك، بما في ذلك الصور وملفات الوسائط. إذا كانت لديك قاعدة بيانات، احتفظ بنسخة احتياطية منها أيضًا.

tar -pczf full-backup-20120125-infected.tar.gz www/
mysqldump
-u root -p --all-databases | gzip -9 \
> fulldb_backup-20120125-infected.sql

إذا لم تكن لديك صورة على القرص، فقم بعمل نسختين احتياطيتين من قاعدة البيانات ونسختين احتياطيتين لنظام الملفات.

لتنظيف محتوى الموقع الإلكتروني في نسخة نظام الملفات الاحتياطية الجديدة (وليس الخادم نفسه)، اتّبِع الخطوات التالية:

  1. إذا تبيّن لك في التحقيق السابق أنّ أذونات الملفات كانت متساهلة جدًا، يمكنك تعديلها. احرص على إجراء ذلك على النسخة الاحتياطية، وليس على الخادم نفسه.
  2. في النسخة الاحتياطية أيضًا، يمكنك تنظيف جميع الملفات المرتبطة بعناوين URL التي تم اكتشاف أنّها مُخترَقة من تقييم الضرر. وقد تكون هذه الملفات ملفات إعداد الخادم أو JavaScript أو HTML أو PHP.
  3. احرص أيضًا على إزالة (عرض استجابة 404) للملفات الجديدة التي أنشأها المخترق، والتي ربما أرسلتها أو لم ترسلها باستخدام أداة إزالة عناوين URL في Search Console.
  4. صحح الثغرة الأمنية إذا كانت موجودة في الشفرة أو كلمات المرور المخترقة. وقد تساعدك مكتبات التحقق أو سجلات الأمان في التنفيذ.
  5. إذا كان موقعك الإلكتروني يتضمّن قاعدة بيانات، ابدأ بتنظيف السجلّات التي عدّلها المخترقون في نسختك الاحتياطية. قبل الانتهاء، تحقّق من المزيد من السجلّات للتأكّد من أنّ قاعدة البيانات نظيفة.
  6. غيِّر كلمات المرور مرة أخرى لجميع الحسابات المرتبطة بالموقع الإلكتروني (مثل كلمات مرور تسجيل الدخول للوصول إلى بروتوكول FTP والوصول إلى قاعدة البيانات ومشرفي النظام وكلمات مرور حسابات نظام إدارة المحتوى). في الأنظمة التي تعمل بـ Unix، استخدم الرمز التالي:
$passwd admin1

في هذه المرحلة، من المفترض أن تتضمّن النسخة الاحتياطية من موقعك الإلكتروني التي سبق أن أصيبت بالعدوى بيانات نظيفة فقط. احتفظ بهذه النسخة النظيفة جانبًا، ثم انتقل إلى الإجراء الخامس.

5- إزالة البرامج غير الضرورية

ننصحك بمراجعة ما إذا كان بإمكانك إزالة البرامج على خادمك، مثل التطبيقات أو التطبيقات المصغّرة أو المكوّنات الإضافية التي لم يعُد الموقع الإلكتروني يستخدمها. ويمكن أن يؤدي ذلك إلى زيادة الأمان وتبسيط الصيانة المستقبلية.

6- تنظيف جميع الخوادم

  1. نفِّذ تثبيتًا نظيفًا، وليس مجرد ترقية. يمكن أن تؤدي عمليات الترقية إلى الاحتفاظ بملفات من إصدار سابق. إذا بقي ملف مصاب على الخادم، من المرجّح أن يتم اختراق موقعك الإلكتروني مجددًا.
    • يجب أن يتضمّن التثبيت الجديد نظام التشغيل إذا كنت تتحكّم في الخادم وجميع تطبيقات البرامج، مثل نظام إدارة المحتوى ومنصّة التجارة الإلكترونية والمكونات الإضافية والنماذج. احرص على التحقّق من توفّر تحديثات الأمان ورموز التصحيح.
  2. نقل المحتوى الجيد من نسخة نظام الملفات الاحتياطية النظيفة إلى الخوادم التي تم تثبيتها حديثًا قم بتحميل واستعادة الملفات أو قاعدة البيانات النظيفة المعروفة فقط. احرص على الحفاظ على أذونات الملفات المناسبة وعدم استبدال ملفات النظام المثبَّتة حديثًا.
  3. أجرِ تغييرًا أخيرًا لكلمات المرور لجميع الحسابات ذات الصلة بالموقع (على سبيل المثال، بيانات تسجيل الدخول إلى بروتوكول نقل الملفات، والوصول إلى قاعدة البيانات، وحسابات مشرفي النظام، وحسابات نظام إدارة المحتوى). على أنظمة التشغيل المستندة إلى Unix، استخدِم الرمز البرمجي التالي:
passwd admin1

7- إعداد خطة صيانة طويلة المدى

ننصحك بشدة باتّباع الخطوات التالية:

  • احتفظ بنسخ احتياطية تلقائية ودورية من موقعك.
  • توخ الحذر باستمرار بشأن تحديثات البرامج.
  • عليك فهم ممارسات الأمان لجميع التطبيقات والمكونات الإضافية وغيرها من البرامج التابعة لجهات خارجية قبل تثبيتها على خادمك. يمكن أن تؤثّر ثغرة أمان في أحد تطبيقات البرامج في أمان موقعك الإلكتروني بالكامل.
  • افرض على المستخدمين سياسة لإنشاء كلمات مرور قوية.
  • يجب الحفاظ على أمان جميع الأجهزة المستخدَمة لتسجيل الدخول إلى الجهاز (نظام التشغيل والمتصفّح محدَّثَين).

8. التحقق جيدًا من اكتمال عملية التنظيف

تأكد من أنه يمكنك الإجابة بـ "نعم" على الأسئلة التالية:

  • هل اتّخذت الخطوات المناسبة إذا حصل المخترق على معلومات المستخدمين الشخصية؟
  • هل يعمل موقعي بأحدث نسخة من البرامج وأكثرها أمانًا؟
  • هل أزلت جميع التطبيقات أو الإضافات غير الضرورية أو غير المستخدَمة التي يمكن أن تؤدي إلى زيادة عرض موقعي الإلكتروني للاختراق في المستقبل؟
  • هل تم استعادة المحتوى الخاص بي وإزالة محتوى المخترِق؟
  • هل أصلحت نقطة الضعف التي تمثل السبب الرئيسي الذي سمح بالاستيلاء على موقعي؟
  • هل لدي خطة للحفاظ على أمان موقعي؟

يمكنك الآن إعادة موقعك الإلكتروني على الإنترنت.