تنظيف الموقع وصيانته

للحفاظ على سلامة موقعك الإلكتروني ومنع عمليات الاختراق المستقبلية، ستحتاج إلى ما يلي:

  • وصول مشرف الواجهة أو الوحدة الطرفية إلى خوادم الموقع: الويب وقاعدة البيانات والملفات
  • معرفة بأوامر واجهة المستخدم أو أوامر الوحدة الطرفية
  • استيعاب الشفرة (مثل PHP أو جافا سكريبت)
  • سعة التخزين لإنشاء نسخ احتياطية من موقعك، بما في ذلك الملفات وقاعدة البيانات والصور

الإجراءات التالية

سنتناول عدة إجراءات في هذه الخطوة:

  • أين يمكنك العثور على موارد إضافية إذا كنت تعتقد أن المخترق كان يهدف إلى الحصول على المعلومات الشخصية للمستخدمين (كما هو الحال في صفحات التصيد الاحتيالي).
  • خيار استخدام إزالة عناوين URL في Search Console لتسريع عملية إزالة عناوين URL الجديدة وغير المرغوب فيها تمامًا والتي تكون مرئية للمستخدم وينشئها المخترق ولا تريدها أن تظهر ضمن نتائج بحث Google.
  • يمكنكم الطلب من Google إعادة الزحف إلى عناوين URL الخاصة بك في Search Console لتسريع معالجة Google للصفحات النظيفة، أي الصفحات الجديدة أو التي تم تعديلها مؤخرًا، والتي تريد أن تظهر ضمن نتائج "بحث Google".
  • تثبيت أحدث إصدار من البرامج وأكثرها أمانًا
  • إزالة التطبيقات أو المكوّنات الإضافية غير الضرورية أو غير المستخدَمة التي قد تجعل موقعك عرضةً أكثر في المستقبل.
  • استعادة المحتوى الجيد والقضاء على المحتوى للمخترِق.
  • إصلاح نقطة الضعف الجذرية التي استغلها المتطفل.
  • تغيير جميع كلمات المرور.
  • التخطيط للحفاظ على أمان موقعك.

1- العثور على موارد الدعم

إذا تم الحصول على معلومات سرية خاصة بالمستخدم من موقعك (على سبيل المثال، لأنّها كانت جزءًا من هجوم تصيّد احتيالي)، قد تحتاج إلى التفكير في أي مسؤوليات تجارية أو تنظيمية أو قانونية قبل البدء في تنظيف موقعك الإلكتروني أو حذف أي ملفات. وفي حالات التصيّد الاحتيالي، يحتوي الموقع الإلكتروني antiphishing.org على موارد مفيدة مثل المستند ما يجب فعله إذا استولى المتصيّدون على موقعك الإلكتروني.

2- محاولة تسريع إزالة عناوين URL الجديدة التي أنشأها الهاكر

فإذا أنشأ المخترق عناوين URL جديدة تمامًا ومرئية للمستخدمين، يمكنك طلب إزالة هذه الصفحات بسرعة أكبر من نتائج "بحث Google" باستخدام ميزة إزالة عناوين URL في Search Console. هذه الخطوة اختيارية. إذا حذفت الصفحات ثم هيأت الخادم لعرض رمز الحالة 404، سيتم إسقاط الصفحات من فهرس Google بشكل طبيعي بمرور الوقت.

  • يعتمد قرار استخدام أداة "إزالة عناوين URL" غالبًا على عدد الصفحات الجديدة غير المرغوب فيها التي تم إنشاؤها (قد يكون من الصعب تضمين عدد كبير جدًا من الصفحات في إزالة عناوين URL)، إلى جانب الأضرار المحتملة التي قد تتسبب فيها هذه الصفحات للمستخدمين. لمنع ظهور الصفحات التي تم إرسالها من خلال "إزالة عناوين URL" في نتائج البحث، تأكّد من ضبط الصفحات أيضًا بحيث تعرض الاستجابة 404 "لم يتم العثور على ملف" لعناوين URL غير المرغوب فيها والتي تمت إزالتها.
  • ولا تستخدم هذه الأداة لطلب إزالة أي صفحات كانت جيدة سابقًا التي أتلفها الهاكر فقط. سترغب في ظهور هذه الصفحات في نتائج البحث بعد تنظيفها. واستخدام "إزالة عناوين URL" مخصص فقط للصفحات التي لن تحتاج أبدًا إلى الظهور في النتائج.

3. محاولة تسريع معالجة Google للصفحات النظيفة

إذا كانت لديك صفحات نظيفة جديدة أو معدَّلة، يمكنك الطلب من Google إعادة الزحف إلى عناوين URL الخاصة بك في Search Console لإرسال هذه الصفحات إلى فهرس Google. ويُعدّ هذا الإجراء اختياريًا، لأنّه في حال تخطّي هذه الخطوة، من المحتمل أن يتم الزحف إلى صفحاتك الجديدة أو المعدَّلة ومعالجتها بمرور الوقت.

4- بدء تنظيف الخادم (الخوادم)

حان الوقت لبدء تنظيف موقعك استنادًا إلى الملاحظات التي تم تدوينها أثناء تقييم الضرر وتحديد الثغرة الأمنية. يعتمد المسار الذي ستتخذه في هذه الخطوة على نوع النسخة الاحتياطية المتاحة لديك:

  • نسخة احتياطية نظيفة وحديثة
  • نسخة احتياطية نظيفة ولكنها قديمة
  • عدم توفر نسخة احتياطية

أولاً، تحقق من أنه تم إنشاء النسخة الاحتياطية قبل اختراق موقعك.

نسخة احتياطية نظيفة وحديثة

  1. نفِّذ استرداد النسخة الاحتياطية.
  2. ثبِّت أية ترقيات برامج أو تحديثات أو تصحيحات متوفرة. ويتضمن ذلك برامج نظام التشغيل إذا كنت تتحكم في الخادم، وجميع التطبيقات، مثل نظام إدارة المحتوى، أو منصة التجارة الإلكترونية، أو المكوّنات الإضافية، أو النماذج.
  3. يمكنك إزالة البرامج التي لم يعد الموقع يستخدمها من الخادم (مثل الأدوات أو المكوّنات الإضافية أو التطبيقات) .
  4. صحح الثغرة الأمنية.
  5. تأكد من أنه تمت معالجة جميع المشكلات التي تم العثور عليها أثناء تقييم الضرر.
  6. غيِّر كلمات المرور مرة أخرى لجميع الحسابات ذات الصلة بالموقع الإلكتروني (مثل معلومات تسجيل الدخول للوصول إلى بروتوكول نقل الملفات والوصول إلى قاعدة البيانات ومشرفي النظام وحسابات نظام إدارة المحتوى). وفي الأنظمة التي تعمل بـ Unix:
passwd admin1

نسخة احتياطية نظيفة ولكنها قديمة

  1. احتفظ بنسخة على قرص من موقعك الحالي على الرغم من أنه لا يزال مصابًا. فهذه الصورة مجرد احتياط أمني. ضع علامة على النسخة تشير إلى أنها مصابة لتمييزها عن النسخ الأخرى. وبالنسبة إلى النظام الذي يعمل بـ Unix، يمكن أن يكون الاحتفاظ بنسخة على قرص كالتالي:
dd if=/dev/sda bs=1024 conv=noerror,sync | gzip -c -9 \
> /mirror/full-backup-20120125-infected.gz
  1. أنشئ نسخة نظام ملفات احتياطية من الخادم تتضمن الصور وملفات الوسائط. وإذا كانت لديك قاعدة بيانات، احتفظ بنسخة احتياطية من قاعدة البيانات أيضًا.
tar -pczf full-backup-20120125-infected.tar.gz www/
mysqldump -u root -p --all-databases | gzip -9 \
> fulldb_backup-20120125-infected.sql
  1. استرد النسخة الاحتياطية النظيفة ولكنها قديمة على الخادم.
  2. فكر في ما إذا كان بإمكانك التخلص من البرامج على الخادم (مثل الأدوات أو المكونات الإضافية أو التطبيقات) التي لم يعد الموقع يستخدمها.
  3. احرص على ترقية جميع البرامج، بما في ذلك نظام التشغيل إذا كنت تتحكم في الخادم، وجميع التطبيقات البرمجية، مثل نظام إدارة المحتوى، ومنصة التجارة الإلكترونية، والمكونات الإضافية، والنماذج. تأكد من التحقق من تحديثات الأمان والتصحيحات المتاحة وتثبيتها.
  4. صحح الثغرة الأمنية.
  5. نفِّذ موقع إلكتروني diff إما يدويًا أو آليًا، سواء كان ذلك بين النسخة الاحتياطية النظيفة والنسخة الحالية المصابة.
diff -qr www/ backups/full-backup-20120124/
  1. حمّل أي محتوى جديد ونظيف تريد الاحتفاظ به من النسخة المصابة على الخادم الذي تمت ترقيته.
rsync -avz /backups/full-backup-20120124/www/clean-file.jpg /www/
  1. تحقق من تصحيح كل عنوان من عناوين URL التي تم إدراجها في تقييم الضرر.
  2. غيِّر كلمات المرور مرة أخرى لجميع الحسابات ذات الصلة بالموقع الإلكتروني (على سبيل المثال، معلومات تسجيل الدخول للوصول إلى بروتوكول نقل الملفات (FTP) والوصول إلى قاعدة البيانات ومشرفي النظام وحسابات نظام إدارة المحتوى). وفي الأنظمة التي تعمل بـ Unix:
$passwd admin1

عدم توفر نسخة احتياطية

احتفظ بنسخ احتياطية من موقعك على الرغم من أنه لا يزال مصابًا. ذلك أن الاحتفاظ بنسخة احتياطية إضافية سيساعد في استرداد المحتوى الذي تم حذفه عن طريق الخطأ، أو يتيح لك التراجع وإعادة المحاولة إذا ساءت الأمور. صنِّف كل نسخة احتياطية باستخدام العلامة "مصابة" للرجوع إليها في المستقبل.

ستتم الاستعانة بإحدى النسختين الاحتياطيتين باعتبارها صورة على القرص أو "نسخة طبق الأصل" من الموقع. ويبسط هذا التنسيق استعادة المحتوى. ويمكنك ترك نسخة القرص جانبًا لحالات الطوارئ. على نظام مستند إلى Unix، استخدِم الرمز التالي لإنشاء نسخة من قرص:

dd if=/dev/sda bs=1024 conv=noerror,sync | gzip -c -9 \
> /mirror/full-backup-20120125-infected.gz

وستكون النسخة الاحتياطية الأخرى نسخة نظام ملفات من الخادم لديك، بما في ذلك الصور وملفات الوسائط. وإذا كانت لديك قاعدة بيانات، فاحتفظ بنسخة احتياطية من قاعدة البيانات أيضًا.

tar -pczf full-backup-20120125-infected.tar.gz www/
mysqldump -u root -p --all-databases | gzip -9 \
> fulldb_backup-20120125-infected.sql

إذا لم تكن لديك نسخة للقرص، فقم بعمل نسختين احتياطيتين من قاعدة البيانات ونسختين احتياطيتين من نظام الملفات.

لتنظيف محتوى الموقع على نسخة نظام الملفات الاحتياطية الجديد (وليس على الخادم نفسه)، قم بما يلي:

  1. إذا وجد تحقيقك السابق أن أذونات الملفات تتضمن قدرًا كبيرًا من التساهل، تابع وصححها. تأكَّد من تنفيذ ذلك على النسخة الاحتياطية وليس على الخادم نفسه.
  2. أيضًا على النسخة الاحتياطية، نظِّف جميع الملفات المقابلة لعناوين URL التي تم اكتشافها على أنها مخترَقة من تقييم الضرر. وقد تكون هذه الملفات ملفات تهيئة الخادم أو جافا سكريبت أو HTML أو PHP.
  3. احرص أيضًا على إزالة (عرض استجابة 404) بالنسبة إلى الملفات الجديدة التي أنشأها المخترق، والتي ربما تكون أرسلتها باستخدام أداة إزالة عناوين URL في Search Console أو لم ترسلها.
  4. صحح الثغرة الأمنية إذا كانت موجودة في الشفرة أو كلمات المرور المخترقة. وقد تساعدك مكتبات التحقق أو سجلات الأمان في التنفيذ.
  5. إذا كان موقعك يحتوي على قاعدة بيانات، ابدأ في تنظيف السجلات التي عدَّلها المخترقون في نسختك الاحتياطية. قبل أن تعتقد أنك انتهيت، قم بالتحقق من المزيد من السجلات للتأكد من أن قاعدة البيانات تبدو نظيفة.
  6. غيِّر كلمات المرور مرة أخرى لجميع الحسابات ذات الصلة بالموقع الإلكتروني (على سبيل المثال، معلومات تسجيل الدخول للوصول إلى بروتوكول نقل الملفات (FTP) والوصول إلى قاعدة البيانات وحسابات مشرفي النظام وحسابات أنظمة إدارة المحتوى). وفي الأنظمة التي تعمل بـ Unix، استخدِم الرمز التالي:
$passwd admin1

في هذه المرحلة، يجب أن تحتوي النسخة الاحتياطية من موقعك التي سبق أن كانت مصابة على بيانات نظيفة فقط. احتفظ بهذه النسخة النظيفة جانبًا، ثم انتقل إلى الإجراء الخامس.

5- إزالة البرامج غير الضرورية

فكر في ما إذا كان بإمكانك إزالة البرامج على الخادم، مثل الأدوات أو المكوّنات الإضافية، أو التطبيقات التي لم يعد الموقع يستخدمها. وهذا من شأنه زيادة الأمان وتبسيط الصيانة المستقبلية.

6- تنظيف جميع الخوادم

  1. نفِّذ تثبيتًا نظيفًا، وليس مجرد ترقية. يمكن أن تترك الترقيات ملفات من إصدار سابق. وإذا ظل هناك ملف مصاب على الخادم، فمن المرجح أن يتم اختراق موقعك مرة أخرى.
    • يجب أن يتضمّن التثبيت الجديد نظام التشغيل إذا كنت تتحكّم في الخادم، وجميع التطبيقات البرمجية، مثل نظام إدارة المحتوى، والنظام الأساسي للتجارة الإلكترونية، والمكوّنات الإضافية، والنماذج. فتأكد من التحقق من تحديثات الأمان والتصحيحات المتاحة.
  2. انقل المحتوى الجيد من نسخة نظام الملفات الاحتياطية النظيفة إلى الخادم(الخوادم) المثبت حديثًا. قم بتحميل واستعادة الملفات أو قاعدة البيانات المعروفة فقط. تأكد من الحفاظ على أذونات الملفات المناسبة ولا تستبدل ملفات النظام المثبتة حديثًا.
  3. غيِّر كلمات المرور الأخيرة لجميع الحسابات ذات الصلة بالموقع (على سبيل المثال، معلومات تسجيل الدخول إلى بروتوكول نقل الملفات والوصول إلى قاعدة البيانات ومشرفي النظام وحسابات نظام إدارة المحتوى). وفي الأنظمة التي تعمل بـ Unix، استخدِم الرمز التالي:
passwd admin1

7- إعداد خطة صيانة طويلة المدى

نوصي بشدة بإجراء ما يلي:

  • احتفظ بنسخ احتياطية تلقائية ودورية من موقعك.
  • توخ الحذر باستمرار بشأن تحديثات البرامج.
  • افهم ممارسات الأمان لجميع التطبيقات والمكونات الإضافية وغيرها من البرامج الخارجية قبل تثبيتها على الخادم. قد تؤثر ثغرة أمنية في أحد التطبيقات البرمجية على أمان موقعك الإلكتروني بأكمله.
  • افرض على المستخدمين سياسة لإنشاء كلمات مرور قوية.
  • حافظ على أمان جميع الأجهزة المستخدمة في تسجيل الدخول إلى الجهاز (نظام تشغيل ومتصفّح محدّث).

8- التحقق جيدًا من اكتمال عملية التنظيف

تأكد من أنه يمكنك الإجابة بـ "نعم" على الأسئلة التالية:

  • هل اتخذت الخطوات المناسبة إذا حصل المخترق على المعلومات الشخصية للمستخدمين؟
  • هل يعمل موقعي بأحدث نسخة من البرامج وأكثرها أمانًا؟
  • هل أزلت جميع التطبيقات أو المكوّنات الإضافية غير الضرورية وغير المستخدمة التي قد تجعل موقعي أكثر عرضة في المستقبل؟
  • هل استرددت المحتوى وتخلصت من محتوى المخترِق؟
  • هل أصلحت نقطة الضعف التي تمثل السبب الرئيسي الذي سمح بالاستيلاء على موقعي؟
  • هل لدي خطة للحفاظ على أمان موقعي؟

يمكنك الآن إعادة عرض موقعك الإلكتروني على الإنترنت.