إصلاح عمليات الاختراق باستخدام الكلمات الرئيسية والروابط التي تم إخفاء هويتها

تم إنشاء هذا الدليل خصيصًا لنوع من عمليات الاختراق التي تضيف صفحات مزدحمة بالكلمات الرئيسية غير المفهومة إلى موقعك الإلكتروني، وسنشير إليها باسم عملية اختراق الكلمات الرئيسية والروابط المخفية. تم تصميم هذا الدليل لمستخدمي أنظمة إدارة المحتوى (CMS) الشائعة، ولكنّه سيكون مفيدًا لك حتى إذا لم تكن تستخدم أحد هذه الأنظمة.

نريد التأكّد من أنّ هذا الدليل مفيد لك حقًا. يُرجى تقديم ملاحظاتك لمساعدتنا في تحسين الخدمة.

يؤدي الاختراق باستخدام الروابط والكلمات الرئيسية التي تم إخفاء هويتها إلى الإنشاء التلقائي لعدة صفحات تحتوي على نص وروابط وصور لا معنى لها. وتضم هذه الصفحات أحيانًا عناصر النموذج الأساسية من الموقع الإلكتروني الأصلي، لذا قد تبدو للوهلة الأولى أجزاءً عادية من موقعك الإلكتروني إلى أن تبدأ بقراءة المحتوى.

يتم إنشاء الصفحات المخترَقة للتلاعب بعوامل ترتيب Google. وغالبًا ما يحاول المخترقون تحقيق الربح من خلال بيع الروابط على الصفحات المخترَقة لجهات خارجية مختلفة. غالبًا ما ستعيد الصفحات المخترَقة أيضًا توجيه الزوّار إلى صفحة غير ذات صلة يمكن للمخترقين تحقيق الربح منها.

ابدأ بالاطّلاع على أداة مشاكل الأمان في Search Console لمعرفة ما إذا كانت Google قد اكتشفت أيًا من هذه الصفحات المخترَقة على موقعك الإلكتروني. في بعض الأحيان، يمكنك أيضًا العثور على صفحات مماثلة من خلال فتح نافذة "بحث Google" وكتابة site:_your site url_ مع عنوان URL على مستوى الجذر لموقعك الإلكتروني. سيعرض لك هذا الإجراء الصفحات التي فهرسها محرّك بحث Google لموقعك الإلكتروني، بما في ذلك الصفحات المخترَقة. تصفَّح بضع صفحات من نتائج البحث لمحاولة رصد أي عناوين URL غير عادية. إذا لم يظهر لك أي محتوى مُخترَق في "بحث Google"، استخدِم عبارات البحث نفسها مع محرّك بحث مختلف. في ما يلي مثال على الشكل الذي سيظهر به ذلك:

نتائج البحث التي تم إنشاؤها من خلال هذا الاختراق
تظهر الصفحات المخترَقة في نتائج "بحث Google".

عادةً، عندما تنقر على رابط يؤدي إلى صفحة تم اختراقها، سيتم إما توجيهك إلى موقع إلكتروني آخر أو ستظهر لك صفحة مليئة بمحتوى غير مفهوم. ومع ذلك، قد تظهر لك أيضًا رسالة تشير إلى أنّ الصفحة غير موجودة (مثل خطأ 404). احرِص على عدم الانخداع. سيحاول المخترقون خداعك ليظنّك أنّ الصفحة قد اختفت أو تم إصلاحها عندما تكون لا تزال مُخترَقة. ويقوم بذلك من خلال إخفاء المحتوى. تحقّق من استخدام الخداع من خلال إدخال عناوين URL لموقعك الإلكتروني في أداة فحص عنوان URL. تتيح لك أداة "الجلب مثل Google" الاطّلاع على المحتوى الأساسي المخفي.

إذا واجهت هذه المشاكل، من المرجّح أنّ موقعك الإلكتروني قد تعرّض لهذا النوع من الاختراق.

مثال لصفحة تم إنشاؤها من خلال هذا الاختراق
مثال على صفحة تم إنشاؤها باستخدام هذا الاختراق

إصلاح الاختراق

قبل البدء، أنشئ نسخة بلا إنترنت من أي ملفات قبل إزالتها، في حال احتجت إلى استعادتها لاحقًا. من الأفضل الاحتفاظ بنسخة احتياطية من موقعك الإلكتروني بالكامل قبل بدء عملية التنظيف. يمكنك إجراء ذلك من خلال حفظ جميع الملفات التي يتم تخزينها على خادمك في موقع خارج الخادم أو البحث عن أفضل خيارات الاحتفاظ بنسخة احتياطية لنظام إدارة المحتوى (CMS) الذي تستخدمه. إذا كنت تستخدم نظام إدارة محتوى، احتفظ أيضًا بنسخة احتياطية من قاعدة البيانات.

التحقّق من ملف .htaccess (3 خطوات)

يستخدم الاختراق باستخدام الروابط والكلمات الرئيسية التي تم إخفاء هويتها ملف .htaccess لإنشاء صفحات تم إخفاء هويتها تلقائيًا على موقعك الإلكتروني. يمكن أن يساعدك التعرّف على أساسيات .htaccess على الموقع الإلكتروني الرسمي لخدمة Apache في فهم كيفية تأثير الاختراق في موقعك الإلكتروني بشكل أفضل، ولكن هذا الإجراء ليس مطلوبًا.

الخطوة 1

حدِّد موقع ملف .htaccess على موقعك الإلكتروني. إذا لم تكن متأكّدًا من مكان العثور عليه وكنت تستخدم نظام إدارة محتوى مثل WordPress أو Joomla أو Drupal، ابحث عن "الموقع الجغرافي لملف ‎.htaccess" في محرّك بحث مع اسم نظام إدارة المحتوى. استنادًا إلى موقعك الإلكتروني، قد تظهر لك ملفات .htaccess متعددة. أنشئ قائمة بجميع مواقع ملفات .htaccess.

الخطوة 2

افتح ملف .htaccess لعرض المحتوى فيه. ابحث عن سطر رمز يبدو على النحو التالي:

RewriteRule (.*cj2fa.*|^tobeornottobe$) /injected_file.php?q=$1 [L]

يمكن أن تختلف المتغيرات المذكورة في هذا السطر، يمكن أن يتكوّن كل من cj2fa وtobeornottobe من أي مجموعة من الأحرف أو الكلمات. من المهم تحديد .php المُشار إليها في هذا السطر.

دوِّن ملف .php المذكور في ملف .htaccess. في المثال، تم تسمية ملف .php باسم injected_file.php، ولكن في الواقع لن يكون اسم الملف واضحًا إلى هذا الحد. وعادةً ما تكون مجموعة عشوائية من الكلمات غير المؤذية، مثل horsekeys.php أو potatolake.php. من المرجّح أن يكون هذا ملف .php ضارًا علينا تتبُّعه وإزالته لاحقًا.

الخطوة 3

استبدِل جميع ملفات .htaccess بنسخة نظيفة أو تلقائية من ملف .htaccess. يمكنك عادةً العثور على إصدار تلقائي من ملف .htaccess من خلال البحث عن "ملف .htaccess التلقائي" واسم نظام إدارة المحتوى الذي تستخدمه. بالنسبة إلى المواقع الإلكترونية التي تحتوي على ملفات .htaccess متعددة، ابحث عن نسخة نظيفة من كل ملف ونفِّذ عملية الاستبدال.

إذا لم يتوفّر ملف .htaccess تلقائي ولم يسبق لك ضبط ملف .htaccess على موقعك الإلكتروني، من المحتمل أن يكون ملف .htaccess الذي تعثر عليه على موقعك الإلكتروني ضارًا. احفظ نسخة من ملفات .htaccess بلا اتصال بالإنترنت في حال إزالة تلك الملفات من موقعك الإلكتروني.

العثور على الملفات الضارة الأخرى وإزالتها (5 خطوات)

قد يكون تحديد الملفات الضارة أمرًا صعبًا ويستغرق وقتًا طويلاً. يُرجى أخذ الوقت الكافي عند فحص ملفاتك. إذا لم يسبق لك ذلك، ننصحك بالاحتفاظ بنسخة احتياطية من الملفات على موقعك الإلكتروني. يمكنك إجراء بحث على Google عن "الاحتفاظ بنسخة احتياطية من الموقع الإلكتروني" واسم نظام إدارة المحتوى للعثور على تعليمات حول كيفية الاحتفاظ بنسخة احتياطية من موقعك الإلكتروني.

الخطوة 1

إذا كنت تستخدم نظام إدارة محتوى، عليك إعادة تثبيت جميع الملفات الأساسية (التلقائية) التي تأتي في الإصدار التلقائي لنظام إدارة المحتوى، بالإضافة إلى أي محتوى قد أضفته (مثل المظاهر والوحدات والمكونات الإضافية). يساعد ذلك في ضمان أنّ هذه الملفات خالية من المحتوى المخترَق. يمكنك إجراء بحث على Google عن "إعادة التثبيت" واسم نظام إدارة المحتوى للعثور على تعليمات إعادة التثبيت. إذا كان لديك أي مكوّنات إضافية أو وحدات أو إضافات أو مظاهر، احرص على إعادة تثبيتها أيضًا.

الخطوة 2

ابدأ بالبحث عن ملف .php الذي حدّدته في ملف .htaccess السابق. استنادًا إلى كيفية وصولك إلى الملفات على خادمك، من المفترض أن يكون لديك نوع من وظائف البحث. ابحث عن اسم الملف الضار. إذا عثرت على الملف، عليك أولاً إنشاء نسخة احتياطية منه وتخزينها في مكان آخر في حال احتجت إلى استعادتها، ثم حذفها من موقعك الإلكتروني.

الخطوة 3

ابحث عن أي ملفات ضارة أو ملفات تم اختراقها. من المحتمل أنّك سبق أن أزلت جميع الملفات الضارّة في الخطوتَين السابقتَين، ولكن من الأفضل تنفيذ هذه الخطوات القليلة التالية في حال توفّر المزيد من الملفات المُخترَقة على موقعك الإلكتروني.

لا داعي للقلق بشأن فتح كل ملف PHP والاطّلاع عليه. ابدأ بإنشاء قائمة بملفات PHP المريبة التي تريد التحقيق فيها. في ما يلي بعض الطرق لتحديد ملفات PHP المشتبه بها:

  • إذا سبق لك إعادة تحميل ملفات نظام إدارة المحتوى (CMS)، اطّلِع فقط على الملفات التي ليست جزءًا من ملفات أو مجلدات نظام إدارة المحتوى التلقائية. من المفترض أن يؤدي ذلك إلى استبعاد الكثير من ملفات PHP وتبقي لك حفنة من الملفات للاطّلاع عليها.
  • افرز الملفات على موقعك بحسب تاريخ آخر تعديل، ابحث عن الملفات التي تم تعديلها خلال بضعة أشهر من المرة الأولى التي اكتشفت فيها أنّ موقعك الإلكتروني قد تم اختراقه.
  • افرز الملفات على موقعك بحسب الحجم، وانظر في الملفات الكبيرة بشكل غير عادي.

الخطوة 4

بعد الحصول على قائمة بملفات PHP المريبة، تحقّق ممّا إذا كانت ضارة. إذا لم تكن على دراية بلغة PHP، قد تستغرق هذه العملية وقتًا أطول، لذا ننصحك بمراجعة بعض مستندات PHP. إذا كنت مبتدئًا تمامًا في مجال الترميز، ننصحك بالحصول على مساعدة. في الوقت الحالي، هناك بعض الأنماط الأساسية التي يمكنك البحث عنها لتحديد الملفات الضارة.

إذا كنت تستخدم نظام إدارة محتوى (CMS) ولا تعتاد تعديل هذه الملفات مباشرةً، قارِن الملفات على خادمك بقائمة الملفات التلقائية المضمّنة في نظام إدارة المحتوى وأي مكونات إضافية ومظاهر. ابحث عن الملفات التي لا تنتمي إلى مجموعة معيّنة، وكذلك عن الملفات الأكبر حجمًا من الإصدار التلقائي.

أولاً، راجِع الملفات المريبة التي سبق أن حدّدتها بحثًا عن مجموعات كبيرة من النصوص التي تحتوي على مزيج من الأحرف والأرقام التي تبدو مختلطة. يسبق عادةً مجموعة كبيرة من النصوص مجموعة من وظائف PHP مثل base64_decode أو rot13 أو eval أو strrev أو gzinflate. في ما يلي مثال على الشكل الذي قد يبدو عليه هذا الرمز البرمجي. في بعض الأحيان، سيتم إدراج كل هذا الرمز في سطر واحد طويل من النص، ما يجعله يبدو أصغر مما هو عليه في الواقع.

// Hackers try to confuse webmasters by encoding malicious code into
// blocks of text. Be wary of unfamiliar code blocks like this.

base64_decode
(strrev("hMXZpRXaslmYhJXZuxWd2BSZ0l2cgknbhByZul2czVmckRWYgknYgM3ajFGd0FGIlJXd0Vn
ZgknbhBSbvJnZgUGdpNHIyV3b5BSZyV3YlNHIvRHI0V2Zy9mZgQ3Ju9GRg4SZ0l2cgIXdvlHI4lmZg4WYjBSdvlHIsU2c
hVmcnBydvJGblBiZvBCdpJGIhBCZuFGIl1Wa0BCa0l2dgQXdCBiLkJXYoBSZiBibhNGIlR2bjBycphGdgcmbpRXYjNXdmJ2b
lRGI5xWZ0Fmb1RncvZmbVBiLn5WauVGcwFGagM3J0FGa3BCZuFGdzJXZk5Wdg8GdgU3b5BicvZGI0xWdjlmZmlGZgQXagU2ah
1GIvRHIzlGa0BSZrlGbgUGZvNGIlRWaoByb0BSZrlGbgMnclt2YhhEIuUGZvNGIlxmYhRWYlJnb1BychByZulGZhJXZ1F3ch
1GIlR2bjBCZlRXYjNXdmJ2bgMXdvl2YpxWYtBiZvBSZjVWawBSYgMXagMXaoRFIskGS"
));

في بعض الأحيان، لا يكون الرمز مختلطًا ويبدو مثل نص عادي. إذا كان لديك شكّ في أنّ الرمز البرمجي غير صحيح، يمكنك زيارة منتديات المساعدة الخاصة بمشرفي المواقع حيث يمكن لمجموعة من مشرفي المواقع ذوي الخبرة مساعدتك في مراجعة الملفات.

الخطوة 5

بعد أن عرفت الملفات المريبة، يمكنك إنشاء نسخة احتياطية أو نسخة محلية من خلال حفظها على جهاز الكمبيوتر، وذلك في حال لم تكن أي من الملفات ضارة، وحذف الملفات المريبة من موقعك الإلكتروني.

التحقّق مما إذا كان موقعك الإلكتروني خاليًا من البرامج الضارّة

بعد الانتهاء من التخلص من الملفات المخترَقة، تحقّق ممّا إذا كان جهدك قد أدّى إلى نتيجة إيجابية. هل تتذكر الصفحات غير المفهومة التي حدّدتها سابقًا؟ استخدِم أداة "الاستخدام كمحرّك بحث Google" على هذه الصفحات مرة أخرى لمعرفة ما إذا كانت لا تزال متوفّرة. إذا كانت الإجابة "لم يتم العثور عليه" في أداة Fetch as Google، من المرجّح أنّ موقعك الإلكتروني في حالة جيدة وأنّه يمكنك المتابعة وإصلاح الثغرات الأمنية فيه.

كيف يمكنني الحيلولة دون تعرض موقعي للاستيلاء مرة أخرى؟

يُعدّ إصلاح الثغرات الأمنية على موقعك الإلكتروني خطوة أساسية وضرورية لإصلاح موقعك الإلكتروني. أظهرت دراسة حديثة أنّ% 20 من المواقع الإلكترونية التي تم اختراقها يتم اختراقها مرة أخرى في غضون يوم واحد. كما كانت معرفة الطريقة التي تم بها الاستيلاء مفيدة. اطّلِع على دليل أهم الطرق التي يخترق بها أصحاب الأسلوب غير المرغوب فيه المواقع الإلكترونية لبدء التحقيق. إذا لم تتمكّن من معرفة كيفية اختراق موقعك الإلكتروني، إليك قائمة تحقّق بالإجراءات التي يمكنك اتّخاذها لمحاولة تقليل الثغرات الأمنية في موقعك الإلكتروني:

  • فحص جهاز الكمبيوتر بانتظام: استخدِم أي برنامج شائع لفحص الفيروسات للبحث عن الفيروسات أو الثغرات الأمنية.
  • تغيير كلمات المرور بانتظام: يمكن أن يؤدي تغيير كلمات المرور بانتظام في جميع حسابات موقعك الإلكتروني، مثل مقدّم الاستضافة وFTP ونظام إدارة المحتوى، إلى منع الوصول غير المصرح به إلى موقعك الإلكتروني. من المهم إنشاء كلمة مرور قوية وفريدة لكل حساب.
  • استخدام المصادقة الثنائية (2FA): ننصح بتفعيل المصادقة الثنائية على أي خدمة تتطلّب منك تسجيل الدخول. تصعِّب ميزة "التحقّق بخطوتين" على المخترقين تسجيل الدخول حتى إذا نجحوا في سرقة كلمة المرور.
  • تحديث نظام إدارة المحتوى (CMS) والمكوّنات الإضافية والإضافات والوحدات بانتظام: نأمل أن تكون قد نفّذت هذه الخطوة من قبل. يتم اختراق العديد من المواقع الإلكترونية لأنّه يتم تشغيل برامج قديمة عليها. علمًا بأن بعض أنظمة إدارة المحتوى تتيح التحديث التلقائي لها.
  • ننصحك بالاشتراك في خدمة أمان لمراقبة موقعك الإلكتروني: تتوفّر الكثير من الخدمات الرائعة التي يمكنها مساعدتك في مراقبة موقعك الإلكتروني مقابل رسوم بسيطة. ففكر في التسجيل فيها للحفاظ على موقعك آمنًا.

مراجع إضافية

إذا كنت لا تزال تواجه مشكلة في إصلاح موقعك الإلكتروني، إليك بعض المراجع التي قد تساعدك.

تفحص هذه الأدوات موقعك وربما يمكنها العثور على المحتوى المتسبب في المشكلة، هذا ولا يستخدم محرك بحث Google أو يتوافق مع أي من هذه الأدوات ما عدا VirusTotal.

هذه ليست سوى بعض الأدوات التي قد تتمكّن من فحص موقعك الإلكتروني بحثًا عن محتوى يتضمن مشاكل. يُرجى العِلم أنّه لا يمكن ضمان أن ترصد هذه الأدوات كل أنواع المحتوى الذي يتضمّن مشاكل.

في ما يلي بعض الموارد الإضافية من Google والتي يمكنها مساعدتك: