web

فايروسات المواقع مالها وما عليها

من منا لم يسمع بفيروسات المواقع خصوصاً مدراء المواقع, الدعم الفني, مدراء الشبكات والسيرفرات  .. ولكن حسب البحث الذي اجريتة في الثلاث ايام الماضية ان الاغلبية منا لا يعلم ماهية الفيروسات هذه  وخصوصاً لماذا وكيف تصيب الموقع .. وهذا هوا سوف يكون موضوعنا لليوم, سوف اتحدث عن فيروسات المواقع بشكل عام وليس حصر على فيروس معين, طريقة عملها بشكل عام, مدى خطورتها, طرق التخلص منها في حال الوقوع بها, وبعض الطرق البسيطة لتجنب الوقوع به.

فيروسات المواقع بشكل عام

ان فيروسات المواقع هية من المشاكل الكبرى التي تواجة مدراء المواقع فقبل ان تكون خطرة على الزوار هية ايضاً تشكل خطورة وعامل من عوامل تدني مستوى الموقع ان كان موقع صغير او موقع كبير, وعلى سبيل المثال لنفرض انك قمت بالدخول إلى موقع معين يوجد بداخلة فايروس وكتشفت الفايروس ,السؤال هنا هل سوف تعود للموقع؟ اترك الاجابة لك ..

تكلمنا على المواقع ومدراء المواقع ولكن ماذا عن الزوار ومستخدمين الموقع, ببساطة اعتقد ان الجميع لايرغب في ان يكون حاسوبة عبارة عن متجر فيروسات ولا اعتقد اين منا يحب المواقع التي يتواجد بها الفيروسات والتي تشكل خطر على الجميع من محررين الموقع إلى الزوار .. ولعل الجميع يعلم بمشاكل المنتديات المختصة بالهاكرز والكراكرز فكل ما حملت مرفق او ملف تجد بداخلة فايروس, تجد بعض الاعضاء يتعمد التسجيل بأكثر من عضوية بالمواقع الكبرى ويكتب اكثر من موضوع وكلها تحتوي على مرفقات والمرفقات هذي تحتوي على فيروسات, تروجانات وغيرها .. بالطبع هدف الشخص هذا هو تدمير واختراق اكبر قدر من الاجهزة خصوصاً اجهزة (البنات) لأنها بالعادة تحتوي على كم اكبر من المعلومات الشخصية. كما ان 70% من فيروسات المواقع هدفها عبارة عن سبام/دعاية.

كيف تعمل

بالعادة جميعها لها طريقة واحدة في العمل, وتعمل على الشكل التالي

لنفرض انك مدير موقع وقمت بزيارة موقع مصاب بهذا الفايروس (ومضاد الفيروسات لديك لم يكتشف الفايروس) اذن سوف يتم تحميل الفايروس على جهازك مع تشغيل نفسة (ان كنت تستخدم نظام ويندوز فقط) .. وبعد هذا قمت بالدخول إلى حساب الـ FTP الخاص بموقعك في هذه الحالة سوف يقوم الفايروس برفع ملف images.php – gifimg.php او غيرها بداخل مجلدات معينة مثل style/s – image/s – photo/s – avatar/s واي اسم يدل على صور (قد يتم تطوير الفايروس لكي يزرع نفسة في مجلدات اخرى

بعد ان يقوم برفع الملف على الموقع, يقوم الفايروس بزرع كود JavaScript بداخل اغلب ملفات الموقع والتي تحمل أمتدادات كـ php, html, htm, js, jsp

في ملفات js, jsp يزرع نفسة بأخر او اسفل الملف .. أما ملفات htm, html فهو يزرع نفسة قبل بداية الوسم Body واخيراً في ملفات php يزرع نفسة قبل بداية كود الصفحة, بداخل وسمين بداية ونهاية الـ php

من الممكن ايضاً ان تنتقل إلى بقية المواقع على السيرفر ان كانت اعدادات السيرفر تسمح بذالك, ولكن أغلب السيرفرات في الوقت الحالي لا تسمح بذالك

برأيي ان اكثر من يتسبب في انتشار هذه الفيروسات هم موظفين الدعم الفني في الشركات بحيث في العادة يدخلون على أكثر من موقع بشكل يومي من FTP إلى cPanel ..الخ ,, وبالطبع ان كان جهاز الموظف غير محمي فسوف يحمل الفايروس على جهازة وتنتقل الفيروسات إلى المواقع السليمة وعندما يزور الموقع (مدير موقع) وجهازة ليس محمي فسوف ينتقل الفايروس إلى موقعة وبقية المواقع التي لة صلاحيات عليها وهكذا ..

ايضاً يجب ان نعلم ان أغلب هذه الفيروسات تقوم بسرقة بيانات الموقع وهنا اقصد بيانات مستخدم / مالك الموقع.

مدى خطورتها

في الوقت الحالي اعطيها 70% لأن كما قلت سابقاً أن لهذه اللحضة هدف هذه الفيروسات هوا الدعاية والسبام, ولكنها في الحقيقة كالنقبلة المؤقتة من الممكن ان تغير مسار عملها خلال ثواني وتصبح عدوانية جداً جداً وهذا يعتمد على المتحكم بالفايروس!

بعض الطرق للتخلص منها

  • تنضيف الموقع
    • قم بتغيير باسورد الموقع باسرع وقت ممكن.
    • قم بالبحث عن الملفات الغريبة واخر الملفات التي تم رفعها على الموقع وقم بحذف الملفات الغريبة كـ GIFIMG.PHP.
    • قم باستبدال جميع ملفات موقعك بملفات نضيفة, او قم بتنضيفها بشكل يدوي ان لم تكن تملك نسخة نضيفة منها.
    • ابحث في القوالب و الاستايلات  (خصوصاً المنتديات)، في حالة عثرت على الكود الخبيث قم بحذفة من القالب او الاستايل.
  • تنضيف الجهاز
    • استخدم مضاد فيروسات جيد (انصحك باستخدام avast! النسخة المنزلية المجانية).
    • قم بتحديث قاعدة الفيروسات.
    • قم بعمل بحث كامل للجهاز وجميع الملحقات الاخرى (الفلاش, هارد ديسك خارجي, مشغل mp3 ..الخ).

عن تجربة مضاد الفيروسات avast! النسخة المنزلية المجانية تقوم بأمساك جميع هذه الفيروسات فالبرنامج لدية قاعدة فيروسات قوية جداً..!

بعض النصائح للوقاية منها

  • استخدم متصفح الانترنت فايرفوكس
  • استخدم اضافة NoScript الخاصة بمنع الـ JavaScript
  • استخدم مضاد فيروسات جيد (انصحك باستخدام avast! النسخة المنزلية المجانية) + تحديث مستمر لقاعدة الفيروسات + بحث شامل كل يومين او ثلاثة ايام
  • لا تقم بالتحميل من اي مواقع مشبوهة
  • استخدم برنامج DownLoad Manager او أي مدير تحميل جيد
  • عندما تصلك رسالة بالماسنجر من شخص (غير متصل)  ويكون محتوى الرسالة  عبارة عن رابط و ابتسامة مثل هذه 🙂 ,, انتبة ان تقوم بالضغعط على هذا الرابط .. حتى وان كان من شخص متصل فقد يكون الرابط عبارة عن خدعة ,, رابط تغيير كلمة سر البريد الالكتروني ..الخ وهذا يعرف بالهندسة الاجتماعية ,, وقد يكون موقع يحتوي على فايروس ..الخ

واخيراً نتمنى ان هذه الاعمال الطفولية ان تزول

اطيب تحية, مصطفى البازي.

📮 المتابعة عبر البريد الالكتروني

عند الاشتراك سيصلك جديد منشوراتي ومقالاتي على ايميلك. لا يتم نشر اي اعلانات ابدًا، فقط المقالات التي انشرها هنا في مدونتي هذه.

‎التعليقات‫:‬ 19 On فايروسات المواقع مالها وما عليها

  • I Lost Thirty Pounds in Thirty Days

    Interesting Post, Thanks.

  • موضوع مفيد جدا جزاك الله خير 😎

  • موضوع جميل ومفيد

    بارك الله فيك أخي مصطفى

  • @ربيع
    جزانا واياك.

    @مصطفى
    انت الاجمل اخي مصطفى.

  • Thank you verey much for the beneficial informatin .

    thanks.. good look

  • الله يعطيك العافيه اخوي مصطفى

  • السلام عليكم ورحمة الله وبركاته:
    اول مرة ازور المدونة, بصراحة مواضيعك شيقة ومفيدة, واجهتني المشكلة اعلاه, لم اتخلص منها الا بعد منع كافات حسابات FTP من السيرفر, سؤالي كيف يمكنني من السكربت الخبيث من التنقل بين المجلدات داخل السيرفر؟؟؟ تقبل تحياتي

  • أيمن العوادي :

    السلام عليكم ورحمة الله وبركاته:
    اول مرة ازور المدونة, بصراحة مواضيعك شيقة ومفيدة, واجهتني المشكلة اعلاه, لم اتخلص منها الا بعد منع كافات حسابات FTP من السيرفر, سؤالي كيف يمكنني من السكربت الخبيث من التنقل بين المجلدات داخل السيرفر؟؟؟ تقبل تحياتي

    UN:F [1.4.8_745]
    Rating: 0.0/5 (0 votes cast)

    وعليكم السلام. اهلاً بك في مدونتي اخي العزيز
    بخصوص سؤالك بصراحة لم افهمة جيداً ولكن الذي فهمتة هوا انك تقصد كيف للفايروس التنقل بين المواقع الموجودة على الخادم.

    الجواب: الفايروس لا يستطيع التنقل من موقع إلى اخر حتى وان كانو على نفس السيرفر. والبعض يقول من خلال /tmp ولكن هذا خطأ.
    يستطيع التنقل من موقع إلى اخر (على نفس السيرفر) ولكن بشروط معينة فقط, اي يجب ايقاف اغلب او جميع وسائل الحماية!.

    اذا كان سؤالك يقصد شيء اخر, ارجو التوضيح.
    🙂

  • مشكور اخوية العزيز مصطفى , كنت اقصد كيف يمكن للكود الخبيث التنقل عبر مجلدات المواقع على نفس السيرفر علماً ان السيرفر هو يونكس وكما اعلم انه لا يمكن لاي ملف كان من الانتقال الا ان يكون له صلاحيات معينة, ايضاً ما هي الشروط التي قصدتها في ايقاف وسائل الحماية وكيف يمكنني تغيرها, تقبل تحياتي

  • @أيمن العوادي
    كما قلت سابقا يحدث هذا في ضروف معينة ..
    ان يكون الفايروس هوا قادر على فعل ذالك, سوف يستطيع تغيير الملفات التي يستطيع التعديل عليها فقط وهنا مسألة صلاحيات,

    ولكن ان كان الفايروس يعمل بالروت في هذه الحالة لن يوقفة شيء ..
    وهذا الخطأ الذي ارتكبة البعض ان نقل الفايروس إلى سيرفرة وهوا روت .. ومن ثم يقول الفايروس قادر على التنقل !!

    الحماية الي اقصد بها هي الحماية الافتراضية في لينكس (حماية اليوزرات, اسلوب المجلدات, اسلوب التأكد من الهوية قبل تعديل الملفات) وكثر امور وكلها تقف ضد هذا الفايروس ايضا هنالك طرق يتم عملها في سيرفرات الاستضافة وهية منع اليوزرات من التنقل بين المواقع والسيف مود مثلا .. هية ليس شيء كبير في الحماية ولكن اذا قرنا حمايتها مع هذه الفايروسات فهية ممتازة!

شاركني برأيك