1 1 1 1 1 1 1 1 1 1 امتیاز 0.00 (0 رای)
جوملا یا وردپرس من هک شده ! اولین اقدامات بعد از هک سایت

یکی از موارد مهم در سایت های جوملا و وردپرس داشتن امنیت آن سایت می باشد ، اگر امنیت سایت پایین باشد و یا حتی روی امنیت سایت کار نشود ، سایت می تواند هک شود و زمانی هم که سایت هک شد دیگر آن سایت اعتبار خود را از دست می دهد . پس چه خوب است قبل از هک شدن روی امنیت سایت خود کار کنیم و امنیت را بالا ببریم . این روزها خیلی از کسانی را می بینیم که سایتشان هک شده است و اولین سوالی که برای آنها پیش می آید که چکار کنیم ! امروز سایت جوم آریا این مقاله را برای شما آماده کرده است .

سایت جوملایی یا وردپرسی من هک شده ! چکار کنم؟

زمانی که سایت شما هک می شود . ممکنه یه صفحه سفید یا پس زمینه تیره با پرچم کشور هکر، لینکها/تبلیغات غیرعادی و مرموز رو در قسمت پایین ببینید یا شاید سایتتون به یک سایت دیگه (که مال شما نیست) ریدایرکت میشه. اگر خوش شانس باشین، از طرف پشتیبانی هاستتون یه اخطاری می آد که میگه شما فایلهای آلوده دارید. یه واقعیت نگران کننده درباره سایتی که با CMS اجرا میشه اینه که این سایتها گاهی اوقات هک میشن. ما دقیقا میدونیم این قضیه چقدر میتونه برای شما و مشتریانتون استرس زا باشه. یه کابوس واقعی!

یه سری مراحل عملی هست که می تونین برای رفع مشکل هک و جلوگیری از وقوع مجدد اون انجام بدید . چکار می کنید اگه سایت شما هک شده باشه و چطور مشکل یه سایت جوملایی هک شده رو برطرف میکنید.

به احتمال زیاد هکرها یک صفحه Deface  روی وب سایت شما آپلود کردند که معمولا این صفحه در فایل های index.html و یا index.php و یا شاید در سورس قالب سایت درج شده باشد، برای اینکار بهتره از طریق File Manager به سراغ فایل های هاست برویم و آنها را بر اساس تاریخ مرتب کنیم، از این طریق متوجه می شویم که چه فایل ها و یا پوشه هایی در زمان آخر تغییر کرده اند و می توانیم آنها رو حذف و یا به حالت اولیه برگردانیم.

بعد از اینکار بهتراست به سراغ قسمت Last Visitors یا  Last Edit برویم، در اینجا شاید بتونیم ردی از آدرس هایی که هکر طی کرده تا سایت رو هک کنه پیدا کنیم، اگر مورد مشکوکی دیده شد می توانیم قسمتی که از نظر امنیتی مشکل دارد را بررسی کنیم و آن را سریع رفع کنیم.

ممکن است  هکر فایل های آلوده ای رو با استفاده از حفره های امنیتی موجود سایت بر روی هاست ما آپلود کرده باشد که باید این فایل ها را هم حتما از هاستمان حذف کنیم. برای اینکار باز هم بر اساس تاریخ اصلاح و تغییر فایل ها و پوشه ها می توانیم رد اونها را پیدا کنیم. فایل های error_log هم ممکن است  ردی از عملیات اجرا شده هکر برجای گذاشته باشند، یعنی امکان دارد خطاهایی از محل هایی که هکر به آن ها سرک کشیده در این فایل ها موجود باشد.

 وردپرس و جوملا معمولا هسته محکمی دارند اما الحاقات این نرم افزار ها مانند کامپوننت ها یا افزونه ها و قالب ها مشکلات فراوانی دارند. بهتراست همیشه از افزونه ها و الحاقات کمتر و مطمئن تری استفاده کنیم ضمن اینکه بیشتر الحاقات و قالب های کرک شده، خود حاوی فایل های آلوده و قابل نفوذ هستند. پس همیشه سیستم مدیریت محتوای خود و افزودنی های آن را بروز نگه دارید .

بک آپ کامل از سایت بگیرید

حتی با وجود کدهای مشکوک درون سایت، از سایتتون بک آپ بگیرید – هر نوع کپی میتونه ارزشمند باشه. مطمئن بشید از دیتابیس سایتتون هم بک آپ گرفتید. این کپی کامل باید روی هارد کامپیوترتون باشه. این مرحله باید نخستین اولویت شما باشه.

وبسایت خود را اسکن کنید

ما حتما به شما پیشنهاد می کنیم که با استفاده از ابزار های آنلاین زیر، سایتتون رو اسکن کنید:

https://www.virustotal.com
https://app.webinspector.com
http://www.quttera.com
https://sitecheck.sucuri.net
http://www.isithacked.com

 از آدرس زیر هم بازدید کنین و به جای YouSite.com ، آدرس سایت خودتون رو بذارید.

http://www.google.com/safebrowsing/diagnostic?site=http://YourSite.com

نکته مهم ! هیچکدوم از این اسکنرهای آنلاین نمی تونن کل ساختار فولدر/فایل CMS شما رو اسکن کنن – یعنی این ابزار همیشه پیغام هشدار را به شما نشون نمیدن. در این صورت، می تونین ۹۹% مطمئن باشین که یه اشکالی تو وبسایت شما وجود داره، یه کد یا فایل مخربی داخل سایت شما پنهان شده است . این یعنی اینکه سایتتون، حداقل چند روز، چند هفته یا چند ماه پیش آسیب دیده است .

اسکن امنیتی وب سایت

این مرحله مهمتر است: همه فایلهای کپی اخیر وبسایت (بک آپ) رو با استفاده از ابزارهای ضد بدافزار anti-malware (PC/Mac/Linux) اسکن کنین:

  • Malwarebytes Anti-Malware (رایگان)
  • ClamAV (رایگان)

آنتی ویروسهای قبلا نصب شده رو هم اسکن کنین.

threat scan Malware

بخصوص اگه ابزار کامپیوترتون یه چیزی رو پیدا کرد، نه تنها فایلهای لوکال، بلکه فایلهای روی هاستینگ رو هم حذف کنین.

اسکنر ویروس سی پنل

اجرای اسکنر ویروس سی پنل همیشه مفیده و توصیه میشه، می تونین اینکارو حتی به عنوان اولین مرحله چک آپ انجام بدین. اسکنر ویروس در سی پنل هاستینگ، در جستجوی ویروس، اسبهای تروجان، بدافزار و تهدیدهای دیگه هست. از گزینه « Scan Public Web Space» استفاده کنین – که دایرکتوری public_html تو حساب کاربریتون (اکانت) رو اسکن میکنه و بدنبال فایلهای آلوده وبسایت هست. اگه فایلهای زیادی تو دایرکتوری داشته باشین، ممکنه اتمام اسکن یه مدت (عمدتا حدود ۳-۱۰ دقیقه) طول بکشه.

اگه اسکن ویروس، فایلی آلوده رو پیدا کنه، می تونین مشخص کنین با اون فایلها چکار کنین:

  • فع آلودگی (Disinfect): وقتی این گزینه انتخاب میشه، اسکنر ویروس، محتوی مضر رو از فایل خارج یا حذف میکنه.
  • قرنطینه (Quarantine) : وقتی این گزینه انتخاب میشه، اسکنر ویروس، فایل رو به دایرکتوری قرنطینه انتقال میده.
  • انهدام (Destroy) : وقتی این گزینه انتخاب میشه، اسکنر ویروس، فایل آلوده رو حذف میکنه. یعنی باید بعدا یه فایل جدید رو از پکیج تمیزی آپلود کنین.
  • نادیده گرفتن(Ignore) : وقتی این گزینه انتخاب میشه، اسکنر ویروس، فایل آلوده شده رو بدون تغییر رها میکنه.

در انتها، از هاستتون بخواهید سایتتون رو برای فایلهای آلوده دیگه اسکن کنه. بسیاری از هاستها، لیستی از فایلها رو ارائه میدن، هر چند تعداد کمی از اونها، راهنمایی زیادی درباره رفع مشکل میکنن. هر نوع فایل آلوده ای رو پاک کنین. اگه مطمئن نیستین آیا این فایل اصلی جوملا هست یا نه، فقط فایل رو باز کنین و اونو با پکیج نصب یا افزونه پاک جوملا مقایسه کنین. اگه مطمئن نیستین، همه فایلها رو حذف کنین چون کل فایلهای اصلی جوملا رو میشه به آسونی جایگزین کرد.

از دسترس خارج کردن سایت

روش آفلاین کردن وب سایت

برای جوملا : باید حالت آفلاین رو برای هر بازدیدکننده فعال کنید. می تونین اینکارو تو جوملا از مدیریت و از طریق FTP انجام بدین. ما پیشنهاد می کنیم از روش دوم استفاده کنین. فایل configuration.php تو فولدر روت جوملا رو پیدا کنین و با استفاده از ادیتور HTML بازش کنین و یه خط رو تغییر بدین:

از public $offline = ‘0’؛

به public $offline = ‘1’

در ضمن می تونین متن داخل offline_message رو یه کم تغییر بدین، می تونین تلفن تماس شرکت و شرح طولانی تر مشخصات شرکتتون رو برای یه دوره موقتی اضافه کنید .

برای وردپرس : در وردپرس با افزونه های مانند SeedProd و WP Maintenance Mode  می توانید وب سایت خود را به صورت موقت غیرفعال کنید . 

بلاک آی پی

احتمالا راه حل بعدی بهتره: سایتتون رو غیرفعال کنین و فقط از طریق آدرسهای آی پی خاص خودتون اجازه دسترسی داشته باشین. بدین ترتیب، سایتتون رو برای همه غریبه ها قرنطینه می کنین به طوری که هکرها نمی تونن فایلها و دیتابیس جوملای شما رو ادیت کنن! گذشته از اینها، موتورهای جستجو (گوگل، بینگ) ممکنه سایتتون رو بلاک کنن و پیغامهای هشدار رو نشون بدن ، پس اگه می تونین مشکل رو از راه دیگه ای حل کنین، از این کار اجتناب کنین. ساده ترین راه، ادیت کردن فایل .htaccess و اجازه دسترسی فقط از طریق آدرس آی پی خودِ شماست. از دو خط کد زیر استفاده کنید

deny from all

allow from YOUR_IP_ADDRESS


*به جای YOUR_IP_ADDRESS، آدرس آی پی خودتون رو بذارید، می توانید از آدرس زیر برای دریافت آی پی خود استفاده کنید:

www.whatismyip.com

معرفی افزونه های امنیتی برای وردپرس جوملا

افزونه های امنیتی جوملا

افزونه های خوبی برای امنیت جوملا ارائه شده اند ، افزونه هایی که با کمک آنها می توانید به آسانی وب سایت خود را اسکن کنید ، خوبی این افزونه ها این است که مدام آپدیت می شوند و همیشه طبق الگوریتم ها امنیتی بروزرسانی می شوند . افزونه های از قبیل : RS Firewall و Securitycheck Pro و Admin Tools Pro هستند که از بین آنها Rs Firewall بسیار قوی و قدرتمند می باشد .

افزونه های امنیتی وردپرس

وردپرس یکی از محبوب ترین cms در جهان است و همچنین پر استفاده ترین سیستم مدیریت محتوا در جهان است ، به نقل از یک سایت امنیتی در چند سال پیش سیستم مدیریت محتوایی که هک شدند 70 درصد آنها وردپرس بودند . این سیستم محبوب پلاگین های امنیتی زیادی دارد که بهترین های آنها عبارتند از : Wordfence و iThemes Security و All in one wp security & firewall و WP Defender و hide my wp که می توانید از افزونه ها برای اسکن فایل و کدهای مخرب نیز استفاده کنید .

اسکن دستی از طریق FTP

این مرحله، یکی از سخت ترین بخشهاست و موفقیت شما میتونه بستگی به تجربه، توجه و دقت شما داشته باشه.

ابتدا، فولدرهای : /tmp , /cache, /images رو به همراه ساب فولدرها از نظر وجود فایلهای php چک کنین. فایلهای پیداشده رو بدون هیچ تردیدی حذف کنین.

فایلهای بدخواه میتونن در عمق ساختار دایرکتوری مخفی بشن و ممکنه شبیه فایلهای معمولی باشن. هکرها اکثر اوقات فایلهای بیشتری رو که شبیه اسم فایل اصلی معروف هستند، اضافه می کنن و نادیده گرفتن این فایلها کار ساده ای هست. این گونه فایلها عبارتند از:

Adm1n.php

admin2.php

contacts.php

cron.css

css.php

do.php

hell0.php

solo.php

x.php

test.php or test.html or tests.php

uploadtest.html etc.

اگر این فایلها رو پیدا کردید، میتونین حتی بدون چک کردن کد داخل اونها، فایلها رو حذف کنین.

ثانیا، در جستجوی فایلهایی باشین که حاوی base64 هستن (و عموما مورد استفاده هکرها می باشن) اما بخاطر داشته باشین که کدهای base64 و eval در چندین کامپوننت /پلاگین سالم نیز استفاده می شوند. بیشتر هکرهای باهوش، همیشه فایل ممکن کننده ورود رو در اول کار آپلود می کنن. این کار به اونها اجازه میده تا حتی پس از اینکه شما فایل های مخرب رو حذف کردین، دوباره به سایت شما دسترسی پیدا کنن. اگه درون فایلها، کد مشکوکی رو پیدا کردین، لطفا از خدمات آنلاین رایگان UnPHP (PHP Decoder) برای تحلیل کد بدخواه و مبهم شده PHP استفاده کنین. این قابلیت، روشهای مبهم سازی ساده ای رو بررسی و هندِل می کنه که توابعی زنجیره ای مانند eval(), gzinflate(), str_rot13(), str_replace() و base64_decode() را استفاده می کنند. حتی اگه کل کد، از این طریق پیدا نشه، به هر حال این روش مفید هست.

به خاطر داشته باشین: کد بدخواه اغلب توسط توابع PHP مانند substr eval gzinflate, base64_decode and preg_replace و همه توابع مرتبط با عبارات منظم پوشانده می شود.

از برنامه کامپیوتری استفاده کنین که بهتون اجازه میده تا عبارت توی فایل رو جستجو کنین، بدین ترتیب شما می تونین مثلا فایلهای عمدتا مخفی شده توسط هکر(ها) رو پیدا کنین:

base64_decode(

یا

if (md5($_POST

یا

$password=@$_REQUEST['password']

یا

$action=@$_REQUEST['action']

یا

preg_replace("/.*/e"

نمونه فایلهای « fake/redirect» آپلودشده توسط یک هکر

fake file

fake2 file

hacked template

در بیشتر موارد، فایلهای جدید، شامل داده های فایل جدید خواهند بود – بنابراین شما می توانید اون ها رو با بررسی داده های آپلود شده در یکی دو روز یا ساعت اخیر که توسط خود شما یا همکارتان آپلود نشده اند، پیدا کنید.

اگه مطمئن نیستین که آیا کد پیداشده در درون یک فایل، مشکوک و نامطمئن هست یا نه، لطفا از Jotti’s malware scanner (virusscan.jotti.org/en-US/scan-file)  استفاده کنین – که یکی از خدمات رایگانی هست که بهتون اجازه میده تا فایلهای مشکوک رو با چندین برنامه آنتی ویروس رایگان اسکن کنید.

فراموش نکنید مطالب درون فایل .htaccess  یا index.php  قالب پیش فرض رو هم چک کنین که میتونه حاوی یه اسکریپت ریدایرکت کننده به صفحه ای دیگه یا تبلیغاتی مخفی باشه.

فایلهای عکس هم میتونن دارای کد مخفی باشن، اینها عکسهای ساختگی (fake) هستن- که در واقع فایلهای php با پسوند  jpg یا  gif هستن.

احتمالات زیادی وجود داره و این فرآیند جستجو/اسکن ممکنه بیش از ۲ ساعت طول بکشه. مراحل تشریح شده در بالا را تا زمان پاک شدن کل کدهای هک شده تکرار کنید.

عوض کردن رمزها

فورا همه رمزها، مخصوصا رمز اکانت سوپر یوزر (کاربر دارای اختیارات کامل) جوملای خودتون و تمام اکانتهای با اختیارات مدیریتی در وبسایت را عوض کنید. حالا از پنل هاستینگ، رمز MySQL برای دیتابیس وبسایت خودتون و رمز FTP را تغییر دهید . برای جوملا می توانید آموزش تغییر رمز در جوملا را مشاهده کنید و در وردپرس آموزش تغییر رمز در وردپرس را مشاهده کنید .

 بروز رسانی و حذف

حالا مطمئن بشید همه پلاگینها، ماژولها، کامپوننتها و جوملا وردپرس شما به روز هستن. اگر مطمئن نیستین در بخش مدیریت افزونه ها (Extension manager) برای جوملا  و در بخش افزونه ها برای وردپرس ، شماره ورژن رو با اطلاعات سایت ارائه دهنده مقایسه کنین. ورژنهای قدیمی تر نسبت به هک شدن، آسیب پذیرتر از ورژنهای جدیدتر هستن. حتی اگر افزونه ای غیر فعال گردد، فایلهای آن ممکن است هنوز اجازه دسترسی به سایت شما را بدهند. از هر چیزی که عملا ازش استفاده نمیکنین، خلاص بشین (اون برنامه یا فایل رو حذف کنین) یا حداقل اون رو به روز نگه دارید. ما به طور جدی پیشنهاد میکنیم که هربار Joomla 3 Update_Package.zip دانلودشده از Joomla.org رو نصب کنین.

به گوگل و مشتریان خود اطلاع دهید و آنها آرام کنید

اگر روبات گوگل سریعتر از شما بود و سایت شما رو در نتایج جستجو، جزء سایتهای آلوده شناسایی کرد تا از بقیه کاربران محافظت کنه (لیست سیاه گوگل)، این کار به معنی عدم ترافیک و از دست دادن اطمینان است. این وضعیت ممکنه حتی پس از تمیزکردن فایلها، چند روز (هفته) طول بکشه، به همین دلیل شما باید مراحل دیگه ای رو انجام بدین تا سایت رو سریعتر آزاد کنین:

  1. مطمئن بشین سایتتون عاری از هر نوع فایل، کد و محتوی آلوده هست.
  2. سایتتون رو فعال کنید کنین (در پیکربندی کلی Global Configuration).
  3. Security Issues Report در Google Webmaster Tools رو باز کنین، بعد روی Request a review کلیک کنین. اگر قبلا این کار را انجام نداده اید، سایت خود رو اضافه کنین.
  4. در Google Webmaster Tool و ابزار URL Removal درخواست حذف هر URL که توسط هکر اضافه شده رو بدین.

وقتی سایتتون رو تمیز میکنین و درخواست بررسی میدین، سیستمهای گوگل، وبسایت شما رو از نظر بدافزاری یا نرم افزار ناخواسته اسکن خواهند کرد. اگه چیزی پیدا نشه، گوگل، هشدار رو از وبسایت شما برمیدارن. اما اینکار میتونه ۱-۲ روز طول بکشه.

نتیجه گیری

تمیزکردن یک وبسایت بعد از هک شدن ، کار واقعا سختی هست. گاهی وقتهاهکرها، کدها رو در اعماق فایل ها یا ساختار دیتابیس ما رو مخفی می کنن، برای همین، پیداکردن اونها کار سختیه. اگر بک آپ جدیدی از CMS (عمدتا فایلها) دارین، حذف کامل محتوی خودتون رو در نظر داشته باشین و اونو با آخرین بک آپ خودتون جایگزین کنین (وقتی چک کردین و مطمئن شدین تمیز و عاری از محتوی هک شده هست). در اینصورت، باید همه چیز (عمدتا فایلها) رو قبل از بازگردانی سایت از طریق بک آپ، حذف کنین.

راستی دوستان ، اگه شما قبلا ساییتون هک شده چه اقداماتی انجام دادید ، تجربیاتتون رو از طریق نظرات برای ما به اشتراک قرار بدید .

وب سایت جوم آریا سرویس افزایش امنیت سایت انجام می دهد ، بهتر است قبل اینکه هک شوید امنیت وب سایت خود را بالا ببرید . این سرویس علاوه بر انجامش به شما مشاوره های امنیتی را برای بروزرسانی سایت به شما ارائه می دهد .

نظرات (0)

تابحال برای این مطلب نظری داده نشده است .

نظر خود را اضافه کنید.

  1. ارسال نظر به صورت مهمان . ثبت نام یا ورود
پیوست ها (0 / 1)
Share Your Location

پیشنهاد میکنیم این مقالات را هم بخوانید