اگر وب سایت شما هک شد چه کاری باید انجام دهید

مراحل حذف بدافزار، هرزنامه و سایر هک ها از هر وب سایت

1. چگونه حمله را شناسایی کنیم

1.1 – سایت خود را اسکن کنید

می توانید از ابزارهایی استفاده کنید که سایت شما را از راه دور اسکن می کنند تا بارهای مخرب و مکان های بدافزار را پیدا کنید. برای اسکن یک وب سایت برای هک:

• از وب سایت SiteCheck دیدن کنید.
• روی Scan Website کلیک کنید.
• اگر سایت آلوده است، پیام هشدار را بررسی کنید.
• به محموله‌ها و مکان‌ها (در صورت وجود) توجه کنید.
• به هشدارهای لیست بلاک توجه کنید.

اگر اسکنر از راه دور قادر به یافتن محموله نیست، آزمایشات دیگر را در این بخش ادامه دهید. همچنین می توانید به صورت دستی برگه iFrames / Links / Scripts در اسکن بدافزار را بررسی کنید تا عناصر ناآشنا یا مشکوک را جستجو کنید.

اگر چندین وب سایت در یک سرور دارید، توصیه می کنیم همه آنها را اسکن کنید(برای این کار می توانید از SiteCheck نیز استفاده کنید).

1.2 – یکپارچگی فایل هسته را بررسی کنید اکثر فایل های اصلی هرگز نباید اصلاح شوند.

سریع‌ترین راه برای تایید یکپارچگی فایل‌های اصلی وب‌سایت خود، استفاده از دستور diff در ترمینال است. اگر با استفاده از خط فرمان راحت نیستید، می توانید به صورت دستی فایل های خود را از طریق SFTP بررسی کنید. اگر هیچ چیزی اصلاح نشده باشد، فایل های اصلی شما تمیز هستند.

1.3 – فایل های اخیراً اصلاح شده را بررسی کنید

می توانید فایل های هک شده را با دیدن اینکه آیا اخیراً اصلاح شده اند شناسایی کنید. برای بررسی فایل‌های اصلاح‌شده اخیر با استفاده از دستورات ترمینال در لینوکس:

در ترمینال خود تایپ کنید:

$ find /etc -type f -printf '%TY-%Tm-%Td %TT %p\n' | sort -r 

اگر می خواهید فایل های دایرکتوری را ببینید، ترمینال خود را تایپ کنید:

$ find /etc -printf '%TY-%Tm-%Td %TT %p\n' | sort -r 

تغییرات ناآشنا در 7-30 روز گذشته ممکن است مشکوک باشد.

1.4 – صفحات تشخیصی را بررسی کنید

اگر وب سایت شما توسط گوگل یا سایر مقامات امنیتی وب سایت مسدود شده است، می توانید از ابزارهای تشخیصی آنها برای بررسی وضعیت امنیتی وب سایت خود استفاده کنید.

برای بررسی گزارش شفافیت گوگل:

• از وب سایت وضعیت سایت مرور ایمن دیدن کنید.
• آدرس سایت خود را وارد کرده و جستجو کنید.
• در این صفحه می توانید بررسی کنید:
  • جزئیات ایمنی سایت: اطلاعاتی در مورد تغییر مسیرهای مخرب، هرزنامه و دانلودها.
  • جزئیات تست: جدیدترین اسکن گوگل که بدافزار را پیدا کرده است.

1.5 – ملاحظات PCI برای وب سایت های تجارت الکترونیک

هر زمان که یک وب سایت تجارت الکترونیک هک می شود، یکی از نگرانی های اصلی داده های کارت اعتباری مشتری است. اگر پرداخت‌ها را در فروشگاه آنلاین خود پردازش می‌کنید، ممکن است مجبور شوید به نقض احتمالی داده‌ها، از جمله پیامدهای مربوط به انطباق با صنعت کارت پرداخت (PCI) پاسخ دهید.

به منظور حفظ انطباق PCI در صورت نقض داده ها، باید الزامات، به ویژه PCI DSS Requirement 12.10: پیاده سازی یک طرح واکنش به حادثه را دنبال کنید. بخشی از این الزام شامل حفظ شواهد است. لطفا توجه داشته باشید که این مشاوره حقوقی نیست.

بلافاصله از سایت هک شده خود نسخه پشتیبان تهیه کنید از جمله:

• فایل های لاگ سرور
• سیستم فایل سایت شما
• پایگاه داده سایت شما
• فایل ها و تنظیمات سفارشی

2. چگونه یک وب سایت هک شده را پاک کنیم

بهترین راه برای شناسایی فایل های هک شده، مقایسه وضعیت فعلی سایت با یک نسخه پشتیبان قدیمی و تمیز است. اگر یک نسخه پشتیبان در دسترس است، می توانید از آن برای مقایسه این دو نسخه و شناسایی آنچه که اصلاح شده است استفاده کنید.

2.1 – فایل های وب سایت هک شده را پاک کنید

فایل‌ها را می‌توان با نسخه‌های جدید یا نسخه‌های پشتیبان اخیر، اگر آلوده نباشد جایگزین کرد. برای حذف هک می‌توانید از هر بار مخرب یا فایل مشکوکی که در مرحله اول یافت می‌شود استفاده کنید.

برای حذف دستی یک آلودگی بدافزار از فایل های وب سایت خود:

• از طریق SFTP یا SSH وارد سرور خود شوید.
• قبل از ایجاد تغییرات، یک نسخه پشتیبان از سایت ایجاد کنید.
• فایل های اخیرا تغییر یافته را شناسایی کنید.
• تاریخ تغییرات را با کاربری که آنها را تغییر داده است تأیید کنید.
• بازیابی فایل های مشکوک
• هر فایل سفارشی یا پریمیوم را با یک ویرایشگر متن باز کنید.
• هر کد مشکوکی را از فایل های سفارشی حذف کنید.
• آزمایش برای تأیید اینکه سایت پس از تغییرات هنوز فعال است.

2.2 – جداول پایگاه داده هک شده را تمیز کنید

برای حذف یک بدافزار از پایگاه داده وب سایت خود، از پنل مدیریت پایگاه داده خود برای اتصال به پایگاه داده استفاده کنید. همچنین می توانید از ابزارهایی مانند Search-Replace-DB یا Adminer استفاده کنید.

برای حذف دستی یک آلودگی بدافزار از جداول پایگاه داده خود:

• وارد پنل مدیریت پایگاه داده خود شوید.
• قبل از ایجاد تغییرات از پایگاه داده یک نسخه پشتیبان تهیه کنید.
• جستجوی محتوای مشکوک (به عنوان مثال، کلمات کلیدی اسپم، پیوندها).
• جدولی را که حاوی محتوای مشکوک است باز کنید. هر گونه محتوای مشکوک را به صورت دستی حذف کنید.
• آزمایش برای تأیید اینکه سایت پس از تغییرات هنوز فعال است.
• هر ابزار دسترسی به پایگاه داده را که ممکن است آپلود کرده باشید حذف کنید.

مبتدیان می توانند از اطلاعات محموله ارائه شده توسط اسکنر بدافزار استفاده کنند. کاربران متوسط ​​همچنین می توانند به صورت دستی به دنبال توابع مخرب رایج PHP مانند eval، base64_decode، gzinflate، preg_replace، str_replace و غیره بگردند.

2.3 – ایمن کردن حساب های کاربری

اگر متوجه کاربران ناآشنا شدید، آنها را حذف کنید تا هکرها دیگر دسترسی نداشته باشند. توصیه می‌کنیم تنها یک کاربر سرپرست را اختصاص دهید و سایر نقش‌های کاربر را با کمترین دسترسی (به عنوان مثال مشارکت‌کننده، نویسنده، ویرایشگر) تنظیم کنید.

2.4 – درهای پشتی مخفی را حذف کنید

هکرها همیشه راهی برای بازگشت به سایت شما باقی می گذارند. اغلب چندین درب پشتی از انواع مختلف را در وب سایت های هک شده پیدا می شود. درهای پشتی معمولاً شامل توابع PHP زیر هستند:

• base64
• str_rot13
• gzuncompress
• eval
• exec
• system
• assert
• stripslashes
• preg_replace (with /e/)
• move_uploaded_file

این توابع همچنین می توانند به طور قانونی توسط افزونه ها استفاده شوند، بنابراین مطمئن شوید که هر گونه تغییر را آزمایش کنید زیرا می توانید سایت خود را با حذف توابع خوش خیم خراب کنید. اکثر کدهای مخربی که دیده می شوند از نوعی رمزگذاری برای جلوگیری از شناسایی استفاده می کنند.

بسیار مهم است که تمام درهای پشتی برای پاکسازی موفقیت آمیز هک وب سایت بسته شوند، در غیر این صورت سایت شما به سرعت دوباره آلوده می شود.

2.5 – هشدارهای بدافزار را حذف کنید

اگر توسط Google، McAfee، Yandex (یا سایر مقامات هرزنامه وب) در لیست مسدود شده اید، می توانید پس از رفع هک درخواست بررسی کنید.

برای حذف هشدارهای بدافزار در سایت خود:

• با شرکت میزبان خود تماس بگیرید و از آنها بخواهید که تعلیق را حذف کنند.
• ممکن است لازم باشد جزئیاتی در مورد نحوه حذف بدافزار ارائه دهید.
• یک فرم درخواست بازبینی را برای هر مرجع فهرست بلاک پر کنید.
• یعنی کنسول جستجوی گوگل، مک آفی SiteAdvisor، Yandex Webmaster.

در این مرحله آخر، نحوه رفع مشکلاتی که باعث هک شدن سایت شما در وهله اول شده است را خواهید آموخت. شما همچنین مراحل ضروری را برای افزایش امنیت سایت خود انجام خواهید داد.

3. پیشگیری از هک مجدد

3.1 – به روز رسانی و تنظیم مجدد تنظیمات پیکربندی

نرم افزارهای قدیمی یکی از دلایل اصلی عفونت است. این شامل نسخه CMS، افزونه ها، تم ها و هر نوع افزونه دیگری می شود. اعتبارنامه های احتمالی به خطر افتاده نیز باید بازنشانی شوند تا اطمینان حاصل شود که مجدداً آلوده نشده اید.

نرم افزار وب سایت خود را به روز کنید

تمام نرم افزارهای روی سرور خود (یعنی Apache، cPanel، PHP) را به روز کنید تا مطمئن شوید که هیچ وصله امنیتی موجود نیست.

بازنشانی رمزهای عبور

بسیار مهم است که رمز عبور را برای تمام نقاط دسترسی تغییر دهید. این شامل حساب های کاربری، FTP/SFTP، SSH، cPanel و پایگاه داده شما می شود. شما باید تعداد حساب های مدیریت را برای همه سیستم های خود کاهش دهید. مفهوم کمترین امتیاز را تمرین کنید. فقط به افراد دسترسی لازم را برای انجام کار مورد نیاز خود بدهید.

توصیه می‌شود پس از هک، همه افزونه‌ها و افزونه‌ها را مجدداً نصب کنید تا از عملکرد و عاری از بدافزارهای باقی‌مانده اطمینان حاصل کنید. اگر افزونه های غیرفعال کرده اید، توصیه می کنیم آنها را از وب سرور خود حذف کنید.

3.2 – وب سایت خود را سخت کنید

سخت کردن یک سرور یا برنامه به این معنی است که شما اقداماتی را برای کاهش سطح حمله یا نقاط ورود مهاجمان انجام می دهید. راه های بی شماری برای سخت تر کردن وب سایت شما وجود دارد. اگر می‌خواهید درباره روش‌های سخت‌سازی تحقیق کنید، برای اطلاعات بیشتر در مورد نحوه ارائه وصله و سخت‌سازی مجازی، بخش فایروال وب‌سایت را در زیر ببینید.

3.3 – تنظیم پشتیبان

پشتیبان ها به عنوان یک شبکه ایمنی عمل می کنند. اکنون که سایت شما تمیز است و مراحل مهم پس از هک را انجام داده اید، یک نسخه پشتیبان تهیه کنید! داشتن یک استراتژی پشتیبان خوب هسته اصلی یک وضعیت امنیتی خوب است. در اینجا چند نکته برای کمک به شما در تهیه نسخه پشتیبان از وب سایت آورده شده است:

محل

نسخه های پشتیبان خود را در مکانی خارج از سایت ذخیره کنید. هرگز نسخه های پشتیبان (یا نسخه های قدیمی) را در سرور خود ذخیره نکنید. آنها می توانند هک شوند و برای به خطر انداختن سایت واقعی شما استفاده شوند.

خودکار

در حالت ایده آل، راه حل پشتیبان شما باید به طور خودکار در فرکانس مناسب با نیازهای وب سایت شما اجرا شود.

افزونگی

این بدان معنی است که استراتژی پشتیبان گیری شما باید شامل افزونگی یا به عبارت دیگر، پشتیبان گیری از پشتیبان گیری شما باشد.

آزمایش کردن

فرآیند بازیابی را امتحان کنید تا عملکرد وب سایت خود را به درستی تأیید کنید.

انواع فایل

برخی از راه‌حل‌های پشتیبان‌گیری انواع خاصی از فایل‌ها مانند ویدیوها و بایگانی‌ها را حذف می‌کنند.

3.4 – رایانه خود را اسکن کنید

از همه کاربران وب سایت بخواهید با یک برنامه آنتی ویروس معتبر روی سیستم عامل خود اسکن کنند. اگر کاربر با رایانه آلوده به داشبورد دسترسی داشته باشد، یک سایت ممکن است در معرض خطر قرار گیرد. برخی از عفونت ها برای پرش از رایانه به ویرایشگرهای متن یا کلاینت های FTP طراحی شده اند.

3.5 – فایروال وب سایت

تعداد آسیب پذیری هایی که توسط مهاجمان مورد سوء استفاده قرار می گیرند هر روز افزایش می یابد. تلاش برای ادامه دادن برای مدیران چالش برانگیز است. فایروال های وب سایت برای ارائه یک سیستم دفاع محیطی اطراف وب سایت شما اختراع شدند.

مزایای استفاده از فایروال وب سایت:

1. جلوگیری از هک آینده

با شناسایی و متوقف کردن روش ها و رفتارهای شناخته شده هک، فایروال وب سایت در وهله اول از سایت شما در برابر عفونت محافظت می کند.

2. به روز رسانی امنیت مجازی

هکرها به سرعت از آسیب پذیری های موجود در پلاگین ها و تم ها سوء استفاده می کنند و موارد ناشناخته همیشه در حال ظهور هستند (به نام روز صفر). یک فایروال خوب وب سایت حفره های شما را در نرم افزار وب سایت شما وصله می کند حتی اگر به روز رسانی های امنیتی را اعمال نکرده باشید.

3. حمله Brute Force را مسدود کنید

فایروال وب سایت باید مانع از دسترسی هر کسی به صفحه wp-admin یا wp-login شما شود، اگر قرار نیست در آنجا باشد، مطمئن شوید که نمی تواند از اتوماسیون بی رحمانه برای حدس زدن رمز عبور شما استفاده کند.

4. کاهش حمله DDoS

حملات Distributed Denial of Service تلاش می کنند تا سرور یا منابع برنامه شما را بیش از حد بارگذاری کنند. با شناسایی و مسدود کردن انواع حملات DDoS، فایروال وب سایت اطمینان حاصل می کند که سایت شما در صورت حمله با حجم بالایی از بازدیدهای جعلی در دسترس است.

5. بهینه سازی عملکرد

اکثر WAF ها برای سرعت صفحه جهانی سریع تر، کش ارائه می دهند. این کار بازدیدکنندگان شما را راضی نگه می دارد و ثابت شده است که نرخ پرش را کاهش می دهد و در عین حال تعامل وب سایت، تبدیل ها و رتبه بندی موتورهای جستجو را بهبود می بخشد. ما همه این ویژگی ها را با فایروال Sucuri ارائه می دهیم.