در صورتی که سایت شما هک شده و یا دارای فایل هایی با محتوای مخرب است، جهت رفع مشکل باید آن را پاکسازی نمایید.
بهترین راه یافتن فایل هایی که از طریق نفوذ و هک به سایت اضافه شده اند مقایسه با یک نسخه بک آپ سالم و قدیمی تر می باشد.
اگر نسخه پشتیبانی دارید (که مطمئن هستید آلوده نیست) می توانید شروع به مقایسه فایل ها کنید ویا آن را بازگردانی کنید.
– توجه داشته باشید در تغییر فایل ها، دقت کنید زیرا در صورتی که اشتباها فایلی را تغییر دهید ممکن است سایت شما با مشکل مواجه شود. پیشنهاد ما این است که از یک متخصص Joomla کمک بگیرید.
– پاکسازی فایل های سایت هک شده
برای بررسی فایل ها میتوانید از ابزارهای اسکن آنلاین یا پلاگین های جوملا استفاده کنید.
http://www.unmaskparasites.com/security-tools/find-hidden-links/site/
همچنین در صورتی که سرور شما دارای آنتی شل CXS است میتوانید از مدیر سرور بخواهید سایت شما را اسکن کند و نتیجه آن را که شامل فایل های آلوده و مخرب است در اختیار شما قرار دهد.
– در گام نخست پیش از تغییرات از سایت خود بک آپ تهیه کنید.
– سالم بودن فایل های Core جوملا را بررسی نمایید. باید یک نسخه جوملا آماده را از سایت جوملا دانلود کنید و فایل های Core سایت خود را با نسخه جوملا خام بررسی کنید.
– توجه کنید که باید حتما فایل های سایت خود را با نسخه ای از جوملا که مشابه سایت شما می باشد بررسی کنید. به عنوان مثال اگر از نسخه جوملا 2.5 استفاده میکنید باید فایل های سایت خود را با نسخه اصلی جوملا 2.5 تطبیق دهید.
فایل های core نسخه fresh جوملا را با فایل های سایت خود جایگزین کنید.
فایل های اصلی جوملا مانند:
Index.php
فایل های موجود در پوشه includes
فایل های موجود در پوشه libraries
– برای یافتن فایل های آلوده میتوانید تاریخ تغییرات فایل ها را نیز بررسی کنید.
در صورتی که مدیر سرور هستید و به ssh دسترسی دارید با دستور find متوانید آخرین تغییرات را جستجو کنید. برای مثال برای پیدا کردن فایل هایی که طی 15 روز گذشته تغییر کرده اند از دستور زیر استفاده می شود.
find ./ -type f –mtime -15
درصورتی که شما تنها دسترسی به هاست و FTP دارید، میتوانید با لاگین شدن از طریق FTP به هاست خود تاریخ آخرین تغییرات فایل ها را مشاهده کنید.
بیشتر بخوانید: برای آموزش رفع هک سایت وردپرسی این مقاله را بخوانید.
– بررسی فایل های قالب جوملا
یکی از مکان های رایج وجود فایل های مخرب پوشه مربوط به قالب های سایت است.
در این مسیر هم حتما تاریخ آخرین تغییرات فایل ها را بررسی کنید.
در صورت امکان قالب را حذف نمایید و مجددا قالب را در هاست آپلود و نصب کنید.
– بررسی Extension ها
یکی دیگر از دلایل نفوذ به سایت وجود extension های دارای باگ و یا بروز نشده است. در این قسمت نیز باید آخرین تغییرات فایل ها را بررسی کنید.
در صورت امکان تمام extension ها را غیرفعال و یا دوباره نصب کنید.
– بررسی اطلاعات دیتابیس
در صورتی که اطلاعات دیتابیس آلوده باشد، پیدا کردن آنها ساده نیست.
برای یافتن محتوای آلوده دیتابیس میتوانید از جستجوگرها استفاده کنید. سایت خود را در جستجوگرها search کنید و به نتایج آن دقت کنید.
در دیتابیس خود عباراتی مانند Viagra ، Cialis ، cheap و… جستجو کنید.
برای پاک سازی آلودگی از دیتابیس نیاز به دسترسی به بخش مدیریت آن از طریق برنامه های مدیریت پایگاه داده، نظیر phpMyAdmin و یا Adminer دارید
مراحل حذف یک آلودگی در پایگاه داده به صورت دستی:
1 – ورود به پنل کاربری مدیریت پایگاه داده
2 – گرفتن پشتیبان از پایگاه داده قبل از ایجاد تغییرات.
3 – جستجو برای محتوای مشکوک (به عنوان مثال، کلمات کلیدی اسپم، لینک ها).
4 – جدول که شامل محتوای مشکوک را باز کنید.
5 – به صورت دستی هر یک از مطالب مشکوک را حذف کنید.
6 – بررسی کامل از وجود حفره امنیتی
7 – حذف هر گونه ابزار دسترسی به پایگاه داده
احتیاط:
حذف فایل های مخرب به صورت دستی میتواند باعث به خطر افتادن سایت شما شود پس بدون دریافت فایل پشتیبانی اقدام به کاری نکنید و یا با یک متخصص در این زمینه مشورت کنید.
حدف Backdoor ها
هکرها همیشه زمانی که به یک سایت نفوذ میکنند یک راه برای بازگشت مجدد به سایت شما ایجاد میکنند که به Backdoor معروف است. باید سعی کنید تمام backdoor ها را جهت جلوگیری از نفوذ مجدد حذف کنید..
Backdoor ها معمولا در فایل هایی مشابه فایل های اصلی جوملا قرار می گیرند. همچنین هکرها میتوانند Backdoor ها خود را به فایل هایی نظیر index.php /components, /modules و غیره دربیاورند.
درب پشتی معمولا شامل توابع PHP زیر است:
– base64
– str_rot13
– gzuncompress
– gzinflate
– eval
– exec
– create_function
– location.href
– curl_exec
– stream
– system
– assert
– stripslashes
– preg_replace (with /e/)
– move_uploaded_file
– strrev
– file_get_contents
– encodeuri
– wget
احتیاط:
گاهی این توابع در فایل های اصلی جوملا نیز استفاده میشود، بنابراین قبل حذف یا تغییر فایل هایی که شامل توابع بالا هستند مطمئن شوید که این فایل ها مربوط به جوملا نیستند.
حذف درهای پشتی توسط مقایسه فایل ها:
پیش ازین نیز توضیح داده شد که یکی از روش های حذف فایل های مخرب، بررسی و مقایسه فایل ها در نهایت جایگزین کردن فایل های مخرب با فایل های سالم از طریق نسخه جوملا دانلود شده ( مطابق با نسخه جوملا سایت شما) می باشد.
Joomla را از سایت های معتبر و رسمی دانلود کنید.
به سرور خود از طریق SFTP یا SSH وارد شوید
همانطور که گفته شد قبل از هر تغییری از اطلاعات بک آپ بگیرید.
از طریق FTP فایل ها را مقایسه کنید و در صورت یافتن فایل مشکوک آن را حذف و یا با فایل سالم موجود در نسخه جوملا جایگزین کنید.
محتویات فایل .htaccess سایت خود را بررسی کنید.
مراقب فایل های مهم مانند configuration.php باشید، در صورتی که آن را جایگزین میکنید حتما اطلاعات دیتابیس را مجددا در آن ذخیره کنید.
