وضعیت سرورها

وبــلاگ

وضعیت سرورها
  • پاکسازی جوملا هک شده

    بهنام بهادری یکشنبه ۲۴ بهمن ۱۳۹۵ امنیت

    در صورتی که سایت شما هک شده و یا دارای فایل هایی با محتوای مخرب است، جهت رفع مشکل  باید آن را پاکسازی نمایید.

    بهترین راه یافتن فایل هایی که از طریق نفوذ و هک به سایت اضافه شده است مقایسه یا بازگردانی با نسخه بک آپ سالم و پاکیزه، مربوط به قبل از نفوذ می باشد.

    اگر نسخه پشتیبانی دارید (که مطمئن هستید آلوده نیست) می توانید شروع به مقایسه فایل ها کنید ویا آن را بازگردانی کنید.

    – توجه داشته باشید در تغییرات فایل ها، دقت کنید زیرا در صورتی که اشتباها فایلی را تغییر دهید ممکن است سایت شما با مشکل مواجه شود. پیشنهاد ما این است که از یک متخصص Joomla کمک بگیرید.

    – پاکسازی فایل های سایت هک شده

    برای بررسی فایل ها میتوانید از ابزارهای اسکن آنلاین یا پلاگین های جوملا استفاده کنید.

    https://sitecheck.sucuri.net

    http://www.unmaskparasites.com/security-tools/find-hidden-links/site/

    همچنین در صورتی که سرور شما دارای آنتی شل CXS است میتوانید از مدیر سرور بخواهید سایت شما را اسکن کند و نتیجه آن را که شامل فال های آلوده و مخرب است در اختیار شما قرار دهد.

    – در گام نخست پیش از تغییرات از سایت خود بک آپ تهیه کنید.

    – سالم بودن فایل های Core جوملا را بررسی نمایید. باید یک نسخه جوملا آماده را از سایت جوملا دانلود کنید و فایل های Core  سایت خود را با نسخه جوملا خام بررسی کنید.

    – توجه کنید که باید حتما فایل های سایت خود را با نسخه ای از جوملا که مشابه سایت شما می باشد بررسی کنید. به عنوان مثال اگر از نسخه جوملا ۲٫۵ استفاده میکنید باید فایل های سایت خود را با نسخه اصلی جوملا ۲٫۵ تطبیق دهید.

    فایل های core نسخه fresh جوملا را با فایل های سایت خود جایگزین کنید.

    فایل های اصلی جوملا مانند:

    Index.php

    فایل های موجود در پوشه includes

    فایل های موجود در پوشه libraries

    – برای یافتن فایل های آلوده میتوانید تاریخ تغییرات فایل ها را نیز بررسی کنید.

    در صورتی که مدیر سرور هستید و به ssh  دسترسی دارید با دستور find  متوانید آخرین تغییرات را جستجو کنید. برای مثال برای پیدا کردن فایل هایی که طی ۱۵ روز گذشته تغییر کرده اند از دستور زیر استفاده می شود.

    find ./ -type f –mtime -15

    درصورتی که شما تنها دسترسی به هاست و FTP دارید، میتوانید با لاگین شدن از طریق FTP به هاست خود تاریخ آخرین تغییرات فایل ها را مشاهده کنید.

    – بررسی فایل های قالب جوملا

    یکی از مکان های رایج وجود فایل های مخرب پوشه مربوط به قالب های سایت است.

    در این مسیر هم حتما تاریخ آخرین تغییرات فایل ها را بررسی کنید.

    در صورت امکان قالب را حذف نمایید و مجددا قالب را در هاست آپلود و نصب کنید.

    – بررسی Extention ها

    یکی دیگر از دلایل نفوذ به سایت وجود extention های دارای باگ و یا بروز نشده است. در این قسمت نیز باید آخرین تغییرات فایل ها را بررسی کنید.

    در صورت امکان تمام extention  ها را غیرفعال و یا دوباره نصب کنید.

    – بررسی اطلاعات دیتابیس

    در صورتی که اطلاعات دیتابیس آلوده باشد، پیدا کردن آنها ساده نیست.

    برای یافتن محتوای آلوده دیتابیس میتوانید از جستجوگرها استفاده کنید. سایت خود را در جستجوگرها search  کنید و به نتایج آن دقت کنید.

    در دیتابیس خود عباراتی مانند Viagra ، Cialis  ، cheap و…  جستجو کنید.

    برای پاک سازی یک حفره در جوملا خود نیاز به دسترسی به بخش مدیریت پایگاه داده خود دارید (مانند PHPMyAdmin )

    مراحل حذف یک حفره در پایگاه داده به صورت دستی:

    ۱ – ورود به پنل کاربری مدیریت پایگاه داده خود.

    ۲ – گرفتن پشتیبان از پایگاه داده قبل از ایجاد تغییرات.

    ۳ – جستجو برای محتوای مشکوک (به عنوان مثال، کلمات کلیدی اسپم، لینک ها).

    ۴ – جدول که شامل محتوای مشکوک را باز کنید.

    ۵ – به صورت دستی هر یک از مطالب مشکوک را حذف کنید.

    ۶ – بررسی کامل از وجود حفره امنیتی

    ۷ – حذف هر گونه ابزار دسترسی به پایگاه داده

    احتیاط:

    حذف فایل های مخرب به صورت دستی میتواند باعث به خطر افتادن سایت شما شود پس بدون دریافت فایل پشتیبانی اقدام به کاری نکنید و یا باید فرد حرفه ای مشورت کنید.

    حدف Backdoor ها

    هکرها همیشه زمانی که به یک سایت نفوذ میکنند یک راه برای بازگشت مجدد به سایت شما ایجاد میکنند که به Backdoor  معروف است. باید سعی کنید تمام backdoor  ها را جهت جلوگیری از نفوذ مجدد حذف کنید..

    Backdoor ها  معمولا در فایل هایی که درست مانند فایل های اصلی جوملا هستند. همچنین هکرها میتوانند Backdoor ها  خود را به فایل هایی نظیر index.php /components, /modules و غیره دربیاورند.

    درب پشتی معمولا شامل توابع PHP زیر است:

    – base64

    – str_rot13

    – gzuncompress

    – gzinflate

    – eval

    – exec

    – create_function

    – location.href

    – curl_exec

    – stream

    – system

    – assert

    – stripslashes

    – preg_replace (with /e/)

    – move_uploaded_file

    – strrev

    – file_get_contents

    – encodeuri

    – wget

    احتیاط:

    گاهی این توابع در فایل های اصلی جوملا نیز استفاده میشود، بنابراین قبل حذف یا تغییر فایل هایی که شامل توابع بالا هستند مطمئن شوید که این فایل ها مربوط به جوملا نیستند.

    حذف درهای پشتی توسط مقایسه فایل ها:

    پیش ازین نیز توضیح داده شد که یکی از روش های حذف فایل های مخرب، بررسی و مقایسه فایل ها و در نهاین جایگزین کردن فایل های مخرب با فایل های سالم از طریق نسخه جوملا دانلود شده ( مطابق با نسخه جوملا سایت شما) می باشد.

    Joomla  را از سایت های معتبر و رسمی دانلود کنید.

    به سرور خود از طریق SFTP یا SSH وارد شوید

    همانطور که گفته شد قبل از هر تغییری از اطلاعات بک آپ بگیرید.

    از طریق FTP فایل ها را مقایسه کنید و در صورت یافتن فایل مشکوک آن را حذف و یا با فایل سالم موجود در نسخه جوملا جایگزین کنید.

    محتویات فایل .htaccess سایت خود را بررسی کنید.

    مراقب فایل های مهم مانند configuration.php  باشید، در صورتی که آن را جایگزین میکنید حتما اطلاعات دیتابیس را مجددا در آن ذخیره کنید.

     

    برچسب ها :

با عضویت در خبرنامه شما را از آخرین تجربیات مان و مطالب تخصصی آگاه خواهیم کرد.

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *