امن وحماية تطبيقات الويبمواضيع ومقالات

مقال : فايروسات المواقع مالها وما عليها

تم أرشفة هذا المحتوى


من منا لم يسمع بفيروسات المواقع خصوصاً مدراء المواقع, الدعم الفني, مدراء الشبكات والسيرفرات  .. ولكن حسب البحث الذي اجريتة في الثلاث ايام الماضية ان الاغلبية منا لا يعلم ماهية الفيروسات هذه وخصوصاً كيف تصيب الموقع ولماذا .. وهذا هوا سوف يكون موضوعنا لليوم, سوف اتحدث عن فيروسات المواقع بشكل عام وليس حصر على فيروس معين, طريقة عملها بشكل عام, مدى خطورتها, طرق التخلص منها في حال الوقوع بها, وبعض الطرق البسيطة لتجنب الوقوع به.

Reported Attack Site!

 

فيروسات المواقع بشكل عام:

ان فيروسات المواقع هية من المشاكل الكبرى التي تواجة مدراء المواقع فقبل ان تكون خطرة على الزوار هية ايضاً تشكل خطورة وعامل من عوامل تدني مستوى الموقع ان كان موقع صغير او موقع كبير, وعلى سبيل المثال لنفرض انك قمت بالدخول إلى موقع معين يوجد بداخلة فايروس وكتشفت الفايروس ,السؤال هنا هل سوف تعود للموقع؟ اترك الاجابة لك ..

تكلمنا على المواقع ومدراء المواقع ولكن ماذا عن الزوار ومستخدمين الموقع, ببساطة اعتقد ان الجميع لايرغب في ان يكون حاسوبة عبارة عن متجر فيروسات ولا اعتقد اين منا يحب المواقع التي يتواجد بها الفيروسات والتي تشكل خطر على الجميع من محررين الموقع إلى الزوار .. ولعل الجميع يعلم بمشاكل المنتديات المختصة بالهاكرز والكراكرز فكل ما حملت مرفق او ملف تجد بداخلة فايروس, تجد بعض الاعضاء يتعمد التسجيل بأكثر من عضوية بالمواقع الكبرى ويكتب اكثر من موضوع وكلها تحتوي على مرفقات والمرفقات هذه تحتوي على فيروسات, تروجانات وغيرها .. بالطبع هدف الشخص هذا هو تدمير واختراق اكبر قدر من الاجهزة خصوصاً اجهزة (البنات) لأنها بالعادة تحتوي على كم اكبر من المعلومات الشخصية.

كما ان 70% من فيروسات المواقع هدفها عبارة عن سبام/دعاية

 

كيف تعمل:

بالعادة جميعها لها طريقة واحدة في العمل, وتعمل على الشكل التالي

لنفرض انك مدير موقع وقمت بزيارة موقع مصاب بهذا الفايروس (ومضاد الفيروسات لديك لم يكتشف الفايروس) اذن سوف يتم تحميل الفايروس على جهازك مع تشغيل نفسة (ان كنت تستخدم نظام ويندوز فقط) .. وبعد هذا قمت بالدخول إلى حساب الـ FTP الخاص بموقعك في هذه الحالة سوف يقوم الفايروس برفع ملف images.php – gifimg.php او غيرها بداخل مجلدات معينة مثل style/s – image/s – photo/s – avator/s واي اسم يدل على صور (قد يتم تطوير الفايروس لكي يزرع نفسة في مجلدات اخرى

بعد ان يقوم برفع الملف على الموقع, يقوم الفايروس بزرع كود JavaScript بداخل اغلب ملفات الموقع والتي تحمل أمتدادات كـ php, html, htm, js, jsp

في ملفات js, jsp يزرع نفسة بأخر او اسفل الملف .. أما ملفات htm, html فهو يزرع نفسة قبل بداية الوسم Body واخيراً في ملفات php يزرع نفسة قبل بداية كود الصفحة, بداخل وسمين بداية ونهاية الـ php

من الممكن ايضاً ان تنتقل إلى بقية المواقع على السيرفر ان كانت اعدادات السيرفر تسمح بذالك, ولكن أغلب السيرفرات في الوقت الحالي لا تسمح بذالك

برأيي ان اكثر من يتسبب في انتشار هذه الفيروسات هم موظفين الدعم الفني في الشركات بحيث في العادة يدخلون على أكثر من موقع بشكل يومي من FTP إلى cPanel ..الخ ,, وبالطبع ان كان جهاز الموظف غير محمي فسوف يتم نقل الفايروسات إلى جهازة ثم تنتقل الفيروسات إلى المواقع السليمة وعندما يزور الموقع (مدير موقع) وجهازة ليس محمي فسوف ينتقل الفايروس إلى موقعة وبقية المواقع التي لة صلاحيات عليها

ايضاً يجب ان نعلم ان أغلب هذه الفيروسات تقوم بسرقة بيانات الموقع وهنا اقصد بيانات مستخدم / مالك الموقع

 

مدى خطورتها:

في الوقت الحالي اعطيها 70% لأن كما قلت سابقاً أن لهذه اللحضة هدف هذه الفيروسات هوا الدعاية والسبام, ولكنها في الحقيقة كالنقبلة المؤقتة من الممكن ان تغير مسار عملها خلال ثواني وتصبح عدوانية جداً جداً وهذا يعتمد على المتحكم بالفايروس!

 

بعض الطرق للتخلص منها:

  • تنظيف الموقع
  1. قم بتغيير باسورد الموقع باسرع وقت ممكن
  2. قم بالبحث عن الملفات الغريبة واخر الملفات التي تم رفعها على الموقع وقم بحذف الملفات الغريبة كـ GIFIMG.PHP
  3. قم باستبدال جميع ملفات موقعك بملفات نضيفة, او قم بتنضيفها بشكل يدوي ان لم تكن تملك نسخة نضيفة منها
  4. ابحث في القوالب و الاستايلات (خصوصاً المنتديات) , في حالة عثرت على الكود الخبيث قم بحذفة من القالب او الاستايل
  • تنظيف الجهاز
  1. استخدم مضاد فيروسات جيد (انصحك باستخدام avast! النسخة المنزلية المجانية)
  2. قم بتحديث قاعدة الفيروسات
  3. قم بعمل بحث كامل للجهاز وجميع الملحقات الاخرى (الفلاش, هارد ديسك خارجي, مشغل mp3 ..الخ)

عن تجربة مضاد الفيروسات avast! النسخة المنزلية المجانية تقوم بأمساك جميع هذه الفيروسات فالبرنامج لدية قاعدة فيروسات قوية جداً..!

 

بعض النصائح للوقاية منها:

  • استخدم متصفح الانترنت فايرفوكس
  • استخدم اضافة NoScript الخاصة بمنع الـ JavaScript
  • استخدم مضاد فيروسات جيد (انصحك باستخدام avast! النسخة المنزلية المجانية) + تحديث مستمر لقاعدة الفيروسات + بحث شامل كل يومين او ثلاثة ايام
  • لا تقم بالتحميل من اي مواقع مشبوهة
  • استخدم برنامج DownLoad Manager او أي مدير تحميل جيد
  • عندما تصلك رسالة بالماسنجر من شخص (غير متصل)  ويكون محتوى الرسالة  عبارة عن رابط و ابتسامة مثل هذه Laughing ,, انتبة ان تقوم بالضغعط على هذا الرابط .. حتى وان كان من شخص متصل فقد يكون الرابط عبارة عن عملية عن خدعة ,, رابط تغيير كلمة سر البريد الالكتروني ..الخ وهذا يعرف بالهندسة الاجتماعية ,, وقد يكون موقع يحتوي على فايروس ..الخ

عن الكاتب:


مصطفى البازي, مدير شبكات وسيرفرات (ويندوز و لينكس) و مدوّن مهتم بالأمن المعلوماتي, التجارة الالكترونية والأنظمة المفتوحة المصدر.

مقالات ذات صلة

‫20 تعليقات

  1. حقيقة اخ مصطفى كانت لدي فكرة كبيرة عن الفيروسات و عملها ، لكن لاول مرة اسمع ان بعض انواع الفيروسات تقوم برفع ملفات منها عبر FTP بمجرد الاتصال معلومة جديدة!
    بالنسبة لتنضيف الجهاز الرجستري هو المفتاح لدلك حيت كل انواع الفايروسات سواء تجسس او دعاية … الخ تسجل قيمة بالرجستري للبدا مع تشغيل الجهاز و انا اتكلم عن نظام وندوز، توجه لادارة الرجستري على المسار التالي:
    Start => Run => Regedit
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVe
    rsionRun
    و احدف القيم المشبوهة بعد التاكد الجيد.
    و رايي ان الكاسبر 7 فما فوق افضل ليس لان الجميع يتكلم عنه او انه مشهور انا اتكلم عن دراية جيدة به حيث ان له شيء اسمه دفاع استباقي ليس موجود عند مضاضات الفيروسات الاخرى ، مثلا ملف تجسس، و كلنا نعلم انه يفتح منفد بالجهاز، لم يكشفه و كان مشفر عند تشغيله يترك الكاسبر الخيار للمستخدم ان كان يريد المواصلة بخطر فتح منفد على الجهاز او لا… و هكدا،
    و معلومة اخرى: يوجد بعض الاشخاص يستخدمون الضحايا ل DDOS ATTACK او Botnet الله اعلم كيف يسمى، للهجوم على سيرفرات المواقع فاجهزة الضحايا و اتصالهم يزيد من قوة الهجوم بشكل كبير !
    نظام لينوكس اثار فضولي لمعرفته و البيئة التي يعمل بها ، و ما نوع الفايروسات التي تصيبه ، (استخدمته لبضعة اسابيع) …
    تحياتي للجميع 🙂

  2. “يوجد بعض الاشخاص يستخدمون الضحايا ل DDOS ATTACK او Botnet الله اعلم كيف يسمى، للهجوم على سيرفرات المواقع فاجهزة الضحايا و اتصالهم يزيد من قوة الهجوم بشكل كبير !”

    بالطبع, ولو تلاحظ اني ذكرت التالي

    “كالقنبلة المؤقتة من الممكن ان تغير مسار عملها خلال ثواني وتصبح عدوانية جداً جداً وهذا يعتمد على المتحكم بالفايروس!”

    اي من الممكن ان تستخدم في امور كثيرة ليس فقط البوت نت!

  3. في عام 2007 اتصاب كثير بجافا سكربت خبيث
    و انتشر بشكل كبير
    حيث قام الهاكر بحقن بروسس الاباتشي بسكربت
    و النتيجة كل ما يطلب الزائر صفحة يحمل معها السكربت

    سلام

  4. شكرا مصطفى على الموضوع الجميل.. بصراحة كنت أرغب باضافة معلومات عن هذا الموضوع لكن ماشاء الله عليك قمت بتغطية الموضوع بشكل كامل 🙂

    @Mohamed: ليس بالضرورة أن تضيف جميع الفايروسات هذه القيمة للريجستري, بعضها يدمج نفسه مع تطبيقات أخرى, تحقن نفسها بالذاكرة وبعضها يستخدم rootkit وتقنيات متطورة أكثر بحيث لايمكن اكتشافه, مضاد الفايروسات ليس الحل النهائي لحماية الجهاز!

  5. @ عبدالمهيمن
    في مثال من قاموسي يقول (اذا تريد تطلع تطلع) 😛

    @ Mohamed
    هنالك اشخاص تهتم بخصوصية بياناتهم بشكل كبير! ,, ومستعد لدفع بضعة الاف الدولارات لحماية جهازة او شبكتة المنزلية.

  6. عبدو ربما الجدار الناري يفي بالغرض ببعض الاحيان لانه يراقب البيانات الداخلة و الخارجة على الجهاز ، rootkit يمكن استعمال بعض الادوات لمراقبة اوامر الداكرة مثل RootkitRevealer على الوندوز…
    مادا يكون جهازي حتى احتاج لكل هده الحماية ، بعض الصور الشخصية و كلمات السر؟؟ لا يوجد ما يدعو للقلق ، لا املك موقع به فيزات زبائن او ما شابه…
    تحياتي اخواني

  7. اعتقد ان الأكتف اكس
    لها دور كبير فى انتشار الفيروسات

    حيث انه يتم زرع كود تحميل ملف من داخل الأكتفكس

    ويتم تنشيط خيارات الأمان للأداة بحيث يتخطاها المتصفح على انها امنة

    وتبدأ الأداة فى تحميل الفيرس من احد المواقع

    وبعد الأنتهاء من التحميل يتم تشغيل الفيرث دون علم الشخص الذى يتصفح
    الأنترنت باستخدام دالة شل

  8. السلام عليكم
    فعلا هذا موضوع مهم وخصوصا ان بعض اصحاب المواقع يضن ان هذه المشكلة من الاستضافة نفسها, وانصح اصحاب المواقع بعمل ( فحص ) دائم للموقع …
    واشكرك على هذه المعلومات وطرق الحماية,,

    عيسى

  9. إذا تبي تعرف موقع مصاب بهالجافا الخبيثه جرب الرابط السفلي حيث أن قوقل تكفي عناء المهمة بمجرد الزحفة على موقعك تقيمه بدل اسم الموقع http://www.isecur1ty.org إلى اسم موقعك
    عموما
    لا تستهيين بالجفاسكربت هذه خطورتها تاصل إلى زرع ملف لإرسال بريد بإسم الموقع على شكل سبام

    http://safebrowsing.clients.google.com/safebrowsing/diagnostic?client=Firefox&hl=en-US&site=www.isecur1ty.org

    ابن الصغو

  10. أخي كلام الأخ مصطفى صحيح!

    هو لم يقل أن Google Bots غير فعالة كل الي قاله أن نتائجها ليس بالضرورة أن تكون دائما دقيقية فمهما تطورت تبقى عبارة عن Bots تعتمد في عملها على مقارنة الـ Fingerprint الخاص بكل فايروس مع قواعد بيانات موجودة وبكل تأكيد يوجد طرق تشفير وتخطي لها. يعني الأمر مفروغ منه ومعروف حتى لو ماذكره مصطفى 🙂 وبالنسبة لكشفها أنت لا تحتاج لتطبيقات سطح مكتب مثل مضادات الفايروسات وبرامج حماية.. يمكنك معرفة ذلك بالاطلاع على الكود المصدري للصفحة وتحليله!

    دمتم بود…

  11. @ dna-tnt
    ليس فقط الاكتف اكس هنالك بعض من الاشياء الاخرى مثل برامج فيس بوك, تولبارت المتصفح, بعض من اضافات الفايرفوكس ..الخ

    @ ابن الصغو
    الرابط هذا لايعطي معلومات دقيقة, فهو يعتمد على زحف بوتات جوجل.

  12. أشكرك على التعليق
    لكن الرابط للناس اللي تبي كشف سريع ونتيجة سريعة وما عندها وقت مو مثلك يا مهندس .
    لكن ماهو مفهموك في المعلومات الدقيقة أولا .

    لعلمك الرسالة بالصورة الأعلى هي تتبع نفس سياسية قوقل في كشف الفيروسات فعلى كلامك كذا ماهي دقيقة . لأنك قلت أي شيء يعتمد على ربوتات معناها نتائجه غير دقيقة . لكن أنا أقولك أنها تسهم في الحل وتكشف وبنسبة عالية .
    ورجاء لا تستخدم مصطلح لا تعطي معلومات دقيقة مرة أخرى في مواضيع لا تخصع لقياس حتى وإن كنت خبرة على ما أظن لأنك أنت قمت بقياس الخدمة بوجود تطبيقات سطح مكتب منافسه وذات تقارير عالية .

  13. معلومات قيمة وجهد رائع أخ مصطفى … وعلينا أن نتوقع الفترة القادمة زيادة كبيرة فى هذه الفيروسات نظرا لعوامل ازدياد الشبكات والخبرة فى هذا المجال والرغبة فى الإختراقات للحصول على المعلومات

  14. السلام عليكم ورحمة الله

    فعلا ده موضوع يستحق القراءة وانا احييكم بشده علي هذا الموضوع خصوصا اني اهتم بمجال الفيروسات منذ أن كنت أدرس بالمرحلة الإعدادية ومع دخولي الكلية توجهت ناحية مجال الحماية من الفيروسات ولله الحمد الآن املك مدونة للحماية من الفيروسات بها أغلب برامج الحماية من الفيروسات واللسباي والسبام والتروجانات وجميع الملفات الضارة ومشاكل الكمبيوتر وحلولها ومشاكل الفيروسات وحلولها
    هذا هو عنوانها
    http://dr-virus.blogspot.com
    أشكركم مرة أخرى على هذا الموضوع القيم

  15. مقال اكتر من ممتاز بجد … وبحد الواحد مش عارف يعمل ايه الايام دى وخصوصا انتشرت الجافا سكربت .. والاعلانات الاسبام … والله بجد انتشرت وخصوصا بعد 2007 وحاليا منتشرة اوى فى المنتديات ..
    شكرا ليك وعلى الافادة العالية دى

  16. مشكور على المقالو الموضوع هذا .يستحق القرائة
    لكن مو شرط ان الدعم الفني هم السبب الاكبر .
    كل من يملك ببيانات موقعك او عضوية الادارة يمكن ان يصيب الموقع …
    ——–
    وايضا.
    حتى وان مسحتها او وضعت جدران نارية على المجلدات المهمة مثل الادمن.وغيرها
    الفايروسات وحسب ما بحث وقرئت عنها .
    تزرع نفسها مرات عدة بعد مسحها .
    ————–
    لكن الحلول التي اعطيتها كافية ووافية ..مشكور مرة اخرى .
    لكن ستبقى مشكلة ان تطورت وتخطت هذه الحلول …
    واكيد انها في تطور ……

  17. السلام عليكم جميعا
    اولا اشكر الاخ مصطفى على هذا الجهد الرائع
    ثانيا ياجماعه اظن ان معظم مايحيط بنا فى دنينا له منافع ومخاطر واذا قبلت المنفعه فكن على استعداد لتقبل المخاطره وهذا يجعل الدائره تدور باستمرار والله اعلم
    ثالثا ارجو من الاخ مصطفى تطوير مقاله هذا بالمستجدات التى تمت حتى فبراير 2010 الله يجزاه خير (لعلها تكون نواه لسلسه نافعة ليست به مخاطره وشكرا

  18. السلام عليكم
    فعلا هذه الفيروسات تشكل قنبلة موقوتة
    انا قبل ثواني فقط حليتها لزبون عندنا و حليتها اله امس كذلك و المشكلة طبعا من جهازه
    و للاشارة كان يستخدم ال AVAST
    لكن رشحت لهم KASPERSKY Internet Security
    لأانه لحد الآن افضل وسيلة
    كذلك اقول لموظفي العم الفني عدم استعمال الأفتبي و الاكتفاء بالفايل ماناجير الموجود بالسيبانل أو استعمال اللينكس
    شكرا لك اخ مصطفى على الموضوع الشيق و اسمح لي ان انقل الموضوع مع حفظ الحقوق لمدونة الشركة

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى