سلام دوستان عزیز و گرامی امیدوارم که حال شما خوب باشه ، همانطورکه میدانید در دنیای وب امروز جایگاه استفاده از سیستم های مدیریت محتوا کاملا شناخته شده است، بسیارند افرادی که با اطلاعات و تجربیاتی کم ، به کمک انواع CMS ها توانسته وب سایت خود را مستقلا و بسادگی مدیریت کنند و مطمنا معرفی CMS ها یک انقلاب مهم در دنیای وب بوده است. طبق آمار وردپرس۶٫۳ با درصد ، جوملا با۵۹٫۱  درصد و دروپال با ۴٫۹% از محبوبیت ترین ها در میان CMS ها محسوب  می شوند. این در حالی است که در میان همه وب سایت هایی که در دنیای بی انتهای وب وجود دارد ، وردپرس با ۲٫۸% درصد ، جوملا با۲۵٫۹  و دروپال با ۲٫۲% از آمار قابل توجهی برخوردار هستند و این امر  نشان از توجه ویژه وب مستر ها و مدیران وب سایت ها برای استفاده از CMS های اینترنتی دارد. در این حال باید توجه کرد که وب سایت های بسیار مهمی در ایران از این ۳ سیستم مدیریت محتوا استفاده می کنند و توجه به نکات امنیتی می تواند بسیار در حل مشکلات عدیده ای که ممکن است با آن روبرو باشند  ، مفید باشد.

همانطور که مستحضر هستید، در پنل میزبانی ابری هر کاربر بسادگی می تواند به کمک ابزار نصب خودکار اسکریپت از میان وردپرس ( WordPress ) ، جوملا ( Joomla )، پرستاشاپ ( Prestashop ) و دروپال ( Drupal ) ، سی ام اس دلخواه خود را با چند کلیک بر روی سایت خود نصب نماید، لذا از آنجا که طیف وسیعی از کاربران هاست ابری پارس پک از این سیستم های مدیریت محتوای استفاده می کنند، در این مقاله به بررسی راهکارهای مناسب در زمان هک شدن وب سایت می پردازیم که در چنین شرایطی مدیر وب سایت ، اطلاع یابد که دقیقا می بایست چه اقداماتی را صورت دهد.

در این مقاله به صورت خاص به بررسی علل موثر بر آسیب پذیری سیستم مدیریت محتوی محبوب جوملا و چگونگی رفع آنها خواهیم پرداخت.  این موارد با تغییراتی اندکی در خصوص سایر سیستم های مدیریت محتوای دیگر نظیر وردپرس و پرستاشاپ و … نیز به همین ترتیب قابل بررسی و اجرا می باشد.

هک چیست؟

در یک تعریف ساده می توان گفت Hack به هر گونه فعالیت بدون اجازه و آگاهی مالک سرویس  توسط شخص هکر ( hacker ) اطلاق می گردد که ممکن است با نیت خرابکاری و تخریب اعتبار سایت و یا  سوء استفاده از سرویس مربوطه مانند ارسال اسپم و هرزنامه و انواع فیشینگ ها ( Phishing ) در  اینترنت  انجام شود.

جوملا به تنهایی با تیم پشتیبانی قوی و بین المللی از امنیت مناسبی برخوردار است ولی شما به عنوان مدیر سایت لازم است همیشه هوشیار باشید. هکر ها همیشه در حال اسکن فایل های CMS  های متداول نظیر وردپرس و جوملا و کشف حفره های امنیتی در سایت های هستند که از این cms ها بهره می برند. لذا سرعت عمل در بروز رسانی ، آپدیت هایی که هر چند وقت یکبار برای هسته جوملا و یا پوسته ها و افزونه های آنها ارائه می شوند توسط مدیر وب سایت صورت پذیرد. به یاد داشته باشید که همواره پیش از تغییرات و بروزرسانی ها می بایست یک نسخه پشتیبان از سایت تهیه نمائید.

آخرین اخبار جوملا  در داشبورد ( dashboard ) یا صفحه مدیریت جوملای نمایش داده می شوند و یا حتی بهتر است تا از اشتراک خبرنامه امنیتی سایت جوملا  استفاده کنید.

چه اقداماتی را پس از هک وب سایت جوملا یا وردپرس باید انجام داد؟

ممکن است برای شما هم پیش آمده باشد که سایتی که تا روز گذشته بدون مشکل در دسترس بوده ، به یکباره امروز در نمایش صفحه اصلی صفحه سفید و یا پیغام های ۵۰۳ و ۴۰۳ یا ۴۰۴ نمایش میدهد، یا صفحه سیاهی با نام و عکسی از هکر سایت ، به جای صفحه اصلی و همیشگی سایت شما نمایش داده میشود. شاید هم صفحه های سایت شما بدون اینکه شما تنظیم کرده باشید به سایت های دیگری redirect  شوند.  در چنین شرایطی با ورود به بخش مدیریت فایل ها  ( فایل منیجر ) در کنترل پنل  ممکن است مشاهده کنید که فایل ها و فولدرهای جدیدی به فضای میزبانی شما افزوده شده است و یا تغییراتی در برخی فایل ها رخ داده است. به هر روی پس از آنکه از هک شدن وب سایت خود آگاه شدید، مناسب است تا اقدامات زیر را صورت دهید:

۱-    تهیه و دانلود پشتیبان:

به ناحیه کاربری خود وارد شوید، مرکز پشتیبانی و گزینه ارسال تیکت را انتخاب نموده و درخواست خود جهت ایجاد نسخه پشتیبان  به بخش پشتیبانی ارسال فرمائید.

پس از اعلام لینک دانلود آنرا دانلود نموده و نزد خود برای بررسی های بعدی و یا اسکن با آنتی ویروس شخصی نگاه دارید.

۲-    اسکن آنلاین سایت:

در مواردی اسکن تحت سرور توسط بخش پشتیبانی و یا رایانه شخصی قادر به شناسایی فایل های مخرب نیست و فایل های بد افزار خود را با متد های مختلف encryption  رمز گذاری میکنند و مشابه فایل های اصلی اسکریپت میشوند.
در این موارد میتوانید از طریق سایت های زیر سایت خود را به صورت آنلاین اسکن نموده و فایل های مخرب را شناسایی و حذف نمایید:

https://sitecheck.sucuri.net
https://www.virustotal.com
https://app.webinspector.com
http://www.quttera.com
http://www.isithacked.com

نمونه اسکن یک سایت توسط سایت آنلاین سوکوری:

sucuri1

همچنین از سرویس safe browsing گوگل هم میتوانید در این مورد کمک بگیرید. لطفا به جای عبارت regiran.com نام سایت خود را در لینک زیر وارد نمایید:

http://www.google.com/safebrowsing/diagnostic?site=http://regiran

.com

همچنین می توانید از برنامه های زیر نیز بر روی سرور خود استفاده نمایید:

CLAM AV ANTIVIRUS

Malwarebytes Anti-Malware

۳-    سایت  خود را از دسترس خارج نمایید.

راه های مختلفی برای از دسترس خارج کردن سایت وجود دارد، میتوانید کلیه اطلاعات سایت خود را با استفاده از گزینه مدیریت فایل در پنل میزبانی ابری به پوشه ای بالاتر از public_html  منتقل نمایید؛ میتوانید پوشه domain  را موقتا تغییر نام دهید و یا اینکه از بخش پشتیبانی بخواهید تا زمان بررسی های شما سایت را از دسترس خارج نمایند.

لطفا توجه کنید هر چه دیرتر سایت شما از دسترس خارج شود مشکلات بیشتری برای سرویس شما  ، رنکینگ سایت شما و همچنین سرور میزبان ایجاد میشود لذا سرعت در انجام بررسی ها و رسیدن به این مرحله حرف اول را میزند.

۴-    راهکارهای شناسایی و حذف فایل های مخرب

– فولدرهای زیر را که معمولا در سریعترین زمان آلوده میشوند را حذف نمایید:

Tmp
Cache
Images

–  بد افزار ها سعی میکنند خود را مشابه فایل های دیگر سرویس شما جا بزندد، شما میتوانید فایل های مشکوک با نام هایی مشابه موارد زیر را با استفاده از گزینه edit  در فایل منیجر دایرکت ادمین بررسی کنید؛ در صورتی که کدهتی مشکوک و یا کاراکترهایی که شبیه به عبارت های انگلیسی نباشند مشاهده کردید؛ امکان ویروسی بودن این فایل ها وجود دارد و لازم است حذف شوند:

Adm1n.php
admin2.php
contacts.php
cron.css
css.php
do.php
hell0.php
solo.php
x.php
test.php یا test.html یا tests.php
uploadtest.html

•    توجه کنید که نام فایل های بالا به عنوان نمونه بوده و فایل های مخرب ممکن است از هر نامی استفاده کنند.
•    شما میتوانید در نسخه پشتیبانی که دانلود کرده اید عبارت های زیر را در داخل کدهای فایل ها جستجو کنید، هکر ها معمولا از این کد ها برای مخفی کردن و رمز گذاری کدهای دیگر استفاده میکنند:

base64_decode(
if (md5($_POST
$password=@$_REQUEST[‘password’]
$action=@$_REQUEST[‘action’]
preg_replace(“/.*/e”

نکته: در صورتی که از سرور لینوکسی استفاده میکنید میتوانید از دستور grep  برای جستجو متن فایل های یک دایرکتوری استفاده کنید.
•    لطفا به تاریخ آپلود و یا ایجاد فایل ها هم دقت کنید، از روی زمان آپلود فایل ها نیز میتوان تعدادی از فایل های مخرب را شناسایی کرد.
•    فراموش نشود که لازم است محتوی فایل .htaccess  و index.php  در پوشه اصلی اسکریپت و همچنین قالب سایت را نیز بررسی نمایید تا موارد مشکوکی به آنها اضافه نشده باشد.
•    در مواردی کد های php  بد افزار از فرمت های رایج تصاویر نظیر gif  و jpg  استفاده میکنند که این فایل ها نیز باید بررسی شوند.

بسته به حجم اطلاعات سایت شما و سرعت عمل شما ممکن است عملیات شناسایی و حل مشکل توسط شما چندین ساعت و یا چندین روز به طول انجامد لذا لازم است حتما در مرحله قبل غیر فعال کردن سایت را به درستی انجام داده باشید. میتوانید در این مدت صفحه ای موقت مبنی بر انجام بروز رسانی بر سایت در سرویس خود آپلود نمایید.

نمونه هایی از کد های صفحات آلوده:

back door joomla

fake file

fake mails

fake2 file

framework infected

hacked template

۵-    پسورد ها را تغییر دهید!

بله! ممکن است هکر پسورد های بخش های مختلف سرویس شما را از روی فایل های config  و یا دیتابیس ها دیده باشد لذا حتما تمامی پسورد های سرویس هاست، دیتابیس ها و حتی ایمیل ها و اکانت های ftp را تغییر دهید تا پس از حل مشکل مجددا امکان ورود هکر به سایت شما وجود نداشته باشد.

در جوملا لازم است  پسورد جدید دیتابیس را در فایل configuration.php در بخش زیر نیز قرار دهید:

public $password = ‘NEW-MYSQLi-PASSWORD’;

در وردپرس میتوانید فایل wp-config.php را در بخش زیر ویرایش نمایید:

define( ‘DB_PASSWORD’, ‘password_here’ );

۶-    به روز رسانی و یا حذف اطلاعات.

بسته به عمق نفوذ بد افزار به فایل های اصلی جوملا لازم است تمامی افزونه ها، فایل های قالب و افزونه ها به صورت جداگانه به آخرین نسخه موجود به روزرسانی شوند.
در مواردی اگر فایل های زیادی از جوملا خراب یا حذف شده باشند قادر به اپدیت جوملا از داخل اسکریپت نخواهید بود و لازم است فایل های فعلی را حذف و نسخه سالم و به روز جوملا و افزونه ها را آپلود نمایید.
برای آپلود میتوانید از طریق بخش مدیریت فایل و یا اتصال FTP  استفاده نمایید.

جهت مشاهده آموزش اتصال ftp اینجا کلیک کنید.

۷-    گوگل و کاربران سایت خود را از رفع مشکل با خبر کنید!

ممکن است گوگل وب سایت شما را در لیست سیاه خود قرار دهد و در این حالت بازدیدکنندگان به هنگام مرور وب سایت شما با خطای آلوده شدن کامپیوترشان روبرو خواهند شد. حتی اگر مشکل را نیز برطرف نمایید ممکن است این وضعیت تا چند روز الی چند هفته نیز باقی بماند. لذا در صورتی که از پاکسازی مشکل به کمک وب سایت های معرفی شده، اطمینان حاصل کرده اید، به لینک زیر در گوگل وبمستر تولز مراجعه کنید:

https://www.google.com/webmasters/tools/security-issues

بر روی گزینه Request a review کلیک نموده و منتظر بمانید تا گوگل مجددا سایت شما را بررسی کرده و در صورت حل مشکل از بلک لیست خارج کند. ممکن است این عملیات ۲ الی ۳ روز به طول انجامد لذا شکیبا باشید و هر روز از طریق Google Webmaster Tools اقدام به بررسی وضعیت آن نمایید.

پشتیبانی پارس پک :

در برخی موارد ممکن است تیم پشتیبانی پارس پک با آگاهی از مورد سوء استفاده قرار گرفتن سرویس، گزارشی از فعالیت بدافزارها را در اختیار شما قرار دهد، این موارد می تواند شامل گزارش ابیوز اسپم (  Malware ، ( Spam Abuse و یا سایر موارد باشد. در چنین مواقعی لازم است تا هر چه سریعتر  جهت جلوگیری از بروز مشکلات بعدی و یا قرار گرفتن آیپی و یا نام سایت در blacklist  های بین المللی؛ این مشکل را بررسی و رفع نمایید.

البته بخش پشتیبانی شرکت نیز شما را در حل مشکل و پیدا کردن فایل های مخرب راهنمایی خواهد کرد.  در صورت نیاز به راهنمایی و یا کمک در رفع این موارد ، لطفا از طریق ارسال ایمیل و یا درخواست تیکت مراتب را با بخش پشتیبانی مطرح فرمائید.

نکته ۱: در نظر داشته باشید آپلود اسکریپت های جداگانه نظیر اسکریپت های مرتبط با آپلود فایل و عکس، چت آنلاین و موارد مشابه، نیز ممکن است منجر به هک شدن کلی فضای میزبانی شما شود.

نکته ۲: در صورتیکه نسخه های متعددی از جوملا و وردپرس را در پوشه های مختلف نگهداری می کنید ، اما از آنها استفاده نمی کنید و بدون استفاده مانده اند، این اسکریپت ها را حذف نمائید.

نکته ۳: پس از نصب جوملا فولدر installation را حذف نمائید.

نتیجه گیری:

در این مقاله سعی شده است تا توضیحات کامل جهت هر مرحله از پاکسازی ارائه شود، با توجه به جامع بودن این مقاله شما میتوانید برای پاکسازی و رفع موارد هک سایر CMS  ها نظیر وردپرس، پرستا شاپ، دروپال و غیره نیز از آن استفاده نمایید. تنها مسیر و نام فایل های هر cms  متفاوت خواهد بود.