گوگل و هک شدن سایت - بخش سوم

در بخش اول و بخش دوم با هک از منظر گوگل آشنا و برخی نکات مقدماتی را مرور کردیم. در این بخش با نحوه تشخیص آسیب دیدگی ها و در بخش پایانی با نحوه یافتن علت آلوده شدن و روش های پاک سازی سایت و در نتیجه خارج شدن آن از لیست سیاه سایت های آلوده آشنا خواهیم شد.

قبل از اینکه بتوانیم لیستی از خسارات وارد شده به سایت را تهیه کنیم، باید نوع تخریب مشخص شود. (اسپم یا بدافزار)

گام چهارم: کمک گرفتن از گوگل وبمسترز

نکته: در بخش قبل سایت را غیر فعال کردیم تا نسبت به آلودگی های بیشتر گارانتی شود. برای انجام بعضی از مواردی که ذکر می شود، سایت را باید موقتا فعال کنیم.

برای پیدا کردن سرنخ و تشخیص نوع آلودگی، طبق معمول می توان روی کمک گوگل حساب کرد. یکی از قسمت های گوگل وبمسترز بخش پیغام ها است. در صورتیکه سایت هک شده باشد، پیغام هایی متناسب با نوع هک دریافت می کنیم.

طبیعتا ابتدا گوگل باید از اینکه سایت متعلق به شما است مطمئن شود. تایید مالکیت سایت روش های مختلفی دارد. (آپلود فایل HTML، افزودن تگ meta، گوگل آنالایتیکز و سرویس دهنده دامنه سایت)

همیشه باید به این مساله فکر کنیم که هکر برای خود یک (یا چند) راه نفوذ ایجاد می کند. پس از تایید مالکیت سایت توسط گوگل، باید لیست کاربرها در وبمسترز را کنترل کنیم تا کاربر ناشناسی وجود نداشته باشد. برای این منظور در لیست سایت ها در وبمسترز روی گزینه Manage site مربوط به سایت هک شده کلیک کرده، سپس گزینه Add or remove users را انتخاب می کنیم. در صورتیکه کاربر ناشناسی در لیست وجود داشت، مشخصات (آدرس ایمیل) را یادداشت می کنیم و علاوه بر حذف از لیست کاربران، روشی که مالکیت او توسط گوگل تایید شده را هم از بین می بریم. به عنوان مثال اگر از تگ meta برای تایید مالکیت استفاده کرده، آن را حذف می کنیم.

در این مرحله ممکن است هکر برخی از تنظیمات وبمسترز را تغییر داده باشد. در منوی ابزارهای وبمستر، روی گزینه Configuration و سپس Settings کلیک می کنیم. تمامی تنظیمات باید طبیعی باشند. به عنوان مثال ممکن است Crawl rate تغییر کرده باشد. همچنین در قسمت Optimization > Remove URLs و Configuration > Change of Address نباید مورد غیر طبیعی وجود داشته باشد.

تشخیص نوع آلودگی

در صورت هک شدن سایت، با ورود به قسمت Messages در وبمسترز ممکن است یکی از پیغام های زیر وجود داشته باشد:

- اگر در پیغام عبارت "suspected hacking" وجود داشته باشد، هکر در سایت شما صفحه، متن یا لینک اضافه کرده و سایت شما برای انتشار اسپم هک شده است. (هک از نوع اسپم)
- پیغام "phishing notification" به این معنا است که هکر از سایت شما برای دزدین اطلاعات کاربر استفاده می کند. اما روش یافتن آلودگی ها و پاک سازی مانند حالت قبل است. (هک از نوع اسپم)
- منظور از عبارت "infected with malware" در پیغام این است که هکر از سایت شما برای خراب کاری استفاده می کند. (هک از نوع بدافزار)

در ادامه مطلب با روش های یافتن آلودگی ها با توجه به نوع هک آشنا خواهیم شد.

گام پنجم: یافتن آلودگی ها (هک از نوع اسپم)

برای تهیه لیستی از فایل های آلوده در این بخش، باید دسترسی Shell/terminal به سرورهای سایت داشته باشیم. در غیر اینصورت باید تمامی فایل ها و دیتابیس سایت را به صورت لوکال بررسی کنیم.

گوگل وبمسترز لیستی از فایل های اولیه را در اختیار ما قرار می دهد. برای بررسی بیشتر فایل ها باید کدهای آن را بازبینی کنیم. سایت باید به صورت موقت فعال شود. اما دقت کنید به هیچ وجه از طریق مرورگر فایل ها را مستقیم باز نکنید. برای این منظور می توانیم از یکی از روش های زیر استفاده کنیم:

- استفاده از جستجوی گوگل: در گوگل آدرس صفحه را همراه با عبارت cache قرار دهید. (cache:http://www.example.com/page.html)
- استفاده از وبمسترز: در وبمستر در قسمت Health > Fetch as Google آدرس صفحه را وارد کنید.
- استفاده از cURL یا Wget: با استفاده از این ابزارهای رایگان می توانیم همراه با ارسال درخواست به صفحه سایت، نوع مرورگر و سایت مرجع را مشخص کنیم.

$curl -v --referer "http://www.google.com" --user-agent "Mozilla/5.0 (Macintosh; Intel 
Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.112 Safari/534.30" 
http://www.example.com/page.html

برای پیدا کردن سایر فایل های سایت می توانیم از عبارت site در جستجوی گوگل استفاده کنیم. (site:example.com)

بررسی فایل های سایت

در مرحله بعد با ورود به سرور به بررسی بیشتر فایل ها می پردازیم. هکر می تواند فایل ها یا اطلاعات دیتابیس را تغییر بدهد، صفحه جدید بسازد، تابع و دستورات جدید برای تولید اسپم بنویسد یا دریچه های مخفی (backdoor) برای اهداف خود ایجاد نماید.

در صورتیکه سایت را فعال کرده اید، در این مرحله می توانید آن را غیر فعال (offline) کنید.

اگر از سایت خود بک آپ سالم دارید (اصولا باید داشته باشید) می توانید فایل های فعلی سایت را با بک آپ مقایسه کنید.

$diff -qr www/ backups/full-backup-20120124/

و یا

$md5sum www/page.html backups/full-backup-20120124/page.html

بررسی لاگ های سرور، دسترسی ها و پیغام خطا ها می تواند در یافتن فایل های آلوده موثر باشد.

معمولا هکرها دسترسی فایل ها و فولدرها را به شکلی تنظیم می کنند تا بتوانند در صورت نیاز از این حفره ها استفاده کنند.

یافتن فولدرهایی با دسترسی بیشتر از 755:

find  -type d -not -perm 755 -exec ls -ld {} \;

یافتن فایل هایی با دسترسی بیشتر از 644:

find  -type f -not -perm 644 -exec ls -la {} \;

گام پنجم: یافتن آلودگی ها (هک از نوع بدافزار)

در این بخش هم دسترسی Shell/terminal و نیز توانایی اجرای دستورات SQL مورد نیاز است. همچنین به هیچ وجه از مرورگر برای باز کردن صفحات به صورت مستقیم استفاده نکنید.

یکی از ابزارهای مفید گوگل، ابزار سنجش امنیت وب سایت است که در آدرس زیر می توانیم از آن استفاده کنیم:

http://www.google.com/safebrowsing/diagnostic?site=example.com

در این بخش هم cURL و Wget ابزارهای رایگان مفیدی هستند که می توانیم همزمان با دریافت صفحه سایت، سایت مرجع (referer) هم برای آن تعریف کنیم.

$curl -v --referer "http://www.google.com" 

تشخیص نوع بدافزار

در داشبورد وبمسترز به قسمت Health > Malware مراجعه کنید. آدرس صفحات که در این قسمت وجود دارد را یادداشت کنید. به همراه آن، نوع بدافزار هم وجود دارد. بدافزارها می توانند یکی از 4 نوع زیر باشند:

- تنظیمات سرور
- تزریق دستورات SQL
- صفحات پیغام خطا
- تزریق کد

مرحله بعد در این بخش بررسی کامل فایل های سایت در سرور است که بالاتر در همین صفحه تحت عنوان "بررسی فایل های سایت" عنوان شد. مقایسه فایل ها با بک آپ سالم، بررسی لاگ ها و بررسی سطوح دسترسی (برای فولدرها دسترسی بیشتر از 755 و فایل ها بیشتر از 644) مواردی است که در این بخش انجام می شود.

همچنین بررسی تنظیمات سرور مانند فایل های .htaccess و httpd.conf یکی از نکات مهم در این بخش است. هکر ممکن است تنظیمات redirect در این فایل ها اضافه کرده باشد.

در صورتیکه سایت شما از دیتابیس برای نگهداری اطلاعات استفاده می کند، بررسی تمام رکوردها الزامی است. برای سهولت کار می توان از ابزارهایی مانند phpMyAdmin استفاده کرد.