لائحة الطعام
مجاني
تحقق في
الرئيسية  /  تعليم / ما هو رمز ضار. ما هو مثال التعليمات البرمجية الخبيثة

ما هو رمز ضار. ما هو مثال التعليمات البرمجية الخبيثة

بدأ الموقع فيروسا، وكما هو مثل أي كائن مصاب، تحول مورد الويب الخاص بك إلى مصدر واحد كبير للمشاكل: الآن ليس فقط لا يربح فقط، ولكن أيضا يغادر سمعتك على الإنترنت والمشترين ومحركات البحث وحتى يتم تشغيل Hoster بعيدا عنك.

تبقى واحدا على واحد مع مشكلتك ومحاولة حلها القوات الخاصةدون اتصال المهنيين، ولكن بعد نصيحة "المتخصصين" من المنتديات. أو طلب علاج الموقع حيث "أرخص". ما يجب القيام به، لأنه يريد دائما حل المشكلة في أسرع وقت ممكن وبصفته أصغر التكاليف. ولكن هل هذا النهج دائما ما يبرر؟

نحن نقدم انتباهكم في أفضل 7 أخطاء في العام الماضي الذي ارتكب سيد الويب، في محاولة لاستعادة أداء الموقع بعد القرصنة والعدوى.

خطأ رقم 1. استعادة الموقع من النسخة الاحتياطية كوسيلة للتخلص من التعليمات البرمجية الخبيثة

في كثير من الأحيان، تحاول مشكلة العدوى مع مدونة ضارة في ماجستير الويب حل كيكل الموقع إلى آخر إصدار نظيف. واستمر في استعادة مشروع الويب في كل مرة يجعل الفيروس على الموقع مرة أخرى. للأسف، إنه خيار غير مريح ومحفوف بالمخاطر للغاية.

الحل الصحيح: يحتاج الموقع إلى التعامل معه ووضع الحماية ضد القرصنة لتجنب إعادة الإصابة. أولا، يمكن تحديث محتوى الموقع، يمكن تثبيت الإضافات الجديدة على الموقع، ويمكن إجراء التغييرات على البرامج النصية الموقع. كل الظهر Rollback يعني أنك تفقد نتائج أعمال جميع الأيام الأخيرة. ولكن هناك سبب أكثر أهمية بالنسبة للنضال الكاردينال مع القرصنة: ماذا لو قرر أحد المتسللين يوما ما تدمير موقعك بالكامل، لأنه يحتوي على الوصول إلى مورد الويب الخاص بك؟

خطأ رقم 2. خداع الخداع لإبرام الموقع من تحت العقوبات

يدخل الموقع قائمة "تهديد أمان الكمبيوتر أو جهاز محمول... "بسبب الفيروس على الموقع أو إعادة توجيه الزوار إلى المورد المصاب. في جزء "معالج الويب"، يتم عرض أمثلة الصفحات المصابة، ولكن مشرف موصل صعبة أو جاهلة بدلا من حل مشكلة (البحث وحذف مصدر ضار) يحذف بعض الصفحات التي تظهر محركات البحث في أمثلة العدوى. أو، كخيار، قم بحظر الوصول بالكامل إلى الموقع باستخدام القواعد في Robots.txt، معتقدين ساذجة أنه يحظر والوصول إلى بوت مكافحة الفيروسات إلى الموقع.

الحل الصحيح: تحتاج إلى العثور على رمز فيروسي على الموقع وإزالته. حظر الفهرسة ليس عديمة الفائدة فقط، ولكن أيضا خطير. أولا، يمكن أن تسقط صفحات الموقع من فهرس البحث. حسنا، ثانيا، يعمل روبوت خدمة مكافحة الفيروسات وفقا للقواعد الأخرى غير القواعد لمحرك البحث، وحظر الفهرسة لا يؤثر عليه.

خطأ رقم 3. باستخدام ماسحة شفرة ضارة مع خبراء غير كفء

من أجل توفير أو لبعض الأسباب الأخرى، يبدأ علاج الموقع في المشاركة في أخصائي مستعد بما فيه الكفاية لا يمكنه تحديد 100٪ ما إذا كانت الشظية المخصصة للماسح الضوئي الكود الخبيث أمر خطير حقا. نتيجة لذلك، يمكن ملاحظة تطرفين: تتم إزالة جميع الشكوك على الإطلاق في الفيروس، مما يؤدي إلى انهيار الموقع، أو يتم إلغاء الكود الخبيث غير تماما، مما يثير تكرار.

الحل الصحيح: من الواضح أن المهنيين يجب أن يشاركون في علاج مورد ويب. إن تقرير ماسحات الضوئية الضارة هي ردود كاذبة، نظرا لأن الجزء نفسه يمكن استخدامه في التعليمات البرمجية المشروعة والقراصنة. تحتاج إلى تحليل كل ملف، وإلا يمكنك إزالة العناصر الحيوية، والتي يمكن أن تؤدي إلى إخفاقات في الموقع أو انهيارها الكامل. أو على العكس من ذلك، هناك خطر عدم التعرف على قذيفة القراصنة، مما سيؤدي إلى إعادة عدوى لمورد الويب.

خطأ رقم 4. تجاهل الرسائل (في لوحة مشرفي المواقع) على وجود رمز ضار على الموقع

يمكن أن يكون الإخطار عن وجود رمز ضار على الموقع في لوحة معالج الويب غير دائم. اليوم يكتب النظام أن الفيروس على موقعك، وغدا صامت. صاحب الموقع أكثر متعة للاعتقاد بأن هناك نوع من الفشل في النظام، ويبلغ موقع الويب الخاص به من أي شك. ومع ذلك، في الممارسة العملية كل شيء خطأ. هناك أنواع مختلفة من الالتهابات. يمكن أن يظهر رمز ضار على الموقع فقط لبعض الوقت، ثم تختفي. هذا يعني أنه عند التحقق من الموقع، يمكن اكتشاف زجاجة مكافحة الفيروسات لمحرك البحث، والبرامج الضارة، وفي الآخر - لا. نتيجة لذلك، يقوم مسؤول الموقع بأنه "مريح" ويبدأ في تجاهل الرسالة الخطرة: "لماذا تضيع الوقت للعلاج، لأن الموقع لم يحظر".

الحل الصحيح: إذا لم يكن لدى الموقع نشاط ضار، على الأرجح لك، فقد اخترق موارد الويب والمصابة. الفيروسات على الموقع لا تظهر بنفسها. حقيقة أن محرك البحث اكتشف رمزا مشبوها على الموقع، ثم "صامت"، لا يجب أن لا يتم تجاهله فقط من قبل المسؤول عن الموقع، ولكن على العكس من ذلك، يجب أن يكون بمثابة إشارة إنذار. من يدري كيف سيتم تشغيل موردك غدا؟ - البريد المزعج أو الخداع أو إعادة التوجيه. تحتاج إلى إجراء مسح موقع على الفور ل Backdbors Hacker، وقذائف، لعلاج وحماية من القرصنة.

خطأ رقم 5. علاج المواقع بواسطة Freelancerames-non-professional.

من حيث المبدأ، فإن العمل مع المستقلين في هذه القضية لا يختلف عن المجالات الأخرى. رخيصة - ليست دائما نوعيا، ولكن دائما دائما دون ضمانات وعلاقات تعاقدية. يعمل معظم الأعمال المستقلين الذين لا يتخصصون في مشكلات أمن الموقع مع عواقب هجوم القراصنة، ولكن ليس مع نقاط ضعف الموقع. هذا يعني أن الموقع يمكنه الاختراق إعادة الاستخدام. والأسوأ من ذلك، هناك أيضا فناني غير ضميرين يمكنهم تمتص رمز ضار آخر على الموقع، وسرقة قاعدة البيانات، إلخ.

الحل الصحيح: اتصل بشركة متخصصة تتعامل مع علاج وحماية المواقع من القرصنة. موظفون من هذه الشركات كل يوم إزالة رمز ضار، راجع طفرة الفيروسات واتبع تطور هجمات القراصنة. السوق السطو الداكن ليس في مكان واحد، وتتطور ويتطلب مراقبة مستمرة وردا ذي صلة على علاج وحماية الموقع من التدخلات غير المصرح بها.

خطأ رقم 6. الإزالة اليومية / الأسبوعية لنفس الفيروس من الموقع.

هذه المشكلة تتعلق ب "عشاق" خاصة، وهي مستعدة للقضاء على آثار القرصنة على أساس منتظم. يعرف مشرفي المواقع هذا بالفعل أنه سيتم وضع الرمز على وجه التحديد في الموقع، وتحديدا أين وعندما يحدث ذلك. حتى تتمكن من القتال إلى ما لا نهاية مع إعادة توجيه عبر الهاتف المحمول، والتي يتم تقديمها يوميا في 09-30 من قبل مهاجم على ملف .htaccess ويعيد توجيه حركة المرور عبر الهاتف المحمول إلى الموقع لبيع الفياجرا أو الاباحية. هنا فقط ليس كافيا: The Hacker Bot يفعل ذلك الوضع التلقائيوعليك إجراء عملية إزالة يدوية. غير صادق بعد كل شيء، أليس كذلك؟

الحل الصحيح: يمكنك حذف العواقب (الفيروسات أو إعادة التوجيه، وما إلى ذلك)، ولكن تحقق من موقع البرامج النصية الخبيثة والمتسللين بشكل أكثر كفاءة، وإزالتها وتثبيت الحماية من القرصنة حتى لا يظهر المزيد من رمز الفيروسات. والوقت الذي تم إصداره لإنفاقه بشكل أكثر فعالية. الشيء الرئيسي، تذكر أن القراصنة لديه بالفعل إمكانية الوصول إلى موقعك، مما يعني أنه في المرة القادمة قد لا يحد من التعليمات البرمجية الضارة لك، ولكن استخدام موقعك للحصول على جرائم إلكترونية أكثر خطورة.

خطأ رقم 7. علاج موقع مشارك بواسطة مكافحة الفيروسات لجهاز كمبيوتر

إن مفهوم "مكافحة الفيروسات" لبعض مشرفي المواقع هو عالميا، وهم يحاولون علاج موقع اختراق ومصاب باستخدام مكافحة الفيروسات مخصص للكمبيوتر. يتم إجراء نسخة احتياطية الموقع وتحقق من إصدار سطح المكتب من برنامج مكافحة الفيروسات. للأسف، هذا العلاج غير قادر على إعطاء النتائج المرجوة.

الحل الصحيح: الفيروسات الموجودة على الموقع وعلى الكمبيوتر - وليس نفس الشيء. للتحقق من الموقع الذي تحتاجه لاستخدام البرامج المتخصصة أو أخصائيي الوصول. مكافحة الفيروسات سطح المكتب، بغض النظر عن مدى جودة جيدة، لا تهدف إلى علاج مواقع الويب من الفيروسات، لأن قاعدة بياناتها تركز على الفيروسات وأحصنة طروادة على الكمبيوتر.

هذا كل شئ. لا تخطو على نفس أشعل النار!

توزيع البرامج الضارة من خلال مواقع الويب

Kostin Paradise، Kaspersky Lab

مقدمة. الجريمبريك: الاتجاهات والتنمية

خلال السنوات القليلة الماضية، أصبح الإنترنت مكانا خطيرا. تم إنشاؤها مبدئيا لعدد صغير نسبيا من المستخدمين، فاقم بشكل كبير بتوقعات المبدعين. يوجد اليوم أكثر من 1.5 مليار مستخدمين عبر الإنترنت في العالم، وعددهم ينمو باستمرار حيث أصبحت التكنولوجيا بأسعار معقولة بشكل متزايد.

لاحظ المجرمون أيضا هذا الاتجاه وفهم بسرعة كبيرة أن الالتزام بالجرائم باستخدام الإنترنت (الآن كان يسمى Cerbercrime) لديه عدد من المزايا المهمة.

أولا، لا يرتبط الجرائم الإلكترونية بأكبر مخاطر: نظرا لأنه ليس له حواجز جيوسياسية، يصعب التقاط وكالات إنفاذ القانون للمجرمين. علاوة على ذلك، إجراء التحقيقات الدولية والأعمال القضائية المزيد من الماللذلك، عادة ما يتم تنفيذ هذه الإجراءات فقط في حالات خاصة. ثانيا، Cybercrime بسيط: على الإنترنت عرض كمية كبيرة "تعليمات" على القرصنة أجهزة الكمبيوتر والفيروسات الكتابة، في حين لا تتطلب أي معرفة وخبرة خاصة. فيما يلي اثنين من العوامل الرئيسية التي تحولت الجرائم الإلكترونية إلى الصناعة التي يتم احتساب تنقيحاتها بمقدار عدة مليارات دولار وهي نظام بيئي مغلقة حقا.

والشركات المشاركة في حماية المعلومات ومصنعي البرمجيات تؤدي معركة دائمة ضد الجرائم الإلكترونية. هدفهم هو توفير مستخدمين عبر الإنترنت حماية موثوقة وإنشاء برنامج آمن. يتغير المهاجمون بدورهم باستمرار التكتيكات من أجل مواجهة التدابير المضادة المعتمدة، والتي أدت نتيجة لذلك إلى ظهور اتجاهين واضحين.

أولا، يحدث وضع البرامج الخبيثة باستخدام نقاط الضعف في اليوم، أي نقاط الضعف التي لم يتم إنشاؤها بعد. مع نقاط الضعف هذه، قد يصاب هذا الضعف أنظمة الكمبيوترالتي تم تثبيتها جميع آخر التحديثاتولكن لا توجد حلول واقية خاصة. تعد ضعف Zero-Day منتجا قيما (يمكن أن يؤدي استخدامها إلى عواقب وخيمة)، ويتم بيعه في السوق السوداء لعشرات الآلاف من الدولارات.

ثانيا، نرى زيادة حادة في كمية البرامج الضارة التي تم إنشاؤها خصيصا لسرقة المعلومات السرية من أجل بيعها في السوق السوداء: أرقام بطاقات الائتمان، والتفاصيل المصرفية، كلمات المرور للوصول إلى مواقع مثل eBay أو PayPal، وحتى كلمات المرور على الإنترنت -igra، على سبيل المثال، إلى عالم علب.

واحدة من الأسباب الواضحة لمثل هذا النطاق الإلكترونية هي ربحيتها، والتي ستكون دائما محركا في إنشاء تقنيات إلكترونية جديدة.

بالإضافة إلى التطورات، التي تحتفظ بها احتياجات الإنترنت من الإنترنت، نلاحظ اتجاه آخر - انتشار البرامج الضارة من خلال شبكة الإنترنت العالمية. بعد أوبئة بداية العقد الحالي الناجم عن هذه الديدان البريدية مثل ميليسا، ركزت العديد من الشركات - الشركات المصنعة لأنظمة حماية المعلومات جهودها على تطوير الحلول التي يمكن أن تحييد الاستثمارات الخبيثة. في بعض الأحيان، أدت إلى حقيقة أن جميع المرفقات القابلة للتنفيذ قد تمت إزالتها في الرسائل.

ومع ذلك، أصبح المصدر الرئيسي لنشر البرامج الضارة المصدر الرئيسي للبرامج الضارة. يتم وضع البرامج الضارة على مواقع الويب، ثم إما أن تسبب المستخدمين عن طريق الاحتيال في تشغيلها يدويا، أو يتم تنفيذ هذه البرامج باستخدام استغلال تلقائيا على أجهزة الكمبيوتر المصابة.

نحن في "Kaspersky Lab" مع إنذار متزايد يراقب ما يحدث.

إحصائيات

على مدى السنوات الثلاث الماضية، شاهدنا ما يسمى بالمواقع النظيفة (من 100،000 إلى 300000) لتحديد الأي من النقطة التي أصبحوا فيها نقاط نشر البرامج الخبيثة. زاد عدد المواقع المتعقبة باستمرار حيث يتم تسجيل نطاقات جديدة.

يوضح الجدول معدل الإصابة القصوى المسجلة لصفحات الويب التي تتبعها خلال العام. من الواضح أن زيادة حادة في حصة المواقع المصابة: إذا كانت في عام 2006، فقد أصيبت بكل موقع تقريبا من عشرين ألفا، ثم اتضح أنه مصاب بكل موقع من مائة وخمسين. تختلف النسبة المئوية للمواقع المصابة في مجال هذا الرقم الأخير، والتي يمكن أن تعني إنجاز نقطة التشبع: جميع المواقع التي يمكن أن تكون مصابة كانت مصابة. ومع ذلك، يزيد عددهم أو ينقصون كأرض نقاط ضعف جديدة أو ظهور أدوات جديدة تسمح للمهاجمين بإصلاح مواقع الويب الجديدة.

تحتوي الجدولان التاليان على بيانات عن البرامج الضارة التي اجتمعت في معظم الأحيان على المواقع في عامي 2008 و 2009.

10 البرامج الضارة الرائدة - 2008

10 برامج ضارة رائدة - 2009

في عام 2008، تم العثور على برنامج Trojan-Clicker.Jent.h في عدد كبير من الحالات. وراء ذلك بهامش أقل من 1٪ يتبع Trojan-Download.js.Iframe.oj.

الصفحة، المصابة trojan-clicker.js.Agent.h

fodded trojan-clicker.js.Agent.h

Trojan-Clicker.js.Agent.h هو مثال نموذجي لآلية تم استخدامها في عام 2008 وما زالت تستخدم (في عام 2009) لإدخال رمز ضار. تتم إضافة مقتطف صغير JavaScript إلى الصفحة، والتي تعرض عادة للتبضارات من أجل جعلها صعبة. في التعليمات البرمجية الموضحة في الشكل أعلاه، يتكون التعرض ببساطة في استبدال أحرف ASCII التي تشكل رمز ضار، ورموز HEX الخاصة بهم. بعد فك تشفير التعليمات البرمجية، كقاعدة عامة، هي إطار عائم (IFRAME) مما يؤدي إلى الموقع الذي توجد عليه الاستغلال. قد يختلف عنوان IP الذي يتم فيه إجراء الرابط، حيث يتم وضع المغلقة على مجموعة متنوعة من المواقع المختلفة. على ال الصفحة الرئيسية عادة ما يتم استغلال الموقع الضار ل IE و Firefox والأوبرا. Trojan-Downloader.js.Iframe.oj يشبه كل من التردد الثاني لاستخدام برنامج ضار.

في عام 2009، كان هناك حالتين مثيرة للاهتمام عندما تم توزيع البرامج الخبيثة من خلال صفحات الويب. في الحالة الأولى، نتحدث عن Net-Worm.js.aspxor.a، اكتشف لأول مرة في يوليو 2008 وانتشرت على نطاق واسع في عام 2009. تعثر هذه البرامج الضارة بمساعدة أداة مساعدة خاصة عن مدى ضعف SQL على مواقع الويب التي يقدمها الإطارات العائمة الخبيثة.

حالة أخرى مثيرة للاهتمام هي برنامج gumblar ضار. تم تسمية اسم المجال الصيني الذي كان ينشر مآثرا. إن سلسلة "Gumblar" في تبديد رمز JavaScript، "تعريتها" بالموقع، هي علامة مخلصة على أن الموقع مصاب.

مثال على إدخال رمز Gumblar إلى صفحة الموقع

بعد deobalming، يشبه الكود الخبيث Gumblar مثل هذا:

فك شفرة Gumblar Code.

تم إغلاق المجال "gumblar.cn"، والتي، ومع ذلك، لم يمنع الجرائم الإلكترونية لمواصلة الهجمات الخبيثة من مجالات جديدة.

طرق العدوى وطرق التوزيع

حاليا، هناك ثلاث طرق رئيسية لشخص مواقع البرامج الضارة.

الطريقة الأولى الشعبية هي استخدام نقاط الضعف في موقع الويب نفسه. على سبيل المثال، تنفيذ رمز SQL، الذي يسمح لك بإضافة رمز ضار في صفحة الموقع. أدوات الهجوم، مثل Trojan Aspxor، توضح بوضوح آلية تشغيل هذه الطريقة: يمكن استخدامها للمسح الضيئي وتنفيذ التعليمات البرمجية الضارة لآلاف عناوين IP في وقت واحد. غالبا ما يتم رؤية آثار هذه الهجمات في سجلات الوصول إلى خادم الويب.

تتضمن الطريقة الثانية إصابة كمبيوتر مطور موقع الويب، والتي تراقب إنشاء ملفات HTML وتحميلها، ثم تنفذ الرمز الضار لهذه الملفات.

أخيرا، هناك طريقة أخرى هي عدوى طروادة، وكلمات المرور التوجيهية (مثل Ransom.win32.Agent.ey) لكمبيوتر مطور موقع الويب أو شخص آخر مع الوصول إلى حساب الاستضافة. عادة ما يتم توجيه Trojan عادة إلى خادم HTTP لنقل كلمات المرور إلى حسابات FTP، والتي تجمعها من عملاء FTP الشائع، مثل FileZilla و CuteFTP. يتم تسجيل أحد مكونات برنامج ضار موجود على الخادم المعلومات المستلمة إلى قاعدة بيانات SQL. ثم برنامج خاصيوجد أيضا على الخادم، وينفذ إجراء تسجيل الدخول إلى جميع حسابات FTP، ويقوم بإضافة صفحة الفهرس، ويضيف رمز مصابا بأحصنة طروادة، ويتم تحميل الصفحة مرة أخرى.

نظرا لأن بيانات الحساب الأخيرة، تصبح بيانات الحساب من مزود الاستضافة معروفا للمهاجمين، ثم غالبا ما تحدث الإصابة المتكررة للمواقع: مطورو صفحة الويب لعدوى أنفسهم أو معرفة ذلك من زوار الموقع، وتنظيف الصفحة من التعليمات البرمجية الضارة، وفي اليوم التالي تبين الصفحة مرة أخرى مصاب.

مثال على إعادة الإصابة بصفحة الويب (*. *. 148.240)

وضع مشترك آخر هو متى تكون معلومات حول نفس الضعف أو حساب الحساب على الاستضافة في وقت واحد يقع في وقت واحد في أيدي مجموعات الإنترنت المختلفة، حيث يبدأ الصراع: تسعى كل مجموعة إلى إصابة الموقع الإلكتروني ببرنامجها الضار. هنا مثال على مثل هذا الموقف:

مثال على إصابة متعددة للموقع (*. *. 176.6) مع برامج ضارة مختلفة

06/11/2009 موقع الويب الذي لاحظناه كان نظيفا. 07/05/2009 يوجد برنامج خبيث Trojan-Clicker.jent.gk. ينتسب موقع الويب 07/15/2009 ليكون مصاب بضرب آخر، Trojan-Downloader.js.IframeBin. بعد عشرة أيام، يصاب الموقع ببرنامج آخر.

تم العثور على هذا الوضع في كثير من الأحيان: يمكن إصابة المواقع الإلكترونية في وقت واحد بالبرامج الضارة المختلفة، يتم وضع رمز واحد من قبل واحد. يحدث هذا عند سقوط بيانات الوصول إلى أيدي مختلف مجموعات الإنترنت.

فيما يلي سلسلة من الإجراءات التي يجب إنجازها إذا أصبح موقع الويب مصابا بموجب رمز ضار:

  • تثبيت من لديه حق الوصول إلى خادم الاستضافة. ابدأ في التحقق من أجهزة الكمبيوتر الخاصة بهم مع أمان الإنترنت مع قاعدة بيانات ذات صلة. حذف جميع البرامج الضارة المكتشفة
  • تثبيت كلمة مرور استضافة موثوق جديدة. كلمة مرور موثوقة يجب أن يتكون من الأحرف والأرقام والتخصصات الخاصة بتعقيد اختيارها
  • استبدال جميع الملفات المصابة مع نسخ نظيفة
  • ابحث عن جميع النسخ الاحتياطية التي قد تحتوي على ملفات مصابة وعلاجها.

تظهر تجربتنا أن المواقع الإلكترونية المصابة بعد علاج العلاج غالبا ما تعرض لإعادة الإصابة. من ناحية أخرى، يحدث هذا عادة مرة واحدة فقط: إذا كان، بعد العدوى الأولى، يمكن للمشرفين على الإنترنت الحد من الإجراءات السطحية نسبيا، في حالة إعادة الإصابة، فإنه عادة ما يستغرق إجراءات أكثر جدية لضمان سلامة الموقع.

التطور: وضع برامج المواد الضارة على مواقع الويب "النظيفة"

قبل عامين، عندما بدأت الإنترنت الإنترنت في استخدام الويب بنشاط لوضع البرامج الضارة، عادة ما تصرفت من خلال ما يسمى بالاستضافة المسيئة أو من خلال الاستضافة، حيث تم دفعها بواسطة بطاقات الائتمان المشفرة. ملاحظة هذا الاتجاه، الشركات التي تعمل في مجال أمن الإنترنت، مجتمعة بجهودها في مكافحة مقدمي خدمات الاستضافة عديمي الضمير مما يسمح بوضع موارد ضارة (مثل مزود الاستضافة الأمريكي MCCOLO والمزود الإستوني. وعلى الرغم من أن هناك حالات لا تزال اليوم عندما تكون هناك حالات يتم وضع برامج ضارة على وجه التحديد على المواقع الضارة الموجودة، على سبيل المثال، في الصين، حيث لا يزال من الصعب إغلاق الموقع، بدوره مهم نحو وضع البرامج الضارة حول ثقة المجال "النظيفة" والمستحقة.

العمل ورد الفعل

كما نتحدث بالفعل، فإن أحد أهم جوانب الصراع المستمر بين الجرائم الإلكترونية ومصنعي حلول مكافحة الفيروسات هو القدرة على الاستجابة بسرعة لما يفعله الخصم. يغير كلا الجانبين باستمرار تكتيكات النضال ويتم تشغيل التقنيات الجديدة، في محاولة لمواجهة العدو.

يتم الآن تضمين معظم متصفحات الويب (Firefox 3.5، Chrome 2.0 و Internet Explorer 8.0) في شكل مرشح URL. لا يسمح هذا الفلتر للمستخدم بإدخال مواقع ضارة تحتوي على استغلال للحصول على نقاط الضعف المعروفة أو غير المعروفة، وكذلك استخدام أساليب الهندسة الاجتماعية لسرقة البيانات الشخصية.

على سبيل المثال، يستخدم فايرفوكس والكروم API استعراض آمن Google خدمة مجانية من Google لتصفية عناوين URL. في وقت كتابة هذا التقرير، تحتوي قائمة API لتصفح Google الآمن على حوالي 300000 عنوان من المواقع الخبيثة الشهيرة وأكثر من 20،000 عنوان مواقع الخداع.

يحمل API Google Safe Bropconing نهجا عقلانيا لتصفية عناوين URL: بدلا من إرسال كل عنوان URL إلى مورد خارجي للتحقق، وكيف يجعل هذا عامل تصفية الخداع في Internet Explorer 8، يقوم Google Safe Bropling بفحص عناوين URL وفقا لمخفقاتهم، حسب خوارزمية MD5. بحيث تكون طريقة التصفية هذه فعالة، يجب تحديث قائمة مبالغ التحكم عن العناوين الخبيثة بانتظام؛ يوصى بتحديثات لأداء كل 30 دقيقة. عيب هذه الطريقة على النحو التالي: عدد المواقع الخبيثة أكبر من عدد المدخلات في القائمة. لتحسين حجم القائمة (الآن حوالي 12 ميغابايت)، تأتي فقط المواقع الخبيثة الأكثر شيوعا هناك. هذا يعني أنه حتى إذا كنت تستخدم التطبيقات التي تدعم تقنيات مماثلة، فإن جهاز الكمبيوتر الخاص بك لا يزال معرضا لخطر الإصابة عند زيارة المواقع الضارة التي لم تدخل القائمة. بشكل عام، فإن الاستخدام الواسع للتقنيات الخاصة بالملاحة الآمنة يدل على أن مطوري متصفح الويب دفعوا إلى ميل جديد لنشر البرامج الضارة من خلال المواقع الإلكترونية والاستجابة لها. في الواقع، أصبحت متصفحات الويب مع حماية مدمجة بالفعل هي القاعدة.

استنتاج

على مدى السنوات الثلاث الماضية، زاد عدد مواقع الويب الشرعية المصابة بالبرامج الخبيثة بشكل كبير. اليوم، فإن عدد المواقع المصابة على الإنترنت هو مائة مرة منذ أكثر من ثلاث سنوات. المواقع التي تمت زيارتها في كثير من الأحيان جذابة للجرائم الإلكترونية، لأنه مع مساعدتهم في وقت قصير يمكنك إصابة عدد كبير من أجهزة الكمبيوتر.

يمكن لمشرفي المواقع تقديم العديد من النصائح البسيطة حول كيفية تأمين مواقع الويب:

  • حماية حسابات الاستضافة مع كلمات مرور موثوقة
  • لتنزيل الملفات إلى الخوادم، استخدم بروتوكولات SCP / SSH / SFTP بدلا من FTP - لذلك ستحمي نفسك من إرسال كلمات مرور على الإنترنت في النص المفتوح.
  • قم بتثبيت منتج مكافحة الفيروسات وتشغيل فحص الكمبيوتر.
  • لديك الكثير من النسخ الاحتياطية المتعددة للموقع في الأسهم من أجل أن تكون قادرا على استعادةها في حالة العدوى.

عند التنقل عبر الإنترنت، هناك العديد من العوامل التي تزيد من خطر الإصابة بصفوفة ضارة من موقع ويب: استخدام برنامج القراصنة، وتجاهل التحديثات التي تغلق نقاط الضعف التي يستخدمها البرامج، ونقص حلول مكافحة الفيروسات والجهل العام أو فهم غير مكتمل من التهديدات على شبكة الإنترنت.

تلعب برامج القراصنة دورا مهما في نشر البرامج الضارة. نسخ القراصنة مايكروسوفت ويندوز.عادة لا تدعم التحديثات التلقائيةMacrosoft المصنعة من قبل Microsoft، والتي تعطي cybercriminals الفرصة لتشغيل نقاط الضعف غير المزعجة في هذه المنتجات.

بالإضافة إلى ذلك، قديم نسخة الإنترنت المستكشف، لا يزال المتصفح الأكثر شعبية، لديه عدد كبير من نقاط الضعف. في معظم الحالات، Internet Explorer 6.0 دون تحديثات مثبتة دون حماية من الآثار الخبيثة لأي موقع داخلي ضار. لهذا السبب، من المهم للغاية تجنب استخدام برنامج القراصنة، وخاصة نسخ القراصنة من Windows.

عامل خطر آخر هو جهاز كمبيوتر دون تثبيت برنامج مكافحة الفيروسات المثبت. حتى إذا تم تثبيت آخر التحديثات في النظام نفسه، فيمكنه اختراق رمز ضار من خلال نقاط الضعف في اليوم في برنامج الجهات الخارجية. تحديثات برنامج مكافحة الفيروسات عادة ما يتم إنتاجها في كثير من الأحيان أكثر من بقع منتجات البرمجياتوضمان أمن النظام في الفترة التي لم يتم فيها إطلاق التصحيحات بعد نقاط الضعف جانبا.

وعلى الرغم من الحفاظ على المستوى الضروري للأمن، فإن تثبيت التحديثات للبرامج مهم، يلعب العامل البشري دورا مهما. على سبيل المثال، قد يرغب المستخدم في مشاهدة "الفيديو المثمن"، الذي تم تنزيله من الشبكة، دون المشتبه به بدلا من الفيديو الذي ألقيته بواسطة برنامج ضار. غالبا ما تستخدم هذه الحيلة على المواقع الضارة إذا فشلت المغلقة في الدخول في نظام التشغيلوبعد يوضح هذا المثال لماذا يحتاج المستخدمون إلى معرفة الخطر الذي يمثل تهديدات الإنترنت، خاصة تلك المتعلقة الشبكات الاجتماعية (Web 2.0)، مهاجمته مؤخرا مجتهاج بالجريمبريمينالز.

  • لا تقم بتنزيل برامج القراصنة
  • الترقية في جميع الوقت: نظام التشغيل، ومتصفحات الويب، والبرامج لعرض ملفات PDF، واللاعبين، إلخ.
  • تثبيت ودائما استخدام منتج مكافحة الفيروسات، مثل Kaspersky Internet Security 2010
  • خذ القاعدة لجعل موظفيك كل شهر قد أعطوا عدة ساعات لدراسة مواقع الأمن مثل www.viruslist.com، حيث يمكنهم التعرف على تهديدات الإنترنت وأساليب الحماية.

أخيرا، تذكر: تحذير العدوى أسهل من العلاج. اتخاذ التدابير الأمنية!

حاليا، تحدث معظم هجمات الكمبيوتر عند زيارة صفحات الويب الضارة. يمكن للمستخدم أن يكون مضللا من خلال توفير بيانات سرية لموقع التصيد أو أن تصبح ضحية للهجوم تنزيل محرك الأقراص باستخدام نقاط الضعف المتصفح. وبالتالي، يجب أن يوفر مكافحة الفيروسات الحديثة الحماية ليس مباشرة من البرامج الضارة، ولكن أيضا من موارد الويب الخطرة.

تستخدم حلول مكافحة الفيروسات طرق مختلفة لتحديد المواقع ذات البرامج الضارة: مقارنة قاعدة بيانات التوقيع وتحليل الهلال. وتستخدم التوقيعات ل تعريف دقيق التهديدات الشهيرة، في حين يحدد تحليل إرشادي احتمالية السلوك الخطير. باستخدام قاعدة الفيروسات هي طريقة أكثر موثوقية توفر الحد الأدنى من الإيجابيات الخاطئة. لكن هذه الطريقة لا يسمح بالكشف عن أحدث تهديدات غير معروفة.

يجب اكتشاف التهديد الذي ظهر في البداية وتحليله من قبل موظفي مختبر البائع المضاد للفيروسات. بناء على التحليل، يتم إنشاء توقيع مناسب، والذي يمكن استخدامه للعثور على برامج ضارة. على العكس من ذلك، يتم استخدام طريقة إرشادية لتحديد تهديدات غير معروفة على أساس العوامل السلوكية المشبوهة. هذه الطريقة يقيم احتمال الخطر، لذلك ردود كاذبة ممكنة.

عند اكتشاف المراجع الخبيثة، يمكن أن تعمل كلا الطريقتين في وقت واحد. لإضافة مورد خطير إلى قائمة المواقع المحظورة (القائمة السوداء)، من الضروري تحليلها عن طريق تنزيل المحتويات ومسحها باستخدام نظام مكافحة الفيروسات أو نظام الكشف عن التسلل (نظام النسخ).

أدناه هو سجل سجل أحداث نظام IDS Suricata عند حظر الاستغلال:

مثال على تقرير نظام معرفية يشير إلى تهديدات محددة من قبل التوقيعات:

مثال على تنبيه مكافحة الفيروسات الإدراج عند زيارة موقع ضار:

يتم إجراء تحليل إرشادي على جانب العميل للتحقق من المواقع التي تمت زيارتها. تحذير الخوارزميات المصممة خصيصا للمستخدم إذا كان المورد الذي تمت زيارته في خصائص خطيرة أو مشبوهة. يمكن بناء هذه الخوارزميات على تحليل معجمي للمحتوى أو على تقييم موقع الموقع. يستخدم النموذج المعجمي للتعريف لتحذير المستخدم أثناء هجمات التصيد. على سبيل المثال، عنوان عنوان URL للأنواع " http://paaypall.5gbfree.com/index.php." أو " http://paypal-intern.de/secure/"يعرف بسهولة كما نسخ التصيد من المعروف نظام الدفع "باي بال".

تحليل إقامة الموارد يجمع معلومات حول الاستضافة واسم النطاق. بناء على البيانات التي تم الحصول عليها، تحدد الخوارزمية المتخصصة درجة خطر الموقع. تتضمن هذه البيانات عادة بيانات جغرافية، معلومات حول المسجل والشخص الذي سجل المجال.

فيما يلي مثال على وضع العديد من مواقع التصيد على عنوان IP واحد:

في نهاية المطاف، على الرغم من العديد من الطرق لتقييم المواقع، لا يمكن أن تعطي تقنية تكنولوجيا المعلومات حماية ضمان 100٪ لنظامك. فقط الاستخدام المشترك للعديد من تقنية أمان الكمبيوتر يسمح لك بإعطاء ثقة معينة في حماية البيانات الشخصية.

  • يشكو المستخدمون من أن موقع الويب المحظور من قبل المتصفح و / أو البرامج
  • يتم تضمين موقع الويب في قائمة Google السوداء أو إلى قاعدة بيانات أخرى من عناوين URL الخبيثة.
  • كانت هناك تغييرات خطيرة في حجم حركة المرور و / أو في تصنيفات محرك البحث
  • الموقع لا يعمل كما ينبغي، يعطي الأخطاء والتحذيرات
  • بعد زيارة الموقع الإلكتروني، يتصرف الكمبيوتر غريبا.

في كثير من الأحيان، يظل قانون ضار دون أن يلاحظها أحد لفترة طويلة، خاصة في حالة إصابة البرامج الضارة المعقدة للغاية. عادة ما يتم وصف هذا البرامج الضارة بشدة بشدة تضليل وإداريين مواقع الويب، وبرامج مكافحة الفيروسات؛ إنه يغير أسماء النطاقات في كل وقت يتم إعادة توجيه المستخدمين، وبالتالي القوائم السوداء. إذا لم يكن هناك أحد الأعراض المذكورة أعلاه، فهذا رقم جيد نظافة الخادم الخاص بك، على الرغم من أن للأسف وليس 100٪؛ لذلك، كن يقظا في أي نشاط مشبوه.

العلاج الأكثر وضوحا للإصابة بأي برامج ضارة هو وجود رمز ضار / مشبوه في ملف واحد أو أكثر - أساسا بتنسيق HTML أو PHP أو JS، وبعض الوقت ASP / ASPX. هذا الرمز ليس من السهل العثور على حيازة أساسيات البرمجة وتطوير الموقع. من أجل القارئ أفضل، يبدو وكأنه رمز ضار، ونحن نقدم بعض الأمثلة على العدوى الأكثر شيوعا لصفحات الويب.

مثال 1: إعادة توجيه بسيط

الأقدم والأبسط الطريقة المستخدمة من قبل cybercriminals هي إضافة علامة HTML iFrame بسيطة إلى رمز ملفات HTML على الخادم. يتم تحديد العنوان المستخدم لتحميل موقع الويب الضار في iFrame كسمية SRC؛ سمة الرؤية ذات القيمة "المخفية" تجعل الإطار غير مرئي للمستخدم الذي يحضر الموقع الإلكتروني.

الشكل 1: IFRAME ضار داخل موقع HTML على موقع الويب

طريقة أخرى لإجراء برنامج نصي ضار في مستعرض المستخدم هو إدخال روابط إلى هذا البرنامج النصي إلى ملف HTML كسمية SRC في علامات البرنامج النصي أو IMG:

الشكل 2: أمثلة على الروابط الخبيثة

في الآونة الأخيرة، هناك حالات متزايدة عندما يتم إنشاء التعليمات البرمجية الضارة ديناميكيا وتنفيذها في كود HTML من البرامج النصية JS أو PHP الضارة. في مثل هذه الحالات، يكون الرمز مرئيا فقط في تمثيل التعليمات البرمجية المصدرية للصفحة من المتصفح، ولكن ليس في الملفات الفيزيائية على الخادم. يمكن أن يحدد CyberCriminals بالإضافة إلى ذلك الشروط عند إنشاء التعليمات البرمجية الضارة: على سبيل المثال، فقط عندما انتقل المستخدم إلى موقع من محركات البحث مع بعض محركات البحث أو فتح موقع ويب في مستعرض معين.

لخداع ومالك الموقع، وبرامج مكافحة الفيروسات، وكذلك إنشاء شفرة ضارة، يستخدم Cybercriminals مجموعة متنوعة من طرق تبديد التعليمات البرمجية.

مثال 2: "خطأ 404: الصفحة غير موجود"

في هذا المثال، يتم تضمين رمز ضار في قالب الرسالة، والذي يتم عرضه عند عدم العثور على الكائن المحدد على الخادم (الخطأ "المعروف جيدا 404"). بالإضافة إلى ذلك، يتم تنفيذ ملفات Index.html / index.php بواسطة رابط إلى أي عنصر غير موجود من أجل استدعاء هذا الخطأ بشكل غير صحيح في كل مرة تم فيها زيارة مستخدم بواسطة صفحة الويب المصابة للمستخدم. يمكن أن تثير هذه الطريقة بعض الارتباك: يتلقى الشخص المسؤول عن موقع الويب رسالة مفادها أن حل مكافحة الفيروسات معينة يمثل الموقع المصاب؛ بعد التحقق من السطح، اتضح أنه تم العثور على رمز ضار في الكائن، والذي يبدو أنه غير موجود؛ هذا يؤدي إلى إغراء أن نفترض (خاطئ) أنه كان إنذار خاطئ.

الشكل 3. Trojan.js.iframe.z - البرنامج النصي الخبيث في قالب رسالة الخطأ 404

في هذه الحالة بالذات، كان الرمز الضار obfussed. بعد deobfuscation، يمكننا أن نرى أن الغرض من البرنامج النصي هو إدخال علامة iFrame، والتي سيتم استخدامها لإعادة توجيه المستخدمين إلى عنوان URL الضار.

الشكل 4. trojan.js.iframe.z - رمز ضار بعد deobfuscation

مثال 3: تنفيذ رمز Mal الانتقائي

يمكن إنشاء رمز مشابه للانضمام ديناميكيا (أي، اعتمادا على الشروط المحددة) لجميع ملفات HTML الموجودة على الخادم باستخدام برنامج نصي PHP الضار الذي تم تنزيله إلى نفس الخادم. يتحقق البرنامج النصي الموضح في المثال التالي معلمة UserGent (التي يتم إرسالها إلى مستعرض المستخدم، بالإضافة إلى البحث عن الروبوتات) ولا تضيف رمز ضار إذا تم فحص موقع الويب أو إذا تمتع زوار الموقع متصفحات الأوبرا، أو رحلات السفاري. وبالتالي، لن يتم إعادة توجيه مستخدمي المتصفحات غير المشروعة إلى استغلال محدد يستخدم للهجوم إلى هذا الاستغلال. تجدر الإشارة أيضا إلى أن التعليقات الموجودة في التعليمات البرمجية مضللة عمدا، مما يؤدي إلى فكرة أن هذا البرنامج النصي له علاقة بإحصائيات بوت.

الشكل 5. Trojan.php.iframer.e - رمز تصيب PHP البرنامج النصي

يمكن أيضا استخدام هذه الطريقة أيضا في الاتجاه المعاكس: يمكن للمفهوم الإلكترونية تنفيذ المراجع التي تؤدي إلى محتوى غير قانوني أو مشكوك فيه أو ضار (البريد المزعج، برامج التجسس، البرامج، موارد التصيد) فقط إذا دخل Bot البحث موقع الويب. الغرض من مثل هذا الهجوم هو ما يسمى بالتحسين الأسود - آلية رفع موقف موارد الجريمة السيبرانية في البحث عن التسليم. عادة ما يتم توجيه هذا البرامج الضارة إلى بوابات الويب المشهورة بتصنيف مرتفع، ومن الصعب للغاية اكتشافها، لأن الرمز الضار يظهر أبدا للمستخدم المعتاد. نتيجة لذلك، تتلقى المواقع الإلكترونية الضارة تصنيفا كبيرا في محركات البحث وانتقل إلى المراحل العليا لنتائج البحث.

مثال 4: ظهور السطح

يمكن إصابة البرامج النصية PHP أيضا بأشكال أخرى. فيما يلي مثالان اكتشفان منذ عدة أشهر.


الشكل 6. Trojan-Downloader.php.kscript.a- ضغط PHP البرنامج النصي


الشكل 12. Trojan-downloader.js.twetti.t - التعليمات البرمجية الضارة المنفذة في ملفات JS

أخيرا، هناك حالة معروفة من الإصابة الجماعية من قبل البرامج الضارة، والتي تستخدم أسماء النطاقات العشوائية. في حالة العدوى مع هذه البرامج الضارة، يمكنك الكشف عن التعليمات البرمجية التالية على موقع الويب الخاص بك:

الشكل 13. إصدار مكون من التعليمات البرمجية الذي يقوم بإعادة توجيه مجال لإنشائه بشكل عشوائي

مثال 6: "Gootkit" وضيف الملف بأكمله

من السهل اكتشاف الكود الخبيث Obfused بين بقية التعليمات البرمجية النظيفة، وبالتالي ظرف الجرائم الإلكترونية مؤخرا إلى الذهن الفكرة بالامتثال لمحتويات الملف بالكامل، وبالتالي لا يمكن تصديق كلا من التعليمات البرمجية المضمنة والشرعية. من المستحيل فصل الشفرة الشرعية من ضار، ويمكنك علاج الملف فقط بعد فك التشفير.

تين. 14. الملف، الموصوف من قبل البرامج الضارة "gootkit"

من السهل التخلص من المستوى الأول من التبويع، بالنسبة لهذا تحتاج فقط إلى تغيير وظيفة Eval () لتنبيه () أو طباعة () في حالة وحدة التحكم - وتشغيلها عند التنفيذ. المستوى الثاني أكثر تعقيدا إلى حد ما: في هذه الحالة، يتم استخدام اسم المجال كإجراء مفتاح لتشفير التعليمات البرمجية.

تين. 15: "Gootkit" - المستوى الثاني من التبويض

بعد فك التشفير، يمكنك رؤية رمز ضار يذهب إلى المحتويات الأصلية للملف:

تين. 16: "Gootkit" - رمز DeobFusCated

في بعض الأحيان يتحول جزء ضار إلى أن يكون الإصدار الثاني من البرامج الضارة، والتي تمت مناقشتها في المثال السابق، وتستخدم لإنشاء اسم مجال عشوائي زائف لإعادة التوجيه.

مثال 7: .htaccess

بدلا من إصابة البرامج النصية ورموز HTML، يمكن أن يستخدم CyberCriminals إمكانات بعض الملفات، على سبيل المثال .htaccess. في مثل هذه الملفات، يمكن للمسؤول تحديد حقوق الوصول إلى مجلدات محددة على الخادم، وكذلك في ظل ظروف معينة، إعادة توجيه المستخدمين إلى عناوين URL الأخرى (على سبيل المثال، إذا كان المستخدم يأتي من مستعرض الأجهزة المحمولة، فسيتم إعادة توجيهها إلى اصدار المحمول موقع إلكتروني). ليس من الصعب تخمين كيفية استخدام Cybercriminals مثل هذه الوظائف ...

تين. 17: الخبيثة.

في المثال أعلاه، يتم إعادة توجيه جميع المستخدمين الذين يجدون أنفسهم على موقع الويب هذا بعد الرابط في معظم محركات البحث الرئيسية (المعلمة http_referer) إلى عنوان URL الضار. بالإضافة إلى ذلك، في هذا الملف. يحتوي HtAccess على عدد كبير بما فيه الكفاية من المتصفحات والروبوتات، والتي لا يتم إعادة التوجيه (المعلمة HTTP_USER_AGENT). لا يحدث إعادة التوجيه أيضا إذا تم قراءة صفحة الويب من ذاكرة التخزين المؤقت (المرجع \u003d\u003d ذاكرة التخزين المؤقت) أو تحميلها من نفس الكمبيوتر (معلمة ملف تعريف الارتباط).

هذه البرامج الضارة تجعل من الممكن إجراء المزيد من الالتهابات الانتقائية - على سبيل المثال، يمكن استبعاد عناوين IP محددة، وعند عرض مواقع الويب من مجموعة محددة من عناوين IP - على سبيل المثال، تملكها الشركة أمن المعلومات - إصدار النتائج الخبيثة غائبة.

ناقلات الهجمات وتكنولوجيا العدوى

بغض النظر عن التقنيات المستخدمة، يحتاج الجرائم الإلكترونية إلى إيجاد طريقة لتسليم الملفات الضارة إلى خادم أو تعديل الملفات الموجودة بالفعل على الخادم. الطريقة الأكثر بدائية لكسب الوصول إلى الخادم هي كلمة مرور وصول القرصنة. للقيام بذلك، يمكن للجريمبريمينال استخدام الهجوم المزعوم من خلال طريقة المسكرة أو إصدارها المحدود - تجسيد للكراه (هجوم المفردات). تتطلب هذه التكتيكات عادة كمية كبيرة من الوقت والموارد، لذلك نادرا ما تستخدم مع الإصابة الضخمة من المواقع الإلكترونية. من بين السيناريوهات الأكثر شعبية هي تشغيل نقاط الضعف والبرامج الضارة لسرقة كلمات المرور.

باستخدام نقاط الضعف في نظام إدارة المحتوى / نظام التجارة الإلكترونية

معظم منصات إدارة محتوى الويب الحديثة (مثل نظام إدارة المحتوى (CMS)، والتجارة الإلكترونية، لوحة التحكم، وما إلى ذلك) هي غير كاملة ولدي نقاط الضعف التي تسمح للأشخاص الآخرين دون مصادقة لتحميل الملفات على الخادم. وعلى الرغم من أن البحث عن مثل هذه الضعف المطورين يؤدي باستمرار، يستغرق إطلاق البقع كميات كبيرة؛ بالإضافة إلى ذلك، يستمر العديد من المستخدمين في استخدام الإصدارات القديمة من البرامج كمية كبيرة أخطاء. غالبا ما تكون نقاط الضعف بشكل طبيعي في المنصات الأكثر شعبية، مثل WordPress و Joomla و Ostcommerce.

مثال معروف لمثل هذه الضعف هو الخلفية، والتي تستخدم على نطاق واسع من قبل Crybercriminals في مجموعة متنوعة من سيناريوهات القيادة. TIMTHUMB - وحدة PHP لتغيير حجم الصور وخلق ما يسمى مصغرات الرسوم المصغرة المدرجة في معظم قوالب CMS في حالة. تتيح لك الضعف تسجيل الملفات الموجودة على جهاز بعيد إلى الخادم، إلى دليل ذاكرة التخزين المؤقت. مثال آخر هو ثغرة أمنية حقن SQL في لوحة Plesk (الإصدار 10 وما فوق)، وجدت في فبراير 2012، مما يسمح لك بقراءة قواعد البيانات وسرقة كلمات المرور، والتي - حتى وقت قريب تم تخزينها بشكل صريح. ربما تم استخدام بيانات التسجيل التي تم الحصول عليها في هذه الطريقة مع الوباء الحديث على شبكة الإنترنت حديثة http://www.securelist.com/ar/blog/208193624/who_is_attacking_me؛ https://www.securelist.com/ru/blog/208193713/runforrentrun_gootkit_i_generirovanie_sluchasyynykh_domnykh_imen.

باستخدام برامج التجسس لسرقة بيانات الاعتماد للوصول إلى خادم FTP

في الأكثر شيوعا على شبكة الإنترنت (على سبيل المثال، Gumblar و Pegel)، كانت طريقة أخرى ناجحة. في المرحلة الأولى، يوزع Cybercriminals على توزيع البرامج الضارة المصممة خصيصا للبحث وسرقة أسماء المستخدمين وكلمات المرور الخاصة بحسابات FTP عن طريق التحقق من إعدادات عميل FTP أو مسح حركة مرور الشبكة. بعد العثور على البرامج الضارة لبيانات التسجيل هذه على موقع مسؤول الموقع المصاب، يحدد البرنامج اتصالا بخادم FTP ويحمل البرامج النصية الخبيثة أو يكتب إصدارها المصاب بدلا من الملفات الأصلية. يذهب دون أن تقول أنه طالما أن جهاز الكمبيوتر لحساب الحساب مصابة، فإن الملفات المخزنة على الخادم ستصبح مرارا وتكرارا تضخم حتى بعد تغيير بيانات التسجيل واستعادة المحتوى بأكمله من Net Backup.

أهداف الجريمبريك

ما هو الغرض من عدوى المواقع؟

  • إعادة توجيه المستخدمين لاستغلالها لتركيب غير مرئي للبرامج الضارة على أجهزة الكمبيوتر الخاصة بهم؛
  • إعادة توجيه المستخدمين على البريد المزعج والخداع وغيرها من المحتوى الخبيث أو غير القانوني أو غير المرغوب فيه؛
  • اعتراض / سرقة زيارات الموقع / استفسارات البحث.
  • تعزيز المواقع الخبيثة / غير القانونية ومواقع الويب التي تحتوي على البريد العشوائي (الأمثل الأسود)؛
  • استخدام موارد الخادم للنشاط غير القانوني.

في جوهرها، لا يوجد شيء جديد هنا: عند ارتداء المواقع الإلكترونية، يتحرك الإنترنت الرغبة في الحصول على أرباح غير مباشرة.

طرق للقضاء على التعليمات البرمجية الضارة

ماذا لو هاجمت موقعك المتسللين؟

أولا، إذا لاحظت الأعراض التي تحدث عن عدوى محتملة، فمن الضروري إلغاء تنشيط موقع الويب على الفور حتى يتم القضاء على المشكلة. هذا مهم للغاية لأن كل لحظة من تأخير تلعب على يد الإنترنت في يد الإنترنت، مما يتيح لك إصابة المزيد من أجهزة الكمبيوتر وتوزيع الإصابة في جميع أنحاء. يجب عليك التحقق من سجلات الخادم للنشاط المشبوه، على سبيل المثال، طلبات غريبة من عناوين IP في البلدان غير المعجلة لزوار الموقع، إلخ. - يمكن أن يكون مفيدا للكشف عن الملفات والتعاريف المصابة، والضبط كيف حصل مجربي الإنترنت الوصول إلى الخادم.

ولكن كيفية التعامل مع الكود الخبيث؟

نسخة إحتياطية

الأسرع I. طريقة موثوقة استعادة محتويات الخادم بأكملها - باستخدام نسخة احتياطية نقية. لجعلها بشكل فعال، من الضروري أيضا إجراء برنامج إعادة تثبيت كامل يعمل على الخادم (أنظمة إدارة المحتوى / CMF، نظام التجارة الإلكترونية، إلخ). بالطبع، بالنسبة لهذا تحتاج إلى استخدام أحدث إصدارات كاملة، تم تحديثها بالكامل. بعد هذه الإجراءات، يجب ألا تكون هناك ملفات مصابة على الخادم - شريطة أن تممس جميع المحتويات قبل الاسترداد، وقد تم إنشاء النسخة الاحتياطية قبل بدء الهجوم.

الاختيار التلقائي

إذا لم يكن هناك نسخة احتياطية صافية، فلن يكون لديك أي شيء لبدء القتال برمجيات ضارة. لحسن الحظ، هناك عدد من الحلول الآلية التي ستساعد في العثور على رمز ضار - بما في ذلك منتجات مكافحة الفيروسات وماسحات الضوئية على الإنترنت، مثل http://sucuri.net/. لا أحد منهم مثالي، ولكن في حالة البرامج الضارة المعروفة / العادية، يمكن أن تكون جميعها مفيدة للغاية. لنبدأ بحقيقة أنه يمكنك التحقق من موقع الويب باستخدام ماسحات ضوئية متعددة عبر الإنترنت. لن يحدد بعضهم فقط ما إذا كان موقعك مصاب حقا، ولكن أيضا يشير أيضا إلى رمز ضار في ملفاتك. ثم يمكنك إجراء فحص كامل لمكافحة الفيروسات لجميع الملفات على الخادم.

إذا كنت مالك الخادم أو إذا كان على الخادم يعمل حل السلامةاستخدامه الذي لديك حقوق، يمكنك التحقق من جانب الخادم. تأكد من أنك قد أنشأت نسخة من ملفاتك، لأن بعض الماسحات الضوئية لمكافحة الفيروسات لا تعالج الملفات المصابة، ولكن إزالتها! يمكنك أيضا تنزيل محتويات الخادم الخاص بك إلى كمبيوتر محلي وتحقق من ذلك مع حل مكافحة الفيروسات لجهاز كمبيوتر ثابت. الخيار الثاني هو الأفضل، نظرا لأن معظم برامج مكافحة الفيروسات الحديثة لأجهزة الكمبيوتر الثابتة تحتوي على وحدة محورية متطورة بشكل جيد. البرامج الضارة التي تؤثر على مواقع الويب، والجهاز متعدد الأشكال: وإذا، عند مكافحة ذلك، فإن تحليل التوقيع لا طائل منه عمليا، تسمح الاستدلال لهم بالكشف عنها بسهولة.

الإزالة اليدوية

اذا كان الاختيار التلقائي لم يعط نتائج وتقارير إصابة موقعك قادما، والطريقة الوحيدة للتخلص من البرامج الضارة هي العثور عليها يدويا وحذف جميع التعليمات البرمجية الخبيثة. قد تتخذ هذه المهمة الصعبة وقتا كبيرا من الوقت، لأنه من الضروري التحقق من كل ملف - سواء ملف HTML أو JS أو PHP أو ملف التكوين - للحصول على البرامج النصية الخبيثة. تعد الأمثلة أعلاه جزءا صغيرا فقط من مجموعة متنوعة من البرامج الضارة للمواقع الإلكترونية، وبالتالي فإن احتمال أن يكون الكود الخبيث على موقعك سيكون مختلفا جزئيا أو تماما عن هذه العينات. ومع ذلك، فإن معظم البرامج الضارة الحديثة للمواقع لديها بعض الميزات المشتركة، وسوف تساعد هذه الميزات في تحديد المشكلة.

الأهم من ذلك كله، من الضروري الانتباه إلى أجزاء التعليمات البرمجية التي تبدو غير واضحة أو غير قابلة للقراءة. Code Obfusion - التكنولوجيا، تستخدم في كثير من الأحيان، غير عادي للغاية لأي برامج أخرى تتعلق بمواقع الويب. إذا لم تتوافق مع الكود بنفسك، فلديك أي سبب للاشكوك في ذلك. ولكن كن حذرا - لن يكون الخبيثة كل الكود المباشر!

وبالمثل، فإن عدم وجود أي نص منطقي ضار، لذلك من المنطقي البحث في حالة البحث عن برامج iframe صريحا وغيرها من الروابط بالموارد الخارجية في جميع ملفاتك. البعض منهم قد تكون مرتبطة إعلانات الإعلان والإحصائيات، ولكن لا تدخل في قضيب الصيد من عناوين URL التي تم تشكيلها خصيصا، والتي يمكن أن تربك، وجود نوع من عناوين البوابات المعروفة والموثوق بها. لا تنس التحقق من رمز رسائل خطأ القالب، وكذلك جميع الملفات .htaccess.

أدوات مفيدة للعثور على رمز ضار على الخادم هي بلا شك GREP وابحث عن الأدوات المساعدة في وضع سطر الأوامر، بشكل افتراضي، ممكن في جميع الأنظمة تقريبا أساس يستند إلى UNIXوبعد فيما يلي أمثلة على استخدامها في تشخيص الالتهابات الأكثر شيوعا:

grep -irs "iframe" *
grep -irs "eval" *
grep-IN "إلغاء" *
grep -rs "base64_decode" *
grep -irs "var div_colors" *
grep -irs "var _0x" *
grep -rs "corelibrarieshandler" *
grep -rs "Pingnow" *
grep -rs "Serchbot" *
grep -irs "KM0A9GR6M" *
grep -rs "C3284D" *
تجد. اسم "UPD.PHP"
تجد. اسم "* خامك *"

وصف GREP (من دليل Linux): خطوط الطباعة المقابلة للقالب؛ الخيار - يعني تجاهل السجل؛ يعني Recuresive البحث، ويمنع عرض رسائل الخطأ. تبحث الأول من الأوامر المدرجة عن ملفات علامة iFrame؛ ثلاثة آخرين يبحثون عن علامات التبويض الأكثر وضوحا؛ تبحث الباقي عن خطوط خاصة مرتبطة بأكبر إصابة معروفة من المواقع الإلكترونية.

أما بالنسبة للعثور، يدل دليل Linux: ابحث عن الملفات في هيكل التسلسل الهرمي للمجلد؛ ".". ". (النقطة) تشير إلى الدليل الحالي (لذلك قم بتشغيل بيانات الأوامر يتبع من دليل الدليل الجذر أو الصفحة الرئيسية (Home) على الخادم)، تحدد المعلمة-إذن الاسم المراد توقيع الملف. يمكن استعماله التعبيرات العادية للبحث عن جميع الملفات المقابلة لبعض المعايير.

بالطبع، تحتاج دائما إلى معرفة ما يجب البحث - وليس كل النتائج ستشير إلى العدوى. ليس سيئا للتحقق من الأجزاء المشبوهة من التعليمات البرمجية بواسطة ماسح ضوئي لمكافحة الفيروسات أو محاولة البحث عنها في Google. من المحتمل جدا أن تجد بعض الإجابات - كلاهما من الكود الخبيث والنظيف. إذا كنت لا تزال غير متأكد من أن الملف مصاب، فمن الأفضل إلغاء تنشيط موقع الويب (فقط في حالة) قبل إجراء أي إجراءات لطلب المشورة إلى أخصائي.

مهم جدا!

بالإضافة إلى تنظيف الملفات الموجودة على الخادم، من الضروري إجراء فحص كامل لمكافحة الفيروسات لجميع أجهزة الكمبيوتر المستخدمة لتنزيل وإدارة المحتوى على الخادم وتغيير جميع البيانات للوصول إلى جميع الحسابات على الخادم (FTP، SSH، لوحة التحكم ، إلخ.) أنك تدعم.

أساسيات الأمن للمواقع

لسوء الحظ، في معظم الحالات، لا يكفي إزالة الكود الخبيث للتخلص من العدوى مرة واحدة وإلى الأبد. إذا كان موقع الويب الخاص بك مصابا، فقد يكون الأمر يتعلق بوجود نقاط الضعف التي سمحت بالجريمبريمينالز لتنفيذ البرامج النصية الخبيثة إلى الخادم؛ وإذا تركت هذه المشكلة دون الاهتمام، فإن العدوى الجديدة تنتظرك في المستقبل القريب. لمنع ذلك، تحتاج إلى اتخاذ التدابير المناسبة لحماية الخادم والكمبيوتر / أجهزة الكمبيوتر المستخدمة لإدارة الخادم.

  • باستخدام كلمات المرور المستمرة. على الرغم من تعفة هذا المجلس، فإنه حقا أساس أمان الخادم. ليس من الضروري فقط تغيير كلمات المرور بعد كل حادث و / أو هجوم على الخادم - يجب أن تختلف على أساس منتظم، على سبيل المثال، شهريا. كلمة مرور جيدة يجب أن تمتثل للمعايير الخاصة التي يمكن العثور عليها على www.kaspersky.com/passwords؛
  • تحديث منتظم. يجب أن لا تنسى أيضا التحديثات العادية. غالبا ما تستغل CyberCriminals نقاط الضعف في بغرض برنامج ضار - سواء تم توجيهها إلى مستخدمي الكمبيوتر أو مواقع الويب. يجب أن تكون جميع البرامج التي تدير محتوى الخادم / الموقع هي الأكثر الإصدارات الأخيرةويجب تثبيت كل تحديث أمني على الفور عند إخراجه. استخدام الإصدارات الفعلية سيساعد البرنامج والتركيب في الوقت المناسب لجميع التصحيحات الضرورية في تقليل خطر الهجوم باستخدام الاستغلال. يمكن العثور على قائمة محدثة بانتظام من الضعف الشهير على الموقع http://cve.mitre.org/؛
  • إنشاء النسخ الاحتياطي العادية. وجود نسخة صافية من محتوى الخادم في المخزون، ستوفر الكثير من الوقت والجهد، ناهيك عن أن نسخ احتياطية جديدة يمكن، بالإضافة إلى علاج العدوى، فهي مفيدة للغاية في حل المشكلات الأخرى؛
  • فحص الملفات العادية. حتى في حالة عدم وجود أعراض واضحة للعدوى، يوصى بفحص جميع الملفات بشكل دوري على الخادم لتحديد التعليمات البرمجية الضارة؛
  • ضمان أمن الكمبيوتر الشخصي. نظرا لأن كمية كبيرة من البرامج الضارة للمواقع الإلكترونية يتم توزيعها عبر أجهزة الكمبيوتر المصابة، فإن أمان كمبيوتر ثابت يستخدم لإدارة موقع الويب الخاص بك هو أحد الجوانب ذات الأولوية لأمن الموقع. يزيد الدعم المستمر للنظافة والأمن لجهاز الكمبيوتر الخاص بك بشكل كبير من احتمال أن يكون موقع الويب الخاص بك أيضا آمن ومحمي من الفيروسات.
  • إلزامي (ولكن غير كاف) يجب أن تكون الإجراءات التالية:
    • حذف البرامج غير المستخدمة؛
    • إلغاء تنشيط الخدمات والوحدات غير الضرورية؛
    • وضع السياسات المناسبة للمستخدمين الأفراد ومجموعات المستخدمين؛
    • تثبيت حقوق الوصول الكافية إلى الملفات والدلائل المحددة؛
    • تعطيل الملفات ودليل خادم الويب؛
    • الحفاظ على سجلات الأحداث، تم التحقق منه بانتظام للنشاط المشبوه؛
    • استخدم التشفير والبروتوكولات الآمنة.

يمكن أن يكون البرامج الضارة، المصممة لإصابة المواقع الإلكترونية، كابوس حقيقي لمسؤولي الويب ومستخدمي الإنترنت. Cybercriminals تطوير تقنياتهم بشكل مستمر، فتح أيصال جديد. يتم توزيع البرامج الضارة بسرعة عبر الإنترنت، وتضرب الخوادم ومحطات العمل. نقول بحق أن طريقة موثوقة للقضاء تماما هذا التهديد غير موجود. ومع ذلك، يمكن لكل مالك موقع ويب وكل مستخدم الإنترنت أن يجعل الإنترنت أكثر أمانا، ومراقبة قواعد السلامة الأساسية ودعم سلامة ونظافة مواقع الويب الخاصة بهم باستمرار.

اترك تعليقك!

قصيرة بالنسبة ل "البرمجيات الخبيثة". إنه مصطلح يستخدم عموما للبرنامج المثبت على جهاز الكمبيوتر الخاص بك تم تصميمه للتسلل أو تلف نظام كمبيوتر دون موافقة اسم المالك. في بعض الأحيان قد تكون مشكلة مع Firefox نتيجة للبرامج الضارة المثبتة على جهاز الكمبيوتر الخاص بك، والتي قد لا تفعل ذلك كن على دراية. توضح هذه المقالة ما هي الأعراض الشائعة وكيفية منع البرامج الضارة من تثبيتها والتخلص منها.

جدول المحتويات.

كيف أعرف أكثر من مشكلة فايرفوكس هي نتيجة للبرامج الضارة؟

الأعراض مختلفة وتعتمد على البرامج الضارة ولكن إذا كان لديك واحدة أو عدة من هذه السلوكيات، فقد يكون لديك برامج ضارة مثبتة على جهاز الكمبيوتر الخاص بك.

  • بعض المنبثقة الإعلانية عرض في كل وقتعلى الرغم من أنك "لقد منعت النوافذ النوافذ المنبثقة. لمزيد من المعلومات حول منع النوافذ المنبثقة، راجع.
  • يتم إعادة توجيه عمليات البحث الخاصة بك إلى موقع آخر من أجل إطعامك المحتوى من هذا الموقع وأنت غير مسموح به من منعها. لمزيد من المعلومات، راجع ما يجب القيام به عمليات البحث الخاطئة يأخذك إلى موقع الويب البحث الخاطئ.
  • تم اختطاف صفحتك الرئيسيةوبعد لمزيد من المعلومات حول إعداد صفحتك الرئيسية.
  • فايرفوكس لا تنتهي أبدا من التحميل أو يمكن "تحميل مواقع معينةوبعد لمزيد من المعلومات، راجع مواقع الويب إظهار عجلة الغزل وعدم الانتهاء من التحميل ولا يمكن فايرفوكس تحميل مواقع الويب معينة.
  • تعطل فايرفوكس أو معلقة كثيرا. لمزيد من المعلومات، راجع حوادث فايرفوكس - استكشاف الأخطاء وإصلاحها، وتمنع المساعدة وتحصل على إصلاح الأعطال ومعلقة فايرفوكس أو لا تستجيب - كيفية إصلاح.
  • فايرفوكس لا يبدأوبعد لمزيد من المعلومات، راجع فاز Firefox "T - البحث عن الحلول.
  • مشاكل مع اتصال في الفيسبوكوبعد لمزيد من المعلومات حول المشكلات مع Facebook، راجع مشكلات الإصلاح مع ألعاب Facebook والدردشة والمزيد.
  • يبقي Firefox فتح العديد من علامات التبويبوبعد لمزيد من المعلومات، راجع فايرفوكس يفتتح علامات تبويب أو نوافذ فارغة بشكل متكرر بعد النقر فوق ارتباط.
  • تم تثبيت أشرطة الأدوات غير المرغوب فيهاوبعد لمزيد من المعلومات حول تخصيص Firefox، راجع إزالة شريط الأدوات الذي أخذ عبر بحث فايرفوكس أو الصفحة الرئيسية وكيفية إزالة شريط أدوات Babylon، الصفحة الرئيسية ومحرك البحث.

كيف يمكنني منع البرامج الضارة من تثبيتها؟

هناك قواعد بسيطة لمتابعة من أجل منع تثبيت البرامج الضارة على جهاز الكمبيوتر الخاص بك:

  • ابق. نظام التشغيل. وغيرها من البرامج المحدثة: عادة ما يستفيد تثبيت البرامج الضارة من نقاط الضعف الأمنية المعروفة في البرامج الأخرى، والتي قد تكون مصححة في الإصدارات الأحدث. تأكد من استخدام أحدث إصدار من جميع البرامج التي تستخدمها، إما تمكين ميزة التحديث التلقائي للبرنامج، إذا كانت متوفرة، أو عن طريق التحقق من التحديثات من مزود البرامج واستخدام ميزة Windows Update.
  • دون "تي تثبيت برنامج غير موثوق به: تقدم لك بعض مواقع الويب برنامجا لتسريع المتصفح الخاص بك، لمساعدتك في البحث في الويب، لإضافة أشرطة الأدوات التي تجعل الأمور فايرفوكس بالفعل. تأتي بعض البرامج غير المرغوب فيها أيضا في حزم البرمجيات. عادة ما تجمع هذه البرامج معلومات عن سلوك التصفح الذي يخدم الأشخاص الذين يخدمون إلا الأشخاص الذين صمموا لهم ويتتدلون مع فايرفوكس. تأكد من تثبيت الوظائف الإضافية من موقع الويب الإضافي ل Mozilla "S" وإلغاء تحديد البرامج غير المرغوب فيها في معالجات البرامج. تحقق لمعرفة ما إذا كان لديك إضافات غير مرغوب فيها وتعطيلها أو إزالتها.
  • دون "T انقر داخل النوافذ المنبثقة المضللة: تحاول العديد من المواقع الخبيثة تثبيت البرامج الضارة على نظامك من خلال صنع الصور تشبه النوافذ المنبثقة، أو عرض رسوم متحركة من مسح الكمبيوتر الخاص بك. لمزيد من المعلومات حول الكشف عن المنبثقة المضللة، راجع إعدادات حاصرات المنبثقة والاستثناءات واستكشاف الأخطاء وإصلاحها.
  • لا تدير فايرفوكس وهمية: قم بتنزيل Firefox من Mozilla.org/firefox.
  • تشغيل مكافحة الفيروسات وحماية في الوقت الحقيقي مكافحة برامج التجسس ومسح نظامك بشكل دوري. جعل Suore تم تمكين حماية مكافحة الفيروسات ومكافحة برامج التجسس في الوقت الحقيقي. مسح جهاز الكمبيوتر الخاص بك على الأقل كل شهر.

كيف أتخلص من البرامج الضارة؟

ويكيبيديا المادة Linux Malware لديها معلومات وتوصيات لينكس المستخدمين.

كيف أتخلص من البرامج الضارة؟

مايكروسوفت لديها الأساسية. مكافحة الفيروسات مجانا وبرامج الأمن مكافحة برامج التجسس المدمج في نظام التشغيل Windows 8 و Windows 10لنظام التشغيل Windows 7 (انظر ما هي أساسيات أمان Microsoft؟)وبعد إذا لم يتم اكتشاف برنامج الأمان الخاص بك البرامج الضارة، فقم بمسح نظامك باستخدام برامج مسح البرامج الضارة المجانية المدرجة أدناه. يجب عليك مسحها مع جميع البرامج لأن كل برنامج يكتشف البرامج الضارة المختلفة وتأكد من تحديث كل برنامج للحصول على أحدث إصدار من قواعد البيانات الخاصة به قبل القيام بمسح.

تحذير: قد يؤدي برنامج مكافحة الفيروسات ومكافحة برامج التجسس في بعض الأحيان إيجابيات خاطئة. النظر في الحجر الصحي الملفات المشبوهة بدلا من حذفها.