قائمة طعام
مجانا
تحقق في
الصفحة الرئيسية  /  التعليم / ما هي الشفرة الخبيثة. ما هو رمز ضار مثال لسيناريو هجوم

ما هي الشفرة الخبيثة. ما هو رمز ضار مثال لسيناريو هجوم

بدأ فيروس على الموقع ، ومثل أي كائن مصاب ، تحول مورد الويب الخاص بك إلى مصدر كبير للمشاكل: فهو الآن لا يجلب الربح فحسب ، بل يشوه سمعتك على الإنترنت والمشترين ومحركات البحث وحتى المستضيف الذي يبتعد عنك.

تترك مشكلتك بمفردك وتحاول حلها بنفسك دون الاستعانة بالمتخصصين ، ولكن باتباع نصيحة "الخبراء" من المنتديات. أو اطلب معالجة الموقع حيث يكون "أرخص". ما يجب القيام به ، لأنك تريد دائمًا حل المشكلة بأسرع وقت ممكن وبأقل تكلفة. لكن هل هذا النهج مبرر دائمًا؟

نقدم انتباهك إلى أهم 7 أخطاء في العام الماضي ، والتي ارتكبها مشرفي المواقع ، في محاولة لاستعادة أداء الموقع بعد القرصنة والإصابة.

خطأ # 1. استعادة موقع من نسخة احتياطية كوسيلة للتخلص من الشفرات الضارة

كثيرًا ما يحاول الناشرون حل مشكلة إصابة الموقع بشفرات ضارة عن طريق إعادة الموقع إلى أحدث إصدار نظيف. ويستمرون في استعادة مشروع الويب في كل مرة بمجرد ظهور الفيروس على الموقع مرة أخرى. للأسف ، هذا خيار غير مريح وخطير للغاية.

الحل الصحيح: يحتاج الموقع إلى المعالجة والحماية من القرصنة من أجل تجنب إعادة العدوى. أولاً ، يمكن تحديث محتوى الموقع ، ويمكن تثبيت مكونات إضافية جديدة على الموقع ، ويمكن إجراء تغييرات على البرامج النصية للموقع. كل تراجع يعني أنك تفقد نتائج العمل في الأيام الأخيرة. ولكن هناك سبب أكثر أهمية لمحاربة جذرية ضد القرصنة: ماذا لو قرر أحد المتطفلين يومًا ما تدمير موقعك بالكامل ، لأنه يمكنه الوصول إلى مورد الويب الخاص بك؟

خطأ # 2. خداع محرك بحث من أجل سحب الموقع من العقوبات

يندرج الموقع في قائمة "تهديد أمان الكمبيوتر أو جهاز محمول... "بسبب وجود فيروس على الموقع أو إعادة توجيه الزائرين إلى مورد مصاب. تعرض لوحة مشرف الموقع أمثلة للصفحات المصابة ، لكن مشرف الموقع الماكر أو الجاهل ، بدلاً من حل المشكلة (البحث عن مصدر الشفرة الضارة وإزالتها) ، يحذف بعض الصفحات التي تعرضها محركات البحث في أمثلة الإصابة. أو ، بدلاً من ذلك ، يحظرون تمامًا الوصول إلى الموقع باستخدام القواعد الموجودة في ملف robots.txt ، معتقدين بسذاجة أن هذا سيمنع وصول برنامج مكافحة الفيروسات إلى الموقع.

الحل الصحيح: تحتاج إلى العثور على الكود الفيروسي على الموقع وإزالته. إن حظر الفهرسة ليس عديم الفائدة فحسب ، بل إنه خطير أيضًا. أولاً ، قد تسقط صفحات الموقع من فهرس البحث. حسنًا ، وثانيًا ، يعمل روبوت خدمة مكافحة الفيروسات وفقًا لقواعد مختلفة عن تلك الخاصة بمحرك البحث ، ولا يؤثر حظر الفهرسة عليه بأي شكل من الأشكال.

الخطأ رقم 3. استخدام ماسح كود ضار من قبل متخصصين غير أكفاء

من أجل توفير المال أو لسبب آخر ، يبدأ متخصص غير مدرب تدريباً كافياً في معالجة الموقع ، والذي لا يستطيع 100٪ تحديد ما إذا كان الجزء الذي تم تمييزه بواسطة الماسح الضوئي للرمز الضار خطيرًا حقًا. نتيجة لذلك ، يمكن ملاحظة نقيضين: إزالة جميع الشكوك حول وجود فيروس ، مما يؤدي إلى انهيار الموقع ، أو عدم إزالة الشفرة الضارة تمامًا ، مما يؤدي إلى الانتكاس.

الحل الصحيح: من الواضح أن المحترفين يجب أن يتعاملوا مع معالجة مورد الويب. هناك إيجابيات خاطئة في التقرير عن ماسحات الشفرات الضارة ، حيث يمكن استخدام نفس الجزء في كل من الكود الشرعي وكود المتسلل. من الضروري تحليل كل ملف ، وإلا يمكنك حذف العناصر المهمة ، مما قد يؤدي إلى حدوث أعطال بالموقع أو انهياره بالكامل. أو على العكس من ذلك ، هناك خطر عدم التعرف على قشرة المخترقين ، مما سيؤدي إلى إعادة إصابة مورد الويب.

خطأ # 4. تجاهل الرسائل (في لوحة مشرف الموقع) حول وجود شفرة ضارة على الموقع

قد يكون الإخطار حول وجود رمز ضار على موقع الويب في لوحة مشرف الموقع غير متسق. اليوم يقول النظام أن هناك فيروساً على موقعك ، لكنه صامت غداً. يسعد صاحب الموقع أن يعتقد أن هناك نوعًا من الفشل في النظام ، وأن موقعه لا يرقى إليه الشك. لكن من الناحية العملية ، ليس هذا هو الحال. هناك أنواع مختلفة من العدوى. يمكن أن تظهر الشفرة الخبيثة على الموقع لفترة قصيرة ، ثم تختفي. هذا يعني أنه في المرة التالية التي يتم فيها فحص الموقع بواسطة برنامج مكافحة الفيروسات لمحرك البحث ، قد يتم اكتشاف البرامج الضارة ، ولكن ليس في المرة التالية. نتيجة لذلك ، "يرتاح" مشرف الموقع ويبدأ في تجاهل الرسالة الخطيرة: "لماذا نضيع الوقت في العلاج ، لأن الموقع لم يتم حظره".

الحل الصحيح: إذا لوحظ نشاط ضار على الموقع ، على الأرجح لك ، فقد تم اختراق مورد الويب وإصابته. لا تظهر الفيروسات على الموقع من تلقاء نفسها. حقيقة أن محرك البحث عثر بالأمس على شفرة مشبوهة على الموقع ، ثم "ظل صامتًا" ، لا ينبغي فقط أن يتجاهلها مشرف الموقع ، بل على العكس ، يجب أن تكون بمثابة إشارة إنذار. من يعرف كيف سيتم استغلال مواردك غدًا؟ - البريد العشوائي أو التصيد الاحتيالي أو عمليات إعادة التوجيه. تحتاج إلى فحص الموقع على الفور بحثًا عن أبواب خلفية للقراصنة ، وقذائف ، وعلاج وحماية من القرصنة.

خطأ # 5. معاملة المواقع من قبل مستقلين غير محترفين.

من حيث المبدأ ، لا يختلف العمل مع المستقلين في هذا المجال عن المجالات الأخرى. رخيص - ليس دائمًا بجودة عالية ، ولكن دائمًا تقريبًا بدون ضمانات وعلاقات تعاقدية. يعمل معظم المستقلين غير المتخصصين في مشكلات أمان الموقع مع عواقب هجوم المتسللين ، ولكن ليس مع السبب - ثغرات الموقع. هذا يعني أنه يمكن اختراق الموقع مرة أخرى. والأسوأ من ذلك ، أن هناك فنانين عديمي الضمير يمكنهم زرع أكواد ضارة أخرى على الموقع ، وسرقة قاعدة بيانات ، وما إلى ذلك.

الحل الصحيح: الاتصال بإحدى الشركات المتخصصة التي تتعامل مع معالجة المواقع وحمايتها من القرصنة. يقوم موظفو هذه الشركات بإزالة الشفرات الخبيثة كل يوم ، ورؤية تحور الفيروسات ومراقبة تطور هجمات القراصنة. لا يقف السوق المظلم للقرصنة في مكان واحد ، فهو يتطور ويتطلب مراقبة مستمرة واستجابة مناسبة لمعالجة وحماية الموقع من الاقتحامات غير المصرح بها.

خطأ # 6. الإزالة اليومية / الأسبوعية لنفس الفيروس من الموقع.

تتعلق هذه المشكلة "بالمتحمسين" الخاصين المستعدين لإزالة عواقب الاختراق بشكل منتظم. يعرف مشرفو المواقع هؤلاء بالفعل الكود المحدد الذي سيتم زرعه على الموقع ، وأين ومتى سيحدث بالضبط. بهذه الطريقة ، يمكنك محاربة إعادة توجيه الهاتف المحمول بلا نهاية ، والتي يتم حقنها بواسطة مهاجم في ملف htaccess كل يوم في الساعة 09:30 وإعادة توجيه حركة المرور على هاتفك المحمول إلى موقع ويب يبيع الفياجرا أو محتوى إباحي. ولكن هذا هو الحظ السيئ: روبوت القراصنة يفعل ذلك الوضع التلقائي، وعليك إجراء عملية إزالة يدوية. هذا ليس عدلا ، أليس كذلك؟

الحل الصحيح: يمكنك إزالة العواقب (الفيروسات وعمليات إعادة التوجيه وما إلى ذلك) إلى ما لا نهاية ، ولكن من الأفضل فحص الموقع بحثًا عن البرامج النصية الضارة والمتطفلة وإزالتها وتثبيت الحماية ضد القرصنة حتى لا يظهر رمز الفيروس مرة أخرى. وقضاء وقت الفراغ بكفاءة أكبر. الأهم من ذلك ، تذكر أن المخترق لديه بالفعل حق الوصول إلى موقعك ، مما يعني أنه في المرة القادمة قد لا يقيد نفسه بالشفرة الضارة التي تعرفها ، ولكنه يستخدم موقعك في جرائم الإنترنت الأكثر خطورة.

خطأ # 7. علاج موقع مصاب بمضاد فيروسات لجهاز كمبيوتر

يعتبر مفهوم "مكافحة الفيروسات" عالميًا لبعض مشرفي المواقع ، وهم يحاولون علاج موقع مخترق ومصاب باستخدام مضاد فيروسات مصمم لجهاز كمبيوتر. يتم نسخ الموقع احتياطيًا والتحقق منه بواسطة إصدار سطح المكتب من برنامج مكافحة الفيروسات. للأسف ، هذا العلاج غير قادر على إعطاء النتائج المرجوة.

الحل الصحيح: تختلف الفيروسات الموجودة على موقع الويب وعلى جهاز الكمبيوتر عن نفس الشيء. للتحقق من الموقع ، تحتاج إلى استخدام برامج متخصصة أو الاتصال بالمتخصصين. برامج مكافحة فيروسات سطح المكتب ، بغض النظر عن مدى جودتها ، ليست مصممة لعلاج المواقع من الفيروسات ، حيث تركز قاعدة بياناتها على الفيروسات وأحصنة طروادة على الكمبيوتر.

هذا كل شئ. لا تخطو على نفس أشعل النار!

توزيع البرامج الضارة عبر المواقع الإلكترونية

كوستين رايو ، كاسبرسكي لاب

المقدمة. الجريمة السيبرانية: الاتجاهات والتطور

على مدى السنوات القليلة الماضية ، أصبح الإنترنت مكانًا خطيرًا. تم تصميمه في الأصل لعدد صغير نسبيًا من المستخدمين ، فقد تجاوز بكثير توقعات المبدعين. يوجد أكثر من 1.5 مليار مستخدم للإنترنت في العالم اليوم ، ويتزايد العدد باستمرار مع زيادة إمكانية الوصول إلى التكنولوجيا.

لاحظ المجرمون أيضًا هذا الاتجاه وسرعان ما أدركوا أن ارتكاب جرائم عبر الإنترنت (تسمى الآن جرائم الإنترنت) لها عدد من المزايا المهمة.

أولاً ، الجريمة الإلكترونية ليست محفوفة بالمخاطر: نظرًا لعدم وجود حواجز جيوسياسية ، يصعب على وكالات إنفاذ القانون القبض على المجرمين. علاوة على ذلك ، فإن التحقيقات الدولية والتقاضي تكلف الكثير من المال ، لذلك عادة ما يتم اتخاذ مثل هذه الإجراءات فقط في حالات خاصة. ثانيًا ، الجرائم الإلكترونية بسيطة: يقدم الإنترنت عددًا كبيرًا من "التعليمات" حول اختراق أجهزة الكمبيوتر وكتابة الفيروسات ، ولا يتطلب الأمر معرفة أو خبرة خاصة. هذان عاملان رئيسيان جعلا الجريمة السيبرانية صناعة تقدر بمليارات الدولارات وهي بالفعل نظام بيئي مغلق.

كل من شركات الأمن وبائعي البرامج يكافحون باستمرار الجرائم الإلكترونية. هدفهم هو تزويد مستخدمي الإنترنت بحماية موثوقة وإنشاء برامج آمنة. يقوم المهاجمون بدورهم بتغيير تكتيكاتهم باستمرار من أجل مواجهة الإجراءات المضادة المتخذة ، مما أدى إلى ظهور اتجاهين مختلفين.

أولاً ، يتم نشر البرامج الضارة باستخدام ثغرات يوم الصفر ، أي نقاط الضعف التي لم يتم إنشاء تصحيحات لها بعد. يمكن لمثل هذه الثغرات أن تصيب أنظمة الكمبيوتر التي عليها كل شيء آخر التحديثات، ولكن لا توجد حلول أمنية خاصة. تعتبر ثغرات يوم الصفر سلعة ثمينة (قد يؤدي استخدامها إلى عواقب وخيمة) ، ويتم بيعها في السوق السوداء مقابل عشرات الآلاف من الدولارات.

ثانيًا ، نشهد زيادة حادة في عدد البرامج الضارة المصممة خصيصًا لسرقة المعلومات السرية بهدف بيعها في السوق السوداء: أرقام بطاقات الائتمان ، والتفاصيل المصرفية ، وكلمات المرور للوصول إلى مواقع مثل eBay أو PayPal ، وحتى كلمات المرور عبر الإنترنت. -ألعاب ، على سبيل المثال ، World of Warcraft.

أحد الأسباب الواضحة لهذا الحجم من الجرائم الإلكترونية هو ربحيتها ، والتي ستقود دائمًا إلى إنشاء تقنيات جديدة للجرائم الإلكترونية.

بالإضافة إلى التطورات التي يتم تنفيذها لتلبية احتياجات مجرمي الإنترنت ، نلاحظ اتجاهًا آخر - انتشار البرامج الضارة عبر شبكة الويب العالمية. في أعقاب تفشي ديدان البريد الإلكتروني مثل ميليسا في بداية هذا العقد ، ركز العديد من بائعي الأمن على تطوير حلول يمكنها تحييد المرفقات الضارة. تسبب هذا في بعض الأحيان في حذف الرسائل لجميع المرفقات القابلة للتنفيذ.

ومع ذلك ، فقد أصبح الويب مؤخرًا المصدر الرئيسي لتوزيع البرامج الضارة. يتم وضع البرامج الضارة على مواقع الويب ، ثم يتم خداع المستخدمين لتشغيلها يدويًا ، أو يتم تنفيذ البرامج تلقائيًا على أجهزة الكمبيوتر المصابة باستخدام عمليات الاستغلال.

نحن في Kaspersky Lab نراقب ما يحدث بقلق متزايد.

الإحصاء

على مدى السنوات الثلاث الماضية ، قمنا بمراقبة ما يسمى بالمواقع النظيفة (100،000 إلى 300،000) لتحديد متى أصبحت نقاط توزيع للبرامج الضارة. نما عدد المواقع التي يتم تتبعها بشكل مطرد مع تسجيل مجالات جديدة.

يوضح الجدول الحد الأقصى لمعدل الإصابة المُبلغ عنه لصفحات الويب التي تم رصدها خلال العام. من الواضح حدوث زيادة حادة في نسبة المواقع المصابة: إذا أصيب في عام 2006 حوالي كل موقع من أصل عشرين ألفًا ، ففي عام 2009 كان كل موقع من أصل مائة وخمسين مصابًا بالفعل. تحوم النسبة المئوية للمواقع المصابة حول هذا الرقم الأخير ، مما قد يعني الوصول إلى نقطة التشبع: كل المواقع التي قد تكون مصابة مصابة. ومع ذلك ، يزداد هذا الرقم أو ينقص مع اكتشاف ثغرات جديدة أو ظهور أدوات جديدة تسمح للمهاجمين بإصابة مواقع الويب الجديدة.

يلخص الجدولان التاليان بيانات البرامج الضارة التي تمت مواجهتها بشكل متكرر على المواقع في عامي 2008 و 2009.

أفضل 10 برامج ضارة - 2008

أهم 10 تهديدات للبرامج الضارة - 2009

في عام 2008 ، تم اكتشاف Trojan-Clicker.JS.Agent.h Trojan في عدد كبير من الحالات. ويليه Trojan-Downloader.JS.Iframe.oj بنسبة أقل من 1٪.

الصفحة مصابة بـ Trojan-Clicker.JS.Agent.h

تم فك ترميز Trojan-Clicker.JS.Agent.h

Trojan-Clicker.JS.Agent.h هو مثال نموذجي لآلية تم استخدامها في عام 2008 ولا تزال تستخدم (في عام 2009) لحقن التعليمات البرمجية الضارة. تتم إضافة جزء صغير من كود JavaScript إلى الصفحة ، والذي عادة ما يكون غامضًا لجعل التحليل صعبًا. في الكود الموضح في الشكل أعلاه ، يتمثل التعتيم ببساطة في استبدال أحرف ASCII التي تشكل الشفرة الخبيثة بأكوادها السداسية. بمجرد فك التشفير ، يكون الرمز عادةً عبارة عن إطار iframe يؤدي إلى الموقع حيث توجد الثغرات. يمكن أن يتغير عنوان IP الذي يؤدي إليه الرابط حيث يتم استضافة عمليات الاستغلال على العديد من المواقع المختلفة. على ال الصفحة الرئيسية يحتوي الموقع الضار عادةً على ثغرات لـ IE و Firefox و Opera. Trojan-Downloader.JS.Iframe.oj ، ثاني أكثر البرامج الضارة استخدامًا ، يعمل بطريقة مماثلة.

في عام 2009 ، كانت هناك حالتان مثيرتان للاهتمام انتشرت فيهما البرامج الضارة عبر صفحات الويب. في الحالة الأولى ، نتحدث عن برنامج ضار Net-Worm.JS.Aspxor.a ، تم اكتشافه لأول مرة في يوليو 2008 وانتشر على نطاق واسع في عام 2009. تستخدم هذه البرامج الضارة أداة مساعدة خاصة للعثور على ثغرات SQL على مواقع الويب التي تقوم من خلالها بحقن إطارات عائمة ضارة.

حالة أخرى مثيرة للاهتمام هي برنامج Gumblar الضار. تم تسميته على اسم المجال الصيني الذي استخدمته لتوزيع المآثر. تعتبر السلسلة "gumblar" في JavaScript المبهمة التي تم إلقاؤها على موقع ويب علامة أكيدة على إصابة موقع الويب.

مثال على تضمين كود Gumblar في صفحة موقع ويب

بعد إلغاء التبسيط ، تبدو الشفرة الخبيثة لـ Gumblar كما يلي:

فك كود Gumblar

تم إغلاق المجال "gumblar.cn" ، والذي ، مع ذلك ، لم يمنع مجرمي الإنترنت من مواصلة هجماتهم الضارة من مجالات جديدة.

طرق العدوى وطرق التوزيع

حاليًا ، هناك ثلاث طرق رئيسية يمكن للبرامج الضارة أن تصيب بها مواقع الويب.

الطريقة الأولى الشائعة هي استغلال الثغرات الأمنية في الموقع نفسه. على سبيل المثال ، حقن SQL ، والذي يسمح لك بإضافة تعليمات برمجية ضارة إلى صفحات موقع الويب. توضح أدوات الهجوم مثل ASPXor Trojan بوضوح كيفية عمل هذه الطريقة: يمكن استخدامها لإجراء مسح جماعي وحقن التعليمات البرمجية الضارة عبر آلاف عناوين IP في وقت واحد. غالبًا ما يمكن رؤية آثار مثل هذه الهجمات في سجلات الوصول لخوادم الويب.

تتضمن الطريقة الثانية إصابة كمبيوتر مطور موقع الويب ببرامج ضارة تراقب إنشاء وتحميل ملفات HTML ثم تقوم بحقن تعليمات برمجية ضارة في هذه الملفات.

أخيرًا ، هناك طريقة أخرى وهي الإصابة بحصان طروادة (مثل Ransom.Win32.Agent.ey) لسرقة كلمة المرور لجهاز كمبيوتر مطور موقع الويب أو شخص آخر لديه حق الوصول إلى حساب استضافة. عادةً ما يتصل حصان طروادة بخادم عبر HTTP لنقل كلمات المرور إلى حسابات FTP ، التي يجمعها من عملاء بروتوكول نقل الملفات المشهورين مثل FileZilla و CuteFtp. يقوم أحد مكونات البرنامج الضار الموجود على الخادم بكتابة المعلومات المستلمة إلى قاعدة بيانات SQL. ثم برنامج خاص، الموجود أيضًا على الخادم ، ينفذ إجراء تسجيل الدخول لجميع حسابات FTP ، ويستخرج صفحة الفهرس ، ويضيف رمز حصان طروادة المصاب هناك ، ويحمل الصفحة مرة أخرى.

نظرًا لأنه في الحالة الأخيرة ، تصبح بيانات حساب موفر الاستضافة معروفة للمهاجمين ، فغالبًا ما تحدث إصابات متكررة بالمواقع: يلاحظ مطورو صفحات الويب أنفسهم الإصابة أو يتعرفون عليها من زوار الموقع ، ويقومون بتنظيف الصفحة من التعليمات البرمجية الضارة ، وفي اليوم التالي تظهر الصفحة مرة أخرى مصاب.

مثال على إعادة إصابة صفحة ويب (*. *. 148.240)

هناك موقف شائع آخر هو عندما تقع المعلومات حول نفس الثغرة الأمنية أو بيانات الحساب على استضافة في وقت واحد في أيدي مجموعات إلكترونية مختلفة ، حيث يبدأ الصراع بينها: تسعى كل مجموعة إلى إصابة موقع ويب ببرامج ضارة خاصة بها. إليك مثال على مثل هذا الموقف:

مثال على الإصابة المتعددة لموقع ويب (*. *. 176.6) ببرامج ضارة متنوعة

06/11/2009 الموقع الإلكتروني الذي شاهدناه كان نظيفًا. 07/05/2009 تحدث الإصابة بالبرامج الضارة Trojan-Clicker.JS.Agent.gk. في 15 يوليو 2009 ، أصيب الموقع ببرنامج ضار آخر ، Trojan-Downloader.JS.Iframe.bin. بعد عشرة أيام أصيب الموقع ببرنامج آخر.

هذا الموقف شائع جدًا: يمكن أن تصاب مواقع الويب في نفس الوقت ببرامج ضارة مختلفة ، يتم وضع رمزها واحدًا تلو الآخر. يحدث هذا عندما تقع بيانات الوصول في أيدي مجموعات الإنترنت المختلفة.

فيما يلي سلسلة من الإجراءات التي يجب اتخاذها في حالة إصابة موقع ويب بشفرة ضارة:

  • حدد من لديه حق الوصول إلى خادم الاستضافة. قم بتشغيل برنامج أمان الإنترنت على أجهزة الكمبيوتر الخاصة بهم باستخدام قاعدة بيانات محدثة. قم بإزالة كافة البرامج الضارة المكتشفة
  • قم بإعداد كلمة مرور استضافة قوية جديدة. كلمة سر قوية يجب أن تتكون من رموز وأرقام وأحرف خاصة لتعقيد اختيارها
  • استبدل جميع الملفات المصابة بنسخ نظيفة
  • ابحث عن جميع النسخ الاحتياطية التي قد تحتوي على ملفات مصابة وقم بتطهيرها

تُظهر تجربتنا أن المواقع المصابة غالبًا ما تُعاد الإصابة بعد العلاج. من ناحية أخرى ، يحدث هذا عادةً مرة واحدة فقط: إذا تمكن مشرف الموقع بعد الإصابة الأولى من تقييد نفسه بإجراءات سطحية نسبيًا ، في حالة الإصابة مرة أخرى ، فإنه عادة ما يتخذ إجراءات أكثر جدية لضمان أمان الموقع.

التطور: وضع البرامج الضارة على مواقع الويب النظيفة

قبل عامين ، عندما بدأ مجرمو الإنترنت في استخدام الويب بنشاط لاستضافة البرامج الضارة ، عملوا عادةً من خلال ما يسمى بالاستضافة المضادة للرصاص أو من خلال الاستضافة حيث دفعوا ببطاقات الائتمان المسروقة. مع ملاحظة هذا الاتجاه ، تضافرت جهود الشركات العاملة في مجال أمن الإنترنت في مكافحة مقدمي الاستضافة عديمي الضمير الذين يسمحون باستضافة الموارد الضارة (مثل مزود الاستضافة الأمريكي McColo والمزود الإستوني EstDomains. وعلى الرغم من أنه لا تزال هناك حالات حتى الآن عندما يتم استضافة البرامج الضارة على وجه التحديد على المواقع الضارة الموجودة ، على سبيل المثال ، في الصين ، حيث لا يزال من الصعب إغلاق أحد المواقع ، وكان هناك تحول مهم نحو وضع البرامج الضارة على مجالات "نظيفة" وجديرة بالثقة تمامًا.

الفعل ورد الفعل

كما قلنا سابقًا ، فإن أحد أهم جوانب الصراع المستمر بين مجرمي الإنترنت وبائعي برامج مكافحة الفيروسات هو القدرة على الاستجابة بسرعة لما يفعله العدو. يغير كلا الجانبين باستمرار تكتيكات النضال وإدخال تقنيات جديدة في محاولة لمواجهة العدو.

تحتوي معظم متصفحات الويب (Firefox 3.5 و Chrome 2.0 و Internet Explorer 8.0) الآن على حماية مدمجة لفلتر عناوين URL. يمنع هذا الفلتر المستخدم من الوصول إلى المواقع الضارة التي تحتوي على عمليات استغلال لثغرات أمنية معروفة أو غير معروفة ، أو التي تستخدم تقنيات الهندسة الاجتماعية لسرقة الهوية.

على سبيل المثال ، يستخدم Firefox و Chrome واجهة برمجة تطبيقات Google للتصفح الآمن ، خدمة مجانية من Google لتصفية عناوين URL. في وقت كتابة هذا التقرير ، كانت قائمة واجهة برمجة تطبيقات Google للتصفح الآمن تحتوي على ما يقرب من 300000 عنوان موقع ويب ضار معروف وأكثر من 20000 عنوان مواقع ويب للتصيد الاحتيالي.

تتبع Google Safe Browsing API أسلوبًا عقلانيًا لتصفية عناوين URL: بدلاً من إرسال كل عنوان URL إلى مورد خارجي للفحص ، كما يفعل عامل تصفية التصيد في Internet Explorer 8 ، يتحقق التصفح الآمن من Google من عناوين URL من خلال مجاميعها الاختبارية. محسوبة بواسطة خوارزمية MD5. لكي تكون طريقة التصفية هذه فعالة ، يجب تحديث قائمة المجاميع الاختبارية للعناوين الضارة بانتظام ؛ يوصى بالتحديثات كل 30 دقيقة. عيب هذه الطريقة هو أن عدد مواقع الويب الضارة أكبر من عدد الإدخالات في القائمة. لتحسين حجم القائمة (الآن حوالي 12 ميغا بايت) ، المواقع الخبيثة الأكثر شيوعًا هي فقط التي تصل إلى هناك. هذا يعني أنه حتى إذا كنت تستخدم التطبيقات التي تدعم هذه التقنيات ، فإن جهاز الكمبيوتر الخاص بك لا يزال معرضًا لخطر الإصابة عند زيارة المواقع الضارة غير المدرجة في القائمة. بشكل عام ، يُظهر الاستخدام الواسع النطاق للتكنولوجيا للتنقل الآمن أن مطوري مستعرض الويب قد لاحظوا الاتجاه الجديد لانتشار البرامج الضارة عبر مواقع الويب واتخاذ الإجراءات اللازمة. في الواقع ، أصبحت متصفحات الويب ذات الأمان المدمج هي القاعدة بالفعل.

خاتمة

لقد ارتفع عدد المواقع الشرعية المصابة ببرامج ضارة خلال السنوات الثلاث الماضية. اليوم ، عدد المواقع المصابة على الإنترنت أعلى بمائة مرة مما كان عليه قبل ثلاث سنوات. تعد المواقع التي تتم زيارتها بشكل متكرر جذابة لمجرمي الإنترنت لأنها يمكن أن تصيب عددًا كبيرًا من أجهزة الكمبيوتر في وقت قصير.

يمكن تقديم بعض النصائح البسيطة لمشرفي المواقع حول كيفية تأمين مواقع الويب:

  • حماية حسابات الاستضافة بكلمات مرور قوية
  • لتحميل الملفات على الخوادم ، استخدم بروتوكولات SCP / SSH / SFTP بدلاً من FTP - وبهذه الطريقة تحمي من إرسال كلمات المرور عبر الإنترنت بنص واضح
  • قم بتثبيت منتج مضاد للفيروسات وقم بإجراء فحص للكمبيوتر
  • احتفظ بنسخ احتياطية قليلة من موقعك حتى تتمكن من استعادته في حالة الإصابة.

عند تصفح الإنترنت ، هناك عدة عوامل تزيد من خطر الإصابة بشفرات ضارة من موقع ويب: استخدام البرامج المقرصنة ، وتجاهل التحديثات لإصلاح نقاط الضعف في البرنامج المستخدم ، وعدم وجود حل لمكافحة الفيروسات على الكمبيوتر ، والجهل العام أو الفهم غير الكامل للتهديدات على الإنترنت.

تلعب البرامج المقرصنة دورًا مهمًا في انتشار البرامج الضارة. لا تدعم النسخ المقرصنة من Microsoft Windows بشكل عام التحديثات التلقائية التي توفرها Microsoft ، مما يمنح مجرمي الإنترنت الفرصة لاستغلال الثغرات الأمنية التي لم يتم إصلاحها في هذه المنتجات.

بالإضافة إلى ذلك ، فإن الإصدارات القديمة من Internet Explorer ، والتي لا تزال أكثر المتصفحات شيوعًا ، بها عدد كبير من نقاط الضعف. في معظم الحالات ، يكون Internet Explorer 6.0 بدون تثبيت التحديثات غير محمي من التأثيرات الضارة لأي موقع ويب ضار. على هذا النحو ، من المهم للغاية تجنب استخدام البرامج المقرصنة ، وخاصة النسخ المقرصنة من Windows.

عامل خطر آخر هو العمل على جهاز كمبيوتر بدون تثبيت برنامج مكافحة الفيروسات. حتى إذا كان لدى النظام نفسه آخر التحديثات ، يمكن أن تخترقه التعليمات البرمجية الضارة من خلال ثغرات يوم الصفر في برامج الجهات الخارجية. التحديثات برامج مكافحة الفيروسات عادة ما يتم تحريرها بشكل متكرر أكثر بكثير من لصقات منتجات البرمجيات، وضمان أمان النظام خلال فترة لم يتم فيها تصحيح الثغرات الأمنية في برامج الجهات الخارجية.

وعلى الرغم من أهمية تثبيت تحديثات البرامج للحفاظ على المستوى المطلوب من الأمان ، يلعب العامل البشري أيضًا دورًا مهمًا. على سبيل المثال ، قد يرغب المستخدم في مشاهدة "فيديو مثير للاهتمام" تم تنزيله من الويب ، دون أن يشك في أنه بدلاً من الفيديو ، تم زرع برنامج ضار عليه. غالبًا ما يتم استخدام هذه الحيلة على المواقع الضارة إذا فشلت عمليات الاستغلال في الاختراق نظام التشغيل... يوضح هذا المثال لماذا يحتاج المستخدمون إلى إدراك مخاطر تهديدات الإنترنت ، خاصة تلك المتعلقة بها وسائل التواصل الاجتماعي (الويب 2.0) ، الذي تعرض لهجوم نشط مؤخرًا من قبل مجرمي الإنترنت.

  • لا تقم بتنزيل البرامج المقرصنة
  • حافظ على تحديث جميع البرامج: نظام التشغيل ، متصفحات الويب ، عارضات PDF ، المشغلات ، إلخ.
  • قم بتثبيت منتج مكافحة فيروسات واستخدامه دائمًا مثل Kaspersky Internet Security 2010
  • اجعل من كقاعدة لموظفيك قضاء بضع ساعات كل شهر في استكشاف مواقع الأمان مثل www.viruslist.com حيث يمكنهم التعرف على تهديدات الإنترنت والدفاعات.

أخيرًا ، تذكر: منع العدوى أسهل من العلاج. اتخذ إجراءات السلامة!

في الوقت الحاضر ، تحدث معظم هجمات الكمبيوتر عند زيارة صفحات الويب الضارة. يمكن أن يتم تضليل المستخدم من خلال تقديم بيانات سرية إلى موقع تصيد أو الوقوع ضحية لهجوم تنزيل من محرك الأقراص يستغل نقاط ضعف المتصفح. وبالتالي ، يجب أن يوفر برنامج مكافحة الفيروسات الحديث الحماية ليس فقط من البرامج الضارة مباشرةً ، ولكن أيضًا من موارد الويب الخطيرة.

تستخدم حلول مكافحة الفيروسات طرقًا مختلفة لتحديد المواقع ذات البرامج الضارة: مقارنة قاعدة بيانات التوقيع والتحليل الإرشادي. تُستخدم التواقيع لتحديد التهديدات المعروفة ، بينما يحدد التحليل الاستكشافي احتمالية السلوك الخطير. يعد استخدام قاعدة بيانات الفيروسات طريقة أكثر موثوقية توفر الحد الأدنى من النتائج الإيجابية الخاطئة. ومع ذلك هذه الطريقة يمنع اكتشاف أحدث التهديدات غير المعروفة.

يجب أولاً اكتشاف التهديد الناشئ وتحليله من قبل موظفي مختبر بائع مكافحة الفيروسات. بناءً على التحليل ، يتم إنشاء توقيع مناسب يمكن استخدامه للعثور على البرامج الضارة. على العكس من ذلك ، يتم استخدام طريقة إرشادية لتحديد التهديدات غير المعروفة بناءً على عوامل سلوكية مشبوهة. هذه الطريقة يقيم احتمالية وجود خطر ، لذا فإن الإيجابيات الخاطئة ممكنة.

عند اكتشاف روابط ضارة ، يمكن أن تعمل كلتا الطريقتين في نفس الوقت. لإضافة مورد خطير إلى القائمة السوداء ، تحتاج إلى إجراء تحليل عن طريق تنزيل المحتوى وفحصه باستخدام مضاد فيروسات أو نظام كشف التطفل.

يوجد أدناه سجل بأحداث نظام Suricata IDS عند حظر عمليات الاستغلال:

مثال على تقرير IDS يعرض التهديدات المحددة باستخدام التوقيعات:

مثال على تحذير مكافحة الفيروسات Ad-Aware عند زيارة موقع ضار:

يتم إجراء تحليل إرشادي من جانب العميل للتحقق من المواقع التي تمت زيارتها. تحذر الخوارزميات المطورة خصيصًا المستخدم إذا كان المورد الذي تمت زيارته يلبي خصائص خطيرة أو مشبوهة. يمكن بناء هذه الخوارزميات على تحليل المحتوى المعجمي أو على تقديرات موقع الموارد. يُستخدم نموذج التعريف المعجمي لتحذير المستخدم من هجمات التصيد الاحتيالي. على سبيل المثال ، عنوان URL مثل " http://paaypall.5gbfree.com/index.php"أو" http://paypal-intern.de/secure/"يتم التعرف عليها بسهولة على أنها نسخ تصيد احتيالي معروفة نظام الدفع "باي بال".

يجمع تحليل موضع الموارد معلومات حول الاستضافة واسم المجال. بناءً على البيانات الواردة ، تحدد خوارزمية متخصصة درجة خطورة الموقع. تتضمن هذه البيانات عادةً المعلومات الجغرافية ومعلومات المسجل ومسجل المجال.

فيما يلي مثال على استضافة مواقع تصيد متعددة على نفس عنوان IP:

في النهاية ، على الرغم من الطرق العديدة لتقييم المواقع ، لا توجد منهجية يمكن أن توفر ضمانًا بنسبة 100٪ لحماية نظامك. يمكن أن يمنح الاستخدام المشترك للعديد من تقنيات أمان الكمبيوتر بعض الثقة في حماية البيانات الشخصية.

  • يشكو المستخدمون من حظر المتصفح و / أو البرامج على الموقع
  • تم إدراج موقع الويب في القائمة السوداء بواسطة Google أو قاعدة عناوين URL ضارة أخرى
  • كانت هناك تغييرات كبيرة في حجم حركة المرور و / أو تصنيفات محرك البحث
  • الموقع لا يعمل كما ينبغي ، يعطي أخطاء وتحذيرات
  • بعد زيارة موقع الويب يتصرف الكمبيوتر بشكل غريب.

غالبًا ما تمر الشفرات الضارة دون أن يلاحظها أحد لفترة طويلة ، خاصةً إذا كانت مصابة ببرامج ضارة معقدة للغاية. عادةً ما يتم إخفاء هذه البرامج الضارة بشكل كبير لتضليل كل من مسؤولي مواقع الويب وبرامج مكافحة الفيروسات ؛ يغير باستمرار أسماء النطاقات التي يعيد توجيه المستخدمين إليها ، وبالتالي يتخطى القوائم السوداء. في حالة عدم وجود أي من الأعراض المذكورة أعلاه ، فهذا مؤشر جيد على نظافة الخادم الخاص بك ، على الرغم من أنه ، للأسف ، ليس بنسبة 100٪ ؛ لذلك ، كن متيقظًا لأي نشاط مشبوه.

تتمثل العلامة الأكثر وضوحًا لأي إصابة بالبرامج الضارة في وجود تعليمات برمجية ضارة / مشبوهة في ملف واحد أو أكثر - بشكل أساسي بتنسيق HTML أو PHP أو JS ، وللبعض الآن أيضًا ASP / ASPX. ليس من السهل العثور على هذا الرمز ، فهو يتطلب معرفة على الأقل بأساسيات البرمجة وتطوير مواقع الويب. لإعطاء القارئ فهمًا أفضل لما تبدو عليه الشفرات الضارة ، نقدم العديد من الأمثلة على الإصابة الأكثر شيوعًا لصفحات الويب.

مثال 1: إعادة توجيه بسيطة

أقدم وأبسط طريقة يستخدمها مجرمو الإنترنت هي إضافة علامة HTML iframe بسيطة إلى ملفات HTML على الخادم. يتم تحديد عنوان URL المستخدم لتحميل موقع الويب الضار في IFrame كسمة SRC ؛ تجعل خاصية VISIBILITY "مخفي" الإطار غير مرئي للمستخدم الذي يزور موقع الويب.

الشكل 1: IFrame ضار داخل HTML لموقع الويب

هناك طريقة أخرى لتنفيذ البرنامج النصي الضار في متصفح المستخدم وهي تضمين ارتباط لهذا البرنامج النصي في ملف HTML كسمة src في البرنامج النصي أو علامات img:

الشكل 2: أمثلة على الروابط الخبيثة

في الآونة الأخيرة ، كان هناك المزيد والمزيد من الحالات التي يتم فيها إنشاء تعليمات برمجية ضارة ديناميكيًا وحقنها في تعليمات HTML البرمجية عن طريق البرامج النصية الخبيثة JS أو PHP. في مثل هذه الحالات ، تكون الشفرة مرئية فقط في عرض المصدر للصفحة من المتصفح ، وليس في الملفات الفعلية على الخادم. يمكن لمجرمي الإنترنت أيضًا تحديد الشروط التي يجب أن يتم فيها إنشاء تعليمات برمجية ضارة: على سبيل المثال ، فقط عندما ينتقل المستخدم إلى موقع من محركات بحث معينة أو يفتح موقعًا إلكترونيًا في متصفح معين.

يستخدم مجرمو الإنترنت مجموعة متنوعة من تقنيات التعتيم على الكود لخداع كل من مالك موقع الويب وبرنامج مكافحة الفيروسات ولعرقلة التعليمات البرمجية الضارة.

المثال 2: "خطأ 404: الصفحة غير موجودة"

في هذا المثال ، يتم إدخال تعليمات برمجية ضارة في قالب الرسالة التي يتم عرضها عندما لا يتم العثور على الكائن المحدد على الخادم ("خطأ 404" المعروف جيدًا). بالإضافة إلى ذلك ، يتم إدخال رابط لبعض العناصر غير الموجودة في ملفات index.html / index.php من أجل التسبب في هذا الخطأ بشكل غير مرئي في كل مرة يزور فيها المستخدم صفحة ويب مصابة. يمكن أن تسبب هذه الطريقة بعض الالتباس: يتلقى الشخص المسؤول عن موقع الويب رسالة تفيد بأن بعض حلول مكافحة الفيروسات قد حددت موقع الويب على أنه مصاب ؛ بعد فحص سطحي ، اتضح أنه تم العثور على الشفرة الخبيثة في كائن غير موجود على ما يبدو ؛ هذا يؤدي إلى إغراء الافتراض (خطأ) أنه كان إنذارًا كاذبًا.

الشكل 3. Trojan.JS.Iframe.zs - برنامج نصي ضار في قالب رسالة الخطأ 404

في هذه الحالة بالذات ، تم التعتيم على الشفرة الخبيثة. بعد إلغاء التعتيم ، يمكننا أن نرى أن الغرض من البرنامج النصي هو إدخال علامة IFRAME التي سيتم استخدامها لإعادة توجيه المستخدمين إلى عنوان URL ضار.

الشكل 4. Trojan.JS.Iframe.zs - الشفرة الخبيثة بعد إلغاء التعتيم

مثال 3: الحقن الانتقائي للشفرات الخبيثة

يمكن إنشاء رمز مشابه وإرفاقه ديناميكيًا (أي اعتمادًا على شروط محددة) بجميع ملفات HTML الموجودة على الخادم باستخدام نص برمجي PHP ضار تم تحميله على نفس الخادم. يتحقق البرنامج النصي الموضح في المثال التالي من معلمة UserAgent (التي يتم إرسالها بواسطة متصفح المستخدم وبرامج البحث الآلية) ولا يضيف رمزًا ضارًا إذا تم الزحف إلى موقع ويب بواسطة روبوت أو إذا كان زوار الموقع يستخدمون متصفحات Opera أو Safari. بهذه الطريقة ، لن يتم إعادة توجيه مستخدمي المتصفحات المحصنة ضد الاستغلال المعين المستخدم للهجوم إلى هذا الاستغلال. من الجدير بالذكر أيضًا أن التعليقات في الكود مضللة عمدًا ، مما يشير إلى أن هذا النص البرمجي له علاقة بإحصاءات الروبوت.

الشكل 5. Trojan.PHP.Iframer.e - التعليمات البرمجية التي تصيب برنامج PHP النصي

يمكن أيضًا استخدام هذه الطريقة في الاتجاه المعاكس: يمكن لمجرمي الإنترنت إدراج روابط تؤدي إلى محتوى غير قانوني أو مشكوك فيه أو ضار (البريد العشوائي أو برامج التجسس أو البرامج أو موارد التصيد) فقط إذا دخل روبوت البحث إلى موقع الويب. الهدف من مثل هذا الهجوم هو ما يسمى بتحسين اللون الأسود - وهي آلية لرفع مكانة مورد الجرائم الإلكترونية في نتائج البحث. عادةً ما تستهدف هذه البرامج الضارة بوابات الويب الشائعة وذات التصنيف العالي ومن الصعب جدًا اكتشافها نظرًا لعدم عرض الشفرة الضارة للمستخدم العادي. نتيجة لذلك ، تحصل المواقع الضارة على تصنيفات عالية في محركات البحث وينتهي بها الأمر في أعلى نتائج البحث.

مثال 4: تشويش معقد

يمكن أن تأخذ إصابة نصوص PHP أشكالًا أخرى أيضًا. فيما يلي مثالان تم اكتشافهما قبل بضعة أشهر.


الشكل 6. Trojan-Downloader.PHP.KScript.a - تصحيح PHP النصي


الشكل 12. Trojan-Downloader.JS.Twetti.t - كود خبيث يتم حقنه في ملفات JS

أخيرًا ، هناك حالة معروفة للإصابة بالبرامج الضارة الجماعية يتم فيها استخدام أسماء نطاقات عشوائية. إذا كنت مصابًا بهذا البرنامج الضار ، فقد تجد الرمز التالي على موقع الويب الخاص بك:

الشكل 13. نسخة مبهمة من الكود الذي يعيد التوجيه إلى مجال تم إنشاؤه عشوائيًا

مثال 6: "gootkit" وتشويش ملف كامل

من السهل اكتشاف الشفرة الخبيثة المبهمة بين بقية الكود النظيف ، وبالتالي توصل مجرمو الإنترنت مؤخرًا إلى فكرة التعتيم على محتويات الملف بالكامل ، مما يجعل كلاً من الشفرة المحقونة والشرعية غير قابلة للقراءة. من المستحيل فصل الكود الشرعي عن الكود الضار ، ولا يمكن تطهير الملف إلا بعد فك تشفيره.

تين. 14. ملف محجوب بواسطة برنامج "gootkit" الضار

التخلص من المستوى الأول من التشويش ليس بالأمر الصعب ، لذلك تحتاج فقط إلى تغيير وظيفة Eval () لتنبيه () - أو طباعة () في حالة وحدة التحكم - وتشغيلها للتنفيذ. المستوى الثاني أكثر تعقيدًا إلى حد ما: في هذه الحالة ، يتم استخدام اسم المجال كمفتاح لتشفير الكود.

تين. 15: "gootkit" - المستوى الثاني من التشويش

بعد فك التشفير ، يمكنك رؤية الشفرة الضارة تتبع المحتوى الأصلي للملف:

تين. 16: "gootkit" - رمز غير مبهم

في بعض الأحيان ، يتبين أن الجزء الخبيث هو الإصدار الثاني من البرامج الضارة التي تمت مناقشتها في المثال السابق ويتم استخدامه لإنشاء اسم مجال شبه عشوائي لإعادة التوجيه.

المثال 7: htaccess

بدلاً من إصابة البرامج النصية ورمز HTML ، يمكن لمجرمي الإنترنت استخدام إمكانات بعض الملفات ، على سبيل المثال .htaccess. في مثل هذه الملفات ، يمكن للمسؤول تحديد حقوق الوصول إلى مجلدات معينة على الخادم ، وكذلك ، في ظل ظروف معينة ، إعادة توجيه المستخدمين إلى عناوين URL أخرى (على سبيل المثال ، إذا قام مستخدم بتسجيل الدخول من متصفح جهاز محمول ، فسيتم إعادة توجيهه إلى اصدار المحمول موقع الكتروني). ليس من الصعب تخمين كيفية استخدام مجرمي الإنترنت لهذه الوظيفة ...

تين. 17: .htaccess ضار

في المثال أعلاه ، تتم إعادة توجيه جميع المستخدمين الذين يزورون موقع الويب هذا متبعين ارتباطًا في معظم محركات البحث الرئيسية (معلمة HTTP_REFERER) إلى عنوان URL ضار. بالإضافة إلى ذلك ، يحدد ملف htaccess هذا عددًا كبيرًا نسبيًا من المتصفحات والروبوتات التي لا يتم إجراء إعادة توجيه لها (المعلمة HTTP_USER_AGENT). لا تحدث إعادة التوجيه أيضًا إذا تمت قراءة صفحة الويب من ذاكرة التخزين المؤقت (المرجع \u003d\u003d ذاكرة التخزين المؤقت) أو تم إعادة تحميلها من نفس الكمبيوتر (معلمة ملف تعريف الارتباط).

تسمح هذه البرامج الضارة أيضًا بمزيد من الإصابات الانتقائية - على سبيل المثال ، يمكن استبعاد عناوين IP المحددة ، وعند تصفح مواقع الويب من مجموعة محددة من عناوين IP - على سبيل المثال ، أمن المعلومات - لا يتم إنشاء نتائج ضارة.

نواقل الهجوم وتقنيات العدوى

بغض النظر عن التكنولوجيا المستخدمة ، يحتاج مجرمو الإنترنت إلى إيجاد طريقة لتسليم الملفات الضارة إلى الخادم أو تعديل الملفات الموجودة بالفعل على الخادم. الطريقة الأكثر بدائية للوصول إلى الخادم هي كسر كلمة مرور الوصول. للقيام بذلك ، يمكن لمجرمي الإنترنت استخدام ما يسمى هجوم القوة الغاشمة أو نسخة محدودة منه - هجوم القوة الغاشمة (هجوم القاموس). عادة ما يتطلب هذا التكتيك الكثير من الوقت والموارد ، وبالتالي نادرًا ما يستخدم في الإصابات الجماعية لمواقع الويب. تتضمن السيناريوهات الأكثر شيوعًا استغلال الثغرات الأمنية والبرامج الضارة لسرقة كلمات المرور.

استغلال نقاط الضعف في نظام إدارة المحتوى / نظام التجارة الإلكترونية

معظم منصات إدارة محتوى الويب الحديثة (مثل نظام إدارة المحتوى (CMS) ، والتجارة الإلكترونية ، ولوحات التحكم ، وما إلى ذلك) غير كاملة ولديها نقاط ضعف تسمح للآخرين بتحميل الملفات إلى الخادم دون مصادقة. وعلى الرغم من أن المطورين يبحثون باستمرار عن مثل هذه الثغرات الأمنية ، فإن إصدار التصحيحات يستغرق الكثير من الوقت ؛ بالإضافة إلى ذلك ، يستمر العديد من المستخدمين في استخدام إصدارات أقدم من البرامج مع وجود الكثير من الأخطاء. في أغلب الأحيان ، توجد الثغرات ، بالطبع ، في أكثر المنصات شعبية مثل WordPress و Joomla و osCommerce.

ومن الأمثلة المعروفة على مثل هذه الثغرة الأمنية ، TimThumb ، الذي تم استغلاله على نطاق واسع من قبل مجرمي الإنترنت في مجموعة متنوعة من سيناريوهات الإقلاع من محرك الأقراص. TimThumb هي وحدة PHP لتغيير حجم الصور وإنشاء ما يسمى بالصور المصغرة الرسومية ، المضمنة في معظم قوالب CMS مفتوحة المصدر. تسمح الثغرة الأمنية بكتابة الملفات الموجودة على جهاز بعيد إلى الخادم ، إلى دليل ذاكرة التخزين المؤقت. مثال آخر هو الضعف حقن SQL في Plesk Panel (الإصدار 10 وما بعده) ، الذي تم اكتشافه في فبراير 2012 ، والذي يسمح لك بقراءة قواعد البيانات وسرقة كلمات المرور التي - حتى وقت قريب - كانت مخزنة بشكل صريح. ربما تم استخدام أوراق الاعتماد التي تم الحصول عليها بهذه الطريقة في اندلاع الويب الهائل مؤخرًا http://www.securelist.com/en/blog/208193624/Who_is_attacking_me؛ https://www.securelist.com/ru/blog/208193713/RunForestRun_gootkit_i_generirovanie_sluchaynykh_domennykh_imen.

استخدام برامج التجسس لسرقة بيانات اعتماد خادم FTP

في أكثر عدوى الويب شيوعًا (مثل Gumblar و Pegel) ، نجحت طريقة أخرى. في المرحلة الأولى ، يوزع مجرمو الإنترنت برامج ضارة مصممة خصيصًا للبحث عن وسرقة أسماء مستخدمين وكلمات مرور FTP عن طريق التحقق من إعدادات عميل FTP أو فحص حركة مرور الشبكة. بعد عثور البرنامج الضار على بيانات التسجيل هذه على الكمبيوتر المصاب بمسؤول الموقع ، يقوم البرنامج بإنشاء اتصال بخادم FTP وتنزيل البرامج النصية الضارة أو كتابة إصداراتها المصابة بدلاً من الملفات الأصلية. وغني عن القول أنه طالما أن كمبيوتر مالك الحساب مصاب ، فإن الملفات المخزنة على الخادم ستصاب بالعدوى مرارًا وتكرارًا حتى بعد تغيير بيانات التسجيل واستعادة كل المحتوى من نسخة احتياطية نظيفة.

أهداف مجرمي الإنترنت

ما هو الغرض من إصابة المواقع؟

  • إعادة توجيه المستخدمين للاستغلال لتثبيت البرامج الضارة بصمت على أجهزة الكمبيوتر الخاصة بهم ؛
  • إعادة توجيه المستخدمين إلى البريد العشوائي والتصيد الاحتيالي وغير ذلك من المحتويات الضارة أو غير القانونية أو غير المرغوب فيها ؛
  • اعتراض / سرقة زيارات الموقع / استعلامات البحث.
  • الترويج لمواقع الويب الخبيثة / غير القانونية والمواقع التي تحتوي على بريد عشوائي (تحسين أسود) ؛
  • استخدام موارد الخادم لنشاط غير قانوني.

في الأساس ، هذا ليس شيئًا جديدًا: عندما يصيب مجرمو الإنترنت مواقع الويب ، فإنهم مدفوعون بالرغبة في تحقيق ربح غير مباشر.

طرق القضاء على التعليمات البرمجية الخبيثة

ماذا لو تعرض موقعك لهجوم من قبل قراصنة؟

أولاً ، إذا رأيت أعراضًا تشير إلى إصابة محتملة ، فيجب عليك إلغاء تنشيط موقع الويب على الفور حتى يتم إصلاح المشكلة. هذا مهم للغاية بالفعل ، لأن كل لحظة تأخير تصب في مصلحة مجرمي الإنترنت ، مما يسمح لمزيد من أجهزة الكمبيوتر بإصابة ونشر العدوى في جميع أنحاء. يجب عليك التحقق من سجلات الخادم بحثًا عن أي نشاط مشبوه ، مثل الطلبات الغريبة من عناوين IP الموجودة في بلدان ليست نموذجية لزوار الموقع ، وما إلى ذلك. - يمكن أن يكون هذا مفيدًا لاكتشاف الملفات المصابة وتحديد كيفية وصول مجرمي الإنترنت إلى الخادم بالضبط.

لكن كيف تتعامل مع الشفرات الخبيثة؟

نسخة إحتياطية

الطريقة الأسرع والأكثر موثوقية لاستعادة جميع محتويات الخادم هي النسخ الاحتياطي النظيف. للقيام بذلك بشكل فعال ، من الضروري أيضًا إجراء إعادة تثبيت كاملة للبرنامج الذي يعمل على الخادم (نظام إدارة المحتوى / CMF ، وأنظمة التجارة الإلكترونية ، وما إلى ذلك). بالطبع ، هذا يتطلب استخدام أحدث الإصدارات المحدثة بالكامل. بعد هذه الخطوات ، يجب ألا تبقى أي ملفات مصابة على الخادم - بشرط أن تمسح كل المحتوى قبل الاستعادة ، وأن يتم إنشاء نسخة احتياطية قبل بدء الهجوم.

فحص تلقائي

إذا لم يكن لديك نسخة احتياطية نظيفة ، فلن يكون أمامك خيار سوى البدء في مكافحة البرامج الضارة. لحسن الحظ ، يوجد عدد من الحلول الآلية التي يمكن أن تساعدك في العثور على التعليمات البرمجية الضارة - بما في ذلك منتجات مكافحة الفيروسات وأدوات فحص مواقع الويب على الإنترنت مثل http://sucuri.net/. لا يوجد أي منها مثالي ، ولكن في حالة البرامج الضارة المعروفة / الشائعة ، يمكن أن تكون جميعها مفيدة جدًا. لتبدأ ، يمكنك التحقق من موقع ويب باستخدام ماسحات ضوئية متعددة عبر الإنترنت. لن يحدد بعضها فقط ما إذا كان موقعك مصابًا بالفعل ، بل يشير أيضًا إلى تعليمات برمجية ضارة في ملفاتك. ثم يمكنك إجراء فحص كامل لمكافحة الفيروسات لجميع الملفات الموجودة على الخادم.

إذا كنت مالك الخادم أو إذا كان الخادم قيد التشغيل محلول وقائيالتي لديك إذن لاستخدامها ، يمكنك إجراء التحقق من جانب الخادم. تأكد من إنشاء نسخة من ملفاتك ، لأن بعض برامج مكافحة الفيروسات لا تعالج الملفات المصابة ، بل تحذفها! يمكنك أيضًا تنزيل محتويات الخادم الخاص بك على جهاز الكمبيوتر المحلي الخاص بك ومسحها ضوئيًا باستخدام أحد حلول مكافحة الفيروسات على سطح المكتب. الخيار الثاني هو الأفضل ، لأن معظم برامج مكافحة الفيروسات الحديثة لأجهزة كمبيوتر سطح المكتب بها وحدة إرشادية متطورة. البرامج الضارة التي تصيب مواقع الويب متعددة الأشكال إلى حد كبير: وعلى الرغم من أن تحليل التوقيع يكاد يكون عديم الفائدة لمكافحته ، فإن الاستدلال يجعل من السهل اكتشافه.

الإزالة اليدوية

اذا كان فحص تلقائي لم تسفر عن أي نتائج ولا تزال الرسائل حول إصابة موقعك قادمة ، والطريقة الوحيدة للتخلص من البرامج الضارة هي العثور عليها يدويًا وإزالة جميع الشفرات الضارة. يمكن أن تستغرق هذه المهمة الشاقة وقتًا طويلاً ، حيث يجب فحص كل ملف - سواء أكان HTML أو JS أو PHP أو ملف التكوين - بحثًا عن البرامج النصية الضارة. الأمثلة أعلاه ليست سوى مجموعة صغيرة من مجموعة متنوعة من البرامج الضارة لمواقع الويب ، لذلك هناك احتمال كبير أن الشفرة الضارة على موقعك ستكون مختلفة جزئيًا أو كليًا عن هذه العينات. ومع ذلك ، فإن معظم البرامج الضارة في مواقع الويب الحديثة لها بعض السمات الشائعة التي ستساعد في تحديد المشكلة.

الأهم من ذلك كله ، أنك تحتاج إلى الانتباه لتلك الأجزاء من الكود التي تبدو غير واضحة أو غير قابلة للقراءة. تشويش الشفرة ، وهي تقنية شائعة الاستخدام ، غير مألوفة تمامًا لأي برنامج آخر مرتبط بمواقع الويب. إذا لم تكن قد قمت بتشويش الشفرة بنفسك ، فلديك كل الأسباب التي تجعلك تشك فيها. لكن كن حذرًا - لن تكون كل التعليمات البرمجية المبهمة ضارة!

وبالمثل ، لا يتم التعتيم على كل نص برمجي ضار ، لذلك من المنطقي البحث عن علامات IFRAME الصريحة والارتباطات الأخرى إلى الموارد الخارجية في جميع ملفاتك. قد يكون بعضها مرتبطًا بـ الإعلانات والإحصاءات ، ولكن لا تنخدع بعناوين URL المصممة خصيصًا والتي قد تكون مربكة لتبدو كبوابات معروفة وموثوقة. تذكر أن تتحقق من رمز الخطأ المعياري وكذلك جميع ملفات htaccess.

Grep and find هي بلا شك أدوات مفيدة للعثور على تعليمات برمجية ضارة على الخادم ، وهي أدوات مساعدة لسطر الأوامر يتم تضمينها افتراضيًا في جميع الأنظمة المستندة إلى Unix تقريبًا. فيما يلي أمثلة لاستخدامها في تشخيص العدوى الأكثر شيوعًا:

grep -iRs "iframe" *
grep -iRs “EVAL” *
grep -iRs "unescape" *
grep -iRs “base64_decode” *
grep -iRs “var div_colors” *
grep -iRs “var _0x” *
grep -iRs "CoreLibrariesHandler" *
grep -iRs "pingnow" *
grep -iRs "serchbot" *
grep -iRs "km0ae9gr6m" *
grep -iRs “c3284d” *
تجد. -iname “upd.php”
تجد. -iname “* timthumb *”

وصف grep (من دليل Linux): طباعة خطوط مطابقة النمط ؛ الخيار -i يعني تجاهل الحالة ؛ -R تعني البحث المتكرر ، ويمنع -s رسائل الخطأ من الظهور. يبحث أول الأوامر المدرجة في الملفات عن علامات IFRAME ؛ يبحث الثلاثة الآخرون عن أوضح علامات التشويش ؛ يبحث الباقون عن سلاسل خاصة مرتبطة بأكبر إصابات مواقع الويب المعروفة.

بقدر ما يتعلق الأمر بالبحث ، ينص دليل Linux على: العثور على الملفات في هيكل مجلد هرمي ؛ "." (نقطة) تشير إلى الدليل الحالي (لذلك يجب تشغيل هذه الأوامر من الدليل الجذر أو الدليل الرئيسي على الخادم) ، تحدد المعلمة -iname الملف الذي سيتم البحث عنه. يمكنك استخدام التعبيرات العادية للعثور على جميع الملفات التي تطابق معايير معينة.

بالطبع ، تحتاج دائمًا إلى معرفة ما الذي تبحث عنه - لن تشير جميع النتائج إلى وجود إصابة. من المستحسن التحقق من الأجزاء المشبوهة من الكود باستخدام ماسح ضوئي لمكافحة الفيروسات أو محاولة البحث عنها على جوجل. من المحتمل جدًا أنك ستجد بعض الإجابات - لكل من التعليمات البرمجية الخبيثة والنظيفة. إذا كنت لا تزال غير متأكد من إصابة أحد الملفات ، فمن الأفضل إلغاء تنشيط موقع الويب (فقط في حالة) وطلب المشورة المهنية قبل اتخاذ أي إجراء.

مهم جدا!

بالإضافة إلى تنظيف الملفات الموجودة على الخادم ، من الضروري إجراء فحص كامل لمكافحة الفيروسات لجميع أجهزة الكمبيوتر المستخدمة لتنزيل المحتوى وإدارته على الخادم وتغيير جميع البيانات للوصول إلى جميع الحسابات على الخادم (FTP ، SSH ، لوحات التحكم ، إلخ) التي تدعمها ...

أساسيات الأمان للمواقع

لسوء الحظ ، في معظم الحالات ، لا تكفي إزالة الشفرة الضارة للتخلص من العدوى نهائيًا. إذا كان موقع الويب الخاص بك مصابًا ، فقد يشير ذلك إلى وجود ثغرات أمنية سمحت لمجرمي الإنترنت بحقن نصوص ضارة في الخادم ؛ وإذا تجاهلت هذه المشكلة ، فستنتظرك إصابات جديدة في المستقبل القريب. لمنع ذلك ، يجب اتخاذ الإجراءات المناسبة لحماية الخادم والكمبيوتر / أجهزة الكمبيوتر المستخدمة لإدارة الخادم.

  • استخدام كلمات مرور قوية. على الرغم من تافهة هذه النصيحة ، إلا أنها حقًا أساس أمان الخادم. ليس من الضروري فقط تغيير كلمات المرور بعد كل حادث و / أو هجوم على الخادم - يجب تغييرها بشكل منتظم ، على سبيل المثال شهريًا. يجب أن تفي كلمة المرور الجيدة بالمعايير الخاصة ، والتي يمكن العثور عليها على www.kaspersky.com/passwords ؛
  • تحديثات منتظمة. من الضروري أيضًا عدم نسيان التحديثات المنتظمة. غالبًا ما يستغل مجرمو الإنترنت الثغرات الأمنية في البرامج بغض النظر عن هدف البرامج الضارة - سواء كانت تستهدف مستخدمي أجهزة الكمبيوتر أو مواقع الويب. يجب أن تكون جميع البرامج التي تدير بها محتوى الخادم / الموقع الخاص بك هي الأكثر أحدث الإصداراتويجب تثبيت كل تحديث أمني بمجرد إصداره. باستخدام الإصدارات الحالية سيساعد البرنامج والتثبيت في الوقت المناسب لجميع التصحيحات الضرورية في تقليل مخاطر التعرض لهجوم باستخدام عمليات الاستغلال. يمكن العثور على قائمة محدثة بانتظام بالثغرات الأمنية المعروفة على http://cve.mitre.org/ ؛
  • نسخ احتياطي منتظم. سيوفر لك وجود نسخة نظيفة من محتوى الخادم في المخزن الكثير من الوقت والجهد ، ناهيك عن حقيقة أن النسخ الاحتياطية الحديثة يمكن أن تكون مفيدة جدًا في حل المشكلات الأخرى ، بالإضافة إلى علاج العدوى ؛
  • فحص الملفات بانتظام. حتى في حالة عدم وجود أعراض واضحة للإصابة ، يوصى بفحص جميع الملفات الموجودة على الخادم بشكل دوري بحثًا عن تعليمات برمجية ضارة ؛
  • تأمين جهاز الكمبيوتر الخاص بك. نظرًا لأن قدرًا كبيرًا من البرامج الضارة لمواقع الويب تنتشر من خلال أجهزة الكمبيوتر المصابة ، فإن أمان كمبيوتر سطح المكتب المستخدم لإدارة موقع الويب الخاص بك هو أحد الأولويات القصوى لأمان موقع الويب. يؤدي الحفاظ باستمرار على جهاز الكمبيوتر الخاص بك نظيفًا وآمنًا إلى زيادة احتمالية أن يكون موقع الويب الخاص بك آمنًا وخاليًا من الفيروسات بشكل كبير.
  • يجب أن تكون الإجراءات التالية إلزامية (ولكنها غير كافية):
    • إزالة البرامج غير المستخدمة ؛
    • تعطيل الخدمات والوحدات غير الضرورية ؛
    • وضع السياسات المناسبة للمستخدمين الأفراد ومجموعات المستخدمين ؛
    • تعيين حقوق وصول مناسبة إلى ملفات وأدلة معينة ؛
    • تعطيل عرض الملفات والأدلة لخادم الويب ؛
    • الاحتفاظ بسجلات الأحداث التي يتم فحصها بانتظام بحثًا عن أي نشاط مشبوه ؛
    • استخدام التشفير والبروتوكولات الآمنة.

يمكن أن تكون البرامج الضارة المصممة لإصابة مواقع الويب كابوسًا حقيقيًا لمسؤولي الويب ومستخدمي الإنترنت. يطور مجرمو الإنترنت تقنياتهم باستمرار من خلال اكتشاف مآثر جديدة. تنتشر البرامج الضارة بسرعة عبر الإنترنت ، مما يؤثر على الخوادم ومحطات العمل. من العدل أن نقول إنها طريقة مؤكدة للقضاء تمامًا هذا التهديد غير موجود. ومع ذلك ، يمكن لكل مالك موقع ويب وكل مستخدم للإنترنت جعل الإنترنت أكثر أمانًا من خلال اتباع قواعد الأمان الأساسية والحفاظ على مواقع الويب وأجهزة الكمبيوتر الخاصة بهم آمنة ونظيفة في جميع الأوقات.

اترك تعليقك!

اختصار لعبارة "البرامج الضارة". إنه مصطلح يستخدم بشكل عام للبرامج المثبتة على جهاز الكمبيوتر الخاص بك والتي تم تصميمها لاختراق نظام الكمبيوتر أو إتلافه دون موافقة مستنيرة من المالك. في بعض الأحيان قد تكون مشكلة في Firefox نتيجة لبرامج ضارة مثبتة على جهاز الكمبيوتر الخاص بك ، والتي قد لا كن على علم. توضح هذه المقالة الأعراض الشائعة وكيفية منع تثبيت البرامج الضارة والتخلص منها.

جدول المحتويات

كيف أعرف أن مشكلة Firefox الخاصة بي ناتجة عن برامج ضارة؟

تتنوع الأعراض وتعتمد على البرامج الضارة ، ولكن إذا كان لديك واحد أو أكثر من هذه السلوكيات ، فقد يكون لديك برامج ضارة مثبتة على جهاز الكمبيوتر الخاص بك.

  • يتم عرض بعض الإعلانات المنبثقة طوال الوقت، على الرغم من أنك "قمت بحظر النوافذ المنبثقة. لمزيد من المعلومات حول منع النوافذ المنبثقة ، راجع.
  • تتم إعادة توجيه عمليات البحث الخاصة بك إلى موقع آخر من أجل إطعامك المحتوى من هذا الموقع ولا يُسمح لك بحظرهم. لمزيد من المعلومات ، راجع ما يجب القيام به عندما تأخذك عمليات البحث إلى موقع البحث الخاطئ.
  • تم الاستيلاء على صفحتك الرئيسية... لمزيد من المعلومات حول تعيين الصفحة الرئيسية الخاصة بك ، راجع كيفية تعيين الصفحة الرئيسية.
  • لا ينتهي Firefox من التحميل مطلقًا أو لا يمكنه تحميل مواقع ويب معينة... لمزيد من المعلومات ، راجع مواقع الويب تعرض عجلة دوارة ولا تنتهي من التحميل مطلقًا ولا يستطيع Firefox تحميل مواقع ويب معينة.
  • يتعطل Firefox أو يتوقف كثيرًا. لمزيد من المعلومات ، راجع أعطال Firefox - استكشاف الأخطاء وإصلاحها ومنعها والحصول على مساعدة لإصلاح الأعطال و Firefox معلق أو لا يستجيب - كيفية الإصلاح.
  • فايرفوكس لا يبدأ... لمزيد من المعلومات ، راجع Firefox لن يبدأ - اعثر على الحلول.
  • مشاكل الاتصال بالفيسبوك... لمزيد من المعلومات حول مشكلات Facebook ، راجع إصلاح المشكلات المتعلقة بألعاب Facebook والدردشة والمزيد.
  • يستمر Firefox في فتح العديد من علامات التبويب أو النوافذ... لمزيد من المعلومات ، راجع Firefox يفتح بشكل متكرر علامات تبويب أو نوافذ فارغة بعد النقر فوق ارتباط.
  • تم تثبيت أشرطة أدوات غير مرغوب فيها... لمزيد من المعلومات حول تخصيص Firefox ، راجع إزالة شريط الأدوات الذي استحوذ على بحث Firefox أو الصفحة الرئيسية وكيفية إزالة شريط أدوات Babylon والصفحة الرئيسية ومحرك البحث.

كيف أمنع تثبيت البرامج الضارة؟

هناك قواعد بسيطة يجب اتباعها لمنع تثبيت البرامج الضارة على جهاز الكمبيوتر الخاص بك:

  • احتفظ ب نظام التشغيل والبرامج الأخرى المحدثة: عادةً ما يستفيد تثبيت البرامج الضارة من الثغرات الأمنية المعروفة في البرامج الأخرى ، والتي ربما تم تصحيحها في إصدارات لاحقة. تأكد من أنك تستخدم أحدث إصدار من جميع البرامج التي تستخدمها ، إما عن طريق تمكين ميزة التحديث التلقائي للبرنامج ، إذا كانت متوفرة ، أو عن طريق التحقق من وجود تحديثات من مزود البرنامج وباستخدام ميزة Windows Update.
  • لا تقم بتثبيت برنامج غير موثوق به: تقدم لك بعض مواقع الويب برنامجًا لتسريع متصفحك ، لمساعدتك في البحث في الويب ، لإضافة أشرطة أدوات تجعل الأشياء يقوم بها Firefox بالفعل. تأتي بعض البرامج غير المرغوب فيها مجمعة أيضًا في حزم البرامج. عادةً ما تجمع هذه البرامج معلومات عن سلوك التصفح الخاص بك والتي تخدم فقط الأشخاص الذين صمموها وتتداخل مع Firefox. تأكد من تثبيت الوظائف الإضافية من موقع الويب الإضافي الخاص بـ Mozilla وقم بإلغاء تحديد البرامج غير المرغوب فيها في معالجات البرامج. تحقق لمعرفة ما إذا كانت لديك وظائف إضافية غير مرغوب فيها وقم بتعطيلها أو إزالتها.
  • لا تنقر داخل النوافذ المنبثقة المضللة: تحاول العديد من مواقع الويب الضارة تثبيت برامج ضارة على نظامك عن طريق جعل الصور تبدو مثل النوافذ المنبثقة ، أو عرض رسم متحرك لموقع الويب الذي يفحص جهاز الكمبيوتر الخاص بك. لمزيد من المعلومات حول اكتشاف نافذة منبثقة مضللة ، راجع إعدادات حاجب النوافذ المنبثقة والاستثناءات واستكشاف الأخطاء وإصلاحها.
  • لا تقم بتشغيل Firefox وهمي: قم بتنزيل Firefox من mozilla.org/firefox.
  • قم بتشغيل الحماية في الوقت الحقيقي لمكافحة الفيروسات ومكافحة برامج التجسس وفحص النظام الخاص بك بشكل دوري. تأكد من تمكين الحماية في الوقت الحقيقي لمكافحة الفيروسات وبرامج التجسس. افحص جهاز الكمبيوتر الخاص بك كل شهر على الأقل.

كيف أتخلص من البرامج الضارة؟

تحتوي مقالة ويكيبيديا على معلومات وتوصيات حول البرامج الضارة في Linux لينكس المستخدمين.

كيف أتخلص من البرامج الضارة؟

تمتلك Microsoft برامج أمان أساسية مجانية لمكافحة الفيروسات وبرامج التجسس مدمج في Windows 8 و Windows 10لنظام التشغيل Windows 7 (راجع ما هو Microsoft Security Essentials؟)... إذا لم يكتشف برنامج الأمان الخاص بك برامج ضارة ، فقم بفحص نظامك باستخدام برامج الفحص المجانية للبرامج الضارة المدرجة أدناه. يجب إجراء المسح باستخدام جميع البرامج لأن كل برنامج يكتشف برامج ضارة مختلفة وتأكد من تحديث كل برنامج للحصول على أحدث إصدار من قواعد البيانات الخاصة بهم قبل إجراء الفحص.

تحذير: قد تؤدي برامج مكافحة الفيروسات وبرامج مكافحة التجسس أحيانًا إلى نتائج إيجابية خاطئة. ضع في اعتبارك عزل الملفات المشبوهة بدلاً من حذفها.