علائم هک شدن سایت بسیار متنوع هستند. دریافت پیام هشدار از گوگل، مشاهده اخطارهای مرورگر هنگام مراجعه به سایت یا نمایش پیام قطع شدن سایت توسط شرکت های هاستینگ، همگی میتوانند نشانههایی از هک شدن سایت باشند. خوشبختانه روشهای سریع و رایگانی برای پی بردن به این موضوع وجود دارند.
از نشانههای رایج هک شدن سایت میتوان به موارد زیر اشاره نمود:
- وجود کلمات اسپم در بین نتایج جستجوی یک سایت در گوگل
- کدهای جاوا اسکریپت عجیب در فایلهای وبسایت
- اعلان هشدار مرورگر در زمان ورود به سایت
- مواجهه با ریدایرکتهای غیر منتظره
- مشاهده تبلیغات و پاپ آپ ناخواسته
- نمایش عبارت"This site may be hacked"در نتایج جستجوی مرتبط با سایت
- دریافت هشدار از سوی هاستینگ
- ایندکس شدن صفحات ناشناس در گوگل
- شکایت مشتریان در مورد به سرقت رفتن اطلاعات کارت اعتباری آنها
- ثبت خطاهای غیر منتظره در گزارشات
- مشاهده کاربران FTP یا ادمین جدید در سایت
- تغییرات در فایلهای اصلی سیستم مدیریت محتوا، افزونهها یا قالبها
- تغییرات صورت گرفته در فایل htaccess.
هر یک از موارد بالا میتوانند به نحوی نشان دهنده نفوذ به سایت و هک شدن سایت آن باشند.
1. وجود کلمات اسپم در بین نتایج جستجوی یک سایت در گوگل
آلودگی کلمات کلیدی سئو بسیار شایع شده است. این نوع آلودگی ویروسی میتواند مواردی مانند تبلیغات دارو و داروخانهها، خدمات اسکورت و غیره را در نتایج جستجوی گوگل یک سایت، به نمایش بگذارد.
تصویر(1)
اگر آدرس سایت موردنظر در گوگل به صورت site:example.com جستجو شود، تمام لینکهای ایندکس شده تحت دامنه example.com نمایان خواهند شد. در صورتی که محتوای موردنظر با عناوینی مانند تبلیغ داروسازی یا خدمات مقاله نویسی مشاهده شود، احتمالا آن سایت دچار spamdexing شده است. spamdexing به روشی گفته میشود که سایتها با هدف تبلیغ محصولاتی خاص، آلوده میشوند. نتیجه spamdexing، نمایش اینگونه محصولات در صفحات ایندکس شده سایتهای غیر مرتبط است. این تلاش هکرها برای دستکاری نتایج گوگل، مجازات سنگینی برای سئو سایتهای قربانی به همراه خواهد داشت.
2. کدهای جاوا اسکریپت عجیب در فایلهای وبسایت
بدون شک جاوا اسکریپت از پرطرفدارترین زبانهای برنامه نویسی است. جاوا اسکریپت به صورت گستردهای در صفحات وب، سیستمهای مدیریت محتوا و نرم افزارهای تحت وب استفاده میشود. کدهای جاوا اسکریپتی که در مرورگر بازدیدکنندگان اجرا میشوند، ظرفیت بالایی برای انجام اعمال خرابکارانه دارند. هکرها کدهای آلوده را توسط جاوا اسکریپت در مرورگر قربانی قرار میدهند. با توجه به کش شدن فایلهای جاوا اسکریپت، با هر بار اجرای مرورگر، امکان اجرای کدهای آلوده و بدافزارها فراهم میشود. این عمل به هکرها امکان کنترل رفتار صفحات وب و اجرای ارجاعات ناخواسته در پس زمینه را میدهد.
کدهای مخرب جاوا اسکریپت جهت سرقت اطلاعات کارتهای بانکی از سایتهای فروشگاهی، پیاده سازی حملات XSS و ریدایرکت بازدیدکنندگان به سایتهای ناخواسته استفاده میشوند.
بر اساس تحقیقات متخصصین حوزه امنیت سایبری، در سال گذشته بدافزار SocGholish هجوم گستردهای بر علیه سایتها داشته است. این بدافزار، یک فریم ورک جاوا اسکریپت میباشد که اجازه دسترسی از راه دور تروجانها و سارقین اطلاعات را به سایت قربانیان، فراهم میسازد. نمونه کد این بدافزار در تصویر(2) قابل مشاهده است.
تصویر(2)
اگر در سایتی کدهای جاوا اسکریپت مشکوک مشاهده شود، بهتر است توسط مدیر سایت بررسی و اعتبارسنجی صورت گیرد.
3. اعلان هشدار مرورگر در زمان ورود به سایت
اگر مرورگر کروم یا سایر مرورگرهای معتبر، بدافزاری در سایت بیابند، با نمایش اخطارهایی کاربران را از ورود به آن سایت باز میدارند. این اخطارها حاوی پیام هایی مانند "Visiting this site may harm your computer" یا "Deceptive site ahead" هستند.
تصویر(3)
برای رفع این خطا میتوانید از آموزش زیر استفاده نمایید:
آموزش رفع مشکل بلاک شدن سایت توسط گوگل
4. مواجهه با ریدایرکتهای غیر منتظره
هدف ریدایرکتهای غیر منتظره، دزدیدن ترافیک ورودی به یک سایت و هدایت آن به سایت مد نظر هکرها است. کدی که باعث ریدایرکت شده است، میتواند در دیتابیس سایت، فایلهای پوستهها و افزونهها قرار داشته باشد. در مواردی ریدایرکت به سایتهای دارای کد کپچا تقلبی انجام میشود که هدف آنها دریافت تاییدیه و دسترسیهای اضافی جهت انجام اعمال خرابکارانه است.
تصویر(4)
علائم ریدایرکتهای مخرب شامل موارد زیر است:
- ریدایرکتهای ناخواسته به صفحات اسپم و دیگر سایت ها
- دریافت اعلانها ناشناس در وب سایت ها
- مشاهده کپچاها و تایید اعتبارهای غیر معمول
- کدهای نا آشنا که در فایلهای سایت یا دیتابیس قرار داده شده اند
- کدهای جدید و ناخواسته که در فایل htaccess درج شده باشند
- رویت شدن فایلها و پوشههای ناخواسته با نامهای مشکوک
- کد کوتاه کننده لینک مشکوک که باعث ریدایرکت ناخواسته شوند
اگر ریدایرکت ناخواسته ای در سایت مشاهده گردد که بازدیدکنندگان را به سایتهای دیگری هدایت میکند این یک نشانه بزرگ از هک شدن سایت است.
5. مشاهده تبلیغات و pop up ناخواسته
برخی از بدافزارها و پلاگینهای آلوده شده، تبلیغات و pop upهای ناخواسته ای را در سایت به نمایش میگذارند. این pop upها معمولا شامل تبلیغات تخفیفی، شماره تماسهای رایگان یا حاوی لینک به سایتهای مخرب میشوند.
تصویر(5)
در برخی موارد این pop upها شامل لینک دانلود بدافزارها هستند.
6. وجود عبارت"This site may be hacked"در نتایج جستجوی سایت نشانه هک شدن سایت
گوگل بزرگترین موتور جستجوی وب در دنیا است. این موتور جستجو برای حفاظت از کاربرانش همواره در حال بررسی و آنالیز سایتهای مخرب میباشد. زمانی که گوگل، به مخرب و ویروسی بودن سایتی پی ببرد، آن را در لیست سیاه خود قرار داده و معمولا از نتایج جستجو حذف میکند.
تصویر(6)
اگر در نتایج جستجو برای یک سایت اخطاری به مانند تصویر (6) با متن "This site may be hacked" نمایش داده شود، احتمالا آن سایت آلوده شده است. مدیر وب سایت باید قبل از این که تاثیر منفی این مشکل شامل حال SEO سایت شود، نسبت به رفع مشکل اقدام نماید.
7. دریافت هشدار از سوی هاستینگ
شرکتهای هاستینگ نیز در صورتی که سایت آلوده ای را شناسایی کنند به مالک آن اطلاع رسانی مینمایند. اگر هاستینگ به مالک وبسایت پیامی با محتوای شناسایی بدافزار یا افزایش مصرف منابع ناگهانی ارسال کند، احتمالا آن سایت آلوده به ویروس شده است. در این شرایط باید سریعا اقدامات لازم صورت پذیرد. میتوانید به تیم پشتیبانی هاستینگ، درخواست اسکن هاست را ارسال نمایید.
8. ایندکس شدن صفحات ناشناس در گوگل
آلودگی به ویروسهای SEO، شامل حالات مختلفی هستند یکی از آنها ایندکس شدن صفحات ناشناس سایت تحت زبان ژاپنی در گوگل است. این نوع آلودگیهای بدافزاری، هزاران فایل را برای یک وبسایت ایجاد مینمایند و باعث رشد غیر معمول صفحات ایندکس شده در گوگل میگردد.
تصویر(7)
تعداد بالایی از صفحات نا آشنا که برای سایتی در گوگل ایندکس شده باشند، نشانه ای از آلودگی احتمالی آن سایت است.
9. شکایت مشتریان پیرامون به سرقت رفتن اطلاعات کارت اعتباری آن ها
در بسیاری از وبسایتهای مدرن، فرایند خرید محصولات و خدمات پیاده سازی میشود تا برای صاحبان سایت درآمدزایی داشته باشد. متاسفانه هکرها نیز با تکنیکهای متنوع اقدام به دزدی اطلاعات پرداخت نموده و از آنها برای اهداف پلید خود استفاده میکنند.
دزدی اطلاعات کارت بانکی در سایتها میتواند شکلهای بسیاری مانند تزریق کد جاوا اسکریپت (به مرورگر)، تغییر در فایلهای جاوا اسکریپت سایت و تغییر در فایلهای php را به خود بگیرد. نتیجه همه این آلودگی ها، به سرقت رفتن اطلاعات حساس و مهم بانکی کاربران است. اگر شکایتی از کاربارن دریافت شود که پس از خرید از سایت شما، دچار کلاهبرداری شده اند، این نشانه ای مهم از احتمال وجود آلودگیهای ویروسی میباشد.
10. ثبت خطاهای غیر منتظره در server log
فایل لاگ سرور، شامل تمام اطلاعات پیرامون ترافیک موجود در سایت است. این فایل شامل تک تک درخواستهای ارسالی به سرور و پاسخهای دریافتی بوده و اطلاعات حیاتی پیرامون آنها را دارا میباشد.
تصویر(8)
لاگها اطلاعات حساس بسیاری در رابطه با فعالیتهای سایت ارائه میدهند. بهتر است به صورت دوره ای لاگ سرور بررسی گردد و جستجویی برای آلودگیهای احتمالی در آن انجام شود. اگر فعالیت مشکوکی در لاگ ثبت شده باشد، میتوان آن را نشانه ای از نفوذ احتمالی به سایت در نظر گرفت. از مهمترین فعالیت هایی که باید در فایل لاگ همواره مانیتور گردند عبارت اند از:
- تلاشهای موفق یا غیرموفق ورود به محیط ادمین سایت
- ایجاد، آپدیت یا حذف پستهای بلاگ و صفحات سایت
- ایجاد، آپدیت یا حذف یوزرهای سایت
- ساختن و تغییر سطح دسترسی و نقش یوزر ها
- فعال سازی، اعمال تغییرات یا غیر فعال سازی افزونهها و تم ها
- آپلود فایل، اعمال تغییرات در فایل و حذف آن ها
- ایجاد تغییرات در فایلهای هسته سایت
11. مشاهده کاربران FTP یا ادمین جدید در سایت
ایجاد شدن یوزر ادمین جدید در وردپرس، دیتابیس و FTP همگی نشانه هایی از احتمال هک شدن سایت هستند. ایجاد یوزر با دسترسی ادمین، به هکرها اجازه میدهد که اگر تمام فایلهای آلوده آنها از سرور حذف شده باشد نیز مجدد بتوانند کنترل سایت را بدست بگیرند.
تصویر(9)
برای نمونه در تصویر (9) یک یوزر ناخواسته با نقش "مدیر کل" بدون اطلاع مدیر سایت ساخته شده است. معمولا هکرها یوزر با دسترسی "مدیر کل" میسازند و از آن به عنوان یک backdoor جهت ورود به سایت و انجام عملیات خرابکارانه استفاده مینمایند. همواره باید یوزرهای ایجاد شده در قسمت "کاربران" وردپرس را بررسی نموده و در صورت مشاهده یوزر ناخواسته با دسترسی بالا به سرعت آن را حذف کرد.
12. رخ دادن تغییرات در فایلهای اصلی CMS، پلاگینها یا تم ها
وقوع هرگونه تغییرات در فایلهای سیستم که جزئی از آپدیتهای زمانبندی شده نباشند، نشانه هایی مهم از وقوع آلودگی ویروسی هستند. هکرها به مخفی سازی کدهای خود در فایلهای سیستمی مشهور میباشند. برای نمونه آنها فایل header.php متعلق به پوسته یک سایت وردپرسی را تغییر میدهند تا بازدیدکنندگان موبایل را به سایت دیگری ریدایرکت نمایند.
از دیگر نشانههای هک شدن سایت این است که با فایلهای اجرای مانند php،py،sh یا حتی asp در پوشه آپلود روبرو شوید. همچنین مشاهده فایل هایی با نامهای مشکوک از دیگر نشانههای هک شدن سایت است.
13. تغییرات صورت گرفته در فایل htaccess
فایلی که تنظیمات مربوط به سرور Apache در آن ذخیره میگردد، htaccess نام دارد. این فایل اهمیت فراوانی در اجرای درخواستها از سوی وب سرور دارد. htaccess امکان اعمال تغییرات در نحوه کار محیط میزبان سایت را ممکن میسازد. متاسفانه اگر هکرها کنترل این فایل را بدست گیرند، میتوانند مشکلات بسیاری را ایجاد کنند. از این فایل میتوان جهت تزریق کد به وبسایت، ایجاد backdoorها و تغییر متغییرهای فایل php.ini استفاده نمود.
در واقع htaccess امکان دور زدن محدودیتها امنیتی سرور، دسترسی غیر مجاز به دایرکتوریها و ایجاد ریدایرکتهای مخرب را فراهم میسازد. هرگونه تغییر ناخواسته در فایل htaccess میتواند نشانه ای از هک شدن سایت و نفوذ به سایت باشد.
جمع بندی: چگونه باید از هک شدن سایت جلوگیری کرد
با طی نمودن چند قدم اساسی میتوان از سایتها در برابر هک شدن سایت و نفوذ محافظت نمود. این اقدامات عبارت اند از:
- ایجاد اعتبارسنجی چند سطحی: پیاده سازی اعتبارسنجی دو یا چند مرحله ای امنیت سایت را افزایش میدهد. بسیاری از افزونههای امنیتی وردپرس این امکان را فراهم میسازند.
- از اعتبارنامه قدرتمند و نرم افزار مدیریت پسورد استفاده شود: هکرها برای حمله brute force از لیست گذرواژههای رایج استفاده میکنند. در صورت استفاده از گذرواژه قوی و شاخص برای هر حساب کاربری، میتوان امنیت وب سایت را افزایش داد. بسیاری از نرم افزارهای مدیریت گذرواژه، بخشی برای ایجاد پسورد را دارا میباشند. در این حالت امکان ایجاد و ذخیره ایمن گذرواژهها فراهم میگردد.
- نرم افزار خود را بروز نگه دارید: هکرها معمولا از نقصهای امنیتی نرم افزارها برای بدست آوردن دسترسیهای غیر مجاز استفاده میکنند. البته وجود ایرادات نرم افزاری نیز این امکان را برای هکرها فراهم میسازند. بروزرسانی نرم افزارها میتواند از مشکلاتی مانند حملات cross-site scripting یا XSS، دسترسیهای غیر مجاز، deserialization غیر ایمن (استفاده از دادههای کاربران برای به چالش کشیدن نرم افزار ها)، دسترسیهای غیرمجاز و دیگر معضلات امنیتی جلوگیری کند. همواره میبایست سیستمهای مدیریت وبسایت را به آخرین نسخه نرم افزاری موجود بروز نمود تا خطر نفوذ و هک شدن سایت کاهش پیدا کند.
- پلاگینها و پوستههای ناخواسته را حذف نمایید: باید افزونهها و پوستههای نصب شده در سایت را مورد ارزیابی امنیتی قرار داد. محل نصب افزونه و پوسته، نظرات کاربران و تغییرات سطح دسترسی از مهمترین مواردی هستند که باید مورد مانیتور قرار گیرند. باید به یاد داشت که همواره تعداد افزونهها را کم نگه داشته و موارد غیر ضروری را حذف نمود. اگر افزونه یا پوسته ای غیر فعال باشد نیز میتواند محل نفوذ هکرها و هک شدن سایت قرار گیرد.