סוג הידבקות בתוכנה זדונית: החדרת SQL

מה המשמעות של דפים המופיעים ב-Google Search Console עם סימון של סוג ההידבקות בתוכנה זדונית "החדרת SQL"?

הסוג "החדרת SQL" פירושו שמסד הנתונים של האתר נפגע ככל הנראה. לדוגמה, ייתכן שההאקר הכניס באופן תכנותי קוד זדוני לכל רשומה של טבלת מסד נתונים. מאוחר יותר, כאשר השרת טוען דף שדורש מידע ממסד הנתונים, הקוד הזדוני מוטמע בתוכן הדף ועלול להזיק למבקרי האתר.

למידע כללי נוסף על תוכנות זדוניות, ראה הערכת הנזק (פריצה עם תוכנה זדונית).

כיצד אוכל לברר את סוג התוכנה הזדונית "החדרת SQL"?

ראשית, הימנע משימוש בדפדפן להצגת דפים נגועים מהאתר שלך. מאחר שתוכנות זדוניות מתפשטות לעתים קרובות על ידי ניצול נקודות תורפה של הדפדפן, פתיחת דף שנגוע בתוכנה זדונית בדפדפן עלולה לגרום נזק למחשב.

מומלץ שתשתמש ב-cURL או ב-Wget כדי לבצע בקשות HTTP (לדוגמה, כדי לאחזר דף) על מנת לעמוד על טיב ההתנהגות הבעייתית. הכלים הבאים הזמינים בחינם מסייעים באבחון כתובות אתרים להפניה מחדש, ומציעים את הגמישות לכלול מידע על הגורם המפנה ועל סוכן המשתמש. הצגת תוכן זדוני רק למשתמשים בעלי סוכן משתמש או גורם מפנה ספציפיים מאפשרת להאקר להתמקד יותר ב"אנשים אמתיים" ולהימנע טוב יותר מזיהוי על ידי בעלי אתרים וסורקי תוכנות זדוניות. (כדי להשתמש בכלים אלה, האתר צריך להיות במצב מקוון.)

לדוגמה:
$curl -v --referer <referer-field> --user-agent "Mozilla/5.0 
  (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) 
  Chrome/12.0.742.112 Safari/534.30" <your-url>
כגון:
$curl -v --referer "http://www.google.com" --user-agent "Mozilla/5.0 
  (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) 
  Chrome/12.0.742.112 Safari/534.30" http://www.example.com/page.html

בפלט המתקבל מ-Wget או מ-cURL, חפש מילים כמו "iframe" או "eval" שייתכן שפושע הסייבר השתמש בהן.

לאחר מכן, היכנס לשרת מסד הנתונים או הצג את מסד הנתונים באמצעות כלי כגון phpMyAdmin. אם השתמשת ב-Wget או ב-cURL, נסה למצוא קשר בין הנזק שנמצא בקוד המקור של הדף באמצעות Wget או cURL לבין הערכים של מסד הנתונים עצמו. לדוגמה, אם הבחנת שהדפים שלך כללו iframe מסוכן, תוכל לבצע שאילתת SQL לחיפוש קוד ה-iframe. לדוגמה:

SELECT * FROM blog_posts WHERE post_text LIKE '%>iframe%'; 

מומלץ גם שתבדוק את יומן מסד הנתונים ואת קובצי השגיאות בשרת שלך לאיתור פעילות חריגה, כגון פקודות SQL בלתי צפויות שנראות חריגות ביחס למשתמשים רגילים או לשגיאות רגילות.

כיצד אוכל לנקות את האתר שלי מתוכנה זדונית מסוג "החדרת SQL"?

כאשר תהיה מוכן לנקות את האתר, תוכל לעדכן כל רשומה נגועה במסד הנתונים או לשחזר את הגיבוי האחרון של מסד הנתונים הידוע כתקין.

לתשומת לבך, הסרת הקוד הזדוני אינה מטפלת בשורש הבעיה של נקודת התורפה שמלכתחילה אפשרה להאקר לפגוע באתר שלך. מבלי לטפל בשורש הבעיה, האתר עלול להיפגע שוב בעתיד. לקבלת מידע נוסף על ניקוי אתר פרוץ, ראה עזרה בנושא אתרים פרוצים.

האם המאמר היה מועיל?
איך נוכל לשפר את המאמר?