סוג הידבקות בתוכנה זדונית: תצורת שרת

מה המשמעות של כתובות אתר המופיעות ב-Search Console עם סימון של סוג ההידבקות בתוכנה זדונית "תצורת שרת"?

המשמעות היא שהאקר פגע באתר שלך והוא מפנה מחדש מבקרים מהאתר התקין שלך לאתר הזדוני שלו המכיל תוכנה זדונית, ככל הנראה על ידי שינוי קובץ התצורה של השרת ש. קובצי תצורת השרת מאפשרים בדרך כלל למנהל האתר לציין כתובות אתר להפניה מחדש עבור דפים ספציפיים או ספריות ספציפיות באתר. לדוגמה, בשרתי ‎Apache, זהו הקובץ ‎.htaccess וכן הקובץ httpd.conf.

לקבלת מידע כללי נוסף על אתרים שנפגעו כך שהם מפיצים תוכנה זדונית, ראה הערכת הנזק (פריצה עם תוכנה זדונית).

כיצד אוכל לעמוד על טיב ההתנהגות של ההפניה מחדש כשמדובר בסוג התוכנה הזדונית "תצורת שרת"?

ראשית, הימנע משימוש בדפדפן להצגת דפים נגועים מהאתר שלך. מאחר שתוכנות זדוניות מתפשטות לעתים קרובות על ידי ניצול נקודות תורפה של הדפדפן, פתיחת דף שנגוע בתוכנה זדונית בדפדפן עלולה לגרום נזק למחשב.

מומלץ שתשתמש ב-cURL או ב-Wget כדי לבצע בקשות HTTP (לדוגמה, כדי לאחזר דף) על מנת לעמוד על טיב ההתנהגות הבעייתית. הכלים הבאים הזמינים בחינם מסייעים באבחון כתובות אתרים להפניה מחדש, ומציעים את הגמישות לכלול מידע על הגורם המפנה ועל סוכן המשתמש. הצגת תוכן זדוני רק למשתמשים בעלי סוכן משתמש או גורם מפנה ספציפיים מאפשרת להאקר להתמקד יותר ב"אנשים אמתיים" ולהימנע טוב יותר מזיהוי על ידי בעלי אתרים וסורקי תוכנות זדוניות. (כדי להשתמש בכלים אלה, האתר צריך להיות במצב מקוון.) לדוגמה:

$curl -v --referer <referer-field> --user-agent "Mozilla/5.0 
  (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) 
  Chrome/12.0.742.112 Safari/534.30" </your-infected-url>
כגון
$curl -v --referer "http://www.google.com" --user-agent "Mozilla/5.0 
  (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) 
  Chrome/12.0.742.112 Safari/534.30" http://www.example.com/page.html
כך, אחזור דף שנגוע בסוג ההידבקות "תצורת שרת" עשוי להחזיר את הכותרות הבאות:
...
< HTTP/1.1 301 Moved Permanently
< Date: Sun, 24 Feb 2013 21:06:45 GMT
< Server: Apache
< Location: http://<malware-attack-site>/index.html
< Content-Length: 253
...

 

כיצד אוכל לנקות את האתר שלי מתוכנה זדונית מסוג "תצורת שרת"?

התחבר לשרת באמצעות גישת מעטפת/מסוף (תוכל להשאיר את האתר במצב לא מקוון, אם תרצה) וסקור את הקבצים הרלוונטיים של תצורת השרת. ייתכן שהפורץ שינה יותר מקובץ אחד של תצורת שרת באתר שלך. בדוק קבצים אלה לגילוי הוראות לא רצויות, כגון כתובות אתרים להפניה מחדש, שבהם ההאקר עלול להגדיר את האתר שלך כך שיבצע הפניה מחדש לאתרים זדוניים לא ידועים המכילים תוכנות זדוניות. לדוגמה, ב-‎.htaccess:

RewriteEngine On 
RewriteCond %{HTTP_REFERER} .*google.* 
RewriteRule ^third-page.html($|/) http://<malware-site>/index.html [R=301]
בנוסף:
  • הקפד לבדוק את הקובץ כולו למקרה שהפורץ הוסיף את הקוד שלו בסוף הקובץ, ששם אפשר להחמיץ אותו בקלות רבה יותר.
  • בדוק משימות Cron פוטנציאליות שההאקר יצר, המיועדות לעדכן באופן רציף את הקובץ ‎.htaccess משימות Cron יכולות להופיע בכמה מיקומים, כולל /etc/crontab (וכן ספריות רבות של /etc/cron*) ו-/var/spool/cron.

כשאתה מוכן לנקות את האתר, תוכל להחליף את קובצי תצורת השרת בגיבוי שידוע כתקין, או שתוכל למחוק את הקוד הלא רצוי מהקובץ הקיים. הקפד להפעיל מחדש את שרת האינטרנט שלך, אם פעולה זו נדרשת כדי להפעיל את קובצי התצורה החדשים.

ניקוי סוג התוכנה הזדונית "תצורת שרת" מועיל לשחזור אתר פרוץ, אך אינו מטפל בשורש הבעיה של נקודת התורפה שמלכתחילה אפשרה לפורץ לפגוע באתר שלך (ובאופן שבו הוא עלול לעשות זאת שוב). לקבלת מידע נוסף על ניקוי האתר כולו, עיין בנושא פריצה באמצעות תוכנה זדונית בתיעוד השחזור של אתר פרוץ.

האם המאמר היה מועיל?
איך נוכל לשפר את המאמר?