| فايروسات المواقع مالها وما عليها |
| الكاتب Mustafa Albazy |
| الثلاثاء, 19 مايو 2009 20:31 |
|
من منا لم يسمع بفيروسات المواقع خصوصاً مدراء المواقع, الدعم الفني, مدراء الشبكات والسيرفرات .. ولكن حسب البحث الذي اجريتة في الثلاث ايام الماضية ان الاغلبية منا لا يعلم ماهية الفيروسات هذه وخصوصاً كيف تصيب الموقع ولماذا .. وهذا هوا سوف يكون موضوعنا لليوم, سوف اتحدث عن فيروسات المواقع بشكل عام وليس حصر على فيروس معين, طريقة عملها بشكل عام, مدى خطورتها, طرق التخلص منها في حال الوقوع بها, وبعض الطرق البسيطة لتجنب الوقوع به. 
فيروسات المواقع بشكل عام:ان فيروسات المواقع هية من المشاكل الكبرى التي تواجة مدراء المواقع فقبل ان تكون خطرة على الزوار هية ايضاً تشكل خطورة وعامل من عوامل تدني مستوى الموقع ان كان موقع صغير او موقع كبير, وعلى سبيل المثال لنفرض انك قمت بالدخول إلى موقع معين يوجد بداخلة فايروس وكتشفت الفايروس ,السؤال هنا هل سوف تعود للموقع؟ اترك الاجابة لك .. تكلمنا على المواقع ومدراء المواقع ولكن ماذا عن الزوار ومستخدمين الموقع, ببساطة اعتقد ان الجميع لايرغب في ان يكون حاسوبة عبارة عن متجر فيروسات ولا اعتقد اين منا يحب المواقع التي يتواجد بها الفيروسات والتي تشكل خطر على الجميع من محررين الموقع إلى الزوار .. ولعل الجميع يعلم بمشاكل المنتديات المختصة بالهاكرز والكراكرز فكل ما حملت مرفق او ملف تجد بداخلة فايروس, تجد بعض الاعضاء يتعمد التسجيل بأكثر من عضوية بالمواقع الكبرى ويكتب اكثر من موضوع وكلها تحتوي على مرفقات والمرفقات هذه تحتوي على فيروسات, تروجانات وغيرها .. بالطبع هدف الشخص هذا هو تدمير واختراق اكبر قدر من الاجهزة خصوصاً اجهزة (البنات) لأنها بالعادة تحتوي على كم اكبر من المعلومات الشخصية. كما ان 70% من فيروسات المواقع هدفها عبارة عن سبام/دعاية
كيف تعمل:بالعادة جميعها لها طريقة واحدة في العمل, وتعمل على الشكل التالي لنفرض انك مدير موقع وقمت بزيارة موقع مصاب بهذا الفايروس (ومضاد الفيروسات لديك لم يكتشف الفايروس) اذن سوف يتم تحميل الفايروس على جهازك مع تشغيل نفسة (ان كنت تستخدم نظام ويندوز فقط) .. وبعد هذا قمت بالدخول إلى حساب الـ FTP الخاص بموقعك في هذه الحالة سوف يقوم الفايروس برفع ملف images.php - gifimg.php او غيرها بداخل مجلدات معينة مثل style/s - image/s - photo/s - avator/s واي اسم يدل على صور (قد يتم تطوير الفايروس لكي يزرع نفسة في مجلدات اخرى بعد ان يقوم برفع الملف على الموقع, يقوم الفايروس بزرع كود JavaScript بداخل اغلب ملفات الموقع والتي تحمل أمتدادات كـ php, html, htm, js, jsp في ملفات js, jsp يزرع نفسة بأخر او اسفل الملف .. أما ملفات htm, html فهو يزرع نفسة قبل بداية الوسم Body واخيراً في ملفات php يزرع نفسة قبل بداية كود الصفحة, بداخل وسمين بداية ونهاية الـ php من الممكن ايضاً ان تنتقل إلى بقية المواقع على السيرفر ان كانت اعدادات السيرفر تسمح بذالك, ولكن أغلب السيرفرات في الوقت الحالي لا تسمح بذالك برأيي ان اكثر من يتسبب في انتشار هذه الفيروسات هم موظفين الدعم الفني في الشركات بحيث في العادة يدخلون على أكثر من موقع بشكل يومي من FTP إلى cPanel ..الخ ,, وبالطبع ان كان جهاز الموظف غير محمي فسوف يتم نقل الفايروسات إلى جهازة ثم تنتقل الفيروسات إلى المواقع السليمة وعندما يزور الموقع (مدير موقع) وجهازة ليس محمي فسوف ينتقل الفايروس إلى موقعة وبقية المواقع التي لة صلاحيات عليها ايضاً يجب ان نعلم ان أغلب هذه الفيروسات تقوم بسرقة بيانات الموقع وهنا اقصد بيانات مستخدم / مالك الموقع
مدى خطورتها:في الوقت الحالي اعطيها 70% لأن كما قلت سابقاً أن لهذه اللحضة هدف هذه الفيروسات هوا الدعاية والسبام, ولكنها في الحقيقة كالنقبلة المؤقتة من الممكن ان تغير مسار عملها خلال ثواني وتصبح عدوانية جداً جداً وهذا يعتمد على المتحكم بالفايروس!
بعض الطرق للتخلص منها:
بعض النصائح للوقاية منها:
عن الكاتب:
التعليقات (19)
  أرسلت بواسطة: Mohamed في May 20, 2009
حقيقة اخ مصطفى كانت لدي فكرة كبيرة عن الفيروسات و عملها ، لكن لاول مرة اسمع ان بعض انواع الفيروسات تقوم برفع ملفات منها عبر FTP بمجرد الاتصال معلومة جديدة!
بالنسبة لتنضيف الجهاز الرجستري هو المفتاح لدلك حيت كل انواع الفايروسات سواء تجسس او دعاية ... الخ تسجل قيمة بالرجستري للبدا مع تشغيل الجهاز و انا اتكلم عن نظام وندوز، توجه لادارة الرجستري على المسار التالي: Start => Run => Regedit HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVe rsionRun و احدف القيم المشبوهة بعد التاكد الجيد. و رايي ان الكاسبر 7 فما فوق افضل ليس لان الجميع يتكلم عنه او انه مشهور انا اتكلم عن دراية جيدة به حيث ان له شيء اسمه دفاع استباقي ليس موجود عند مضاضات الفيروسات الاخرى ، مثلا ملف تجسس، و كلنا نعلم انه يفتح منفد بالجهاز، لم يكشفه و كان مشفر عند تشغيله يترك الكاسبر الخيار للمستخدم ان كان يريد المواصلة بخطر فتح منفد على الجهاز او لا... و هكدا، و معلومة اخرى: يوجد بعض الاشخاص يستخدمون الضحايا ل DDOS ATTACK او Botnet الله اعلم كيف يسمى، للهجوم على سيرفرات المواقع فاجهزة الضحايا و اتصالهم يزيد من قوة الهجوم بشكل كبير ! نظام لينوكس اثار فضولي لمعرفته و البيئة التي يعمل بها ، و ما نوع الفايروسات التي تصيبه ، (استخدمته لبضعة اسابيع) ... تحياتي للجميع :)
 أرسلت بواسطة: Mustafa Albazy في May 20, 2009
"يوجد بعض الاشخاص يستخدمون الضحايا ل DDOS ATTACK او Botnet الله اعلم كيف يسمى، للهجوم على سيرفرات المواقع فاجهزة الضحايا و اتصالهم يزيد من قوة الهجوم بشكل كبير !"
بالطبع, ولو تلاحظ اني ذكرت التالي "كالقنبلة المؤقتة من الممكن ان تغير مسار عملها خلال ثواني وتصبح عدوانية جداً جداً وهذا يعتمد على المتحكم بالفايروس!" اي من الممكن ان تستخدم في امور كثيرة ليس فقط البوت نت!
 أرسلت بواسطة: عبدالمهيمن في May 21, 2009
شكرا مصطفى على الموضوع الجميل.. بصراحة كنت أرغب باضافة معلومات عن هذا الموضوع لكن ماشاء الله عليك قمت بتغطية الموضوع بشكل كامل :)
@Mohamed: ليس بالضرورة أن تضيف جميع الفايروسات هذه القيمة للريجستري, بعضها يدمج نفسه مع تطبيقات أخرى, تحقن نفسها بالذاكرة وبعضها يستخدم rootkit وتقنيات متطورة أكثر بحيث لايمكن اكتشافه, مضاد الفايروسات ليس الحل النهائي لحماية الجهاز!
أرسلت بواسطة: Mohamed في May 23, 2009
عبدو ربما الجدار الناري يفي بالغرض ببعض الاحيان لانه يراقب البيانات الداخلة و الخارجة على الجهاز ، rootkit يمكن استعمال بعض الادوات لمراقبة اوامر الداكرة مثل RootkitRevealer على الوندوز...
مادا يكون جهازي حتى احتاج لكل هده الحماية ، بعض الصور الشخصية و كلمات السر؟؟ لا يوجد ما يدعو للقلق ، لا املك موقع به فيزات زبائن او ما شابه... تحياتي اخواني
أرسلت بواسطة: Mustafa Albazy في May 24, 2009
@ عبدالمهيمن
في مثال من قاموسي يقول (اذا تريد تطلع تطلع) :P @ Mohamed هنالك اشخاص تهتم بخصوصية بياناتهم بشكل كبير! ,, ومستعد لدفع بضعة الاف الدولارات لحماية جهازة او شبكتة المنزلية.
 أرسلت بواسطة: dna-tnt في May 30, 2009
اعتقد ان الأكتف اكس
لها دور كبير فى انتشار الفيروسات حيث انه يتم زرع كود تحميل ملف من داخل الأكتفكس ويتم تنشيط خيارات الأمان للأداة بحيث يتخطاها المتصفح على انها امنة وتبدأ الأداة فى تحميل الفيرس من احد المواقع وبعد الأنتهاء من التحميل يتم تشغيل الفيرث دون علم الشخص الذى يتصفح الأنترنت باستخدام دالة شل
 أرسلت بواسطة: عيسى في May 30, 2009
السلام عليكم
فعلا هذا موضوع مهم وخصوصا ان بعض اصحاب المواقع يضن ان هذه المشكلة من الاستضافة نفسها, وانصح اصحاب المواقع بعمل ( فحص ) دائم للموقع ... واشكرك على هذه المعلومات وطرق الحماية,, عيسى
 أرسلت بواسطة: ابن الصغو في May 31, 2009
إذا تبي تعرف موقع مصاب بهالجافا الخبيثه جرب الرابط السفلي حيث أن قوقل تكفي عناء المهمة بمجرد الزحفة على موقعك تقيمه بدل اسم الموقع www.isecur1ty.org إلى اسم موقعك
عموما لا تستهيين بالجفاسكربت هذه خطورتها تاصل إلى زرع ملف لإرسال بريد بإسم الموقع على شكل سبام http://safebrowsing.clients.google.com/safebrowsing/diagnostic?client=Firefox&hl=en-US&site=www.isecur1ty.org ابن الصغو
أرسلت بواسطة: Mustafa Albazy في June 02, 2009
@ dna-tnt
ليس فقط الاكتف اكس هنالك بعض من الاشياء الاخرى مثل برامج فيس بوك, تولبارت المتصفح, بعض من اضافات الفايرفوكس ..الخ @ ابن الصغو الرابط هذا لايعطي معلومات دقيقة, فهو يعتمد على زحف بوتات جوجل.
 أرسلت بواسطة: ابن الصغو في June 02, 2009
أشكرك على التعليق
لكن الرابط للناس اللي تبي كشف سريع ونتيجة سريعة وما عندها وقت مو مثلك يا مهندس . لكن ماهو مفهموك في المعلومات الدقيقة أولا . لعلمك الرسالة بالصورة الأعلى هي تتبع نفس سياسية قوقل في كشف الفيروسات فعلى كلامك كذا ماهي دقيقة . لأنك قلت أي شيء يعتمد على ربوتات معناها نتائجه غير دقيقة . لكن أنا أقولك أنها تسهم في الحل وتكشف وبنسبة عالية . ورجاء لا تستخدم مصطلح لا تعطي معلومات دقيقة مرة أخرى في مواضيع لا تخصع لقياس حتى وإن كنت خبرة على ما أظن لأنك أنت قمت بقياس الخدمة بوجود تطبيقات سطح مكتب منافسه وذات تقارير عالية .
أرسلت بواسطة: عبدالمهيمن في June 02, 2009
أخي كلام الأخ مصطفى صحيح!
هو لم يقل أن Google Bots غير فعالة كل الي قاله أن نتائجها ليس بالضرورة أن تكون دائما دقيقية فمهما تطورت تبقى عبارة عن Bots تعتمد في عملها على مقارنة الـ Fingerprint الخاص بكل فايروس مع قواعد بيانات موجودة وبكل تأكيد يوجد طرق تشفير وتخطي لها. يعني الأمر مفروغ منه ومعروف حتى لو ماذكره مصطفى :) وبالنسبة لكشفها أنت لا تحتاج لتطبيقات سطح مكتب مثل مضادات الفايروسات وبرامج حماية.. يمكنك معرفة ذلك بالاطلاع على الكود المصدري للصفحة وتحليله! دمتم بود...
 أرسلت بواسطة: عاطف على في June 24, 2009
معلومات قيمة وجهد رائع أخ مصطفى ... وعلينا أن نتوقع الفترة القادمة زيادة كبيرة فى هذه الفيروسات نظرا لعوامل ازدياد الشبكات والخبرة فى هذا المجال والرغبة فى الإختراقات للحصول على المعلومات
 أرسلت بواسطة: Dr.Virus في June 25, 2009
السلام عليكم ورحمة الله
فعلا ده موضوع يستحق القراءة وانا احييكم بشده علي هذا الموضوع خصوصا اني اهتم بمجال الفيروسات منذ أن كنت أدرس بالمرحلة الإعدادية ومع دخولي الكلية توجهت ناحية مجال الحماية من الفيروسات ولله الحمد الآن املك مدونة للحماية من الفيروسات بها أغلب برامج الحماية من الفيروسات واللسباي والسبام والتروجانات وجميع الملفات الضارة ومشاكل الكمبيوتر وحلولها ومشاكل الفيروسات وحلولها هذا هو عنوانها http://dr-virus.blogspot.com أشكركم مرة أخرى على هذا الموضوع القيم
 أرسلت بواسطة: Mostafa Rashad في September 03, 2009
مقال اكتر من ممتاز بجد ... وبحد الواحد مش عارف يعمل ايه الايام دى وخصوصا انتشرت الجافا سكربت .. والاعلانات الاسبام ... والله بجد انتشرت وخصوصا بعد 2007 وحاليا منتشرة اوى فى المنتديات ..
شكرا ليك وعلى الافادة العالية دى
 أرسلت بواسطة: Zo-Dns في February 13, 2010
مشكور على المقالو الموضوع هذا .يستحق القرائة
لكن مو شرط ان الدعم الفني هم السبب الاكبر . كل من يملك ببيانات موقعك او عضوية الادارة يمكن ان يصيب الموقع ... -------- وايضا. حتى وان مسحتها او وضعت جدران نارية على المجلدات المهمة مثل الادمن.وغيرها الفايروسات وحسب ما بحث وقرئت عنها . تزرع نفسها مرات عدة بعد مسحها . -------------- لكن الحلول التي اعطيتها كافية ووافية ..مشكور مرة اخرى . لكن ستبقى مشكلة ان تطورت وتخطت هذه الحلول ... واكيد انها في تطور ......
 أرسلت بواسطة: atef في February 19, 2010
السلام عليكم جميعا
اولا اشكر الاخ مصطفى على هذا الجهد الرائع ثانيا ياجماعه اظن ان معظم مايحيط بنا فى دنينا له منافع ومخاطر واذا قبلت المنفعه فكن على استعداد لتقبل المخاطره وهذا يجعل الدائره تدور باستمرار والله اعلم ثالثا ارجو من الاخ مصطفى تطوير مقاله هذا بالمستجدات التى تمت حتى فبراير 2010 الله يجزاه خير (لعلها تكون نواه لسلسه نافعة ليست به مخاطره وشكرا
 أرسلت بواسطة: oussama larhmich في March 02, 2010
السلام عليكم
فعلا هذه الفيروسات تشكل قنبلة موقوتة انا قبل ثواني فقط حليتها لزبون عندنا و حليتها اله امس كذلك و المشكلة طبعا من جهازه و للاشارة كان يستخدم ال AVAST لكن رشحت لهم KASPERSKY Internet Security لأانه لحد الآن افضل وسيلة كذلك اقول لموظفي العم الفني عدم استعمال الأفتبي و الاكتفاء بالفايل ماناجير الموجود بالسيبانل أو استعمال اللينكس شكرا لك اخ مصطفى على الموضوع الشيق و اسمح لي ان انقل الموضوع مع حفظ الحقوق لمدونة الشركة
أضف تعليق
يجب عليك الاشتراك بالموقع لتتمكن من كتابة التعليقات, الاشتراك مجاني ويستغرق بضع ثوان فقط!
اذا كنت مشترك مسبقا في الموقع فضلاً قم بتسجيل الدخول. |
,, انتبة ان تقوم بالضغعط على هذا الرابط .. حتى وان كان من شخص متصل فقد يكون الرابط عبارة عن عملية عن خدعة ,, رابط تغيير كلمة سر البريد الالكتروني ..الخ وهذا يعرف بالهندسة الاجتماعية ,, وقد يكون موقع يحتوي على فايروس ..الخ 
و انتشر بشكل كبير
حيث قام الهاكر بحقن بروسس الاباتشي بسكربت
و النتيجة كل ما يطلب الزائر صفحة يحمل معها السكربت
سلام