الكاتب عبدالمهيمن الآغا

الأربعاء, 31 مارس 2010 22:07

اذا كنت مدير سيرفر. يأتيك اتصال الساعة 12 ليلاً ليخبرك احدى العملاء أو الشركة التي تعمل بها أن سيرفر من السيرفرات المسؤول عنها تم اختراقه. ماذا ستكون ردّة فعلك وما هي الأمور والخطوات التي يجب القيام بها لاسترجاع السيرفر وحمايته من جديد مع العلم أنه ويب سيرفر يعمل بنظام Linux ويحتوي على عدّة مواقع تم اخترق ثلاثة منهم فقط.

موضوع النقاش:

ما هي أول خطوة يجب القيام بها في حال اخترق الويب سيرفر.
كيف ستقوم بارجاع السيرفر لحالته الطبيعية وهل تعتقد أنه من الممكن استرجاعه لوضعه الأصلي بشكل كامل؟
هل يوجد برامج وأدوات مفيدة يمكن استخدامها بهذه الحالة أو أدوات يمكننا استخدامها مسبقاً لتساعدنا على استعادة السيرفر في حال تم اختراقه؟
في حال كنت موظّف في شركة فأنت مطالب بكتابة تقرير عن الحادثة, ماذا ستكتب في هذا التقرير؟
ما هي الأمور التي ستقوم بها لتتبع المخترق, وفي حال كان IP جهازه من نفس الدولة ماذا يمكنك أن تفعل؟
لنفرض أنك لم تكن مدير السيرفر بل مجرّد عميل وموقعك هو الذي اخترق فقط, ماذا ستفعل؟

هذه بعض الأسئلة البسيطة لبدء النقاش فقط, في حال كان يوجد أي اضافات أو أمور أخرى ترغب بالتكلم عنها أو مشاركتها مع الأعضاء فهذا سيعطي فائدة أكبر, فالنقاش مخصص ليكون بين المستخدمين ومناقشة الأجوبة والأفكار المطروحة.

الهدف من هذا النقاش هو الخروج بمعلومات تفيد مدراء السيرفرات وأصحاب الموقع لارشادهم على الخطوات الصحيحة الواجب اتخاذها في حال تم اختراق السيرفر الذي يديروه أو موقعهم في أحد الأيام.

إضافة إلى المفضلة

إرسال إلى صديق

المشاهدات: 3296

التعليقات (18) Add Comment

JxH
أرسلت بواسطة: جبروت هكر في April 01, 2010

السلام عليكم
# ما هي أول خطوة يجب القيام بها في حال اخترق الويب سيرفر.
اعرف شولن قد يوصل للسيرفر ووين الخطاء
# كيف ستقوم بارجاع السيرفر لحالته الطبيعية وهل تعتقد أنه من الممكن استرجاعه لوضعه الأصلي بشكل كامل؟
اي ادخل على لوحة تحكم السيرفر 8888 لو انه غير معلومات السيرفر
# هل يوجد برامج وأدوات مفيدة يمكن استخدامها بهذه الحالة أو أدوات يمكننا استخدامها مسبقاً لتساعدنا على استعادة السيرفر في حال تم اختراقه؟
ممكن مثل اسعادت الباك اب وغيره
# في حال كنت موظّف في شركة فأنت مطالب بكتابة تقرير عن الحادثة, ماذا ستكتب في هذا التقرير؟
ساكت ماهو صريح خطاء مني او اختراق موقع عميل اخبره انه خطاء او استهانه في شيء ما
# ما هي الأمور التي ستقوم بها لتتبع المخترق, وفي حال كان IP جهازه من نفس الدولة ماذا يمكنك أن تفعل؟
اتتبع عن طريق لوج السيرفر واقوم بالابلغ عنه الى جهاته المختصفه في دولته
# لنفرض أنك لم تكن مدير السيرفر بل مجرّد عميل وموقعك هو الذي اخترق فقط, ماذا ستفعل؟
مثال اذا كان منتدى استعيد الباك اب واتاكد من الموقع به ملفات ضاره

-------------------
واذا كان مقصدك الرد يكون مفصل مع الاوامر وكل شيء قولي

Mohammad AlQarni
أرسلت بواسطة: Mohammad AlQarni في April 01, 2010

ما هي أول خطوة يجب القيام بها في حال اخترق الويب سيرفر?
توقيف السيرفر كامل ,, وفحصه والتأكد من عدم وجود اتصال بالسيرفر عن طريق البورتات الغير مستخدمه مثل 2121 و 4444 وغير ذلك .
-----------------------------------
كيف ستقوم بارجاع السيرفر لحالته الطبيعية وهل تعتقد أنه من الممكن استرجاعه لوضعه الأصلي بشكل كامل؟
اول شي بعد توقيف السيرفر ,, اقوم بمسح ملف log بعد اخذ منه نسخه احتياطيه طبعاً ,, وبعد فحص السيرفركاملاً من الملفات الضارة ,, اقوم بتشغيل السيرفر مرة اخرى ,, ومراقبة netstat و مسح ملف log ,, وبعدها اقوم بمراقبة ملف log لمدة لا تقل عن ساعة ,, لكي اتعرف على المخترق من اين تم دخوله إلى السيرفر .
-----------------------------------
هل يوجد برامج وأدوات مفيدة يمكن استخدامها بهذه الحالة أو أدوات يمكننا استخدامها مسبقاً لتساعدنا على استعادة السيرفر في حال تم اختراقه؟
نعم , منها iScanner و بعض الادوات الخاصة بي .
-----------------------------------
في حال كنت موظّف في شركة فأنت مطالب بكتابة تقرير عن الحادثة, ماذا ستكتب في هذا التقرير؟
سوف اكتب الحقيقه التي أدت إلى الاختراق ,,, سواً كان الخطأ مني او من غيري .
-----------------------------------
ما هي الأمور التي ستقوم بها لتتبع المخترق, وفي حال كان IP جهازه من نفس الدولة ماذا يمكنك أن تفعل؟
اتباع المخترق ليس بسهوله ,, ولكن الهندسه الاجماعيه راح تفيدك في جلب المعلومات عن المخترق و IP أيضاً وبعض الطرق الاخرى .
-----------------------------------
لنفرض أنك لم تكن مدير السيرفر بل مجرّد عميل وموقعك هو الذي اخترق فقط, ماذا ستفعل؟
حذف الملفات المختصه في الاتصال بقواعد البيانات مثل config
وتغير مسار المجلد والاندكس أيضاً ,, وحذف السكربتات المشبوه بها .
-----------------------------------

تحياتي لكم

...
أرسلت بواسطة: Sami في April 01, 2010

السلام عليكم ورحمة الله وبركاته

* ما هي أول خطوة يجب القيام بها في حال اخترق الويب سيرفر.

اول خطوة تعتمد على سياسات امن المعلومات في الشركة وطبيعة المواقع المجودة في السيرفر وهل يوجد backup للمواقع او لا

(ليس من السهل فصل السيرفر من الأنترنت اذا كان الموقع ذو ربحية عالية على سبيل المثال موقع امازون )

لنفترض ان المواقع ليست ذات ربحية عالية ( بمعنى مافيه تأثير على انتاجية الشركة من فصل السيرفر)
اول خطوه فصل السيرفر من الانترنت وتشغيل backup server
ثاني خطوة عمل نسخه من الهاردسك ( image acquisition ) لتحليل الرقمي

* كيف ستقوم بارجاع السيرفر لحالته الطبيعية وهل تعتقد أنه من الممكن استرجاعه لوضعه الأصلي بشكل كامل؟
نعم ممن الممكن استرجاع السيرفر بعد عملية التحليل الرقمي (اذا امكن تحليل Network traffic ) لمعرفة من اي اتى الاختراق وكيف تم الاختراق
مراجعة (logs ) اذا كانت سليمه ,مسح جميع الملفات المشبوهة والخبيثه مثل (الباك دور) واسترجاع اي ملفات تم حذفها

* هل يوجد برامج وأدوات مفيدة يمكن استخدامها بهذه الحالة أو أدوات يمكننا استخدامها مسبقاً لتساعدنا على استعادة السيرفر في حال تم اختراقه؟
الادوات كثيره منها
Sleuth Kit and Autopsy : لتحليل الرقمي واسترجاع الملفات المحذوفه

* في حال كنت موظّف في شركة فأنت مطالب بكتابة تقرير عن الحادثة, ماذا ستكتب في هذا التقرير؟

التقرير راح يكون دقيق بالمعلومات عن كيفة تم الأختراق ومن هو المخترق وماهي الأثار الناتجه من هذا الأختراق أسباب الإختراق
جميع الخطوات اللتي اجريت لسترجاع السيرفر والملفات خطوات التحليل الرقمي
نصائح و طرق عن كيفة تجنب مثل هذا النوع من الأختراق في المستقبل

* ما هي الأمور التي ستقوم بها لتتبع المخترق, وفي حال كان IP جهازه من نفس الدولة ماذا يمكنك أن تفعل؟

اول شي نعطي IP بلوك , و اذا فيه قانون في البلد يقاضي المخترق ( يرفع تقرير مع الأدلة إلي الأدراة القانونية في الشركة لتخاذ الازم ( محامي الشركة ادرى به الأمور مع بعض التوجهات التقنية اللازمة)

* لنفرض أنك لم تكن مدير السيرفر بل مجرّد عميل وموقعك هو الذي اخترق فقط, ماذا ستفعل؟
بلغ الشركة عن الأختراق

Hit-Man
أرسلت بواسطة: Hit-Man في April 01, 2010

السلام عليكم ورحمة الله وبركاته

أول شئ لازم لما يخترق سيرفورك مايلي :

سوف أرى ما ادا كان الموقع دو اهمية ربيحية فان لا لالا يتم اخلاق السيرفر لانه سوف يادي لخسائر للشركة
أما في حالة لم يكن للموقع اهمية أو خسائر للشركة فستيم اخلاق السيرفر عن الاتصال (وينضر في دلك اغلاق كل المنافد التي يتم الاتصال بها)

بعد أن تم فصل السيرفر عن الاتصال يتم في أول خطوة البحث عن المنفد أو الثغرة ان صح التعبير التي تم المهاجمة عن طريقها

بعد ان تم الكشف عن الخطأ يتم برمجة لاصلاح تلك الثغرة

الان سوف أخد الموقع و اعمل عليه فحص ببرنامج iScanner لحتى نشوف هل تم ترك أي ملفات مشبوهة أم لا.

بعد دلك يتم تعقب المخترق عن طريق الهندسة الاجتماعية (يتم تعقبه ما ادا كان يدخل للمواقع متل الفيس بوك و غيرها لانه في تلك المواقع يترك في الغالب صوره) و بعد دلك يتم رفع محضر للقضاء للحكم في القضية

بعد دلك يتم عقد اجتماع طارء بين الدعم الفني للموقع و التناقش في القضية

و بعدها يتم سرد كل ماجرى و تدوينه في تقرير واعطائه للشركة .

لكن يبقى السؤال المطروح :
قال أخي عبدالمهيمن :"سيرفر يعمل بنظام Linux ويحتوي على عدّة مواقع تم اخترق ثلاثة منهم فقط."
السؤال هو انه اغلب الاراء قالوا بانه يجب غلق السيرفر لكن لو نفترض أنه يوجد 100 موقع متلا و تم اختراق تلات منها كما قال عبدالمهيمن يعني كيف يتم اغلاق 100 موقع بينما تم اختراق تلات فقط !هدا غير منطقي ؟

-و لكن المشكل التاني هو أنه ادا كان الموقع تحت سيرفر فيه عدة مواقع فانه سوف ينتقل لموقع اخر و يزرع كود اخر تم يتنقل مرة اخرى عن طريق السيرفر ؟
و ننتضر نقاشاة الاخوة
و شكرا لك أخي عبدالمهيمن ولكل الاخوة

معرفة ماهيه الاختراق
أرسلت بواسطة: Ahmed في April 01, 2010

اولا تحديد ماهيه الاختراق وتحديد مدى خطورته
مثال اذا كان الاختراق مجرد اختراق مواقع فدرجة التهديد تعتبر بسيطة
اما اذا كان الاختراق عن طريق الssh وكان الدخول عن طريق ال root فدرجة التهديد في هذه الحالة خطيرة
اولا
اذا كان الاختراق في السيرفر قد شمل موقعا واحد وهذا هو النوع الاغلب الذي يحدث
فقد يكون اهمالا من العميل ان بياناته تسربت واذا كانت اكثر من هذا فالتأكد من انه لايوجد اي صلة بين المواقع المخترقة وبعضها مثل ان العميل المالك لها هو نفس الشخص في هذه الحالة يتم تعطيل الخدمات مثل ال FTP وال Cpanel وتغيير كل كلمات المرور للمواقع وايضا تحرى ال log واذا وجد IP يتم حجبه من ال FireWall
ثانيا
اذا كان الاختراق عن طريق عبر مواقع برمجية تحديد هل هي اسكريبتات منتشرة الاستخدام مثل المنتديات مراكز التحميل المجانية او ماشابه من هذه النوعية من الاسكريبتات المهددة بالاختراق دوما
يليها تحديد كم موقع على هذا السيرفر يعمل بنفس هذه الاسكريبتات
في نفس الوقت البحث عن ما اذا كان هناك حل لهذه المشكلة
في حال انه يوجد بهذه الاسكريبتات مشكلة ويوجد منها الكثير على هذا السيرفر يتم تعطيلها جميعها مؤقتا وطبعا ابلاغ العملاء بالمشكلة لمنع زيادة عدد المواقع المخترقة
ثالثا
اذا كان الاختراق من نوعية ال root Access فيوجدا حلين لهذا الامر
واحد حجب Access لل SSH الا عبر طريق IP مدير السيرفر الا ان يتم كشف كيفية حدوث هذا
او اذا كان الامر قد ازداد سوء وقد بدئت بيانات تحذف من السيرفر في هذه الحالة يفضل منع السيرفر عن الاتصال بشبكة الانترنت ويتم الاتصال به عن طريق ال VPN والتي يفترض انها تقدم من قبل اغلب Data Centers او اذا لم توجد هذه الخاصية اطفاء السيرفر نهائيا لتقليل حجم الاضرار ويتم متابعة الامر مع Data Centers وتشغيل السيرفر من قبلهم وحجب الاتصال عن طريق ال SSH الا لايبي مدير السيرفر
هذا والله اعلى واعلم

بالنسبة لي اذا كنت عميل
أرسلت بواسطة: Ahmed في April 01, 2010

بالنسبة لي اذا كنت عميل وقد تم اختراق موقعي والشركة غافلة عن هذا الامر
اولا
ابلاغ الشركة المستضيفة بالامر الذي حصل
يليها
اغلاق الموقع وتغيير المكان المخترق في حالة كان اسكريبت برمجي او مجرد صفحات ويب عادية
في حالة لدي جهاز واحد لمنع انتشار الضرر لممستخدمين الاخريين
ايضا ضغط هذا الاسكريبت وفحصه ببرامج فحص مثل ال Kaspersky
التأكد من سلامة جهازي وانه ليس مخترق عن طريق العديد من الادوات على سبيل المثال وليس الحصر Hijackthis
احاول ان اضع اهمية للبيانات المهمة وذات درجة عالية من الاهمية لي واحاول اخذ باك اب منها باسرع مايمكن وعزلها فورا عن الجهاز مثل على USB Stick قرص مدمج او اي شئ بعيدا عن الجهاز
في حالة توافر اكثر من جهاز استخدام الجهاز الاخر في تأمين نسخة احتياطية من البيانات المهمة مثل قواعد البيانات وفعل نفس الشئ للبيانات
ثانيا
اذا امكنني تغيير بيانات الموقع عن طريق ال Cpanel او اي لو حة تحكم اخرى يتم فعل هذا بعد التأكد من الخطوات السابقة
التأكد من حسابات ال FTP
مراجعة ال Access Log اذا امكن هذا ومعرفة الايبي الذي قم بالاختراق وحجبه اذا كانت هذه الخاصية موجودة في لوحة التحكم
ابلاغ الشرك احاول ان اضع اهمية للبيانات المهمة وذات درجة عالية من الاهمية لي واحاول اخذ باك اب منها باسرع مايمكن وعزلها فورا عن الجهاز مثل على USB Stick قرص مدمج او اي شئ بعيدا عن الجهاز
المتابعة مع الشركة المستضيفة وابلاغهم بما قد توصلت اليه للان لتقصيير الوقت عليهم

...
أرسلت بواسطة: عبدالمهيمن في April 01, 2010

في حال اخترق السيرفر أول شيء لازم تسويه هو Relax! من تجربة شخصيّة مرّت معي قبل سنتين لما يخترق سيرفر أو موقع أكبر خطأ هو أن تتصرف بسرعة دون تفكير بهدوء ودقيق لأن هذا سيعرضك للاختراق مرّة ثانية لكن بشكل أخطر بكثير. في البداية لازم تفكّر كم دقيقة وتحدد الأمور الي لازم تقوم بها دون أي توتّر لأن الاختراق حصل وحصل والتأخر باسترجاع السيرفر كم دقيقة لن يكون مؤثّر جداً.

التأكد من سلامة جهازك وايميلك! اختراق ايميل أو جهاز مدير السيرفر أسهل بكثير من اختراق السيرفر ومن الممكن أن يكون شخص قد تمكّن من زرع باك دوور بجهازك باستغلال ثغرة ما أو حتى بالوصول الفيزيائي للجهاز ومن الضروري أيضاً التأكد من أمان الاتصال وتشفير أي معلومات هامة قبل ارسالها لجهة ثانية واستخدام بروتوكولات التي تدعم التشفير فقط مثل SSH عند اتصالك بالسيرفر ويفضّل لو كان عندك VPN خاص لضمان أمان اتصالك مع السيرفر بشكل أكبر. (طبعاً الأمور المتوفّرة ستختلف في حال كنت تملك سيرفر فقط أم كنت تعمل بشركة صغيرة أو حتى شركة انتربرايز لديها ميئات السيرفرات).

اذا كان الموقع كبير مثل Amazon وسيرفرات مزوّدي الخدمة فمن المؤكد وجود سيرفر احتياطي يمكن استخدامه مباشرة في حال حدوث اختراق مثل هذا وفي حال عدم وجود سيرفر احتياطي فأجل انت مضطّر لايقاف السيرفر بشكل كامل لأنك لن تستطيع العمل أنت والهاكر على السيرفر بنفس الوقت. طبعاً قصدي بالاغلاق مو اطفاء السيرفر أو ايقاف سيرفر apache فقط, بل حظر جميع الاتصالات عن طريق الجدار الناري والسماح لأيبي جهازك فقط ولو كان عندك console هذا شيء أفضل وبهذه الحالة تغلق جميع الخدمات وتفعل حظر الجدار الناري على جميع الأيبيات.

قبل أن تحاول استرجاع السيرفر يجب معرفة لأي درجة تم الاختراق فعلى أساسه سنتصرّف, لاحظوا أن النقاش ذكر اختراق 3 مواقع فقط, يمكن السيرفر عليه 100 موقع لذلك من الضروري أتأكد لأي درجة وصل المخترق للسيرفر, هل اختراق المواقع الثلاث بسبب ثغرة فيهم أم بسبب ثغرة بالسيرفر بمعنى آخر هل المخترق تمكّن من اختراقهم موقع تلو الآخر أم أنه اخترق موقع واحد وتمكن من تخطي صلاحياته بسبب ثغرة مثلاً مما مكّنه من قراءة ملفات موجودة على حساب مستخدم آخر. أم أنه وصل لصلاحيات root؟

في حال كان اختراق المواقع الثلاث نتيجة ثغرة فهو غالباً لم يخرج عن صلاحيات المستخدم وتأثيره محدود, يكفي أن أعيد المواقع المخترقة وأصلح الثغرة (غالباً ستكون php bypass أو أي ثغرة أخرى تمكّن المخترق من قراءة ملفات مستخدمين آخرين على نفس السيرفر) أما في حال اختراق جميع المواقع 99% المخترق وصل لصلاحيات رووت وذلك يعني أن أمامك سهرة للصبح لتتمكن من معرفة ماذا حدث تماماً بالسيرفر وتحدد اذا كان من الأفضل استخدام سيرفر جديد أم استعادة السيرفر المخترق!

أولاً يجب ايقاف الخدمات التي تعمل وعزل السيرفر عن الانترنت باستخدام bash script يحتوي على التالي مثلاً:
iptable -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

الأوامر السابقة ستمنع جميع الاتصالات الصادرة والواردة الى السيرفر وتستخدم في حال كنت تملك console والا اذا استخدمتها عن طريق ssh سيؤدي لحظرك أنت أيضاً خارج السيرفر. أما اذا لم تكن تملك console فالخيار الوحيد هو عزل السيرفر مع السماح لـ IP جهازك فقط وبهذه الحالة يجب وضع الأوامر داخل ملف bash وتشغيله لأن تطبيق أول أمرين بشكل منفرد سيؤدي لفصل اتصالك أنت أيضاً مع التأكد من اضافة الأمر التالي في نهاية الملف:

iptables -A INPUT -s 0.0.0.0 --dport 22 -j ACCEPT

غيّر الرقم 0.0.0.0 لأيبي جهازك (الذي يجب أن يكون ثابت ويمكنك وضع نطاق شبكة أيضاً) ومنفذ 22 الى منفذ ssh المستخدم بالسيرفر. (كتبت الأوامر السابقة بشكل سريع ويرجى تجربتها قبل اعتمادها).

هذه بعض الأمور ليتم المناقشة بها أيضاً وأي طرق أو اقتراحات أخرى فهي مرحب بها طبعاً, ورجاءً لا تحولوا النقاش لسؤال وجواب خلوا يصير شوية تفاعل وكل واحد يحاول يوضح طريقة عمل شيء, مثلا الاطلاع على ملفات اللوج على ماذا ستطلع؟ وكيف ستقوم بتحليله واستخراج المعلومات منه ووو؟

بالنسبة لـ iScanner فهو لا يفيد كثيراً بهذه الحاله لأنه لم يبرمج لهذه المهمة, صحيح أنه سيكشف أي أكواد مشفرة قد يكون أضافها المخترق لكن هذا أمر غير كافي اطلاقاً لكن بالمستقبل في حال تم توسيع قاعدة البيانات يمكن جعله يقوم بتحليل واكتشاف أمور أخرى.

هذه مجرد مقدّمة ولي عودة لأكمل بعض الأمور الأخرى التي سأقوم بها مثل تحديد مستوى الهاكر ودرجة الاختراق, تحليل ملفات اللوج, معرفة سبب الاختراق, أمور ينصح بالقيام بها سابقاً وبرامج وأدوات مفيدة في هذا المجال وهكذا...

بخصوص اللوج
أرسلت بواسطة: Ahmed في April 01, 2010

يتم مراجعة اللوج الخاص بالموقع مثل لوج ال FTP وال Cpanel ان وجد
ويتم ذلك ولتسهيل العملية يفضل معرفة ميعاد الاختراق ان امكن
وعن طريق تحليل اللوج سيتم الوصول لايبيه المخترق وكيف حدث الاختراق ولنفترض انه كان عن طريق رفع ملف html طبعا سيظهر هذا في اللوج الخاص بال FTP وايضا اللوج الخاص بلوحة التحكم ال Cpanel وسيظهر ايضا الايبيه الخاص بالشخص الذي قام بهذه العملية في حالة
مثال
egrep "Month Day Hour" /path/to/ftp/log| less
نفس الشئ ايضا للوج الخاص بال Cpanel
طبعا في حالة اذا كان للسيرفر يمكن معرفة هذا عن طريق الامر
last
او lastlog
الذي سيظهر اي مستخدم الذي دخلت لل ssh
بعد التوصل للايبي الان نرى الى اين وصل الفئر في حفر جحره
egrep -lri "IP" /path/to/log
اذا كان الافتراضي
فسيكون بهذا الشكل
egrep -lri "0.0.0.0" /var/log
سيظهر لنا ملفات اللوج التي قد تكرر فيها الايبي الخاص بالعابث الصغير
بعدها نبدء في فحص كل منها

اقرأ تعـرف
أرسلت بواسطة: BlaCK CobRa في April 02, 2010

وعليكم السـلام ورحمـة الله وبركـاته موضوع روعة للنقـاشـ

اول شي لو يخبرني السـاعة 12 اكمل نوم ههههههههههههههه

الا اول شي طالما انا مدير السـيرفر اكيد عندي باك اب يومي

اول شي اقوم بأخذ نسخة الباك اب للسيرفر كله ووضعها على جنب

2- تحليل اللوج للسيرفر وعملية الدخول والاختر!ق

3- تغيير بيانات مثل cpanel+ftp+SSh

4- سكان للسيرفر من الشيلات المشفـرة والغـير مشـفرة

5- تتبع المخـترق بال IP بس مش رح ابلغ عنه

التحليل
أرسلت بواسطة: Str1k3r.r1z في April 02, 2010

في البداية . اقوم بالتأكد من سلامة جهازي والمنظومة الي انا فيها . من اي عملية اختراق

كأن يكون حاصل على باس ورد دخول لاحد موظفي الشركة . وبعد ذلك اقوم بمتابعة طريقة الدخول وبما ان الاختراق لم يحصل للسيرفر بشكل كامل فهو لم يحصل على صلاحية root . في حال تم التعرف على الموقع الذي تم الدخول من خلال اقوم بعمل susband مؤقت للموقع . وأبدا بفحص ملفات الموقع على ان تكون خالية تماما من اي script shell وغيرها من السكريبتات التمستخدمة في الهاكينج . بعد التاكد اقم بتعدل بيانات الموقع . بعد تعديل البيانات اترك للمخترق ملف واحد له واحدد صلاحية هذا الملف واجلس اراقب ما هو قادر على فعله . وكيف يفكر ومتابعة ملفات log. بعد ذلك اوقف جميع بروتوكولات الاتصال مثل ftp cpanel ssh .

بعد ذلك اقوم بارجاع باك اب للموقع المخترق . وابقى متحفظ على معلومات الموقع الجديد لحين التأكد من هوية العميل .

...
أرسلت بواسطة: youness في April 03, 2010

السلام عليكم
الصراحة الخطوت التي ستتبع ستختلف من خادم الس الاخر و القصد ان الاعدادات تختلف اي هل خادم ضبقة عليه عملية التقوية او hardening ..

انا عن نفسشلا اغلاق الخادم ان كان المواقع المخترفة 3 فقط ..
grep 0:0 /etc/passd
ثم
استخدام اداة tripware ..

ملفات اللوج
أرسلت بواسطة: عبدالمهيمن في April 03, 2010

الطريقة التي طرحها الأخ Ahmed ممتازة لمعرفة كل شيء عن المخترق, في البداية يجب أن نعرف IP جهاز المخترق ثم نبحث عنه في جميع ملفات اللوج بالسيرفر وبهذه الحالة سنعرف جميع التحركات التي قام بها.

تحليل ملفات اللوج الخاصة بسيرفر apache من أهم الأمور لأن IP المخترق أكيد موجود هناك:
/var/log/httpd/access_log
/var/log/httpd/error_log

فلو تم اختراق المواقع عن طريق ثغرة في موقع يجب أن يظهر شيء في الـ error_log وبعد معرفته سنبحث عنه في الـ access_log أما اذا ما وجدت شيء يدلني على المخترق في error_log سأحمّل الـ access_log على جهازي وهناك سأبدء تحليله, الأمر ممكن من السيرفر مباشرة لكن باستخدام محرر نصّي يمكن الاطلاع على النتائج والبحث بها بشكل أسرع مما هو عليه بالسيرفر وفي بعض الحالات قد تضطّر العمل على السيرفر.

اذا كان يوجد cPanel على السيرفر قد يكون من الأسهل تحليل ملف access_log و error_log للمواقع المخترقة فقط لأن عدد الطلبات سيكون أقل بكثير من كامل السيرفر.. لكن هذا الأمر غير كافي خصوصاً اذا لم تجد شيء يدلك على سبب الاختراق فمن الممكن أن يكون المخترق وصل للسيرفر من موقع رابع لم يتم اختراقه بل استغله لاختراق حسابات مستخدمين آخرين. طبعا جهّز نفسك لزيارة طبيب عيون بعد الانتهاء من الجلوس ساعة وأنت تتفحّص كامل الطلبات في الأكسس لوج D:

بجانب ذلك يجب تحليل ملف .bash_history الخاص بكل مستخدم تم اختراق موقعه والخاص بالحساب رووت أيضاً لمعرفة الأوامر التي تم تنفيذها على السيرفر. (أعلم أن أغلب الاستضافات لا توفّر ssh access لكن بالسيرفرات التي تعاملت معها المستخدم يملك دخول ssh لحسابه بسبب استخدام sftp عوضاً ftp) وبهذه الحالة يجب تحليل هذا الملف أيضاً لاحتمال كبير أن المخترق قد تمكن من الوصول لحساب أحد المستخدمين ومن هناك نفّذ اختراقاته, يعني مو ضروري يكون سبب الاختراق هو الموقع فقط.

أثناء التحليل ضروري يكون التركيز عالي, أي شيء متغيّر بالسيرفر أو غير مألوف لازم تفترض سببه الاختراق, من هنا لازم نعرف ضرورة وجود مدير واحد مسؤول عن السيرفر لأنه هو الي يعرف اعداداته وكافة الأمور عنه.

الاطلاع على الأمور السابقة سيعطيك معلومات دقيقة عن ما حصل بالسيرفر فأنت ستعرف اي أوامر تم تنفيذها, الطلبات التي تم ارسالها للمواقع, اي أخطاء ناتجة وهكذا.. ومن هنا قد تتمكن من تحديد درجة خبرة المخترق أيضاً حسب الطلبات التي قام بها, الأدوات المستخدمة والأوامر التي نفذها لكن السؤال الذي يطرح نفسه ماذا ستفعل اذا لم تجد شيء يدلّك على المخترق أو لم تجد ملفات اللوج من الأساس؟

...
أرسلت بواسطة: oc في April 03, 2010

يمكنك أيضاً عمل بحث عن الملفات التي تم تعديلها اليوم في بعض الاحيان يظهر ملفات التي قام المخترق باستخدامها او قام بنشرها لمحاولة الاختراق لاحقا.. ايضا اذا كان عندك بعض الحماية فان المخترق قد حاول استخدام بعض الدوال التي قمت بحظرها وبالتالي فان ملف اللوج الخاص بالموقع الذي حصل منه الاختراق (الموقع المتسبب) سيظهر في عملية البحث ومنه تحدد أيضاً الملف الذي يستخدمه للاختراق..

يمكن عمل deny from all على روت الموقع لايقاف اي تفعيل لاي استخدام اخر للملفات التي يمكن ان تكون موضوعة فقط وعلى المواقع المتسببة بالاختراق والمخترقة..

ابحث عن ملفات ذات علامات مميزة يمكن ان تكون برمجيات لاعادة الاتصال لاحقا عن طريق عمل grep اثناء البحث وتصفية الملفات التي تحوي اسطر غريبة مثل /etc/passwd

اذا كان سيرفرك Busy Server فعملية البحث عن بورت ستكون هلاك لصحتك يمكنك التأكد من إعدادات الفايروول iptables لتجنب عمل اتصال عكسي من خلال سيرفرك

في حالة الحصول على الرووت قم باغلاق الاتصال الخارجي بالسيرفر واستعمل console عن طريق KVM من الداتا سنتر او اذهب بنفسك اذا كان السيرفر في مقر شركتك. ولا تنسى القهوة أو ريدبول ليلتك طويلة

البحث عن الملفات التي تم تعديلها
أرسلت بواسطة: عبدالمهيمن في April 03, 2010

بصراحة نسيت أذكر هذه الخطوة وشكراً للأخ oc لتذكيري بها وهذا يمكن باستخدام الأمر find للبحث عن الملفات التي تم تعديلها خلال الـ 24 ساعة الماضية:

find /path/to/website -mtime -1 > modified

غيّر رقم 1 الى 2 ليبحث عن الملفات التي تم تعديلها قبل يومين ثم افتح الملف modified لتشاهد مسارات الملفات التي تم تعديلها.

بهدوء
أرسلت بواسطة: SAFAD في April 07, 2010

* ما هي أول خطوة يجب القيام بها في حال اخترق الويب سيرفر.
أقوم بغلق السيرفر و التأكد من عدم وجود خدمات و عمليات تعمل ثم أغلق البورتات المفتوحة و أتأكد إغلاق الخدمات التي تعمل (Apache - php ,,,etc)
ثم أفتح لعبة Heroes Of New Erth و ألعب قليلا
* كيف ستقوم بارجاع السيرفر لحالته الطبيعية وهل تعتقد أنه من الممكن استرجاعه لوضعه الأصلي بشكل كامل؟
والله لا أدري . على العموم قد أفكر في هذا و أنا ألعب
* هل يوجد برامج وأدوات مفيدة يمكن استخدامها بهذه الحالة أو أدوات يمكننا استخدامها مسبقاً لتساعدنا على استعادة السيرفر في حال تم اختراقه؟
لا أرى أي أداة مساعدة عدى الترمينال و طالما أنني على سيرفرات ألمانية فأجد Confixx الذي طورناه معي
* في حال كنت موظّف في شركة فأنت مطالب بكتابة تقرير عن الحادثة, ماذا ستكتب في هذا التقرير؟
خليني أكمل اللعبة ثم سأصلح السيرفر بعدها أقول لك
* ما هي الأمور التي ستقوم بها لتتبع المخترق, وفي حال كان IP جهازه من نفس الدولة ماذا يمكنك أن تفعل؟
نفس الدولة ..... ألمانيا أم الجزائر ؟ إذا كان ألمانيا سأقوم بتتبع آثاره إلى أن أجد إسمه و مكانه وطالما أنا لست هناك فصاحب الشركة يعيش هناك
هو يتدبر الأمر
أما في الجزائر أظنني قد أستمتع باللعب معه
* لنفرض أنك لم تكن مدير السيرفر بل مجرّد عميل وموقعك هو الذي اخترق فقط, ماذا ستفعل؟
أسمع قليلا من الموسيقى Kalmah وغيرها
أفتح الجي مايل في إنتظار خدمة العملاء
و أفتح HON لألعب قليلا
بعدها أتفحص السكريبتات المستخدمة لعل واحد منها قديم و منه جاء الإختراق
دمتم في حفظ الرحمن

-2

نسيت...
أرسلت بواسطة: SAFAD في April 07, 2010

أه نسيت
بعد الراحة و الإسترخاء
أدخل إلى اللوغ أبحث عن البورت الذي تم الدخول منه
إن لم يوجد
أبحث عن الملفات التي تم تعديلها
إن لم يوجد
أستعمل ClamAv
للبحث عن السكريبتات الخبيثة ثم أتأكد من تحديث البرامج عندي
بعدها أحاول إسترجاع السيرفر إلى أصله
طالما عندنا باك أب كل ساعة تقريبا
هذه خطوات بسيطة
لكني لا أستطيع ذكر كل ما أعرف لأنه ليس أمامي حالة لأعاينها
دمتم في حفظ الرحمن

-2

بالنسبة لي
أرسلت بواسطة: mester omis في April 12, 2010

السلام عبيكم و رحمة الله و بركته
لو نحطيت في هذا المأزق في رأي اول شيئ ها اعمل اني اوقف السرفر عن العمل جزئيا اي قفل بعض المنافذ المعرض للاستعمال من طرف المخترق مثل المنفذ التالية 10000 و 110 و 445 ...و غيرها بس الا انني قد اعرض لتشويه صمعت سيرفر بتاعي لا داعي لتوقيفه كله و لكن على الاقل نحط المراقبت لمد تدوم اكثر من أشهر اي لازم تنصب على سرفرك ادوات و برامج مراقبت حماية و جدار نارية و همية علشان تعطلو وتاخد شوية وقت للمخترق يعني تيقريبا 48 س. حتي تكو حاظر اتناء الاختراق و تحي راسك قبلي ما يوقع الفاس فس الراس
ههههههههههههه
و السلام عليكم و رحمة الله و براكته

-1

أفضل حل فى رأى
أرسلت بواسطة: إسلام في April 23, 2010

*ما هي أول خطوة يجب القيام بها في حال اخترق الويب سيرفر.
ج: أولاً يجب إيقاف المواقع المتضررة و إبلاغ العملاء بأنه هناك خطأ تقنى فى الموقع و جارى العمل على إصلاحه. ثانياً إيقاف أى تطبيق متعلق بالموقع عن العمل حتى لا يتسنى لأى أحد الدخول عن طريق التطبيق. أخيراً فحص الملفات على السيرفر حتى يتم معرفة إن كان هناك فيروسات تم تحميلها إلى السيرفر و التخلص منها إن وجد.

*كيف ستقوم بارجاع السيرفر لحالته الطبيعية وهل تعتقد أنه من الممكن استرجاعه لوضعه الأصلي بشكل كامل؟
ج: للرد على هذا السؤال يجب أن أفترض أننى أقوم بعمل نسخه إحتياطيةى (backUp) للسيرفر كل فترة، و بهذا أقوم بإرجاع جميع الملفات إلى السيرفر فى حال إختراقه

*هل يوجد برامج وأدوات مفيدة يمكن استخدامها بهذه الحالة أو أدوات يمكننا استخدامها مسبقاً لتساعدنا على استعادة السيرفر في حال تم اختراقه؟
ج: برامج لعمل نسخ إحتياطية للسيرفر و برامع لتتبع الـIP

*في حال كنت موظّف في شركة فأنت مطالب بكتابة تقرير عن الحادثة, ماذا ستكتب في هذا التقرير؟
ج: سأكتب ما حدث و إن كان سيضر أى شخص و لكن سأكتب الحقيقة كاملة

*ما هي الأمور التي ستقوم بها لتتبع المخترق, وفي حال كان IP جهازه من نفس الدولة ماذا يمكنك أن تفعل؟
ج: ساستخدم ملفات الـlog لمعرفة من قام بالإتصال بالسيرفر و عن طريق أى منفذ و بمعرفة المخترق سأقوم بتتبع الـIP لمعرفة بلده، و أى أن كانت دولته سأقوم بإبلاغ السلطات المحلية لتقوم هى بالقبض عليه.

*لنفرض أنك لم تكن مدير السيرفر بل مجرّد عميل وموقعك هو الذي اخترق فقط, ماذا ستفعل؟
ج: سأحاول أن أستعلم عما حدث و إن تكررت حادثة الإختراق سأقوم بسحب ملفاتى (أو ما تبقى منها) و أشترك فى سيرفر أخر يشكر فيه الناس من ناحية الحماية و خدمة العملاء.

أضف تعليق

يجب عليك الاشتراك بالموقع لتتمكن من كتابة التعليقات, الاشتراك مجاني ويستغرق بضع ثوان فقط!
اذا كنت مشترك مسبقا في الموقع فضلاً قم بتسجيل الدخول.

موضوع النقاش:

درجة التهديد

التصويت

إبقى على إتصال

المتواجدون الآن