مواضيع ومقالات

مقال : تحليل هجمات Gumblar و Martuz

تم أرشفة هذا المحتوى


على غرار الطريقة المعروفة والتي تسمى بحقن الأكواد (Code Injection) والتي كانت بداياتها تعتمد على حقن بعض المواد الاعلانية فى المواقع المجانية  بأكواد HTML/JAVASCRIPT الى أن تم استعمال هذه الطريقة في هجوم خاص بها و هو ما يعرف Gumblar Attack.

ما سنتطرق اليه اليوم فهو عبارة عن قفزة نوعية والذهاب الى ما هو أبعد ,فسنتكلم اليوم عن هجمات  Martuz  والتي تعتبر تكملة وتطورا نوعيا للهجمات المذكورة انفا .

في هذا النوع من الهجمات يتم حقن أكواد JAVASCRIPT بالاضافة الى  SERVER SIDE SCRIPT  ومن أشهرها  حقن أكواد البي أتش بي  (PHP Script Injection) لتحقيق اهداف معينة, حيث يقوم المهاجم باستغلال الثغرات التي تظهر في برامج التصفح على سبيل المثال لا الحصر CVE-2010-0249 وهي ثغرة معروفة في متصفح الويندوز تمكن مستغلها من فرض سيطرته على حاسب الضحية كتنزيل  Trojan.

بعد أن يتم تنزيل الدودة أو التروجان (Gumblar/Martuz Worm) على الجهاز الهدف يبدأ هذا الأخير بالبحث عن حسابات الاف تي بي (FTP credentials) المخزنة مثلا في حاسب الضحية وفي حالة اذا ما كانت مشفرة بشكل جيد يقوم  بالتنصت على أي محاولة لتسجيل الدخول , بعد أن يحصل على بيانات  FTP يقوم هذا الأخير بالولوج أويوماتكيا الى مزود الخدمة ويقوم  برفع ملفات بي أتش بي من أهمها image.php و gifimg.php والتي نجدها في مجلدات متداولة مثل … IMAGES.

قد نتسائل عن السبب وما الغرض من هذا الهجوم  العشوائي ؟!
بكل بساطة فان معلومات خوادم الأف تي بي المسروقة قد تم ارسالها الى المهاجم وقد تكون من بينها حسابات لشركات معروفة وبنوك … الخ و هذا هو ما يهم المهاجمين.
و حتى لو قام الهدف بتغيير كلمة السر أو ماشابه فان المهاجم تبقى عنده امكانية الولوج مرة أخرى الى الخادم عن طريق ملفي : gifimg.php  أو image.php  وهما عبارة عن بي أتش بي باك دوور (PHP Backdoor).

كيفية اكتشاف هذا الهجوم :

لم يفكر مطور هذا الهجوم في جعل ملفات الباك دوود مخفية عن أعين محركات البحث كاستعمال الميتا مثلا:

أو استخدام الكود التالي في ملف الروبوت  Robot.txt مثلا:

Disallow: /images/gifimg.php

لذلك فباستعمال Google اذا بحثنا عن :

inurl:”gifimg.php” intext:”404 Not Found”

أو ببساطة :

inurl:”gifimg.php”

نجد:

 

وهذا مثال أيضا على ملف الباك دوور :

ما الذي يحتويه الملف الضار ؟
ندع الكود يعبر عن نفسه :

طرق الحماية من Gumblar Attacks:

  1. تحديث Anti-Virus/Anti-Malware.
  2. تغيير كلمة السر سواء لل FTP  أو للموقع ككل.
  3. تنظيف الموقع من الملفات الضارة سواء بالبحث بأسماء الملفات مثل gifimg.php أو image.php. قد قمت بارفاق ملف شل يقوم بتنظيق السرفر (cleaner.sh) .
  4. عمل حسابات FTP  تكون صلاحياتها فقط للأماكن العامة (IMGAES/PICTURES) و كذا اعطاء خاصية (CHMOD 755) لمجلد الصور على سبيل المثال بحث اذا قدر الله ورفعت الملفات الضارة الى موقعك فان المهاجم لن يتمكن من الولوج الى باقي الموقع.
  5. تعطيل البي اتش بي في الأماكن التي أدعوها بالعامة:
  • كمجلدات الصور والملفات الغير قابلة للتنفيذ مثل : images / img / pictures …
  • وايضا في مجلدات رفع الملفات : upload / up / uploads …

عن طريق  .htaccess في المجلد المراد حمايته  :

RemoveHandler .php .phtml .php3
RemoveType .php .phtml .php3
php_flag engine off

الملفات المرفقة: Cleaner.sh

 

عن الكاتب:


محمد الأمين شموري , مهندس اللكترونيات واتصالات , هاوي برمجة وأمن المعلومات بشكل عام(Penetration Tester Pro).

مقالات ذات صلة

‫15 تعليقات

  1. جميل جدًا أخوي محمد ما قدمت ولكن ما تكلمت عنه ليس واضحاً لأول مره ,يجب أن يقرأه الشخص أكثر من مره وبتركيز ,,

    أتمنى لو طرحت المقال بشكل أسهل لكي أستوعب أكثر ^^
    تحياتي لك وننتظر المزيد منك 🙂

  2. السلام عليكم ورجمة الله وبركاته

    أخي وأستاذي محمد الدهيمي

    أولا نعتذر عن جرأتنا في حضرت أساتذتنا

    وان شاء الله سنحسن من طريقة سردنا للمقالات وكذا تبسيطها ليتمكن الكل من فهمها

    أما ادا كان هناك تساؤل فعلى الرحب والسعة و يا حيهلا بأي ملاحظات.

  3. رائع اخوي الا الامام

    كمبيوترات , والاحترام , بناتيادخل , والمعلومات , وووووومركز , الإحتياجات , سفاجاونقوم , والمسابقات , والمستجدات , الإلكترونية , مــنــتــدى , اتصالاتوليه , درب , نسعى , والصلاح , هذة , الرمال , إصبع , الوقت , أثبتت , والباص , فانتقلت , مايسركم , الأصحاب , ماتحتاجونه , وشد , البطن , والوجه , الدهون , والوشم , بالطرق , والبوتكس , والمكتسبة , العين , الحكم , ادخلو , دوحة , خطاك , اجتماعية , عجيبة , حلوان , المميزة , دومينات , مبادرة , الفائدة , الحصرية , ريح , 5555 , همت , نبع , عرس , فـيـ , وتحدث , ويضم , والا , ومليء , ارخص , أرض , راس , يحكي , مصرف , مزاد , ووجه , تحدى , جروح , أمر , تطل , هنا , الطرب , الا , ولم , هذي , الحلم , بكامل , مـآ , يهم , تدريبي , يديك , مقهى , عمرو , مفصول , تقني , آلاف , مرحبا , زاد , قرى , النجاح , وسعة , اعلانك , مناظر , الرياضيات , دليلك , وانترنت , سيرة , يطرحونها , اسكريبتات , المجلة , احمر , ويوفر , ولايات , عيال قريه , المغربي , سكران , الامام , كافيهـ , الاستثماريه , الدش , الاطفال , الفيصل , واجمل , والخارج , صراع , واهتمام , المتنوعة , دين , امارتي , وأكثر , عيادة , بالاعضاء , سـفـيـر , وكويتيه , تصف , بالقران , الطبيه , الامور , اضافتها , والمبدعات , علميه , الرس , منتديا , زوار , فورد , وعلمية , عشر , المشاهد , مايتعلق , سلع , ومايخص , نافذة , كثيرة , إيجيبت , دنيا , بعض , جنوبيه , لنرتقى , بلاعضاء , أضف , ماتحبه , رومنسيه , آيـدآعـ , اليد , ومتخصصة , بمراسلتي , الديانات , الرومانسية , واسلميات , نويك , أكاديمي , كوبس , عطورات , البنرات , فكاهية , الزوجة , الاجتماعيه , تشاركنا , والبحرية , وتحدي , رااائع , نوكي , ووترفيهية , وتعليمية , وتقطيع , والأخبار , والصورة , الخبراء , العلماء , المختلفه , آلكـمـبـيـوتـر , لحن , سعيد , منتدانا , ومنوعات , تركيب , وتسالي , بعد , بلاستيشن , بمادة , واجتماعية , حربية , وفتح , بالكتاب , دقائق , أمريكية , الناس , رواء , الإلكتروني , بروغ , الحرة , زيارتكم , ونثر , فيصل , وصوتي , بالأحرى , الأزياء , جسور , غنج , نفسك , وجرافكس , شظايا , منكم , طريقة , بجيمع , يبين , وحلقة , الفرص , دردشـأت , قارئ , أحبك , ريمكسات , إجتماعي , مايهزك , الأساسي , لمسه , وروق , الفله , عزيز , اشبك , وهذا , شفط , شكر , أسهم , ايسر , مابه , وطن , الصيغ , تحوي , النور , معا , وصحف , كشخه , أدخل , حسن , اخي , موسى مصطفى , حفر , لينا , كـل , صيد , تقاليد , بخط , نضع , جروحك , معى , جرأة , شرف , الأسماعيلي , ستة , لأهل , أراضي , سباق , ليصل , تفجير , تبغاة , تخسر , اسود , كلك , ضاعف , جبر , شراء , آحسـآس , وشكر , وطفل , شحن , افلام هندية , وشعر , عاملنا , شقاوة , جاد , نلتقي , والانتربنك , ونتديات , غصون , والزوار , الوناسة , بالمجان , رجالي , والتقطيع , طولكرم , توبكات , واهلاً , الفتيات , آبـدآعـ , عديدة , وبلتوث , مشارى , والماجستير , الدلتا , البانرات , الاعلانات , إبداعاتهم , بالوطن , الكبار , الإعلان , لنطاقات , مغريه , ومقالب , مصورة , يتناول , رائعة , دبيلو , وأحدثها , متابعة , بتضيع , جّـنَـائـِنْ , عالمي , والشركات , المتحدة , للاتصالات , ساخرة , الكلام , راحتكم , باللغة , حسوسه , كاملة , بالمملكة , لعروض , وترفيهي , باوزير , ونخبة , لاشهار , بشفافيه , استيلات , العلمى , الالكترونى , يساعدك , والتفاعل , إبداعية , أكسسوارات , مايحتاجه , ستايل , إسلام , النمسا , وواجهات , استقطاب , مسلسل , والفتى , المكياج , دينه , جانب , أكيد , تناسبك , بقية , هندية , تكتب , تلبيس , كمال , اعجابكم , لخدمه , تـسـليـهـ , دردشـــة , والى , حقال , أنواعها , مزنه , الأستضافة , بصفة , بشعراء , وتطويرية , فردية , بفكر , مقابل , مسلمة , برنس , الرحمة , عشاب , مائه , الشفرات , تمنى , لوحات , الفنيه , وترفهية , ولقد , العاصمه , عدن , سلالة , الجادة , وفن , إثرائي , مشاريع , نتشرف , وطبخ , الغد , وفي , مفروشه , لفك , وقريبا , وعرائس , السكربتات , وقتا , النادرة , للمعاطف , والترفيهي , اوراق , دبع , قوية , هديل , والمقالات , ونحن , مطير , فيرجى , أصوات , الملاعب , السودانية , عاشقة , الحاره , وعرض , شاعر , فلسطيــني , العقم , استقبال , برقا , والحوارات , يتحدى , قرب , كادرا , وجهات , زواجات , والحصول , اشتراكات , تميم , مقع , كلوو , خدمه , النفسية , ارض , للبيع , استاذ , فــله , زوارك , الدردشه , محاورات , تثقيفي , تسوق , والمصطلحات , مجنون , أسرة , اجتماعيه , ورام , ميسر , فويس , أنمي , عيال , قمنا , جداً , جرح , حمايه , محبب , التوقف , مخطط , الأغذية , العقارات , وحصريا , اظغط , اخباريه , النيوك , ثقافة , هزا , والمفيدة , عنك , تتميز , إفتيكاسى , بدلا , بوعي , العناية , بسرعه , خـوآطـر , والساحه , والعرب , قران , عذب , سيات , اسطواناات , يـخـصـ , فكن , تخصصي , معلمات , الانترت , حروف , وتشوف , فيك , الحق , ملك , واسعار , صفحة , متديات , ورياضة , 2600 , ومعادلة , أمثال , الأجيال ,

    منتديات الحرف الاخير

  4. شيء مفيد للـ >> Black Hats 😀
    أظن ان الملف image.php يحتوي على معلومات FTP مشفرة بالهيكس ..
    و أظن 100% أن مبرمج الدودة عمل بوت ينشر تعليق يحتوي على رابط صفحة ملغمة على مدونات ويردبريس لان ملف gifimg متواجد بكثرة على مواقع مركبة سكريبت وبردبريس :d

    و رأيت أيضا مواقع عربية يوجد عليها الملف يعني ويب مسترز العرب أيضا >> x0
    دودة لا اظن ان صنعها صعب 😛 ..
    و رأيت في احدى المواقع ان إستعمال SFTP أحسن و لله اعلم..
    لانعرف كيف يأخذ الفيروس معلومات Dump او Sniff
    و ثانكيوا ..

  5. شكراا على التنبيه

    بانسبة لقولك انه لم يعمل حساب لمحركات البحث يمكن انه تعمد ابقائها في محركات البحت

    كما ان طرق الحماية التى اقترحتها ارى انها ضعيفة

    في ميزان حسناتك اخي الكريم

    واصــــــــــــــل

    باتوفيق للجميع

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى