الويب العربي

الويب العربي (http://www.arabwebtalk.com/index.php)
-   أمن المعلومات (http://www.arabwebtalk.com/forumdisplay.php?f=13)
-   -   تقفى الأثر ومعرفة كيف تم الإختراق / الجزء الأول ... (http://www.arabwebtalk.com/showthread.php?t=25567)

geek4arab 10-05-2006 10:09 AM
تقفى الأثر ومعرفة كيف تم الإختراق / الجزء الأول ...
 
===================
تقفى الأثر ومعرفة كيف تم الإختراق / الجزء الأول ...

الكاتب سوبر لينكس

شبكة الامن العربي www.s4a.cc

=============================

لنفترض مثلاُ أنه تم إختراق موقعك أو موقع أحد عملائك وأحببت أن تعرف معلومات عن المخترق ومعلومات أيضاً عن طريق ماذا تم إختراقك
بصفة عامة خصوصاً لو كان المخترق عربي واخترق منتدى فقط بدون تغيير الصفحه الرئيسية
تأكد تماماً أن المخترق هو أحد تلك المسيات Script Kidz وتأكد بل وأجزم انه تم اختراقكك عن طريق المتصفح سواءً كانت ثغره في إسكربت او عن طريق تحميل إسكربتات متخصصه لعملهم
هذه أساليبهم وحيلهم !! وفي الأجزاء المتبقية سوف أشرح لكم كيفية سد أغلب الأبواب بوجه هؤلاء المسمين بـ Script Kidz
لنفترض أن هناك أسطورة قام بمحاولات إختراق ونجح في الوصول لثغرة في إسكربت ما مثل المنتديات او اسكربتات التحميل
وقام بتحميل أحد الشلات التي لم يسمع بها ولم يحصل عليها إلا عن طريق هذا الموقع
وقام بإختراق المنتدى بطريقة تظهر لك أنه أسطورة تخيل أنه قام مثلاً برفع إسكربت لكي يتصل بقاعدة البيانات انظرو كيف هي الصعوبه في هذا الأمير وقام بقراء ملف الكونفج وهاهو كيفن ميتنك يقوم بقراءة ملف الكونفج
وماذا بعد ذلك .. ؟؟؟!!
قام بتغير تيمبلت وإلصاق كود HTML فيه والجمله المشهور Hacked By
أما أنت ربما لاتملك الكثير من الخبرة لكن هيهات وهيهات
بعد أي عملية إختراق في لمح البصر لاتفكر الا في شئ واحد وهي سجلات جميع من قام بدخول موقعك وكل الروابط التي تمت زيارتها وتنفيذ الأوامر منها
وعادة تكون متواجده في احد هذه الملفات
كود PHP:
/usr/local/apache/domlogs 
أو
كود PHP:
/etc/httpd/logs 
وإذا لم تجدها أنصحك ان تقوم بقرائة ملف httpd.conf
كود PHP:
nano /etc/httpd/conf/httpd.conf 
والبحث عن طريق Ctrl +W عن CustomLog
وسوف يظهر لك أين يمكن تخزينه
ولو كانت لديك لوحة تحكم Cpanel فالأمر منتهى بكل سهولة عن طريق Raw Access Logs
تحميلها بكل سهوله وتفحص موقعك والبحث عن الإحتمالات المشبوهه وايضاً قرائة الملف سطر سطر إذا أحتجت لذلك فهذه نصيحتي لك لكي تتمكن من إكتشاف العديد من محاولات الإختراق أو كيف تم إختراقك وماهي الثغره وماهي إستثمارها والأهم من ذلك ماهو IP المخترق وفي أي بلد
أما من الناحية العملية فيمكن أن تقوم بعدة محاولات لتقفى الأثر وكشف ماهية الإختراق
كل ذلك يتم عن طريق دخول احد المجلدات إلى فوق واستعراق مافيها خصوصاً لو كان أحد المواقع المستضافة لديك
بإمكانك دخول احد هذه المجلدات وتنفيذ احد هذه الأوامر
كود PHP:
grep '_' 
كود PHP:
grep 'cmd' 
كود PHP:
grep 'UNION' 
كود PHP:
grep 'shell * 
كود PHP:
grep 'mysql' 
كود PHP:
grep '/etc * 
وما خلافه من إحتمالات المخترقين وإذا احببت أن تحصل على لسته كامله لكل الأوامر أنصحك بتعلم الإختراق والإستكشاف بنفسك فلكي تكون مؤمناً يجب أن تعرف أساليبهم
هذا اذا حاب تسوي فحص لجميع المواقع الموجوده في ملفات اللوج

لكن أنصحك أن تقوم بنسخ ملف اللوج وتحميله في الجهاز وقرائته هذا أفضل بكثيير ...
وإن شاء الله في الدرس الجاي راح أتكلم عن تقفي الأثر ولكن من باب آخر
والى عنده إستفسار يتفضل وان شاء الله كل الأخوان ماراح يقصرو
__________________
لمناقشة الدرس في المنتدى http://s4a.cc/forum/showthread.php?t=4427

Xtra-Hosting.com 11-05-2006 01:55 AM
السلام عليكم و رحمه الله و بركاته
و الله درس جميل اخوى
لكن لى تعليق بسيط فمع تقدم طرق الهكر الموجوده احب انبه ان يمكن للهاكر انه يتخطى كل الخطوات الموجوده فى الدرس بمعنى مثلا ان يمكن للهاكر ان يعدل فى بيانات shell معين و يغير اسماء ال functions الموجوده مثلا الى hacker() و بالتالى عند عمل grep على shell او اى كلمه اخرى مستعمله فى الشلات العاديه لن تجد له اى اثر
بالاضافه الى ان استعمال البروكسى هو من اساس شغل الهاكرز لكى لا يتم كشف ال ip الحقيقى لهم
و بالنسبه لل variables تبع ال mysql هناك شلات كثيره لا تكتبها فى بانر المتصفح و لذلك من الصعب كشفها اذا لم يقوم الهاكر بكتابتها فى بانر المتصفح
كما ان هناك بعض الطرق لمسح اثار الهاكرز من اللوجز و لكن هذا يطلب صلاحيه اعلى من Nobody طبعا (بدون تفصيل طبعا)
و الخلاصه هى ان الحمايه الذكيه هى ما تقوم بعمل كمائن للهاكرز و التفكير مثلهم لكى يتوقعون ما سوف يفعلون و بالتالى يكون الطريق مسدود على الهاكرز
شكرا على الموضوع و اتمنى ان تتقبل تعليقاتنا

redman 11-05-2006 11:27 AM
geek4arab
بارك الله فيك اخي درس جميل و قمة في الروعة
اخي اكستر هوت بعتقد انو قليل جدا من الهكرز العرب هؤلاء المسمين بـ Script Kidz
بيفكر بالطريقة الي انت حكيت فيها
بوافقك بفكرة استخدام البروكسي للتخفي vbmenu_register("postmenu_149576", true);

Xtra-Hosting.com 11-05-2006 09:31 PM
يا اخ redman صدقنى يوجد عرب متفوقين جدااا فى هذا المجال اكثر من الاجانب حتى و الحمد لله احنا نعرف معظمهم او كثير منهم و صدقنى هم محترفون فعلا و انا اشرح جزء من طريقه تفكير المحترفين لكى يستفيد منها اصحاب السرفرات فى تأمين انفسهم :)
شكرا لك

alsahernet 13-05-2006 05:30 PM
بارك الله فيكم جميعاً

alsahernet 13-05-2006 05:31 PM
استاذي .. عند تحميل ملف
Raw Access Logs
يظهر على شكل موجه اومر الدوس .. كيف لي ان استفيد منه ؟

العبقري 13-05-2006 05:35 PM
طريقة حلوة وتفيد شركات الحماية لأن معظم الهكرز لايقومون بتعديل الشلات يعني ياخذها جاهزة

عبدالله الحصان 13-05-2006 05:51 PM
درس جميل ومفيد
يعطيك العافيه :)

فقير الحظ 16-05-2006 08:48 AM
[\ Geek4arab /]

الله لايهينك ,,

الحاج متولى 24-05-2006 01:10 PM
درس جيد ومفيد
وظاهرة الاختراق فى هذا الايام قد اصبحت منتشرة جدا
والغريب ان بعض الاشخاص يخترقون مواقع معارفهم
يعنى الحكاية اصبح لعب عيال خالص

ميلودى للدعاية 26-05-2006 04:17 PM
مشكور اخوى

geek4arab 14-06-2006 11:13 AM
السلام عليكم

اعتذر عن انقطاعي لانشغالي

تم اضافة الدرس الثاني

على الرابط
http://www.arabwebtalk.com/showthread.php?t=27903

D3m-fny 18-06-2006 11:42 PM
طريقة حلوة وتفيد شركات الحماية لأن معظم الهكرز لايقومون بتعديل الشلات يعني ياخذها جاهزة

support_3arabawys 25-06-2006 02:36 AM
اشكرك اخي للدرش المفيد


جميع الأوقات بتوقيت مكة المكرمة. الساعة الآن » 11:29 PM.

Powered by vBulletin
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Copyright © ArabWebTalk.Com 2004-2012