[geek4arab]

===================
تقفى الأثر ومعرفة كيف تم الإختراق / الجزء الأول ...

الكاتب سوبر لينكس

شبكة الامن العربي www.s4a.cc

=============================

لنفترض مثلاُ أنه تم إختراق موقعك أو موقع أحد عملائك وأحببت أن تعرف معلومات عن المخترق ومعلومات أيضاً عن طريق ماذا تم إختراقك
بصفة عامة خصوصاً لو كان المخترق عربي واخترق منتدى فقط بدون تغيير الصفحه الرئيسية
تأكد تماماً أن المخترق هو أحد تلك المسيات Script Kidz وتأكد بل وأجزم انه تم اختراقكك عن طريق المتصفح سواءً كانت ثغره في إسكربت او عن طريق تحميل إسكربتات متخصصه لعملهم
هذه أساليبهم وحيلهم !! وفي الأجزاء المتبقية سوف أشرح لكم كيفية سد أغلب الأبواب بوجه هؤلاء المسمين بـ Script Kidz
لنفترض أن هناك أسطورة قام بمحاولات إختراق ونجح في الوصول لثغرة في إسكربت ما مثل المنتديات او اسكربتات التحميل
وقام بتحميل أحد الشلات التي لم يسمع بها ولم يحصل عليها إلا عن طريق هذا الموقع
وقام بإختراق المنتدى بطريقة تظهر لك أنه أسطورة تخيل أنه قام مثلاً برفع إسكربت لكي يتصل بقاعدة البيانات انظرو كيف هي الصعوبه في هذا الأمير وقام بقراء ملف الكونفج وهاهو كيفن ميتنك يقوم بقراءة ملف الكونفج
وماذا بعد ذلك .. ؟؟؟!!
قام بتغير تيمبلت وإلصاق كود HTML فيه والجمله المشهور Hacked By
أما أنت ربما لاتملك الكثير من الخبرة لكن هيهات وهيهات
بعد أي عملية إختراق في لمح البصر لاتفكر الا في شئ واحد وهي سجلات جميع من قام بدخول موقعك وكل الروابط التي تمت زيارتها وتنفيذ الأوامر منها
وعادة تكون متواجده في احد هذه الملفات

كود PHP:

/usr/local/apache/domlogs 


أو

كود PHP:

/etc/httpd/logs 


وإذا لم تجدها أنصحك ان تقوم بقرائة ملف httpd.conf

كود PHP:

nano /etc/httpd/conf/httpd.conf 


والبحث عن طريق Ctrl +W عن CustomLog
وسوف يظهر لك أين يمكن تخزينه
ولو كانت لديك لوحة تحكم Cpanel فالأمر منتهى بكل سهولة عن طريق Raw Access Logs
تحميلها بكل سهوله وتفحص موقعك والبحث عن الإحتمالات المشبوهه وايضاً قرائة الملف سطر سطر إذا أحتجت لذلك فهذه نصيحتي لك لكي تتمكن من إكتشاف العديد من محاولات الإختراق أو كيف تم إختراقك وماهي الثغره وماهي إستثمارها والأهم من ذلك ماهو IP المخترق وفي أي بلد
أما من الناحية العملية فيمكن أن تقوم بعدة محاولات لتقفى الأثر وكشف ماهية الإختراق
كل ذلك يتم عن طريق دخول احد المجلدات إلى فوق واستعراق مافيها خصوصاً لو كان أحد المواقع المستضافة لديك
بإمكانك دخول احد هذه المجلدات وتنفيذ احد هذه الأوامر

كود PHP:

grep '_' * 


كود PHP:

grep 'cmd' * 


كود PHP:

grep 'UNION' * 


كود PHP:

grep 'shell * 


كود PHP:

grep 'mysql' * 


كود PHP:

grep '/etc * 


وما خلافه من إحتمالات المخترقين وإذا احببت أن تحصل على لسته كامله لكل الأوامر أنصحك بتعلم الإختراق والإستكشاف بنفسك فلكي تكون مؤمناً يجب أن تعرف أساليبهم
هذا اذا حاب تسوي فحص لجميع المواقع الموجوده في ملفات اللوج

لكن أنصحك أن تقوم بنسخ ملف اللوج وتحميله في الجهاز وقرائته هذا أفضل بكثيير ...
وإن شاء الله في الدرس الجاي راح أتكلم عن تقفي الأثر ولكن من باب آخر
والى عنده إستفسار يتفضل وان شاء الله كل الأخوان ماراح يقصرو
__________________
لمناقشة الدرس في المنتدى http://s4a.cc/forum/showthread.php?t=4427