تقفى الأثر ومعرفة كيف تم الإختراق / الجزء الأول ...

geek4arab · #1 10-05-2006, 10:09 AM

===================
تقفى الأثر ومعرفة كيف تم الإختراق / الجزء الأول ...

الكاتب سوبر لينكس

شبكة الامن العربي www.s4a.cc

=============================

لنفترض مثلاُ أنه تم إختراق موقعك أو موقع أحد عملائك وأحببت أن تعرف معلومات عن المخترق ومعلومات أيضاً عن طريق ماذا تم إختراقك
بصفة عامة خصوصاً لو كان المخترق عربي واخترق منتدى فقط بدون تغيير الصفحه الرئيسية
تأكد تماماً أن المخترق هو أحد تلك المسيات Script Kidz وتأكد بل وأجزم انه تم اختراقكك عن طريق المتصفح سواءً كانت ثغره في إسكربت او عن طريق تحميل إسكربتات متخصصه لعملهم
هذه أساليبهم وحيلهم !! وفي الأجزاء المتبقية سوف أشرح لكم كيفية سد أغلب الأبواب بوجه هؤلاء المسمين بـ Script Kidz
لنفترض أن هناك أسطورة قام بمحاولات إختراق ونجح في الوصول لثغرة في إسكربت ما مثل المنتديات او اسكربتات التحميل
وقام بتحميل أحد الشلات التي لم يسمع بها ولم يحصل عليها إلا عن طريق هذا الموقع
وقام بإختراق المنتدى بطريقة تظهر لك أنه أسطورة تخيل أنه قام مثلاً برفع إسكربت لكي يتصل بقاعدة البيانات انظرو كيف هي الصعوبه في هذا الأمير وقام بقراء ملف الكونفج وهاهو كيفن ميتنك يقوم بقراءة ملف الكونفج
وماذا بعد ذلك .. ؟؟؟!!
قام بتغير تيمبلت وإلصاق كود HTML فيه والجمله المشهور Hacked By
أما أنت ربما لاتملك الكثير من الخبرة لكن هيهات وهيهات
بعد أي عملية إختراق في لمح البصر لاتفكر الا في شئ واحد وهي سجلات جميع من قام بدخول موقعك وكل الروابط التي تمت زيارتها وتنفيذ الأوامر منها
وعادة تكون متواجده في احد هذه الملفات

كود PHP:


			
/usr/local/apache/domlogs

أو

كود PHP:


			
/etc/httpd/logs

وإذا لم تجدها أنصحك ان تقوم بقرائة ملف httpd.conf

كود PHP:


			
nano /etc/httpd/conf/httpd.conf

والبحث عن طريق Ctrl +W عن CustomLog
وسوف يظهر لك أين يمكن تخزينه
ولو كانت لديك لوحة تحكم Cpanel فالأمر منتهى بكل سهولة عن طريق Raw Access Logs
تحميلها بكل سهوله وتفحص موقعك والبحث عن الإحتمالات المشبوهه وايضاً قرائة الملف سطر سطر إذا أحتجت لذلك فهذه نصيحتي لك لكي تتمكن من إكتشاف العديد من محاولات الإختراق أو كيف تم إختراقك وماهي الثغره وماهي إستثمارها والأهم من ذلك ماهو IP المخترق وفي أي بلد
أما من الناحية العملية فيمكن أن تقوم بعدة محاولات لتقفى الأثر وكشف ماهية الإختراق
كل ذلك يتم عن طريق دخول احد المجلدات إلى فوق واستعراق مافيها خصوصاً لو كان أحد المواقع المستضافة لديك
بإمكانك دخول احد هذه المجلدات وتنفيذ احد هذه الأوامر

كود PHP:


			
grep '_' *

كود PHP:


			
grep 'cmd' *

كود PHP:


			
grep 'UNION' *

كود PHP:


			
grep 'shell *

كود PHP:


			
grep 'mysql' *

كود PHP:


			
grep '/etc *

وما خلافه من إحتمالات المخترقين وإذا احببت أن تحصل على لسته كامله لكل الأوامر أنصحك بتعلم الإختراق والإستكشاف بنفسك فلكي تكون مؤمناً يجب أن تعرف أساليبهم
هذا اذا حاب تسوي فحص لجميع المواقع الموجوده في ملفات اللوج

لكن أنصحك أن تقوم بنسخ ملف اللوج وتحميله في الجهاز وقرائته هذا أفضل بكثيير ...
وإن شاء الله في الدرس الجاي راح أتكلم عن تقفي الأثر ولكن من باب آخر
والى عنده إستفسار يتفضل وان شاء الله كل الأخوان ماراح يقصرو
__________________
لمناقشة الدرس في المنتدى http://s4a.cc/forum/showthread.php?t=4427

Xtra-Hosting.com · #2 11-05-2006, 01:55 AM

السلام عليكم و رحمه الله و بركاته
و الله درس جميل اخوى
لكن لى تعليق بسيط فمع تقدم طرق الهكر الموجوده احب انبه ان يمكن للهاكر انه يتخطى كل الخطوات الموجوده فى الدرس بمعنى مثلا ان يمكن للهاكر ان يعدل فى بيانات shell معين و يغير اسماء ال functions الموجوده مثلا الى hacker() و بالتالى عند عمل grep على shell او اى كلمه اخرى مستعمله فى الشلات العاديه لن تجد له اى اثر
بالاضافه الى ان استعمال البروكسى هو من اساس شغل الهاكرز لكى لا يتم كشف ال ip الحقيقى لهم
و بالنسبه لل variables تبع ال mysql هناك شلات كثيره لا تكتبها فى بانر المتصفح و لذلك من الصعب كشفها اذا لم يقوم الهاكر بكتابتها فى بانر المتصفح
كما ان هناك بعض الطرق لمسح اثار الهاكرز من اللوجز و لكن هذا يطلب صلاحيه اعلى من Nobody طبعا (بدون تفصيل طبعا)
و الخلاصه هى ان الحمايه الذكيه هى ما تقوم بعمل كمائن للهاكرز و التفكير مثلهم لكى يتوقعون ما سوف يفعلون و بالتالى يكون الطريق مسدود على الهاكرز
شكرا على الموضوع و اتمنى ان تتقبل تعليقاتنا

redman · #3 11-05-2006, 11:27 AM

geek4arab
بارك الله فيك اخي درس جميل و قمة في الروعة
اخي اكستر هوت بعتقد انو قليل جدا من الهكرز العرب هؤلاء المسمين بـ Script Kidz
بيفكر بالطريقة الي انت حكيت فيها
بوافقك بفكرة استخدام البروكسي للتخفي vbmenu_register("postmenu_149576", true);

Xtra-Hosting.com · #4 11-05-2006, 09:31 PM

يا اخ redman صدقنى يوجد عرب متفوقين جدااا فى هذا المجال اكثر من الاجانب حتى و الحمد لله احنا نعرف معظمهم او كثير منهم و صدقنى هم محترفون فعلا و انا اشرح جزء من طريقه تفكير المحترفين لكى يستفيد منها اصحاب السرفرات فى تأمين انفسهم

شكرا لك

alsahernet · #5 13-05-2006, 05:30 PM

بارك الله فيكم جميعاً

alsahernet · #6 13-05-2006, 05:31 PM

استاذي .. عند تحميل ملف
Raw Access Logs
يظهر على شكل موجه اومر الدوس .. كيف لي ان استفيد منه ؟

العبقري · #7 13-05-2006, 05:35 PM

طريقة حلوة وتفيد شركات الحماية لأن معظم الهكرز لايقومون بتعديل الشلات يعني ياخذها جاهزة

عبدالله الحصان · #8 13-05-2006, 05:51 PM

درس جميل ومفيد
يعطيك العافيه

فقير الحظ · #9 16-05-2006, 08:48 AM

[\ Geek4arab /]

الله لايهينك ,,

الحاج متولى · #10 24-05-2006, 01:10 PM

درس جيد ومفيد
وظاهرة الاختراق فى هذا الايام قد اصبحت منتشرة جدا
والغريب ان بعض الاشخاص يخترقون مواقع معارفهم
يعنى الحكاية اصبح لعب عيال خالص

ميلودى للدعاية · #11 26-05-2006, 04:17 PM

مشكور اخوى

geek4arab · #12 14-06-2006, 11:13 AM

السلام عليكم

اعتذر عن انقطاعي لانشغالي

تم اضافة الدرس الثاني

على الرابط
http://www.arabwebtalk.com/showthread.php?t=27903

D3m-fny · #13 18-06-2006, 11:42 PM

طريقة حلوة وتفيد شركات الحماية لأن معظم الهكرز لايقومون بتعديل الشلات يعني ياخذها جاهزة

support_3arabawys · #14 25-06-2006, 02:36 AM

اشكرك اخي للدرش المفيد