PDA

مشاهدة نسخة كاملة : تقفى الأثر ومعرفة كيف تم الإختراق / الجزء الأول ...


geek4arab
10-05-2006, 10:09 AM
===================
تقفى الأثر ومعرفة كيف تم الإختراق / الجزء الأول ...

الكاتب سوبر لينكس

شبكة الامن العربي www.s4a.cc (http://www.s4a.cc)

=============================

لنفترض مثلاُ أنه تم إختراق موقعك أو موقع أحد عملائك وأحببت أن تعرف معلومات عن المخترق ومعلومات أيضاً عن طريق ماذا تم إختراقك
بصفة عامة خصوصاً لو كان المخترق عربي واخترق منتدى فقط بدون تغيير الصفحه الرئيسية
تأكد تماماً أن المخترق هو أحد تلك المسيات Script Kidz وتأكد بل وأجزم انه تم اختراقكك عن طريق المتصفح سواءً كانت ثغره في إسكربت او عن طريق تحميل إسكربتات متخصصه لعملهم
هذه أساليبهم وحيلهم !! وفي الأجزاء المتبقية سوف أشرح لكم كيفية سد أغلب الأبواب بوجه هؤلاء المسمين بـ Script Kidz
لنفترض أن هناك أسطورة قام بمحاولات إختراق ونجح في الوصول لثغرة في إسكربت ما مثل المنتديات او اسكربتات التحميل
وقام بتحميل أحد الشلات التي لم يسمع بها ولم يحصل عليها إلا عن طريق هذا الموقع
وقام بإختراق المنتدى بطريقة تظهر لك أنه أسطورة تخيل أنه قام مثلاً برفع إسكربت لكي يتصل بقاعدة البيانات انظرو كيف هي الصعوبه في هذا الأمير وقام بقراء ملف الكونفج وهاهو كيفن ميتنك يقوم بقراءة ملف الكونفج
وماذا بعد ذلك .. ؟؟؟!!
قام بتغير تيمبلت وإلصاق كود HTML فيه والجمله المشهور Hacked By
أما أنت ربما لاتملك الكثير من الخبرة لكن هيهات وهيهات
بعد أي عملية إختراق في لمح البصر لاتفكر الا في شئ واحد وهي سجلات جميع من قام بدخول موقعك وكل الروابط التي تمت زيارتها وتنفيذ الأوامر منها
وعادة تكون متواجده في احد هذه الملفات
/usr/local/apache/domlogs
أو
/etc/httpd/logs

وإذا لم تجدها أنصحك ان تقوم بقرائة ملف httpd.conf
nano /etc/httpd/conf/httpd.conf
والبحث عن طريق Ctrl +W عن CustomLog
وسوف يظهر لك أين يمكن تخزينه
ولو كانت لديك لوحة تحكم Cpanel فالأمر منتهى بكل سهولة عن طريق Raw Access Logs
تحميلها بكل سهوله وتفحص موقعك والبحث عن الإحتمالات المشبوهه وايضاً قرائة الملف سطر سطر إذا أحتجت لذلك فهذه نصيحتي لك لكي تتمكن من إكتشاف العديد من محاولات الإختراق أو كيف تم إختراقك وماهي الثغره وماهي إستثمارها والأهم من ذلك ماهو IP المخترق وفي أي بلد
أما من الناحية العملية فيمكن أن تقوم بعدة محاولات لتقفى الأثر وكشف ماهية الإختراق
كل ذلك يتم عن طريق دخول احد المجلدات إلى فوق واستعراق مافيها خصوصاً لو كان أحد المواقع المستضافة لديك
بإمكانك دخول احد هذه المجلدات وتنفيذ احد هذه الأوامر
grep '_' *
grep 'cmd' *
grep 'UNION' *
grep 'shell *
grep 'mysql' *
grep '/etc *

وما خلافه من إحتمالات المخترقين وإذا احببت أن تحصل على لسته كامله لكل الأوامر أنصحك بتعلم الإختراق والإستكشاف بنفسك فلكي تكون مؤمناً يجب أن تعرف أساليبهم
هذا اذا حاب تسوي فحص لجميع المواقع الموجوده في ملفات اللوج

لكن أنصحك أن تقوم بنسخ ملف اللوج وتحميله في الجهاز وقرائته هذا أفضل بكثيير ...
وإن شاء الله في الدرس الجاي راح أتكلم عن تقفي الأثر ولكن من باب آخر
والى عنده إستفسار يتفضل وان شاء الله كل الأخوان ماراح يقصرو
__________________
لمناقشة الدرس في المنتدى http://s4a.cc/forum/showthread.php?t=4427

Xtra-Hosting.com
11-05-2006, 01:55 AM
السلام عليكم و رحمه الله و بركاته
و الله درس جميل اخوى
لكن لى تعليق بسيط فمع تقدم طرق الهكر الموجوده احب انبه ان يمكن للهاكر انه يتخطى كل الخطوات الموجوده فى الدرس بمعنى مثلا ان يمكن للهاكر ان يعدل فى بيانات shell معين و يغير اسماء ال functions الموجوده مثلا الى hacker() و بالتالى عند عمل grep على shell او اى كلمه اخرى مستعمله فى الشلات العاديه لن تجد له اى اثر
بالاضافه الى ان استعمال البروكسى هو من اساس شغل الهاكرز لكى لا يتم كشف ال ip الحقيقى لهم
و بالنسبه لل variables تبع ال mysql هناك شلات كثيره لا تكتبها فى بانر المتصفح و لذلك من الصعب كشفها اذا لم يقوم الهاكر بكتابتها فى بانر المتصفح
كما ان هناك بعض الطرق لمسح اثار الهاكرز من اللوجز و لكن هذا يطلب صلاحيه اعلى من Nobody طبعا (بدون تفصيل طبعا)
و الخلاصه هى ان الحمايه الذكيه هى ما تقوم بعمل كمائن للهاكرز و التفكير مثلهم لكى يتوقعون ما سوف يفعلون و بالتالى يكون الطريق مسدود على الهاكرز
شكرا على الموضوع و اتمنى ان تتقبل تعليقاتنا

redman
11-05-2006, 11:27 AM
geek4arab (http://www.arabwebtalk.com/member.php?u=15567)
بارك الله فيك اخي درس جميل و قمة في الروعة
اخي اكستر هوت بعتقد انو قليل جدا من الهكرز العرب هؤلاء المسمين بـ Script Kidz
بيفكر بالطريقة الي انت حكيت فيها
بوافقك بفكرة استخدام البروكسي للتخفي vbmenu_register("postmenu_149576", true);

Xtra-Hosting.com
11-05-2006, 09:31 PM
يا اخ redman صدقنى يوجد عرب متفوقين جدااا فى هذا المجال اكثر من الاجانب حتى و الحمد لله احنا نعرف معظمهم او كثير منهم و صدقنى هم محترفون فعلا و انا اشرح جزء من طريقه تفكير المحترفين لكى يستفيد منها اصحاب السرفرات فى تأمين انفسهم :)
شكرا لك

alsahernet
13-05-2006, 05:30 PM
بارك الله فيكم جميعاً

alsahernet
13-05-2006, 05:31 PM
استاذي .. عند تحميل ملف
Raw Access Logs
يظهر على شكل موجه اومر الدوس .. كيف لي ان استفيد منه ؟

العبقري
13-05-2006, 05:35 PM
طريقة حلوة وتفيد شركات الحماية لأن معظم الهكرز لايقومون بتعديل الشلات يعني ياخذها جاهزة

عبدالله الحصان
13-05-2006, 05:51 PM
درس جميل ومفيد
يعطيك العافيه :)

فقير الحظ
16-05-2006, 08:48 AM
[\ Geek4arab /]

الله لايهينك ,,

الحاج متولى
24-05-2006, 01:10 PM
درس جيد ومفيد
وظاهرة الاختراق فى هذا الايام قد اصبحت منتشرة جدا
والغريب ان بعض الاشخاص يخترقون مواقع معارفهم
يعنى الحكاية اصبح لعب عيال خالص

ميلودى للدعاية
26-05-2006, 04:17 PM
مشكور اخوى

geek4arab
14-06-2006, 11:13 AM
السلام عليكم

اعتذر عن انقطاعي لانشغالي

تم اضافة الدرس الثاني

على الرابط
http://www.arabwebtalk.com/showthread.php?t=27903

D3m-fny
18-06-2006, 11:42 PM
طريقة حلوة وتفيد شركات الحماية لأن معظم الهكرز لايقومون بتعديل الشلات يعني ياخذها جاهزة

support_3arabawys
25-06-2006, 02:36 AM
اشكرك اخي للدرش المفيد