سم الله الرحمن الرحيم
حادثة اختراق: استخدام السرفر لتنزيل البرامج و الافلام
**** أحداث هذه قصة خيالية ولكنها قد تتكرر مع اختلافات بسيطة مع بعض الناس, و هي محاولة لتغيير اسلوب الكتابة لجعله ممتع أكثر من غيره. ان اردت تنفيذ ما سيتم ذكره في هذه القصة و في غيرها فنفذفه على مسؤوليتك ****
جمال, شاب طموح في الرابعة و العشرين من العمر, قام مؤخراً باستئجار سرفر من احدى شركات الاستضافة الكبرى في محاولة لدخول هذا السوق و لزيادة معلوماته في هذا المجال. معلومات جمال الامنية لم تكن كثيرة, فلم يكن يهتم بترقية البرامج المستخدمة في السرفر الذي توقعه ان يكون آمناً بدون ان يهتم به.
بعد بحث طويل و مراجعة اسعار و سمعة شركات استضافة عديدة , قرر ان يأخذ سرفر لنكس رد هات 7.2 بمعالج 1.7 من بنتيوم 4 مع ذاكرة 512 ميغا بايت و قرص صلب من نوع SCSI بحجم 18 جيجا بايت, والاكثر اثارة هو ان الباندودث كان 500 جيجا في الشهر! مع لوحة التحكم التي جاءت مع السرفر و هي Ensim 3.1.
بدأ مشروع جمال بالنجاح حيث انه استضاف 7 مواقع في اقل من شهر و أحس انه بدأ بتكوين سمعة بين اصدقاءه, الى ان جاء هذا اليوم الاسود.
تلقى جمال اتصال هاتفي من احد اصدقاءه الذي يستأجر منه مساحة في سرفره يشتكي من أن الباندودث الخاص بموقعه قد انتهى! مع انه في اول اسبوع من الشهر الجديد و موقعه ليس من المواقع التي تشهد اقبال شديد بعد!. أخبره جمال انه سيتأكد من الوضع بعد قليل و يرد عليه. لم تمر دقائق حتى اتصل به آخرون من الذين لديهم مساحة ايضا في سرفره يشتكون من نفس المسألة. هنا أحس جمال ان هناك أمراً وراء الموضوع فقرر ان يعود الى الحساب الخاص به ليتأكد من كل شي بالتفصيل.
بدأ جمال بتفحص الباندودث المستخدم, فوجده قد قارب على الانتهاء! اكثر من 400 جيجا في اقل من اسبوع! بدأ قلب جمال يدق بقوة و هو يسأل نفسه, ماذا حصل بالضبط؟ و كيف لي ان اكمل بقية الشهر بدون باندودث! لم يستطع التركيز وقتها و لم يعلم بماذا يبدأ و ماذا يفعل بالضبط, كل مافعله هو ان اتصل بصديقه محمد الذي لديه خبرة جيدة في اللنكس و اخبره بما حصل, أخبره محمد أنه سيأتي خلال ساعة اليه ليرى الوضع بالتفصيل و طلب منه اغلاق جميع الخدمات المستخدمة في السرفر عدا الSSH لحين قدومه.
ماذا حصل لسرفر جمال؟
ماهي الخطوات المناسبة التي يجب ان تتخذ في هذه الحالة؟
لنكمل معاً..
بعد ساعة تقريباً وصل محمد الى مكتب منزل جمال الذي كان منزعجاً للغاية, فهدأه محمد و طلب منه مزيداً من التفاصيل حتى يصلوا الى الكمبيوتر الخاص بجمال, فلم يزده جمال شيئاً غير ما يعرف. جلس محمد و بدأ باستخدام حساب الرووت في الssh للدخول الى السرفر ليرى ماهو الوضع.
ادخل الامر df لمعرفة نسبة استخدام القرص الصلب, فأخبره محمد انها نسبة كبيرة ليست من المفرض ان تكون بهذا الحجم. فعرف محمد ان احتمال اختراق سرفر جمال امر وارد و ان المخترقين استخدموه لوضع ملفات موسيقى او افلام ليتم مبادلتها على الانترنت و استخدام الباندودث الخاص بسرفر جمال لها الغرض.
أغلب المخترقين يرغبون في الرجوع مرة اخرى باسلوب خفي نوعاً ما, و في الغالب فانهم يستخدمون برامج تقوم بخداع السؤول عن النظام فلا يعرف ان كان جهازه قد تم اختراقه ام لا, هذه البرامج تعرف باسم rootkits فهي تقوم ب"تعديل" بعض الاوامر مثل امر ls لعرض بعض الملفات و المجلدات دون غيرها, و في العادة فان الملفات و المجلدات الخاصة بالمخترق لن تعرض! قرر محمد في البداية ان يتأكد من استخدام هذه البرامج, فنزل نسخة حديثة من Chkrootkit لكشف هذه البرامج و استخدمه بسرعة, و كما توقع فقد وجد الناتج التالي مع بعض الامور:
Warning: Bogus unix lines detected
علم محمد ان سرفر جمال قد تم اختراقه و تعديل بعض الامور في السرفر و أبسط و أأمن طريقة لاسترجاع السرفر مرة اخرى بشكل مضمون هو اعادة تنصيب النظام بعد عملية فورمات. لكنه قرر ان يكمل المشوار والبحث عن الامور التي تم تعديلها, خصوصاً بعد ان عرف من جمال انه لم يقم بترقية الخدمات الموجودة ابداً.
ادخل محمد الامر التالي:
cat /etc/passwd
و شاهد اسماء غريبة للمستخدمين مثل mysqi , noone فسأل جمال ان كان الذين يستضيفهم يملكون هذه الحسابات فأجاب بالنفي, فأكمل بالاوامر التالية:
cat /etc/shadow
cat /etc/groups
وجدهم في تلك الملفات ايضاً, فأخذ ورقة خارجية و دون هذه المعلومات و فتح محرره المفضل البيسط vi و بدأ بمسح السطور الخاصة بهذه الحسابات.
نفّذ محمد الامر التالي لمعرفة من دخل على السرفر و في اي وقت
last
فوجد احد هذه الحسابات قد دخل و دوّن الوقت الذي دخل فيه في ورقة خارجية و اكمل العمل
أراد محمد ان يعرف ماذا فعل المخترق بالضبط , فنفذ الامر التالي لمعرفة مكان ملف السجل الخاص بالاوامر المستخدمة
find / -name .bash_history
وجد ملف .bash_history للحسابين السابقين و دوّن في ورقة خارجية جميع الاوامر المذكورة و التي تم استخدامها من قبلهم.
يعلم محمد ان ملفات الlog هي أهم الملفات في هذه الحالة, لانها توضح ماذا حصل للنظام بالتفصيل, فأراد ان يرى ماهي الخدمات تعمل حالياً غير التي قام جمال بأغلاقها, فنفّذ الامر التالي:
ps -aux |grep syslogd
لم يجد syslogd في النتيجة, علم ان الوضع غي رطبيعي فهذا البرنامج الخاص بتسجيل الlog للنظام , و من الطبيعي ان يراه يعمل, فمن قام باغلاقه؟! الجواب معروف, لكي لا يتم تسجيل المزيد من المحاولات من قبل المخترق في النظام,قام محمد باعادة تشغيله:
/etc/rc.d/init.d/syslogd restart
أخذ محمد الان بالبحث عن الملفات التي يشك في انه تم استخدامها, في اغلب الظن فان تبادل هذه الملفات تم بواسطة الFTP او بواسطة برامج مشاركة الملفات امثال kazaa و غيرها و ربما الاثنين معاً! فأخذ محمد بالبحث عن احتمالية تفعيل استخدام حساب ال anonymous في تحمي لو تنزيل الملفات فكتب الاوامر التالية:
cd /etc/proftpd
ls -la *.anonftp
من المفترض ان تكون جميع الملفات او وجدت ات حجم صفر! وجد محمد ملف واحد حجمه يصل الى 250 بايت, فحذف محتوياته. ثم اخذ بتفحص ملف اللاعدادات الخاص بسرفر الFTP :
cat /etc/proftpd.conf
فوجد محمد اضافة توقعها و هي DefaultRoot , هنا عرف مكان وجود الملفات من دون ان يبحث عنها بشكل مباشر و تأكد من ان السطر هذا لم يقم جمال باضافته فحذفه بعد ان دون المعلومات و حفظ الملف و اعاد تشغيل سرفر الFTP
/etc/rc.d/init.dproftpd restart
قام محمد بحذف الملفات التي وجدها في المسار المذكور في ملف الاعدادات, اغلبها كانت ملفات تنتهي بrar , r01, r02 ,,الخ و هي ملفات مضغوطة و مقسمة الى اقسام ليتم جمعها بعد عملية تنزيلها. اراد محمد التأكد من عدم وجود ملفات كبيرة نوعاً ما في النظام فنفّذ الامر التالي:
find / -size +30000k
فوجد ملفات اخرى حجمها اكثر من 30 ميغا بايت فقام بحذفها ثم اعاد تشغيل الChkrootkit فلم تتكرر النتيجة السلبية مرة أخرى.
أدرك محمد ان السرفر في وضع جيد حالياً رغم انه من الممكن ان استخدام تقنيات و طرق اخرى من الممكن ان تخدع محمد في النتائج التي حصل عليها.
قام محمد بترقية نسخة لوحة التحكم الى أحدث نسخة موجودة و هي بدورها ستقوم بترقية أغلب الخدمات المستخدمة لتفادي عمليات الاختراق التي تتم لوجود ثغرات في احدى نسخ الخدمات المستخدمة.
أعاد محمد تشغيل بقية الخدمات بعدها و كان على جمال ان يدفع بعض المال لكي يزيد من حجم الباندودث المستخدم لدرجة تكفيه الى نهاية الشهر الحالي.
شكر جمال صديقه محمد على المساعدة و دعا له بخير.
اتمنى ان يكون الدرس مفيداً نوعاً ما خصوصاً بعد استخدام اسلوب جديد في العرض الذي اتمنى ان يكون قد نال اعجابكم.
تحياتي و لاتنسونا من الدعاء.
الكاتب اخونا مرشد
نقلاً عن منتديات تحت الصفر للكاتب sub-0
نظراً لاعجابي بطريقة العرض للدرس قلت انقله لكم
لا ادري
