loulou ange
11-02-2013, بتوقيت غرينيتش 01:08 AM
السلام عليكم , للأمانة العلمية الموضوع منقول من شبكة لينوكس العربية (http://www.linux4arab.net/vb)لكاتبه SoFy
________________________________-___________
السلامو عليكو
منذ 7 -8 أعوام أنتشرت دودة خبيثة تدعى Ramen. وقتها دي يمكن كانت من أوائل الديدان الموجهة للLinux. وكانت الدودة دي بتعمل الأتي
أولا كانت بتعمل check for banner . بحيث تشوف نوع الFTP Service اللي أنت مشغلها..ولو كانت wu-ftp بتقوم بإستخدام exploit بتقوم بعمل Deface لكل المواقع. من خلال تغيير الindexs لكل المواقع.
والحقيقة وقتها مكنش حد لسة ليه في السيكيورتي وكنا كلنا كسكسي
طيب أيه اللي فكرني بالworm دي؟:
الحقيقة هو أني أستغربت لما شفت إنها أحيت من جديد و لكن في شكل جديد (حاجة كدا زي أفلام Final Fantasy).
أحيت من جديد بشكل غريب و مريب ومش بس كدا...دي خلفت كمان أولاد ليها
ظهر حاليا دودتين جداد و هم بيتبعوا نفس الفكرة ولكن ليس من خلال إستخدام ثغرة في service ولكن في جهاز الضحية.
الحقيقة أنا عملت سيرش على النت كتير عن الدودتين دول ولكن ملقتلهمش أثر في أي موقع على النت!!
ولذلك أعتمدت على نفسي في الموضوع دا .
أولا قمت بالبحث في كافة الخوادم الي ممكن الوصول إليها عن كيفية عمل هذا الكود code ولكن للأسف لم أخرج بالذي يملأ معدتي ولكن وصلت للتالي :
1- الدودة تقوم بالدخول من خلال بروتوكول الإف تي بي (مثل أمها ramen تماما )
2- جميع المواقع المصابة أصحابها يستخدمون نظام تشغيل ويندوز XP !
3- جميع المواقع المصابة يتم تغيير أي ملف يدعى index.php أو index.html . مما يعني أن مبرمج الدودة لا يبحث عن التخريب ولكن عن تجميع عدد من الضحايا.
4- الدودة (إذا جازت تسميتها هكذا) تتغير أهدافها كل فترة، فقديما كانت تقوم بوضع تروجان بطريقة ذكية جدا تدل على أن مبرمجها يعرف كيف يلاعب الأنتي فايرس.
فالطريقة كانت كالتالي :
أ- أنت دخلت موقع مصاب بالكود code يتم تحويلك لـ بـ
بـ - تم عمل إتصال بينك وبين بـ و لكن لن ينتهي الأمر هنا..بل سيتم تحويلك ل جـ
جـ - تقوم بتحميل كود code على جهازك أخيرا من خلال جـ .
وانت زي الشاطر لا تعرف أي شيء ولا تحس بشيء ولن تشعر بشيء أصلاً http://www.linux4arab.net/vb/images/smilies/biggrin.gif
5- هناك طريقة حديثة تستخدمها الأن وهي وضع أكواد جافا سكربت مشفرة! لا تستطيع أن تفهم محتواها و الحقيقة معرفتش أفكه لأن تشفيره بيحتاج KEY و فك التشفير بالتالي هيحتاج هو كمان لKEY http://www.linux4arab.net/vb/images/smilies/biggrin.gif
المهم إن طريقة التشفير دي مضرة وسيئة لأنك متعرفش الكود code دا كان بيعمل أيه أو وظيفته أيه..
لكن المفروض إننا ناس بتستخدم Linux وبنقول عن نفسنا Security specialists فمينفعش نسكت http://www.linux4arab.net/vb/images/smilies/biggrin.gif
WIRESHARK IS HERE.
قمت بإستخدام الخالد واير شارك ومعرفة ماإذا كان هذا الكود code اللعين يقوم بعمليات إتصال بمواقع أخرى و أتضح التالي:
الكود code يقوم بالتحويل ل3 مواقع!
1- موقع جنسي "بورن يعني " مينفعش أحط أسمه عشان العيال الهايجة إياها ميلبسونيش معاصي http://www.linux4arab.net/vb/images/smilies/biggrin.gif
2- يتم تحويلك لموقع غريب أسمه analystic.org
3- يتم تحويلك لموقع ثالث وهو 7speed.info و هنا يتم حقن جهاز المغفل مستخدم الويندوز XP "لا أعرف أكس بي فقط أم غيره" .
دلوقتي الموضوع هيتقسم لقسمين! قسم البنت البارة بأمها وقسم البنت اللي بتشتغل شيطاني http://www.linux4arab.net/vb/images/smilies/biggrin.gif
البنت اللي زي أمها ramen الأخت دي بتحمل كود code على جهازك ووظيفته إنه يراقب كل كونكشنز ftp ويتم الحصول على معلومات الftp الخاصة بحضرتك ومن ثم يتم حقن الملفات الindex بأكواد أخرى تحول لنفس الثغرة!! ومن ثم تتعاد الحدوتة من الأول وتبقى موقع مصاب وواحد زاره وعنده ftp account إلخ...وتستمر المأسأة http://www.linux4arab.net/vb/images/smilies/biggrin.gif
البنت اللي مش زي أمها دي بتتبع طريقة أصعب شوية ولكن أسهل بالنسبة للإسكربتات العبيطة أمنيا زي جملة joomla و زي وزي wordpress معشوقة المكسحين "على فكرة كنت مركبها زمان عندي لحد ما ربنا هداني وأنعم عليا بنعمة الدروبال" أو زي النيوك "php-nuke" . المهم الطريقة هي عمل SQL Injection للبرامج المصابة دي و بيتم وضع الكود code فيها أيضا و الحقيقة إن الطريقة دي أنا شفتها في موقع واحد فقط! و دا ليه معنى من 2
يا إما مفيش bot للعملية دي والموضوع بيتعمل manual "إحتمال ضعيف"
يا إما الworm دي لسة منشطتش أو يمكن لإن السرفرات اللي تحت أيدي مبيشتغلش عليها السكول أنجكشن http://www.linux4arab.net/vb/images/smilies/biggrin.gif http://www.linux4arab.net/vb/images/smilies/biggrin.gif
شوية معلومات خرجت بيها
* أغلب المواقع اللي بتحول لها الورمز دي بتكون صينية؟! ودا يؤكد نظريتي القديمة إن الصينيين تفوقوا على الجميع بما فيهم الروس و الأمريكان في مجال التكنولوجيا!
*هناك مواقع عربية كثيرة مصابة بهذه الديدان...غالبا أصحابها كانو بيزورو مواقع مشبوهة "أو يمكن حتى مواقع جنسية و بكدا فضحوا نفسهم http://www.linux4arab.net/vb/images/smilies/biggrin.gif"
* أغلب الinject بيكون من خلال أكواد .cgi ...ومش لاقي سبب لحد دلوقت لكدا؟
* مفيش مواقع أمن غربية أتكلمت عن الموضوع خالص...وكأنه مش موجود ودا ليه معنى واحد وهو إن الworm دي ذكية "دا لو صحت التسمية لأني مش عارف أسميها دودة ولا مجرد super trojan ? على وزن سوبر ماريو http://www.linux4arab.net/vb/images/smilies/biggrin.gif
نيجي للحلول المقترحة من قبلي أنا السيد سوفاح والحقيقة أنا ملقتش حلول جذرية .و لكن عندي فكرة وهي البحث عن هذا الكود code اللعين بإستخدام egrep ويتم تحديد كلمات مشهورة تأتي دائما في الكود code، يعني مثلا كفاية نحط charCodeAt http://www.linux4arab.net/vb/images/smilies/biggrin.gif أو نحط أسم الموقع البورن إياه "اللي مش هكتبه برضو http://www.linux4arab.net/vb/images/smilies/biggrin.gif " لإن مش دايما بيكون كود code الجافا سكربت متشفر!
الخلاصة : الضعف الأمني في ويندوز لايزال مشكلة تهدد أمن أغلب مستخدمي الإنترنت العربي و لا يوجد حل سوى بالإنتقال لنظام تشغيل أقوى أمنيا مثل Linuxأو عائلة BSD . و يوما بعد يوم يؤكد الصينيين أنهم هم الأقوى في هذا المجال ويتقدموا بخطى ثابتة للأمام.
الخاتمة :
هذا الموضوع هو جهد شخصي من العبد لله و محضره منذ أكثر من شهر ونص تحديدا بتاريخ 20/8 وكنت عامله هدية للموقع لذا....ياريت لو حد نقله يحط رابط الموضوع الأصلي هنا عشان حق الموقع . ومش مهم أسمي طبعا http://www.linux4arab.net/vb/images/smilies/biggrin.gif لإن الموضوع يخضع للرخصة السفاحية "لسة تحت التعديل" (http://www.linux-fr34k.com/safa7_license)
أشوفكم على خير .
https://fbcdn-sphotos-d-a.akamaihd.net/hphotos-ak-ash4/482113_236967293114455_1193518507_n.png (http://www.dzbatna.com)
©المشاركات المنشورة تعبر عن وجهة نظر صاحبها فقط، ولا تُعبّر بأي شكل من الأشكال عن وجهة نظر إدارة المنتدى (http://www.dzbatna.com)©
________________________________-___________
السلامو عليكو
منذ 7 -8 أعوام أنتشرت دودة خبيثة تدعى Ramen. وقتها دي يمكن كانت من أوائل الديدان الموجهة للLinux. وكانت الدودة دي بتعمل الأتي
أولا كانت بتعمل check for banner . بحيث تشوف نوع الFTP Service اللي أنت مشغلها..ولو كانت wu-ftp بتقوم بإستخدام exploit بتقوم بعمل Deface لكل المواقع. من خلال تغيير الindexs لكل المواقع.
والحقيقة وقتها مكنش حد لسة ليه في السيكيورتي وكنا كلنا كسكسي
طيب أيه اللي فكرني بالworm دي؟:
الحقيقة هو أني أستغربت لما شفت إنها أحيت من جديد و لكن في شكل جديد (حاجة كدا زي أفلام Final Fantasy).
أحيت من جديد بشكل غريب و مريب ومش بس كدا...دي خلفت كمان أولاد ليها
ظهر حاليا دودتين جداد و هم بيتبعوا نفس الفكرة ولكن ليس من خلال إستخدام ثغرة في service ولكن في جهاز الضحية.
الحقيقة أنا عملت سيرش على النت كتير عن الدودتين دول ولكن ملقتلهمش أثر في أي موقع على النت!!
ولذلك أعتمدت على نفسي في الموضوع دا .
أولا قمت بالبحث في كافة الخوادم الي ممكن الوصول إليها عن كيفية عمل هذا الكود code ولكن للأسف لم أخرج بالذي يملأ معدتي ولكن وصلت للتالي :
1- الدودة تقوم بالدخول من خلال بروتوكول الإف تي بي (مثل أمها ramen تماما )
2- جميع المواقع المصابة أصحابها يستخدمون نظام تشغيل ويندوز XP !
3- جميع المواقع المصابة يتم تغيير أي ملف يدعى index.php أو index.html . مما يعني أن مبرمج الدودة لا يبحث عن التخريب ولكن عن تجميع عدد من الضحايا.
4- الدودة (إذا جازت تسميتها هكذا) تتغير أهدافها كل فترة، فقديما كانت تقوم بوضع تروجان بطريقة ذكية جدا تدل على أن مبرمجها يعرف كيف يلاعب الأنتي فايرس.
فالطريقة كانت كالتالي :
أ- أنت دخلت موقع مصاب بالكود code يتم تحويلك لـ بـ
بـ - تم عمل إتصال بينك وبين بـ و لكن لن ينتهي الأمر هنا..بل سيتم تحويلك ل جـ
جـ - تقوم بتحميل كود code على جهازك أخيرا من خلال جـ .
وانت زي الشاطر لا تعرف أي شيء ولا تحس بشيء ولن تشعر بشيء أصلاً http://www.linux4arab.net/vb/images/smilies/biggrin.gif
5- هناك طريقة حديثة تستخدمها الأن وهي وضع أكواد جافا سكربت مشفرة! لا تستطيع أن تفهم محتواها و الحقيقة معرفتش أفكه لأن تشفيره بيحتاج KEY و فك التشفير بالتالي هيحتاج هو كمان لKEY http://www.linux4arab.net/vb/images/smilies/biggrin.gif
المهم إن طريقة التشفير دي مضرة وسيئة لأنك متعرفش الكود code دا كان بيعمل أيه أو وظيفته أيه..
لكن المفروض إننا ناس بتستخدم Linux وبنقول عن نفسنا Security specialists فمينفعش نسكت http://www.linux4arab.net/vb/images/smilies/biggrin.gif
WIRESHARK IS HERE.
قمت بإستخدام الخالد واير شارك ومعرفة ماإذا كان هذا الكود code اللعين يقوم بعمليات إتصال بمواقع أخرى و أتضح التالي:
الكود code يقوم بالتحويل ل3 مواقع!
1- موقع جنسي "بورن يعني " مينفعش أحط أسمه عشان العيال الهايجة إياها ميلبسونيش معاصي http://www.linux4arab.net/vb/images/smilies/biggrin.gif
2- يتم تحويلك لموقع غريب أسمه analystic.org
3- يتم تحويلك لموقع ثالث وهو 7speed.info و هنا يتم حقن جهاز المغفل مستخدم الويندوز XP "لا أعرف أكس بي فقط أم غيره" .
دلوقتي الموضوع هيتقسم لقسمين! قسم البنت البارة بأمها وقسم البنت اللي بتشتغل شيطاني http://www.linux4arab.net/vb/images/smilies/biggrin.gif
البنت اللي زي أمها ramen الأخت دي بتحمل كود code على جهازك ووظيفته إنه يراقب كل كونكشنز ftp ويتم الحصول على معلومات الftp الخاصة بحضرتك ومن ثم يتم حقن الملفات الindex بأكواد أخرى تحول لنفس الثغرة!! ومن ثم تتعاد الحدوتة من الأول وتبقى موقع مصاب وواحد زاره وعنده ftp account إلخ...وتستمر المأسأة http://www.linux4arab.net/vb/images/smilies/biggrin.gif
البنت اللي مش زي أمها دي بتتبع طريقة أصعب شوية ولكن أسهل بالنسبة للإسكربتات العبيطة أمنيا زي جملة joomla و زي وزي wordpress معشوقة المكسحين "على فكرة كنت مركبها زمان عندي لحد ما ربنا هداني وأنعم عليا بنعمة الدروبال" أو زي النيوك "php-nuke" . المهم الطريقة هي عمل SQL Injection للبرامج المصابة دي و بيتم وضع الكود code فيها أيضا و الحقيقة إن الطريقة دي أنا شفتها في موقع واحد فقط! و دا ليه معنى من 2
يا إما مفيش bot للعملية دي والموضوع بيتعمل manual "إحتمال ضعيف"
يا إما الworm دي لسة منشطتش أو يمكن لإن السرفرات اللي تحت أيدي مبيشتغلش عليها السكول أنجكشن http://www.linux4arab.net/vb/images/smilies/biggrin.gif http://www.linux4arab.net/vb/images/smilies/biggrin.gif
شوية معلومات خرجت بيها
* أغلب المواقع اللي بتحول لها الورمز دي بتكون صينية؟! ودا يؤكد نظريتي القديمة إن الصينيين تفوقوا على الجميع بما فيهم الروس و الأمريكان في مجال التكنولوجيا!
*هناك مواقع عربية كثيرة مصابة بهذه الديدان...غالبا أصحابها كانو بيزورو مواقع مشبوهة "أو يمكن حتى مواقع جنسية و بكدا فضحوا نفسهم http://www.linux4arab.net/vb/images/smilies/biggrin.gif"
* أغلب الinject بيكون من خلال أكواد .cgi ...ومش لاقي سبب لحد دلوقت لكدا؟
* مفيش مواقع أمن غربية أتكلمت عن الموضوع خالص...وكأنه مش موجود ودا ليه معنى واحد وهو إن الworm دي ذكية "دا لو صحت التسمية لأني مش عارف أسميها دودة ولا مجرد super trojan ? على وزن سوبر ماريو http://www.linux4arab.net/vb/images/smilies/biggrin.gif
نيجي للحلول المقترحة من قبلي أنا السيد سوفاح والحقيقة أنا ملقتش حلول جذرية .و لكن عندي فكرة وهي البحث عن هذا الكود code اللعين بإستخدام egrep ويتم تحديد كلمات مشهورة تأتي دائما في الكود code، يعني مثلا كفاية نحط charCodeAt http://www.linux4arab.net/vb/images/smilies/biggrin.gif أو نحط أسم الموقع البورن إياه "اللي مش هكتبه برضو http://www.linux4arab.net/vb/images/smilies/biggrin.gif " لإن مش دايما بيكون كود code الجافا سكربت متشفر!
الخلاصة : الضعف الأمني في ويندوز لايزال مشكلة تهدد أمن أغلب مستخدمي الإنترنت العربي و لا يوجد حل سوى بالإنتقال لنظام تشغيل أقوى أمنيا مثل Linuxأو عائلة BSD . و يوما بعد يوم يؤكد الصينيين أنهم هم الأقوى في هذا المجال ويتقدموا بخطى ثابتة للأمام.
الخاتمة :
هذا الموضوع هو جهد شخصي من العبد لله و محضره منذ أكثر من شهر ونص تحديدا بتاريخ 20/8 وكنت عامله هدية للموقع لذا....ياريت لو حد نقله يحط رابط الموضوع الأصلي هنا عشان حق الموقع . ومش مهم أسمي طبعا http://www.linux4arab.net/vb/images/smilies/biggrin.gif لإن الموضوع يخضع للرخصة السفاحية "لسة تحت التعديل" (http://www.linux-fr34k.com/safa7_license)
أشوفكم على خير .
https://fbcdn-sphotos-d-a.akamaihd.net/hphotos-ak-ash4/482113_236967293114455_1193518507_n.png (http://www.dzbatna.com)
©المشاركات المنشورة تعبر عن وجهة نظر صاحبها فقط، ولا تُعبّر بأي شكل من الأشكال عن وجهة نظر إدارة المنتدى (http://www.dzbatna.com)©
