إخوتي في ترايد نت الكرام لاحظت في الفتره الاخيره وللاسف تدمير للمنتديات العربيه فأحببت ان ابحث عن مسبب هذه الافه الخطيره التي تصيب صفحة الاندكس ، فيتفاجأ صاحب المنتدى forum بأن منتداه قد اصبح عباره عن صفحة بيضاء وبها جمله تفيد ان هناك خطأ في صفحة الاندكس ويعطيه رقم السطر اللي فيه الخطأ
فيبدأ صاحب الموقع بشطب موقعه وفرمته الجهاز الخاص وتغيير الموقع كامل لكن يتفاجأ بعوده الكارثه ويذهب تعبه ادراج الرياح
هذا جوهر المشكله في السؤال التالي :
من اين اتت هذه المشكله ؟ مالعلاج ؟
اخواني الكرام احب ان انوه قبل البدء ان هذا اختراق 100% وليس اي نوع من انواع الفيروسات تم رفعه بالخطأ عن طرق ftb
وايضا هذا الاختراق لم ينتج بسبب اي ثغره في تطبيق php المشغل على الموقع سواء كان منتدى ، مجله ، او اي تطبيق آخر وكذلك لم ينتج بسب اخطاء في kernel وكذلك في apache
او في اخطاء وثغرات في تطبيقات cpanel او plesk
إذن فالنبدأ انا واياكم اخواني الكرام بالتعريف المختصر للمشكله
اولا : تاريخ الاصابه :
يقوم الهاك productر بتحميل موقعه بأدوات الاختراق والتخريب او يقوم باستعمال احد المواقع التي تم اختراقها ولم يهتم صاحب الموقع المخترق بمعالجه هذه المشكله فيقوم بتحميل ادواته الخبيثه على هذا الموقع ، طبعا الادوات المستخدمه في هذا الاختراق غاليه الثمن وقد يصل ثمن الاداه الى 700 دولار للاداه الواحده وسوف اتكلم عن ابرز واخطر اداه يستعملها الهكر في اختراقه للمنتدى
طبعا عندما يقوم الزائر بالصدفه بالبحث عن موضوع في الجوجل GOOGLE يدخل عن طريق الخطأ لاحد هذه المواقع المشبوهه قيكون بذلك الضحيه وصلت للهدف المطلوب فيقوم بتحميل الادوات في المتصفح
وغالبا نحن نسخدم إحدى المتصفحات التاليه :
1- الانترنت اكسبلورر
2- الفايرفوكس (شائع)
3- الاوبرا
طبعا ببساطه تكون بمجرد زيارتك للموقع الملغم والمصاب من قبل الهاك productر تكون قد حملت
keylogger
تقوم هذه الاداه بكل بساطه بالبحث عن اي باسوورد مخزن في المتصفح وطبعا الكثير منا يقوم بتخزين معلومات الدخول لموقعه في المتصفح وخاصه من يستخدم cpanel ومن هنا تبدأ الكارثه
حيث تقوم هذه الاداه الخبيثه بارسال معلومات الدخول بكل ببساطه للهاك productر وهو جالس
طبعا وبكل بساطه يستخدم الهكر معلومات الدخول ويستخدم اي برنامج ftb لديه وتصبح كل ملفاتك بين يديه فيقوم بإضافه الكود code في صفحات الاندكس
طبعا الكل يتساءل لماذا موقعي فقط انا مصاب وباقي المنتديات سليمه على الرغم انها على نفس السيرفر SERVER !!!
ببساطه الهكر يمتلك معلومات الدخول بين يديه وبمجرد تغييرها ايضا وحفظها في المتصفح طبعا بعد الاصابه ترسل له نسخة جديده من معلوماتك وما هي الا مسأله وقت وتعاود لك نفس المشكله على الرغم انك قمت بتغيير الباسوورد بباسوورد معقد !!!!
وقد لاحظت بعض الاعضاء في المعهد في احد ردودهم وحلولهم يقولون غير الصلاحيه الملفات من حيث الكتابه الى 444 ، طيب انا اسرد لكم تجربتي في احدى منتدياتي التي اصابها هذا الهكر
غيرت جميع الصلاحيات شلتها حتى ظهر الصفحة الرئيسية للمنتدى 403 كود code الفربدن لكن للاسف وجدت 45 ملف اندكس مصاب عند الفحص ، فلا جدوى ايضا من تغيير الصلاحيات لان معلومات دخول موقعك بين يدي الهاك productر وبكل بساطه يغير في الصلاحيات لو احببت !!!
طبعا بمجرد اضافه الكود code الى الصفحة يضع المهاجم (الهاك productر ) الكود code وهو نوعان :
1- مكتوب بلغة الهتمل وطبعا هو عباره عن iframe
2- مكتوب بلغة الجافا وهذا قليل الانتشار
عندما يقوم الزائر بزياره الموقع يكون في صفحة الاندكس المصابه رابط الموقع الملغم الذي قام الهكر بوضعه للضحايا الجدد
طبعا الكثير منا يلاحظ ان هذه المواقع موجوده في الصين تحديد في هونغ كونغ
طبعا بمجرد زياره موقعه وهو عباره عن سيرفر SERVER ملغم بالتروجان وبرامج وادوات الاختراق اعلم عزيزي الزائر ان جهازك مصاب وان معلوماتك مسروقه من قبل هذا الهكر
طبعا يقوم هؤلاء الهكر بوضع سيرفر SERVERات خاصه لهذه الاغراض فقط للتخريب
يقوم مكافح الفيروسات بالتعرف على التروجان وحذفها فورا مهما كان نوعه كاسبر او غير كاسبر
لكنه لم يحذف برامج الاختراق لانه لم يتم تعريف قاعده المكافحه الخاصه به على هذا النوع من الاصابات حتى اداه المكافي والتي تسمى :
macafee site advisor
لن تنبهك بالعكس حتعطيك اشاره الصح الاخضر تشير الى ان الوضع طبيعي وما في شيء
لكن ما يحدث في الجهاز عكس ذلك تماما ....
طبعا بدايه هذه المشكله بدأت في ايطاليا حيث تم تدمير عشر الاف موقع ،كانت البدايه في موقع وانتقلت لكل المواقع الاخرى ....
طبعا عزيزي لا تظن انك بإعتمادك على مكافح الفيروسات تستطيع تفادي خطر هذه الاصابه
بالعكس من النادر اكتشافها من المكافح الا اذا كان قوي جدا وسأشير لمكافحات قويه وفعاله وانا استغرب تجاهلها بالرغم اناها منتشره في الغرب
طيب ،،، ما هي اداه الاختراق المستخدمه ؟؟؟؟؟
الجواب بسيط : اداه روسيه الصنع تباع من قبل شركه روسيه تم تحليل مكونات هذا السكربت الخطير من قبل شركه باندا
اسم الاداه : Mpack
بمقابل 1000 دولار فقط لمده سنه كامله ترخيص ودعم فني خلال هذه السنه وضمان 100%
بأن مكافح الفيروسات لن يكشف keylogger الخاص بها
* تاريخ الاداه موثق وليست وهميه من قبل شركه الباندا كاداه اختراق وتخريب موثقه مع شرح طريقة المكونات بالتفصيل
* لذلك عزيزي صاحب المنتدى forum احرص على تحديث update مكافحك لكن لا تعتمد عليه كليا في الوقايه
هذه الطريقه للاختراق معقده وبرامج الاختراق تنتقل من جهاز كمبيوتر الى اخر ويتم نشر معلوماتك على اكثر من سيرفر SERVER للهكر بمجرد ارسالها حتى من الممكن تجدها في الجوجل GOOGLE
حيث يقوم الجوجل GOOGLE بالدخول للمواقع المشبوه ويفهرسها لكن يحذرك بان زياره الموقع هذا تضر جهازك الشخصي
وبذلك يكون التخريب يكون من اكثر من طرف وهذا الخطر وهذا جربته عمليا حيث قمت بحظر الاي بي الهكر مجرد تحليل الدومين الذي وضعه في صفحة الاندكس وحصلت على الاي بي ودخلت السي بانل CPANEL وحظرته على امل عدم الرجوع للتخريب ولكن التخريب كان يتم من قبل سيرفر SERVERات اخرى ومن مواقع مختلفه حيث كان موقع السيرفر SERVER الاول في الصين ولكن الاصابه الجديده من سيرفر SERVER اوكراني !!!!
اذن تم نشر البيانات من قبل الهكر ....
* طبعا يقوم الهكر بوضع الباسوورد المسروق في هذه الاداه mpack وكود code التخريب مبرمج مسبقا من قبل الهكر
هذه الاداه الخطيره عبارة عن تجميعه من ملفات php وتربطها واجهه جرافيكيه وهذه الاداه الاساسيه المستخدمه في الاختراق
نأتي اخواني للجزء الاهم من الموضوع
مـــــــــــــا هـــــــــو الحـــــــــــــــــــــل ؟؟؟؟؟؟
طبعا الحل اجتهاد ومبني عن دراسه علميه للاصابه وليس تخمين وحذف عشوائي لا فائده منه
سأتناول في هذا الموضوع الارشادات والبرامج وكل ما يفيد اخواني في التعطيل على هؤلاء الهكر
* اولا : الارشادات :
1- لمديري السيرفر SERVERات قم باتباع التالي :
عزيزي صاحب الاستضافه اذا تكررت هذه الظاهره القاتله لدى مستخدميك قم بالتالي :
1- قم على الفور بتغيير باسوورد root password فتأكد انها تم سرقتها من قبل الهكر وبذلك اصبر من السهل اختراقه من قبل الهكر وتدمير المواقع بسهوله
2- قم بالبحث عن احدى الادوات التاليه في السيرفر SERVER وقم بحذف الحساب الموجوده فيه فورا وبدون تردد وهي :
fout.php
qt.phpo7.php
urlworks.php
وهذه احدى مكونات اداه الاختراق الروسيه اللعينه MPACK المستخدمه في التدمير وقتل المواقع
* بالنسبه للمستخدمين على السيرفر SERVER اذا واجهتك هذه المشكله لوحدك طبعا يتم التأكد عن طريق الاتصال بالدعم الفني والاستفسار عن المواقع المصابه بالاختراق
1- قم بتغيير جميع باسوردات لوحة التحكم واسم المستخدم SQL للحمايه من خطر الحقن وجميع الباسوردات المخزنه في المتصفح
ولا تحفظها في المتصفح نهائيا ، طبعا تغيير الباسوورد ليس نهائيه المشكله لانك لا تضمن خلو جهازك من برامج التجسس SPYWARE وكذلك اي تسرب للمعلومات عن طريق FTB وهذه البرامج التي نستخدمها غير مؤمنه في معظمها ومنها
FILE ZILLIA
CUTE FTB
SMART FTB
احرص على نقل الملفات عن طريق ناقل بيانات امن
SECURE FILE TRANSFER PROTOCOL
ساضع لكم برنامج امن
طبعا بمجرد استخدام برامج غير مؤمنه لنقل البيانات ستعيد ارسال كلمه السر الى الهاك productر وبذلك تكون اسديت خدمه للهاك productر وحدثت بياناتك ورجعنا لنقطه الصفر من جديد
طبعا يتم تسريب بياناتك عن طريق FTB LOG ومن ثم لل KEYLOGGER
ويتم ارسالها الى الهكر الذي بدوره يضع معلومات الاف تي بي في الاداه MPACK
وتحصل الكارثه تدمير منتداك من الوجود
لذلك ينصح قبل البدء في المعالجه فرمته الجهاز بالكامل يعني ترجعه وكاله من الشركه ولا تبقى اي ملف لانك لا تعلم باي مكان من جهازك موجوده هذه الملفات ولا يستطيع الكثير من المكافحات كشفها لا نها بالاصل ليست فيروسات
ثم تنصيب setup نسخة من مكافح فيروسات مزود بتقنيه الحمايه من الفيروسات والسباي واير وهذه اهم نقطه في الوقايه
ساضع لكم اسم البرنامج الحمايه ان شاء الله ....
2- انصح بعدم استخدام متصفحات غير امنه في اثناء تصفح الانترنت وبخاصه المواقع الملغمه حيث من السهل تخزين KEYLOGGER وبذلك سرقة بياناتك بكل سهوله
وساضع لكم اسم المتصفح
3- احرص على عدم تخزين اي بيانات دخول في المتصفح واستخدم برامج متخصصه مقفوله وامنه من الاختراق وسيتم وضع برنامج لكم اعزائي
وهكذا نكون امنا الجهاز من اي محاوله للاختراق وسرقه البيانات
** فيما يتعلق بالموقع المصاب :
ملاحظه هامه قبل البدء : لا تقم بتنزيل اي ملف من ملفات الموقع وفحصها نهائيا
قم بتجهيز نسخة نظيفه من VBULLTEIN بنفس الاصدار الموجود على الموقع فمثلا لوكان موقعك محدث للنسخة الجديده 3.8.4 ولكن المفات الموجوده في الموقع 3.7.4
قم بتحضير نسخة نظيفه من النسخه 3.7.4
الان عزيزي القارئ لا تحذف جميع ملفات موقعك بالعكس هذا اهدار للوقت وضياع لارشفه المنتدى forum فلا يوجد في منتداك اصلا فايروسات فلماذا تحذف ملفاتك ؟؟؟؟؟
كل القصه ان هناك روابط لمواقع ناشره للتروجان ( موجوده في الكود code التخريبي) الموضوع في نهايه ملف الاندكس وهذه ليست فايروسات اصلا عندما يقوم المكافح بفحصها يتعرف على رابط الموقع الموجود في الكود code وهذا الموقع معرف وموجود في قاعده بيانات للتروجان تضم العديد من مواقع التروجان ومعرفه في المكافح
طبعا اذا لم تعالج هذه المشكله سيتم ادراج موقع في المواقع الضاره والناشره للتروجان
نرجع للموضع الاصلي .. قم بحذف جميع الملفات الضاره INDEX
من جميع الملفات المنتدى forum ومن ايضا رئيسية المنتدى forum يعني ملف الاندكس في VB وملف الاندكس من باقى الملفات
الان نقوم بنسخ جميع صفحات الاندكس النظيفه والخاليه من الاكواد الناشره للتروجان بالترتيب نبدأ بملف VB ومن ثم ملف ADMINCP وهكذا الى النهايه حتى يتم استبدال جميع ملفات الاندكس جميعا ستلاحظ في هذه الفتره ان موقعك قد عاود العمل من جديد
قم باستخدام ناقل البيانات الامن في اثناء تنفيذ هذه العمليه ولا تسخدم ناقل بيانات عادي غير مؤمن وهذه خطوه مهمه
وهكذا انتهينا من تنظيف الموقع من الاكواد الضاره
ملاحظه هامه : هذا الهاك productر يقوم بتخريب ملفات DEFAULT وليس فقط ملف الاندكس هذا للعلم فقط *
ننتقل الى البرامج المستخدمه في عمليه العالج بالتفصيل :
1- ينصح بعمل (يتوجب) عمل فورمات كامل للجهاز لا تترك اي ملف هذا افضل لك حتى تضمن عدم رجوع نهائي للبرامج التجسس وهذه ليست فيروسات ومن الصعب اكتشافها ومافح الفيروسات يتعامل معها على انها ملفات اعتياديه ولن يشير لها بأي شكل من الاشكال
لذلك انصح بفرمته الجهاز بالكامل
2- قم بتنصيب setup آخرنسخة من مافح الفيروسات البت ديفندر الجديد 2014
طيب ،، لماذا البت ديفندر بالذات ، الاعتقاد الشائع لدى الكثيرين ان الحل هو الكاسبر سكاي 2014 وتنحل المشكله الجواب طبعا لا واهمون من يعتقدوا ذلك ، تم تجربته ولكن للاسف تم اصابه موقعين ( منتدايين) لاحدى المستخدمين استخدموا الكاسبر 2014 بتحديث update يومي
وهذه صورة من المنتج plugin الجديد انظروا لها : تم اخذ سرعة الجاهز بعين الاعتبار في هذا الاصدار بعكس الاصدارات السابقه
ما يهمنا بالنسخة الجديده تم الاشاره اليه باللون الاخضر
رمز Code:
BitDefender Antivirus 2014 provides advanced proactive protection against viruses, spyware, phishing attacks and identity theft, without slowing down your PC
تشفير عالي لجميع مدخلاتك الشخصيه وكذلك جميع بياناتك يتم يتشفيرها من السباي وبذلك نكون قد خففنا من اكبر الثغرات الامنيه في جهازك وكذلك في نفس الوقت القضاء على التروجان بفعاليه الصادر من مواقع الهاك productر
روابط التحميل من هنا :
رمز Code:
http://rapidshare.com/files/27211813...part1.rar.html http://rapidshare.com/files/27211804...part2.rar.html
2- الان بعد تنصيب setup المكافح المذكور اعلاه قم بعمل فحص كامل للجهاز بجميع الاقراص وبعد الانتهاء
قم بتغيير الباسوردات جميعها ابتداء من cpanel وحتى البريد الالكتروني وحتى باسورد قواعد البيانات
قم بتدوين جميع هذه الباسوردات على برنامج keepass وهذا برنامج مجاني free مفتوح المصدر ثم قم بغلق البرنامج بكلمه سر احفظها في مكان امن
قم بتحميل البرنامج من هنا :
http://up.arab-max.com/download.php?id=199
ملاحظه : لا تقم بحفظ اي باسوورد على الجهاز حتى مع وجود الانتي فايرس جميع الباسوردات داخل البرنامج
3- قم بحذف جميع برامج الاف تي بي العاديه الغير مؤمنه من الجهاز وقم بتنصيب setup البرنامج التالي :
turbo ftp 6
ما يميز البرنامج وجود خيارات امنيه لنقل الملفات يتم اختيارها كالتالي :
رابط التحميل من هنا :
رمز Code:
http://rapidshare.com/files/26444324....Build.735.rar
4- قم باستخدام
متصفح الفايرفوكس وتستطيع تحميل اخر اصدار متوافر من هنا :
رمز Code:
http://ar.www.mozilla.com/ar/
مع امنتياتي الحارة لكم بالتوفيق واي استفسار انا موجود
اوجه بالشكر الى كل من قدم معلومات مفيده عن هذه الاداه التهكير واخص مدونه الباندا
وسلامتكم
ارجو اني قدمت ما يفيد وينفع والله ولي التوفيق
اخوكم/ إكس زوووم1 - منتديات عرب ماكس
جميع الحقوق محفوظة لمنتديات الابداع منتديات عرب ماكس لكل العرب
www.arab-max.com/vb
لن اسامح كل من ينقل الموضوع ولا يذكر المصدر والكاتب xzooom1
هذا اجتهاد شخصي مبني على معرفه بالمسبب الرئيسي للاصابه 
ط§ظ„ط*ظ„ ط§ظ„ظˆط§ظپظٹ ظˆط§ظ„ط´ط§ظپظٹ ظ„ظپط§ظٹط±ظˆط³ ط§ظ„ط§ظ†ط¯ظƒط³ ظ…ط¹ظ„ظˆظ…ط§طھ ظˆط*ظ‚ط§ط¦ظ‚ ظˆط§ط¯ظˆط§طھ ظپط¹ط§ظ„ظ‡ ظپط¹ط§ظ„ظٹظ‡ ط§ظ„ط¹ظ„ط§ط¬ 100%
MPack.zip (359.3 كيلوبايت, عدد مرات المشاهدة 110 مرة) [/TR]
رد مع اقتباس
