بسم الله الرحمن الرحيم
" الـCGI وعلاقتها بالإنترنت "
<منقول>
<مترجم من قبل:King_abdo>
في هذا الملف سوف نقوم بعرض مقدمة الـ CGI و علاقتها بالانترنت
(1) مقدمة للـ CGI
CGI=COMMON GATEWAY INTERFACE هي الواجهة التي تسمح بالاتصال بين جانب المستخدم عن طريق المتصفح أو البرامج
و خلافه و جانب الويب سيرفر الذي يفهم بروتوكول (HTTP)
الـ TCP/IP هو البروتوكول الذي يستخدمه سكريبت السي جي أي و السيرفر أثناء الاتصال . البورت المحددة
لهذا البروتوكول هي 80 ( من الممكن أن تتغير هذه البورت)
تستطيع سكريبتات السي جي أي أن تقوم بتوليد صفحات الويب و الصور و أيضا نتائج محددة طبقا لمدخلات معينه يقوم
مبرمج السي جي أي بتحديدها
يقوم عمل سكريبتات السي جي أي علي خطوتين أساسيتين :
1- في الخطوة الأولى يقوم السكريبت بعمل معالجة أوليه للبيانات التي أدخلت له
2- في الخطوة الثانية يعمل السكريبت كقناه للبيانات التي يقوم المتصفح بارسالها الي السيرفر أو العكس
يقوم سكريبت السي جي أي بتشفير البيانات حتي تتمكن من العمل في أي مناخ للعمل
يمكن كتابة سكريبت السي جي أي بأي لغة برمجة سواء كانت لغة مجمعة مثل الفيجوال بيسك
أو لغة مترجمة مثل البيرل و الفرق الوحيد بين نوعين اللغات أن البرنامج
المبرمج باللغة المجمعة سوف يكون أسرع في التنفيذ و لكن اللغات المترجمة أسرع في عملية التطوير
للسكريبت اذا أردت أن تعمل علي تعديل السكريبت أو تطويره
أهم الأوامر التي تعتبر وثيقة الصله لموضوعنا هي كالتالي :
1- GET هذا الأمر يقوم بطلب بيانات من السيرفر للمتصفح
2- POST هذا الأمر يطلب من السيرفر قبول المعلومات المدخلة اليه من المتصفح
3- PUT هذا الأمر يطلب من السيرفر قبول المعلومات المرسله اليه كبديل عن المدخلات الموجودة حاليا
(2) نقاط الضعف
نقاط الضعف التي يسببها سكريبت السي جي أي ليس ضعفا في السي جي أي نفسه و لكنه
ضعف في بروتوكول الـHTTP أو في أنظمة التشغيل المختلفة
السي جي أي يسمح باستغلال نقاط الضعف الموجودة و لكن هناك طرق أخري للوصول الي تحطيم النظام
الأمني . كمثال يمكن الوصول الي الملفات الغير محمية باستخدام الـ FTP أو TELNET.
انتهى،،،
" كيف تحمي نفسك وتخفي أفعالك؟!"
<منقول من منتدى إعصار>
<الكاتب: المدمر>
مقدمه بسيطه :
==========
في البدايه و قبل كل شئ ارجو منكم تحمل اخطائي سواء كانت نحويه او املائيه .. كل ما اسعى له هو تعميم الفائده على الجميع
و ان نتقدم نحن العرب و نترقي باعل المستويات و المكانات الي نستحقها ..
الموضوع ليس صغير و ليس بسهل في القراءه .. ارجو ان تكون صبورا متانيا حتى اخر الموضوع
هذا الموضوع سيجعلك تخاف من خيالك و تعمل الف حساب لظلك .. لكن انشاله سيكون دفعه للامام و ليس لان تخاف و تتراجع
اسلوب الموضوع غريب .. و عادة ما نتجنبه دائما .. بمعنى اخر .. كل من اخواننا و اساتذتنا من كتبوا دروسا و شروحا في اختراق السيرفرات و المواقع كان همهم الوحيد في الحمايه هو مسح اللوق log files .. لكن هل هذا يجعلك في امان تام ؟! هل هذا سيمنع تتبع اثرك ؟!! هذا ما ستكتشفه بعد الانتهاء من قراءة الموضوع ..
************************
اذا كنت تظن ان الحصول على ترجمة الثغرات ( exploites ) باسرع ما يمكن هو ما يجعلك محترفا و متطورا فاسمح لي بان اقول لك " انك انسان خاطئ و ان اسلوب تفكيرك غلط "
ماذا ستفيدك الثغره الحديثه جدا ( 0day ) عندما يتم القبض عليك اذا هاجمت احدى السيرفرات الكبيره .. ؟ و عندها سيتم السيطره على اجهزتك و ادواتك و مراقبتك !؟!
يمكن يرى البعض ان هذا لم بحدث قط لاي شخص نعرفه ؟ او ان بلادنا ليس فيها هذه التقنيات العاليه !! لكن هذا قد يحدث يوم ما !!
و ايضا انت لاتهاجم فقط سيرفرات بلدك انما سيرفرات اخرى عالميه محميه من قبل الشرطه الدوليه .. كما انه لابد من الحرص و فهم الامور اذا كنت تريد ان تسمي نفسك هكر hacker بمعنى الكلمه
ربما تعتقد في نفسك انك اكبر من قراءة هذا الموضوع بكثيير لانك من المعروفين عنهم بالاحتراف او انك ترى ذلك في نفسك .. لكن انا اؤكد لك بانك مخطئ و انت تحتاج لقراءة الموضوع الي النهايه
************************
الموضوع مقسم الى 8 اجزاء :
=================
الجزء الاول : المقدمه ( و هو ماقد قمت انت بالانتهاء من قرائته حاليا )
الجزء الثاني : الامور العقليه و كيف تصبح **" Paranoid " هذا الجزء سيتم عرضه من خلال هذه المواضيع :
- الدافع او الحافز
- لماذا ان لابد ان تصبح " Paraniod "
- كيف يمكن ان تصبح " Paranoid " ؟
- و كيف تحافظ على اسلوبك الجديد او شخصيتك الجديده ؟!
** متاكد ان معظمكم يتسائل عن معنى هذه الكلمه .. سيتم توضيح معناها و مفهومها مع شرح هذا الجزء انشاله .
الجزء الثالث : الاساسيات التي يجب عليك معرفتها قبل ان تقوم باي عملية اختراق ( و سيتم عرضها من خلال النقاط التاليه )
- تمهيد
- امن نفسك
- حسابك الخاص
- ملفات اللوق LoGs
- لا تترك اي اثر
- امور و اشياء يجب تجنبها و الحظر منها
الجزء الرابع : التقنيات الحديثه الي يتي يجب ملاحظتها ( و سيتم عرضه من خلال النقاط التاليه )
- تمهيد
- امنع تقفى اثرك من اي نوع
- ايجاد اي نوع من انواع ملفات اللوق lOGs مهما كان فيها من تلاعب ..
- تحقق من syslog configuration and logfile
- تحقق من نوعيات برامج الامن المثبته
- تحقق من وجود المدراء Admins
- كيف يمكن تصحيح checksum checking software
- حيل المستخدم الامنيه
الجزء الخامس : ماذا تفعل ان وضعت تحت المراقبه
الجزء السادس : ما الذي عليك القيام به و ايضا الذي لابد من عدم القيام به في حالة انه تم القبض عليك
الجزء السابع : قائمه بافضل البرامج للتخفي و الاختباء
الجزء الثامن : كلمه ختاميه ........ ارجو ان تتابعو الموضوع بحرض و تركيز شديدن من الان ... !!!
************************
الجز الثاني :
=======
- الدافع و الحافز :
*************
لابد من تحكيم العقل للنجاح في اي عمل .. العقل هو القوه التي ستدفعك و تحفزك لتصبح انسان واقعي .. مسئول و حريص
المخترق ( Hacker ) الناجح لابد و ان تتوفر فيه هذه المبادىء و الامكانيات العقليه .. مثلها مثل بناء عضلات الجسم لن يكبر الجسم و يتقسم الا بعد ممارسة الرياضه الخاصه بذلك ( على سبيل المثال )
مهما كنت متمرس او لديك الكثيير من المعلومات لابد اخذ اشد الاحتياطات و الحذر قبل القيام باي شئ
- لماذا يجب ان تصبح " Paranoid " ؟
***************************
كلمة " Paranoia " في اللغه الانجليزيه تعني جنون الارتياب ( نزعه عند الافراد تجعلك تشك في جميع الامور و جميع الاشخاص )
اعتقدان الامور بدات تتضح لنا بعد معرفة اصل هذه الكلمه ..
يمكن ان نلخض ما ذكر من خلال الكلمات التاليه : paraniod تعني ان تصبح شديد الحذر و الشك في جميع الظروف
لماذا يجب توخي الحذر بهذه الطريقه المخيفه ؟!!
لان توقعك دائما الى اسوء الظروف يجعلك تسير في امان .. و لان ما تفعله هو شئ كبيير جدا .. ما تراه انت بعينك المجرده انك تغير الصفحه الرئيسيه .. او تقوم بتحميل بعض المعلومات من السيرفر هو شئ بسيط بل و سهل جدا
ماذا لو انك اخترقت سيرفر معين و تم رصدك و تتبعك و القبض عليك من قبل الشرطه !؟! و انك سترمى في السجن كالسارقين و المجرمين
ان كنت لا تهتم بما قد يحصل لك .. عليك الاهتمام بما ما قد يصيب اهلك .. ابوك ... امك .. اخوتك .. زوجتك و اطفالك ( ان كنت متزوج )
ربما لاتشعر بان ماتقوم به هو جريمه .. لكن في الحقيقه هي جريمه !!
هل تعرف ماذا سينتظرك ان تم القبض عليك ؟!
سيتم حرمانك من كل امور الكومبيوتر .. نظرة الناس الغيير طبيعيه لك ( ليست نظرة اعجاب انما نظرة خوف ) .. لن تحظى بفرص العمل التي تستحقها .. ستسدعى عند حصول اي مشاكل اخرى من هذا النوع .. لذا فان معظم من يسقطون لا يقومون ثاني ابدا !!
لذا فاصبح حذرا جدا و شكاكا .. امن نفسك
اخذ جميع الاحتياطات
لاتهتم بما قديقوله الكثيرون عنك بانك خواف او ما شابه
اهتم باي ملف log مهما كانت قيمته تافهه
لتصبح hacker عليك ان تقوم بعملك .. سليما 100 %
- كيف تصبح " Paranoid " ؟
*********************
اذا كنت قرأت ما سبق و اقتنعت به انت بالفعل اصبحت هذا الشخص " Paranoid " لكن الاقتناع وحده لا يكفي و التحمس وحده وليد اللحظه ايضا لايكفي ... انما لابد ان يكون القلق و التوتر موجودين بشكل دائم في حياتك ( الالكترونيه )
اذا كنت فعلا تريد ان تكون هكر حقيقي ... لابد ان تعرف لمن تقول هذه الحقيقه و كيف تتعامل مع الاخرين .. اعمل حساب انك مراقب دائما و انه هناك كاميرا خفيه وراك دائما .. فاحذر في كلامك على الهاتف لانه قد يكون مراقب .. او حتى بريديك الشخصي و الالكتروني ( لابد ان تعمل حساب الغير المتوقع )
اذا ما قد ذكرته لا يهمك و انك انسان غير مبالي .. دعني اسألك هذه الاسئله ؟
هل تريد ان يراك الاخرين مجرم ؟ هل تريد ان ترى الحزن و الدموع على وجه اهلك ؟ هل تريد ان تحسر قلوبهم عليك ؟!
هل تريد ان تفقد اصدقائك ؟ خطيبتك ؟ صحبتك ؟
تذكر ان الضرر لن يعود عليك فقط انما سيعود على كل من تعرفه
- و كيف تحافظ على اسلوبك الجديد او شخصيتك الجديده ؟!
******************************************
بما انك قد استوعبت ماذكر حتى الان و قررت ان تكون انسان حريص جدا .. لابد ان تبقى هكذا طوال الوقت
و تذكر هذه الكلمات : لحظة كسل واحده في اتخاذ الاحتياطات الامنيه قد تغير حياتك باكملها ؟!!!!
دائما تذكر الدافع
- الجزء الثالث :
=========
- تمهيد
******
يجب معرفة هذه الامور القادمه و استيعابها جيدا قبل ممارسة اي عملية اختراق .. حتى لو كنت مخترق متمرس لابد ان تستوعب الافكار القادمه
- امن نفسك :
***********
- ماذا لو قرأ ال SysAdmin رسائلك البريديه الالكترونيه ؟
- ماذا لو كانت اتصالاتك الهاتفيه مسجله و مراقبه من قبل الشرطه ؟
- ماذا لو تم ضبط الكومبيوتر الشخصي و السيطره على كل معلوماتك ؟
اذا كنت لاتقوم بعمل اي اتصالات هاتفيه مع اي شخص من الهاكرز او الكراكرز .. ولا تبعث اي ايميلات فيه معلومات مشبوهه و لا تمتلك اي معلومات امنيه و حساسه على جهازك فهذا ببساطه لا يشكل اي خوف لانه ببساطه ايضا انت لست مخترق او hacker =)
لانه لابد من وجود اتصال بينك و بين اصدقائك المهتمين بهذا المجال .. لتبادل الاخبار و الافكار ..
كما انه لابد و انك تمتلك بعض الملفات اللازمه للاختراق او بعض المعلومات الي تعبر مدينه لك في حالة حدوث رصد لجهازك ( كبسه )
<--
-->
قم بتشفير كل ما تملكه من معلومات حساسه sensitive data
يمكنك ذلك باستخدام بعض البرامج الموجوده مجانا على الانترنت .. و هذه قائمه بافضل البرامج و التي تعتبر اختيار الهاكرز الاول :
- لمستخدمين MsDos اليكم SFS v.17 او SecureDrive 1.4b
- لمستخدمين نظام Amiga* اليكم EnigmaII v1.5 ( * احدى انظمة التشغيل غير شائعة الاستخدام خصوصا في عالمنا العربي )
- لمستخدمين انظمة ال Unix اليكم CFS v1.33
لتشفير الملفات بشكل فردي ( ملف بملف ) اليكم هذه البرامج ( الاكثر شهره و الاحسن اداء ) :
- Triple DES
- IDEA
- Blowfish (32 rounds)
- file2file
لتشفير الايميلات :
- PGP v2.6.x
يمكنك ايضا تشفير عملية اتصالك ب Unix System ( على اساس انه ممكن ان تكون مراقب )
و ذلك باستخدام :
- SSH الامن حتى الان
- DES Login
اجعل كلماتك السريه صعبة التخمين .. غير منطقيه .. غير شائعه .. لا توجد في القواميس .. لكن في نفس الوقت لابد ان تتذكرها دائما
اخترها من كتاب تتمتلكه .. اجعلها اكبر عدد ممكن من الاحرف ( يعني عادة عند عمل اي اشتراك يطلب منك كلمه سريه تتكون من 4 -8 احرف ) فاختر ال 8 حروف
لا تحفظ ارقام هواتف اصحابك الهاكرز بشكل اعتيادي .. انما يمكنك بان تشفرها ( حتى برموز تفهمها انت فقط ) و اتصل بهم من هواتف الشارع او من العمل ..
اذا انت بالفعل متعمق جدا في الهاكينج فلابد من تشفير كل شئ يتعلق بهذه الامور !!
احفظ دائما نسخه احتياطيه من معلوماتك على CD او HD و بالطبع تكون مشفره حتى اذا خسرت المعلومات الموجوده على جهازك يكون لديك نسخ احتياطيه
لاتحتفظ بملفات لاتحتاجها .. و ان كان لديك document files او ملفات مطبوعه و لا تريدها مرة اخرى لاتقطعها اعتياديا انما احرقها في مكان بعيد كل البعد عن اماكن تواجدك الاعتياديه او ان اردت الاحتفاظ بها فعليك كتابتها من جديد باسلوب مرمز او مشفر لايعرفه الا انت !!
هل تعرف انه من الممكن ان :
=================
تكون مراقب من : الشرطه , المخابرات , هاكرز اخرون و انهم يتسطيعون رصد كل حركات باستخدام وسائل حديثه لايمكن تخيلها
مثل :
- اجهزه تصوير تستطيع تصويرك عند بعد مئات الامتار
- نقطة ليزر مصوبه نحو غرفتك للتصنت على مكالماتك
- موجات عالية التردد للتنصت على لمسات و صوت يديك على ال keyborad !!
تختلف بالطبع هذه الامكانيات من مكان لاخر و من دوله الى اخرى .. و يرى البعض انه فيما اقوله مبالغه !!! لكن انت لا تعرف ماذا يخبئ لك المستقبل !! فلماذا لاتستعد من الان !!!
كما انه هناك الكثيير من اخواننا العرب في دول الخارج الذي بالفعل تتوفر فيها اجهزة التنصت هذه ... و على راي المثل المصري " امشي عدل يحتار عدوك فيك " فكلما كنت احتياطيا و حركاتك تحسبها بشكل صحيح !!! ففرص اطاحتك قليله جدا
حساباتك و اشتراكات الشخصيه :
===================
هنا سأتكلم عن حساباتك الشخصيه سواء كانت في العمل\المدرسه\الجامعه\اي كان فعليك بالتالي :
- ابدا لا تقوم باي عمل غيير قانوني .. او مشبوه بحسابتك الشخصيه التي فيها يكون اسمك الحقيقي و هويتك و تفصيلات كامله عنك
- عمرك ما تحاول ان تتصل بموقع قد تم اختراقه بواسطة ال telnet
- يمكنك الاشتراك بحسابك الخاص في قائمة البريد لاي موقع امني security من دون خوف ..
- لكن كل مو هو مختص بالهاكينج من ملفات لابد ان تشفر او انها يتم مسحها فورا
- ابدا لا تحفظ اي برامج و ادوات الاختراق على الهارديسك في حسابك الشخصي
- بريدك الحقيقي لاتعطيه الا لمن تثق فيه ثقه عمياء !!!!
- اهتمامك بالسكيورتي لا يجعلك مشبوها .. انما الاهتمام بعكس السكيورتي هو المشكله ==> الهاكينج
<----
ملفات اللوق LoGS :
============
هناك 3 ملفات مهمه جدا :
- WTMP للتسجيل عند الدخول و الخروج ( log on/off - log in/logout + tty + host )
- UTMP للمتواجدين اونلاين حاليا !
- LASTLOG تسجيل من اين جاءت هذه logins
** سنتكلم عنهم باستفاضه و تعمق فيما بعد ( في جزء اخر من نفس الموضوع )
كل عملية دخول بواسطة ال telnet , ftp , rlogin يتم تسجيلها في هذه الملفات .. لابد حذف دخولك من هذه الملفات و الا سيتم معرفة الاتي :
- ماذا قمت بالاختراق !!
- من اي مكان انت قادم
- كم من الوقت بقيت اونلاين ..
خطا يقع فيه الجميع بنسبة 99.9 % مننا ( حتى انا كنت اقع في نفس هذا الخطا زمان .. لكن اتعلمت ) و هو انك تمسح اللوقات logfiles
علطول .. هذا مجدي في حالة انك لاتهتم بان يعرف الادمين انه هناك مخترق ما قد دخل على النظام .. اما اذا اردت ان تشتغل شغل المحترفين عليك الدخول و الخروج دون ان يلاحظك اي شخص .. دون ان تقوم بتغيير اي شئ يلفت انتباه مدير النظام
و لعمل ذلك تابع معي :
لاتعتمد البرامج التي روجت على انها لاتقوم بمسح اللوق انما تقوم بحذف دخولك فهي غيير مجديه مثل برنامج ZAP (or ZAP2
لانه يقوم بعمل اصفار كاخر لوق مكانك انت و هذا ايضا دليل على وجود خطا سيلاحظه مدير النظام
اذا عليك بالقيام بذلك يدويا ..
عادة لابد ان تكوت root لتغير و تعدل في ال log files ( باستثناء بعض التوزيعات القديمه جدا )
اماكن تواجد ملفات اللوق default ( تختلف باختلاف التوزيع )
UTMP : /etc or /var/adm or /usr/adm or /usr/var/adm or /var/log
WTMP : /etc or /var/adm or /usr/adm or /usr/var/adm or /var/log
LASTLOG : /usr/var/adm or /usr/adm or /var/adm or /var/log
و في بعض النسخ القديمه home/.lastlog$
لا تترك اثرا :
=======
كثيير من الهاكرز ينجحون في عملية حذف دخولهم من ملفات اللوق .. لكنهم ينسون امرا هاما و قاتلا !!! و هي الملفات التي توجد هنا
/tmp and $HOME
و جود ال Shell History في HOME$ مصدر قلق كبيير :
History files :
sh : .sh_history
csh : .history
ksh : .sh_history
bash: .bash_history
zsh : .history
Backup Files :
dead.letter, *.bak, *~
لكن الحل موجود ايضا لمسح الHistory files :
mv .logout save.1
echo rm -rf .history>.logout
echo rm -rf .logout>>.logout
echo mv save.1 .logout>>.logout
- امور و اشياء يجب تجنبها و الحظر منها
======================
لاتقوم ابدا بكسر اي باسورد الا على encrypted partition كما عليك دائما انت تحذر من استخدام اشتراكاتك ( اشتراك الجامعه على سبيل المثال )
لانه بمنتهى البساطه يمكن ان يرى ماتفعله مدير الشبكه admin و من ثم سيعرف مالذي تقوم به و الملفات التي تستخدمها الخ ..
حاول دائما ان تغيير اسامي البرامج المشبوهه لديك يعني احنا العرب خصوصا غاويين نسمي اسماء اسامي مخيفه على الفاضي ..
لاتفكر في نفسك فقط .. يعني حين ان تستخدم بعض الاشتراكات او الshells التي تسمح بالعمل الخلفي background لابد ان تعرف انك تبطئ من سرعة السيرفر و بالتالي تلفت الانظار !!!
حاول ان لاتستخدم parametres على قدر المستطاع ... على سبيل المثال اذا اردت ان تتصل من الشيل على تيلنت لموقع معين او سيرفر معين لاتقوم بعمل الاتي : telnet
http://www.host.com/ 23 انما ببساطه اتبع الخطوات البطيئه و هي
telnet
open
http://www.host.com/و هكذا ..
في حالة انك اخترقت سيرفر معين من الافضل ان تضع عليه backdoors مخصصه لنظام التشغيل ( مش sub7 هههههههههه ) و هي كثييره و موجوده مجانا على الانترنت
الجزء الرابع : التقنيات الحديثه الي يتي يجب ملاحظتها
===============================
- تمهيد
*******
بعد ان ثبت اول sniffer و خططت لبدا الاختراقات .. عليك ان تعرف كيف تستخدم هذه التقنيات متعبا ما يلي :
- امنع تقفى اثرك من اي نوع
**********************
قد يلاحظ الادمين ( مدير الشبكه ) وجودك كمخترق hacker و انك اطحت باحد المواقع لكن هذا لايهم ... المهم هو انه كيف سيرصدك و عندها كيف يمكن ان يتعامل معك !!!
لذا ففي هذا الجزء سيتم توضيح كل الاحتمالات و الاساليب الذي يمكن بها تتبعك و رصدك و ايضا كيف يمكن ان تمنعها ...
* من الطبيعي ( العادي ) ان يسهل على مدير الشكبه ( admin ) معرفة النظام الذي كان المخترق عليه عند دخوله على شبكته و ذلك اما عن طريق ملفات اللوق ( هذا ان كان الهاكر غبي لتركها كما هي ) او من ال output من ال sniffer
او من اوامر netstat في حالة ان المخترق مازال موجودا online
من اجل هذا تختاج ال GateWay Server !!
* A gateway server in between هذا واحد من الكثيير من السيرفرات التي يوجد لك حساب عليها و التي تعتبر في منتهى السخافه في الاستخدام و انت تحتاج لان تكون رووت عليها لتستطيع تغيير ال wtmp and lastlogs
كما انه لابد ان من استخدام اكثر من gateway server و ان تبدل بينهم باستمرار حتى لا يتم الكشف عنك ..
من الشيل الذي ستخترق منه .. قم بالاتصال بال gateway server و من ثم تتصل بالسيرفر المراد اختراقه ..
==> ( تحتاج دائما ل root access لتغيير اللوق )
باستخدامك ل Dialup server يجنبك الكثيير من المشاكل .. حيث انك في غنى عن التعديل في ملفات اللوق بشرط ان تدخل باشتراك مختلف في كل مره تدخل فيها على الhacked system =)
ملحوظه : اذا كنت قادر على الاتصال بسرفيرات dialup كثييره فلا حاجه لان تستخدم hacking server لانه سيتغير اثرك بتغير الشركات المختلفه التي تتصل من خلالها
بالنسبه للمتواجدين في الولايات المتحده الامريكيه و اوروبا ( الدول المتقدمه ) حتى و ان قمت بما سبق ( dialup servers ) يمكنهم تسجيل كل اتصال تم و لديهم ارشيفات منذ سنيين هذا عددها !
- ايجاد اي نوع من انواع ملفات اللوق lOGs مهما كان فيها من تلاعب ..
**************************************************
***
من الهام و الضروري جدا ان تعثر على كل ملفات اللوق حتى المخفي منها .. للحصول و العثور على هذه الملفات يمكن ذلك بهاتين الطريقتين :
1 - اعثر على جميع الملفات المفتوحه : و يمكنك ذلك باستخدام برنامج LSOF هو اختصار List Open Files و من ثم يمكن العثور عليهم و التعديل فيهم
2 - ابحث عن كل الملفات التي تغيرت ( حدث فيها تغيير ) من بعد دخولك -
بعد دخولك قم بعمل touch /tmp/check و بعدها قم "find / -newer /tmp/check -print"
العمليه التي سنقوم بها ستاذخ الشكل التالي : بحث -> نتائج -> مطالعة النتائج -> تعديل
قم ايضا بالتشيك على اماكن ال log files الاعتياديه usr/adm/ و var/adm/ و var/log/
اذا يتم تسجيل العمليات في ال loghost يعني xx@loghost فانت هنا في مازق .. حيث انه لابد من ان تخترق ال loghost لتعدل ملفات اللوق
يمكن تعديل اللوق logfiles بعدة طرق ابسطها باستخدام اي محرر كتابه text editor او قم بعد اسطر الملف باستخدام wc و من ثم حذف اخر 10 اسطر من خلال : "head -LineNumbersMinus10" بالعربي ( عدد السطور مطروحا 10 منه- head )
اذا كان برنامج accouting مثبت على السيرفر يمكنك ببساطه استخدام acct-cleaner from zhart و هو هيعمل اللازم
اذا كان النظام يستخدم wtmpx و utmpx ايضا فمع الاسف عزيز انت في ورطه !!! فانا على اعرف اي برنامج للتعامل في هذه الحاله .. لو استطعت ان تبرمج واحد ( للاخوه المبرمجين ) لا تنسى ان تعلنا به =)
- تحقق من syslog configuration and logfile
************************************
تعتمد معظم البرامج على ال syslog function لتسجيل اي شئ يريدونه .. فعليك ان تتحقق من خصائص الsyslog
فاذا كانت اللوقات logs لاتخزن فقط على الجهاز انما على hosts اخرى ... فيؤسفني انك لابد من اختراق هذه hosts
ملف ال syslog موجود في etc/syslog.conf/
- تحقق من نوعيات برامج الامن المثبته
******************************
توجد العديد من برامج الفحص الأمني غالبا على المواقع ذات الحس الأمني العالي. وتدار هذة البرامج بواسطه أداه تسمى cron و يكون مكانها الأفتراضي أو الطبيعي هو var/spool/cron/crontabs/ و هي تقوم بمتابعه جميع المدخلات . خاصه الـRoot و الملفات التي يستعملها. للتحقق اللسريع من الموضوع نستخدم الأمر التالي
"crontab -l root".
غالبا ماتكون هذه الأدوات محمله و عامله على حساب المدير. و يكون بعضها في مجلد الـ bin/~ الخاص به. كما يمكن ان يكون هناك sinnefer موضوع لأغراض امنيه في نفس المكان.
من الأدوات الت تستعمل في مثل هذه الفحوصات الداخليه
tiger, cops, spi, tripwire, l5,
binaudit, hobgoblin, s3 etc.
ينبغي على المقتحم أن يتأكد من وجود هذه الأدوات و التأكد من التقارير التي ترسلها , للتأكد من أنها لا تكشف عمليه الأقتحام
يمكنك تعديل مفات هذه البرامج للتأكد من أنها لن تقوم بالأبلاغ عن الأقتحام, و يمكن تنفيذ ذلك بطريقتين:
- قم بتعديل البرنامج برمجيا لكي لا يقوم بالأبلاغ عنك (واسعه شويه دي) أو قم بأزالته و أستعمل برنامجا مزيفا
- قد تضطر إلى أزاله الـ back door الذي أستعملته و محاوله تحميله بطريقه أخرى
- تحقق من وجود المدراء Admins
****************************
من المهم أن تجد جميع المدراء على الموقع, و تحاول معرفه الحسابات العاديه التي يتم أستخدامها.
توجد عده طرق لكشف هذه المعلومات:
- قم بفحص الملف .forword و مدخلات الـ alias
-أفحص ملف الـ sulog و حدد المستخدمين الذين نجحو في تنفيذ الأمر su root بنجاح
- أسحب ملف الـ group و أبحث عن جميع المجموعات التي لها علاقه بالأداره ( admin, root, wheel, etc
-أسحب ملف passwd بالنسبه للمدير لعرض كلمات سر المدراء
يعد كل هذا , يمكنك معرفه كل المدراء على الموقع. أدخل إلى مجلداتهم الخاصه ( في حاله عدم أستطاعتك , أستخدم أحدى الأدوات التاليه chid.c, changeid.c لأنتحال شخصيه المستخدم) . و أفحص الملفات التاليهhistory/.sh_history/.bash_history لمعرفه الأوامر التي يستعملونها عادة, قد يفيدك هذا في معرفه دور المدير على الموقع, أو أكتشاف معلومات مخفيه. قم بفحص ملفات .profile/.login/.bash_profile لمراجعه أعدادات الـalias التي تستخدم, و إذا ماكانت أدوات أمنيه خفيه مستخدمه. و من الطبيعي طبعا أن تقوم بفحص كافه الملفات و المجلدات , خاصه المخفيه منها قد تجد بعض الأشياء المفيده حقا
checksum checking software
************************
برامج checksum ( هو قيمة رقمية تُستعمل للتأكد من خلو البيانات من الأخطاء. هذه القيمة تُحسب من خلال عملية كشف الجمع)
بعض المدراء ويقمون باستعمال برامج للتحقق من حدوث اي تغييرات في الملفات، وفي حالة حدوث اي تغير، يقوم بفحص الملفات ويستطيع اكتشافها
فكيف تعرف مااذا استخدمت هناك برامج التحقق واي الانواع استخدمت؟ واذاعرفت فكيف تعدلها بحيث تخدم من اجلك ؟
هناك انواع عديدة من برامج التحقق ومن السهل كتابة واحدة منها بنفسك ولكن من الصعب اكتشاف ما اذا استخدمت مثل تلك البرامج علي الملفات للحماية
هذه اسماء بعض البرامج التي تقوم ب عملية فحص checksum
SOFTWARE : STANDARD PATH : BINARY FILENAMES
tripwire : /usr/adm/tcheck, /usr/local/adm/tcheck : databases, tripwire
binaudit : /usr/local/adm/audit : auditscan
hobgoblin : ~user/bin : hobgoblin
raudit : ~user/bin : raudit.pl
l5 : compile directory : l5
كما تري هناك احتمالات كثيرة، ربما البرنامج نفسه او قواعد البيانات يوجد علي جزء آخر، مثل جزء NTFS لمضيف او جهاز آخر ، او حتي قواعد بيانات التي تحمل معلومات checksum في جهاز محمي علي الكتابة ( اقراص CD مثلا ) ...
ولكن يمكنك القيام بعملية فحص استطلاعي سريع لمعرفة البرامج المستخدمة ، واذا لم تستخدم ففرصتك، واذا لم تجد شي ولكنك كنت متاكدا من استخدامهم لتلك الانواع من البرامج هذا يعني ان الموقع او المزود محمي بشكل جيدا ( هارد لك ) ويجب ان لا تعبث بالملفات ابدا ..
ولكن ماالعمل اذا اكتشفت انهم يستخدمون تلك البرامج وبامكانك تغييرها؟؟
يمكنك 1 - ايهام تلك البرنامج بطرق شرعي بانه تم تغيير ملف ما بشكل قانوني ويتم تحديث قواعد البيانات مثلا "tripwire -update /bin/target".
2 - يمكنك تغيير قائمة الملفات التي يجب فحصها وتزيل اسم الملفات المراد من القائمة فلا يتم فحصها مرة اخري للتحقق ( ولكن يجب ان تتاكد ايضا ان ملف قواعد البيانات نفسها لا يتم فحصها ب checksum حتي لا يتم اكتشاف التغييرات التي قمت بها )
- حيل المستخدم الامنيه
*******************
هذه الحيل ما ندر توجد او تستخدم لكنني كتبتها فقط لاكون شملت كل شئ ( لكمال الموضوع ) .. فبعض المستخدمين يسمون اشتراكاتهم admins و بالطبع لا يريدون ان يعبث في ملفاتهم اي شخص فيقومون بعمل بعض الحيل في ملفات ال startup لذا فدائما تحقق من .profile, .cshrc, .login, .logout الخ ( اي الملفات التي تبدا بنقطه )
الجزء الخامس :
=========
ماذا تفعل ان وضعت تحت المراقبه؟
***************************
متى اصحبت تحت الميكروسكوب ( المراقبه ) من قبل الشرطه او حتى الadministrators عليك القيام بخطوات هامه و سريعه حتى لايستطيعو الامساك بدليل ( برهان ) عليك
- ملحوظه : ان كان في اعتقاد ال administrators انك hacker فانت ==> مذنب حتى تثبت براته ...
لايعني القانون اي شئ لل admins ( بعض الاوقات اعتقد انه لا يوجد فرق بين ال hacker و ال administrator الا بان مالك الكومبيوتر هو ال administrator فقط ) عندما يعتقدون انك هاكر فانك فورا اصبحت مذنب .. سيقومو مباشرة بمراقبة بريدك اللكتروني و ملفاتك و ان كان محترف الادمين سيرصدك ايضا هجماتك الاخرى ..
اذا كان يمكنهم مراقبة كل هذه الاتصالات اكيد ببساطه يمكنهم مراقبة خط تيليفونك ..
لذا فعليك عدم القيام باي اتصالات فيها اخبار اخترقاتك .. و ان حتى اردت ان تحذر اصحابك فلا تخبرهم هاتفيا او ببريد الكتروني ( الا اذا كان مشفرا) و من الافضل ان تخبرهم عندما تقابلهم وجها لوجه .. و تمنعهم من راسال اي رسائل غيير عاديه ..
لتؤمن نفسك عليك ان تبقى على هذا الحال على الاقل من شهر الى شهرين .. و الا ستواجه مشاكل اعتقد انك لاترغب بها
الجزء السادس :
=========
ما الذي عليك القيام به و ايضا الذي لابد من عدم القيام به في حالة انه تم القبض عليك:
**************************************************
**************
اولا : اطلب محاميك فورا !!!! : لا تحاول بان تتذكى انت و ترد على التحقيق بمفردك .. فاطلب محاميك كي يدافع عنك هو و يطلعك على ما يجب ان تذكره و ما يجب ان لا تذكره نهائيا .. بعدها غالبا ما سيطلب المحامي جهازك ( الكومبيوتر ) باقصى سرعه بحجة احتياجه في العمل و الا عليهم تحميل جميع الاعباء الماديه و المشاكل التي قد تحدث عن عدك استخدام الجهاز .. لذا فانه من العملي جدا ان يكون عندك محامي جاهز في اي وقت قبل ان تقع الفاس في الراس و بعدها تبدا في البحث و التدوير
ثانيا : ابدا لا تتكلم الا الشرطه !!! : لاتعطي للشرطه اي معلومات عنك او عن زملائك بحجة ان هذا سيخفف العقاب عنك و سيخرجك من المازق .. لان هذا لن يفيدك بل سيدينك اكثر .. و ان كان يجب استجوابك فاطلب ان يتم هذا فقط من خلال محاميك ( و هذا ايضا حق من حقوقك )
لاتخبر ابدا عن اصدقاؤك ليس ققط كنوع من الشهامه .. انما ايضا بدخول اصحابك في الموضوع ستتسع دائرة الموضوع و من ثم تزيد المعلومات عنك و عن جرائمك و هم ايضا !
بعض الدول من ضمن قانونها انه اذا لم تستطع الشرطه فك تشفير ملفاتك او جزء من الهارد ديسك فيمكنك بمنتهى الحريه عدم الافصاح عنها
لكن بعض الدول الاخرى في قانونها انه مادامت وقعت في المصيده لابد ان تدلي لهم بكل شئ في هذه الحاله انصحك باستشارة محاميك و انكار انك لديك اي اقراص صلبه مشفره
الجزء السابع :
========
قائمه بافضل البرامج للتخفي و الاختباء :
******************************
Change - Changes fields of the logfile to anything you want
Delete - Deletes, cuts out the entries you want
Edit - real Editor for the logfile
Overwrite - just Overwrites the entries with zero-value bytes.
Don't use such software (f.e. zap) - it can be detected!
---------------------------------------------------------------
LOG MODIFIER
++++++++++
ah-1_0b.tar Changes the entries of accounting information
clear.c Deletes entries in utmp, wtmp, lastlog and wtmpx
cloak2.c Changes the entries in utmp, wtmp and lastlog
invisible.c Overwrites utmp, wtmp and lastlog with predefines values, so
it's better than zap. Watch out, there are numerous inv*.c !
marryv11.c Edit utmp, wtmp, lastlog and accounting data - best!
wzap.c Deletes entries in wtmp
wtmped.c Deletes entries in wtmp
zap.c Overwrites utmp, wtmp, lastlog - Don't use! Can be detected!
--------------------------------------------------------------------------------------
الجزء الثامن :
=========
كلمه ختاميه
**********
لاتدعهم ابدا يقبضون عليك .. دائما اجعل عيناك مفتوحان .. اعرف في من تثق و من لا !!
لاتفكر في نفسك فقط (انما ايضا تذكر كل من حولك )
تمنياتي للجميع بحياة ممتعه و امنه ..
انتهى،،،
بالتوفيق
الخميس 10 فبراير 2011, 6:53 am من طرف 
