إعـــــــلان

تقليص
لا يوجد إعلان حتى الآن.

ماذا تفعل لو أكتشفت أن جهازك /خادمك مخترق؟

تقليص
X
 
  • تصفية - فلترة
  • الوقت
  • عرض
إلغاء تحديد الكل
مشاركات جديدة

  • ماذا تفعل لو أكتشفت أن جهازك /خادمك مخترق؟

    السلام عليكم

    كل عام و أنتم بخير بمناسبة إقتراب حلول عيد الأضحى المبارك أعاده الله عليكم بالخير ، و يفضل الإبتعاد عن الأماكن النيلية و الديسكوهاتية، و تقضية العيد في أكل اللحوم فقط و الإبتعاد عن كل ما هو حرام " قشطا ياسامر ".

    نخش في الموضوع..من فترة طويلة كدا فتحت نفس السؤال في موقع خاص بالسيكيورتي....و بعد مرور فترة لازم نسأل السؤال تاني و لكن نسأله هنا مع الناس اللي بتستخدم Linux فقط...

    ماذا تفعل لو أكتشفت أن جهازك /خادمك مخترق؟
    My-LiFe My Blog
    أنتظروا ثلاثة مفاجئات قريباً..
    I'm GONE !...WITHOUT h3h3!

  • #2
    مشكور يا سفاح على النصيحة الطيبة منك وان شاء الله الناس تقضي العيد بصلة الرحم وصيام يوم عرفة وكل عام وانتم بألأف خير جميعا...

    سأدلي بدلوي عالسريع ببعض النقاط الاساسية:

    1- أول شيء اغلاق كرت الشبكة:
    كود:
    #ifdown eth0
    2- البحث باللوج فايل مثل /var/log/messages و /var/log/secure وغيرها بحثا عن مدخلات خاصة باي شيء مريب (هذا ان لم يكن المخترق قد تلاعب بها اصلا !!) لذلك دوما يفضل عمل crontab بسيطة تعمل ارشفه لها اول بأول لهذه الملفات او تخلي ملف الاعدادت syslog.conf يسجل برضو بمكان تاني او بملف غير الافتراضي حتى تزيد من صعوبة عملية erasing the tracks ..

    3- عمل بحث سريع باستخدام الامر find بحثا عن ملفات مريبة مثل:
    كود:
    find / -perm +4000 -user root
    للملفات بصلاحية SUID

    4- في حاجة حلوة من ريدهات مش الكل بيعرفها... طبعا هي الأوبشن -V مع الأمر rpm
    بيعمل check على كل الملفات اللي تابعه لأي برنامج rpm نزلته على الخادم وبيديك اي تعديلات حصلت عليه مثلا:
    كود:
    # rpm -V pam
    S.5....T. c /etc/pam.d/system-auth
    S.5....T. c /etc/security/limits.conf
    كل واحد من الاحرف ليه معنى وباختصار انه حرف الS يعني الحجم.. الرقم 5 يعني الMD5 تغير عليه... وحرف الT يعني الModify Time وغيرها...

    5- التدقيق في ملفات الauth مثل etc/passwd و shadow بحثا عن مدخلات مريبة ايضا..

    اذا لم تستطع معرفة اي شيء آخر عن الاختراق فالنصيحة هي ان تعمل reinstall لجهازك مباشرة

    هذا ما سأقوله الآن و انتظر منكم امور اخرى لأقوم بالتعليق و اضافة المزيد
    V.I.P

    (وَاصْبِرْ فَإِنَّ اللَّهَ لَا يُضِيعُ أَجْرَ الْمُحْسِنِينَ)
    هود 115

    Linux is user-friendly, but it happens to be selective about its friends

    "احذر أن تكون مثل البقية تأخذ وﻻتعطي ، فلن يكون هناك مصادر تعليمية على الشبكة، ﻻأكثر الله من أمثالهم"


    مجتمع لينوكس العربي: وقف لله تعالى وصدقة جارية، فلا بارك الله في كل من يحاول الإساءة إليه في الظاهر أو في الخفاء...


    تعليق


    • #3
      افرض إنك شغال remote :D ? هتفصل الnetwork ؟ و بعدين أليس من الممكن إنك تفصل النتورك عن الكل ماعدا نفسك ؟

      باقي الكلام حلو و لذيذ و هعقب عليه بعد الفاصل
      My-LiFe My Blog
      أنتظروا ثلاثة مفاجئات قريباً..
      I'm GONE !...WITHOUT h3h3!

      تعليق


      • #4
        المشاركة الأصلية بواسطة sAFA7_eLNeT مشاهدة المشاركة
        افرض إنك شغال remote :D ? هتفصل الnetwork ؟ و بعدين أليس من الممكن إنك تفصل النتورك عن الكل ماعدا نفسك ؟

        باقي الكلام حلو و لذيذ و هعقب عليه بعد الفاصل
        أكيد مش راح أعمل زي الي بالي بالك وأقوم بعمل:
        كود:
        init 0
        للسيرفر

        أما أحد الطرق هي عمل:
        كود:
        iptables -A INPUT -p tcp -s my_ip --dport ssh_port -j ACCEPT
        iptables -P INPUT DROP
        iptables -P OUTPUT DROP
        iptables -P FORWARD DROP

        وبعدها أبلش حبة حبة في النظام
        التعديل الأخير تم بواسطة علي الشمري; الساعة 22-12-2007, 01:00 PM.
        إِنَّمَـا الأُمَـمُ الأَخْـلاقُ مَا بَقِيَـتْ ... فَـإِنْ هُمُ ذَهَبَـتْ أَخْـلاقُهُمْ ذَهَبُـوا

        إذا المرء لا يرعاك إلا تكلفاً ... فدعه ولا تكثر عليه التأسفا
        ففي الناس أبدال وفي الترك راحة ... وفي القلب صبر للحبيب ولو جفا
        فما كل من تهواه يهواك قلبه ... ولا كل من صافيته لك قد صفا
        إذا لم يكن صفو الوداد طبيعة ... فلا خير في خل يجيء تكلفا
        ولا خير في خل يخون خليله ... ويلقاه من بعد المودة بالجفا
        وينكر عيشاً قد تقادم عهده ... ويظهر سراً كان بالأمس في خفا

        [ مواقع مفيدة: أروع موقع القرآن الكريم |مدونتي |Twitter |نظام طارق ]

        تعليق


        • #5
          غالب الكتب والمراجع راح تقول لك خذ السيرفر offline ودقق فيه على كيف كيفك ...
          وهذا الرأي أراه صائب نوعاً ما خاصة إن لم تعرف نوع الإختراق أو أين ...
          حتى السجلات بإمكانك مسحها بسهولة سواءاً كانت Local او remote ...
          وبعض الإختراقات حتى التعديل على ملفات ﻻ يقوم بها ... ولهذا كمان هذه النقطة صعبة إكتشاف المخترق ...

          بالنهاية ألعب إنت وياه: شرطة وحرامية

          مشكور سفاحكو على الموضوع ... إن شاء الله نشوف آراء خلي نفستنفيد
          إِنَّمَـا الأُمَـمُ الأَخْـلاقُ مَا بَقِيَـتْ ... فَـإِنْ هُمُ ذَهَبَـتْ أَخْـلاقُهُمْ ذَهَبُـوا

          إذا المرء لا يرعاك إلا تكلفاً ... فدعه ولا تكثر عليه التأسفا
          ففي الناس أبدال وفي الترك راحة ... وفي القلب صبر للحبيب ولو جفا
          فما كل من تهواه يهواك قلبه ... ولا كل من صافيته لك قد صفا
          إذا لم يكن صفو الوداد طبيعة ... فلا خير في خل يجيء تكلفا
          ولا خير في خل يخون خليله ... ويلقاه من بعد المودة بالجفا
          وينكر عيشاً قد تقادم عهده ... ويظهر سراً كان بالأمس في خفا

          [ مواقع مفيدة: أروع موقع القرآن الكريم |مدونتي |Twitter |نظام طارق ]

          تعليق


          • #6
            بداية اكيد انك بتفصل كرت الشبكة او تعزل الجهاز من العالم الخارجي
            عشان تتاكد من فين الخلل
            بس مش الافضل انك تتم العملية والجهاز بحالته العادية اقلها بتفحص البوتات بال netstat
            او الملفات المفتوحة بال lsof او البرامج العاملة في الوقت الحالي او فحص المهام المجدولة
            لعل عاصي والديه ( المخترق ) موجود في الوقت الحالي

            في اغلب الاحوال العملية تتاخد ببرود لانه المخترق يكون كمل شغلة وهرب من مده شهر

            بس اغلب شي حنعمل الخطوات اللي فوق مع فحص الفايروول لوجز وعمل rootkit hunter
            My sickness is called frozen mind
            and hopefully I'll find the cure for it

            تعليق


            • #7
              سلام عليكم

              اول خطوة عزل الحاسوب عن السبكة اوتعديل الجدار الناري لما يناسب الوضعية عند عدم عزا الحاسوب
              عمل بعض الفحوصات مثل dmsg ونفس مذكره darklinux

              Th1nk bad ... D0 g00d

              تعليق


              • #8
                المشاركة الأصلية بواسطة unex مشاهدة المشاركة
                سلام عليكم

                اول خطوة عزل الحاسوب عن السبكة اوتعديل الجدار الناري لما يناسب الوضعية عند عدم عزا الحاسوب
                عمل بعض الفحوصات مثل dmsg ونفس مذكره darklinux
                اسمه
                dmesg

                تعليق


                • #9
                  حسب خبرتك هتشتغل ، وبالبداية ممكن تقول httpd stop لو على السيرفر موقع واحد ، او هتقول /scripts/suspendacct user لو السيرفر مشترك وأحد المواقع اخترق

                  بعد كذا الحكاية مع اللوق وخلي التدقيق بالسطور كحل اخير ،،، لانها حاجه متعبة

                  كود:
                  grep '=http://'  /usr/local/apache/domlogs/domain.com
                  الامر دا يبحث عن محاولات الانكلود اللي تمت عليه وطبعاً هو من اختراعي ناو وانا جالس افكر بحل

                  موضوع تشكر عليه ياسفاح
                  كود:
                  grep 'config.php'  /usr/local/apache/domlogs/domain.com
                  
                  grep '../'  /usr/local/apache/domlogs/domain.com
                  
                  grep 'passwd'  /usr/local/apache/domlogs/domain.com 
                  
                  grep '???'  /usr/local/apache/domlogs/domain.com
                  الاستفهامات ديت ؟؟؟ ، ترجع ليك ولمحتوى الموقع ومن فين شاكك

                  الامر اللي ذكرته انا لو احسنت استخدامه هتطلع بريفتات كثير ، وكل ماكثرت سيرفراتك كل ماكانت حصتك أكبر

                  موضوع جميل خلاني افكر فعلاً ، شكرا اقين على مكان اللوق!

                  تعليق


                  • #10
                    أبي أتكلم عن نفسي لو اخترق جهازي PC

                    مااأفكر طوالي أعمل reinstall

                    حتى لو كنت فاهم الشغله ، ماأضمن الهكر ، أكيد له طريقه للأحتيال ، والتلاعب

                    لذلك اضمنلي reinstall

                    وأريح مخي ..

                    ياليت نشوف من الشباب تركيز على PC ،

                    وش يعمل الشخص عشان يطهر جهازه من أثار الكراكرز
                    براءة:
                    إن سطام لا يضمن صحة و لا دقة ما يكتب ، بل هو إلى الخطأ أقرب منه للصواب ، فدقق و لا تسلّم .
                    @ksatux

                    تعليق


                    • #11
                      ايش يا شباب؟ مو شايف في حد بيضيف شيء جديد!!!:gotcha:


                      يللا.. كمان اضافة من عندي:

                      اعمل سيرتش على الملفات المتعدلة خلال 24 ساعة او اكثر:

                      كود:
                      find / -mtime 1 > mod_files
                      V.I.P

                      (وَاصْبِرْ فَإِنَّ اللَّهَ لَا يُضِيعُ أَجْرَ الْمُحْسِنِينَ)
                      هود 115

                      Linux is user-friendly, but it happens to be selective about its friends

                      "احذر أن تكون مثل البقية تأخذ وﻻتعطي ، فلن يكون هناك مصادر تعليمية على الشبكة، ﻻأكثر الله من أمثالهم"


                      مجتمع لينوكس العربي: وقف لله تعالى وصدقة جارية، فلا بارك الله في كل من يحاول الإساءة إليه في الظاهر أو في الخفاء...


                      تعليق


                      • #12
                        افحص المستخدمين والمجموعات في ملف ال passwd و ال group

                        افحص اخر عمليات التسجيل سواء من ftp او ssh او access log
                        فحص البرامج المركبة اي منها جديد مع فحص الرولز في الفاير وول

                        بخصوص البرامج مرة في احد غرف الدردشة طلعلي واحد يسالنا كيف يركب برنامج على سيرفر هو مخترقه

                        باقي باقي زي ما قال جراي فحص اخر التعديلات على الفايل سيستم
                        بس بداية ضروري تحدد وقت الاختراق لاجل تسهل الامور
                        My sickness is called frozen mind
                        and hopefully I'll find the cure for it

                        تعليق


                        • #13
                          طيب ياشباب keylogger

                          هل موجود باللينكس ؟
                          براءة:
                          إن سطام لا يضمن صحة و لا دقة ما يكتب ، بل هو إلى الخطأ أقرب منه للصواب ، فدقق و لا تسلّم .
                          @ksatux

                          تعليق


                          • #14
                            المشاركة الأصلية بواسطة سطام مشاهدة المشاركة
                            طيب ياشباب keylogger

                            هل موجود باللينكس ؟
                            طبعا..

                            LKL: Linux Key Logger


                            http://sourceforge.net/projects/lkl/
                            V.I.P

                            (وَاصْبِرْ فَإِنَّ اللَّهَ لَا يُضِيعُ أَجْرَ الْمُحْسِنِينَ)
                            هود 115

                            Linux is user-friendly, but it happens to be selective about its friends

                            "احذر أن تكون مثل البقية تأخذ وﻻتعطي ، فلن يكون هناك مصادر تعليمية على الشبكة، ﻻأكثر الله من أمثالهم"


                            مجتمع لينوكس العربي: وقف لله تعالى وصدقة جارية، فلا بارك الله في كل من يحاول الإساءة إليه في الظاهر أو في الخفاء...


                            تعليق


                            • #15
                              ايه ياجري

                              انت بتبحث بكل النظام وبتضيع وقتك كدا ليه
                              كود:
                              find /home/user/public_html/ -mtime 1 > mod_files


                              استخدام ال * بالاوامر مهم جداً لاكتشاف ومعرفة المزيد

                              تعليق

                              يعمل...
                              X