إعـــــــلان

**سامر حداد** · 17-12-2007, 02:14 AM

مشكور يا سفاح على النصيحة الطيبة منك وان شاء الله الناس تقضي العيد بصلة الرحم وصيام يوم عرفة وكل عام وانتم بألأف خير جميعا...

سأدلي بدلوي عالسريع ببعض النقاط الاساسية:

1- أول شيء اغلاق كرت الشبكة:

كود:

#ifdown eth0

2- البحث باللوج فايل مثل /var/log/messages و /var/log/secure وغيرها بحثا عن مدخلات خاصة باي شيء مريب (هذا ان لم يكن المخترق قد تلاعب بها اصلا !!) لذلك دوما يفضل عمل crontab بسيطة تعمل ارشفه لها اول بأول لهذه الملفات او تخلي ملف الاعدادت syslog.conf يسجل برضو بمكان تاني او بملف غير الافتراضي حتى تزيد من صعوبة عملية erasing the tracks ..

3- عمل بحث سريع باستخدام الامر find بحثا عن ملفات مريبة مثل:

كود:

find / -perm +4000 -user root

للملفات بصلاحية SUID

4- في حاجة حلوة من ريدهات مش الكل بيعرفها... طبعا هي الأوبشن -V مع الأمر rpm
بيعمل check على كل الملفات اللي تابعه لأي برنامج rpm نزلته على الخادم وبيديك اي تعديلات حصلت عليه مثلا:

كود:

# rpm -V pam
S.5....T. c /etc/pam.d/system-auth
S.5....T. c /etc/security/limits.conf

كل واحد من الاحرف ليه معنى وباختصار انه حرف الS يعني الحجم.. الرقم 5 يعني الMD5 تغير عليه... وحرف الT يعني الModify Time وغيرها...

5- التدقيق في ملفات الauth مثل etc/passwd و shadow بحثا عن مدخلات مريبة ايضا..

اذا لم تستطع معرفة اي شيء آخر عن الاختراق فالنصيحة هي ان تعمل reinstall لجهازك مباشرة

هذا ما سأقوله الآن و انتظر منكم امور اخرى لأقوم بالتعليق و اضافة المزيد

**sAFA7_eLNeT** · 17-12-2007, 03:30 PM

افرض إنك شغال remote :D ? هتفصل الnetwork ؟ و بعدين أليس من الممكن إنك تفصل النتورك عن الكل ماعدا نفسك ؟

باقي الكلام حلو و لذيذ و هعقب عليه بعد الفاصل

**علي الشمري** · 17-12-2007, 08:16 PM

المشاركة الأصلية بواسطة sAFA7_eLNeT مشاهدة المشاركة

افرض إنك شغال remote :D ? هتفصل الnetwork ؟ و بعدين أليس من الممكن إنك تفصل النتورك عن الكل ماعدا نفسك ؟

باقي الكلام حلو و لذيذ و هعقب عليه بعد الفاصل

أكيد مش راح أعمل زي الي بالي بالك وأقوم بعمل:

كود:

init 0

للسيرفر

أما أحد الطرق هي عمل:

كود:

iptables -A INPUT -p tcp -s my_ip --dport ssh_port -j ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

وبعدها أبلش حبة حبة في النظام

**علي الشمري** · 17-12-2007, 08:21 PM

غالب الكتب والمراجع راح تقول لك خذ السيرفر offline ودقق فيه على كيف كيفك ...
وهذا الرأي أراه صائب نوعاً ما خاصة إن لم تعرف نوع الإختراق أو أين ...
حتى السجلات بإمكانك مسحها بسهولة سواءاً كانت Local او remote ...
وبعض الإختراقات حتى التعديل على ملفات ﻻ يقوم بها ... ولهذا كمان هذه النقطة صعبة إكتشاف المخترق ...

بالنهاية ألعب إنت وياه: شرطة وحرامية

مشكور سفاحكو على الموضوع ... إن شاء الله نشوف آراء خلي نفستنفيد

**DarkLinux** · 17-12-2007, 09:44 PM

بداية اكيد انك بتفصل كرت الشبكة او تعزل الجهاز من العالم الخارجي
عشان تتاكد من فين الخلل
بس مش الافضل انك تتم العملية والجهاز بحالته العادية اقلها بتفحص البوتات بال netstat
او الملفات المفتوحة بال lsof او البرامج العاملة في الوقت الحالي او فحص المهام المجدولة
لعل عاصي والديه ( المخترق ) موجود في الوقت الحالي

في اغلب الاحوال العملية تتاخد ببرود لانه المخترق يكون كمل شغلة وهرب من مده شهر

بس اغلب شي حنعمل الخطوات اللي فوق مع فحص الفايروول لوجز وعمل rootkit hunter

**يونس** · 17-12-2007, 11:42 PM

سلام عليكم

اول خطوة عزل الحاسوب عن السبكة اوتعديل الجدار الناري لما يناسب الوضعية عند عدم عزا الحاسوب
عمل بعض الفحوصات مثل dmsg ونفس مذكره darklinux

**أحمد-** · 18-12-2007, 01:06 AM

المشاركة الأصلية بواسطة unex مشاهدة المشاركة

سلام عليكم

اول خطوة عزل الحاسوب عن السبكة اوتعديل الجدار الناري لما يناسب الوضعية عند عدم عزا الحاسوب
عمل بعض الفحوصات مثل dmsg ونفس مذكره darklinux

اسمه
dmesg

**عبد العزيز** · 18-12-2007, 03:44 AM

حسب خبرتك هتشتغل ، وبالبداية ممكن تقول httpd stop لو على السيرفر موقع واحد ، او هتقول /scripts/suspendacct user لو السيرفر مشترك وأحد المواقع اخترق

بعد كذا الحكاية مع اللوق وخلي التدقيق بالسطور كحل اخير ،،، لانها حاجه متعبة

كود:

grep '=http://'  /usr/local/apache/domlogs/domain.com

الامر دا يبحث عن محاولات الانكلود اللي تمت عليه وطبعاً هو من اختراعي ناو وانا جالس افكر بحل

موضوع تشكر عليه ياسفاح

كود:

grep 'config.php'  /usr/local/apache/domlogs/domain.com

grep '../'  /usr/local/apache/domlogs/domain.com

grep 'passwd'  /usr/local/apache/domlogs/domain.com 

grep '???'  /usr/local/apache/domlogs/domain.com

الاستفهامات ديت ؟؟؟ ، ترجع ليك ولمحتوى الموقع ومن فين شاكك

الامر اللي ذكرته انا لو احسنت استخدامه هتطلع بريفتات كثير ، وكل ماكثرت سيرفراتك كل ماكانت حصتك أكبر

موضوع جميل خلاني افكر فعلاً ، شكرا اقين على مكان اللوق!

**سطام** · 18-12-2007, 02:47 PM

أبي أتكلم عن نفسي لو اخترق جهازي PC

مااأفكر طوالي أعمل reinstall

حتى لو كنت فاهم الشغله ، ماأضمن الهكر ، أكيد له طريقه للأحتيال ، والتلاعب

لذلك اضمنلي reinstall

وأريح مخي ..

ياليت نشوف من الشباب تركيز على PC ،

وش يعمل الشخص عشان يطهر جهازه من أثار الكراكرز

**سامر حداد** · 18-12-2007, 06:06 PM

ايش يا شباب؟ مو شايف في حد بيضيف شيء جديد!!!:gotcha:

يللا.. كمان اضافة من عندي:

اعمل سيرتش على الملفات المتعدلة خلال 24 ساعة او اكثر:

كود:

find / -mtime 1 > mod_files

**DarkLinux** · 18-12-2007, 06:45 PM

افحص المستخدمين والمجموعات في ملف ال passwd و ال group

افحص اخر عمليات التسجيل سواء من ftp او ssh او access log
فحص البرامج المركبة اي منها جديد مع فحص الرولز في الفاير وول

بخصوص البرامج مرة في احد غرف الدردشة طلعلي واحد يسالنا كيف يركب برنامج على سيرفر هو مخترقه

باقي باقي زي ما قال جراي فحص اخر التعديلات على الفايل سيستم
بس بداية ضروري تحدد وقت الاختراق لاجل تسهل الامور

**سطام** · 18-12-2007, 08:13 PM

طيب ياشباب keylogger

هل موجود باللينكس ؟

**سامر حداد** · 18-12-2007, 08:44 PM

المشاركة الأصلية بواسطة سطام مشاهدة المشاركة

طيب ياشباب keylogger

هل موجود باللينكس ؟

طبعا..

LKL: Linux Key Logger

http://sourceforge.net/projects/lkl/

**عبد العزيز** · 19-12-2007, 12:19 AM

ايه ياجري

انت بتبحث بكل النظام وبتضيع وقتك كدا ليه

كود:

find /home/user/public_html/ -mtime 1 > mod_files

استخدام ال * بالاوامر مهم جداً لاكتشاف ومعرفة المزيد

إعـــــــلان

ماذا تفعل لو أكتشفت أن جهازك /خادمك مخترق؟

ماذا تفعل لو أكتشفت أن جهازك /خادمك مخترق؟

تعليق

تعليق

تعليق

تعليق

تعليق

تعليق

تعليق

تعليق

تعليق

تعليق

تعليق

تعليق

تعليق

تعليق