إخوتي في ترايد نت الكرام لاحظت في الفتره الاخيره وللاسف تدمير للمنتديات العربيه فأحببت ان ابحث عن مسبب هذه الافه الخطيره التي تصيب صفحة الاندكس ، فيتفاجأ صاحب المنتدى بأن منتداه قد اصبح عباره عن صفحة بيضاء وبها جمله تفيد ان هناك خطأ في صفحة الاندكس ويعطيه رقم السطر اللي فيه الخطأ

فيبدأ صاحب الموقع بشطب موقعه وفرمته الجهاز الخاص وتغيير الموقع كامل لكن يتفاجأ بعوده الكارثه ويذهب تعبه ادراج الرياح


هذا جوهر المشكله في السؤال التالي :

من اين اتت هذه المشكله ؟ مالعلاج ؟

اخواني الكرام احب ان انوه قبل البدء ان هذا اختراق 100% وليس اي نوع من انواع الفيروسات تم رفعه بالخطأ عن طرق ftb

وايضا هذا الاختراق لم ينتج بسبب اي ثغره في تطبيق php المشغل على الموقع سواء كان منتدى ، مجله ، او اي تطبيق آخر وكذلك لم ينتج بسب اخطاء في kernel وكذلك في apache
او في اخطاء وثغرات في تطبيقات cpanel او plesk

إذن فالنبدأ انا واياكم اخواني الكرام بالتعريف المختصر للمشكله

اولا : تاريخ الاصابه :

يقوم الهاكر بتحميل موقعه بأدوات الاختراق والتخريب او يقوم باستعمال احد المواقع التي تم اختراقها ولم يهتم صاحب الموقع المخترق بمعالجه هذه المشكله فيقوم بتحميل ادواته الخبيثه على هذا الموقع ، طبعا الادوات المستخدمه في هذا الاختراق غاليه الثمن وقد يصل ثمن الاداه الى 700 دولار للاداه الواحده وسوف اتكلم عن ابرز واخطر اداه يستعملها الهكر في اختراقه للمنتدى
طبعا عندما يقوم الزائر بالصدفه بالبحث عن موضوع في الجوجل يدخل عن طريق الخطأ لاحد هذه المواقع المشبوهه قيكون بذلك الضحيه وصلت للهدف المطلوب فيقوم بتحميل الادوات في المتصفح

وغالبا نحن نسخدم إحدى المتصفحات التاليه :

1- الانترنت اكسبلورر
2- الفايرفوكس (شائع)
3- الاوبرا

طبعا ببساطه تكون بمجرد زيارتك للموقع الملغم والمصاب من قبل الهاكر تكون قد حملت

keylogger

تقوم هذه الاداه بكل بساطه بالبحث عن اي باسوورد مخزن في المتصفح وطبعا الكثير منا يقوم بتخزين معلومات الدخول لموقعه في المتصفح وخاصه من يستخدم cpanel ومن هنا تبدأ الكارثه

حيث تقوم هذه الاداه الخبيثه بارسال معلومات الدخول بكل ببساطه للهاكر وهو جالس

طبعا وبكل بساطه يستخدم الهكر معلومات الدخول ويستخدم اي برنامج ftb لديه وتصبح كل ملفاتك بين يديه فيقوم بإضافه الكود في صفحات الاندكس

طبعا الكل يتساءل لماذا موقعي فقط انا مصاب وباقي المنتديات سليمه على الرغم انها على نفس السيرفر !!!

ببساطه الهكر يمتلك معلومات الدخول بين يديه وبمجرد تغييرها ايضا وحفظها في المتصفح طبعا بعد الاصابه ترسل له نسخة جديده من معلوماتك وما هي الا مسأله وقت وتعاود لك نفس المشكله على الرغم انك قمت بتغيير الباسوورد بباسوورد معقد !!!!

وقد لاحظت بعض الاعضاء في المعهد في احد ردودهم وحلولهم يقولون غير الصلاحيه الملفات من حيث الكتابه الى 444 ، طيب انا اسرد لكم تجربتي في احدى منتدياتي التي اصابها هذا الهكر

غيرت جميع الصلاحيات شلتها حتى ظهر الصفحة الرئيسية للمنتدى 403 كود الفربدن لكن للاسف وجدت 45 ملف اندكس مصاب عند الفحص ، فلا جدوى ايضا من تغيير الصلاحيات لان معلومات دخول موقعك بين يدي الهاكر وبكل بساطه يغير في الصلاحيات لو احببت !!!

طبعا بمجرد اضافه الكود الى الصفحة يضع المهاجم (الهاكر ) الكود وهو نوعان :

1- مكتوب بلغة الهتمل وطبعا هو عباره عن iframe
2- مكتوب بلغة الجافا وهذا قليل الانتشار

عندما يقوم الزائر بزياره الموقع يكون في صفحة الاندكس المصابه رابط الموقع الملغم الذي قام الهكر بوضعه للضحايا الجدد

طبعا الكثير منا يلاحظ ان هذه المواقع موجوده في الصين تحديد في هونغ كونغ

طبعا بمجرد زياره موقعه وهو عباره عن سيرفر ملغم بالتروجان وبرامج وادوات الاختراق اعلم عزيزي الزائر ان جهازك مصاب وان معلوماتك مسروقه من قبل هذا الهكر

طبعا يقوم هؤلاء الهكر بوضع سيرفرات خاصه لهذه الاغراض فقط للتخريب

يقوم مكافح الفيروسات بالتعرف على التروجان وحذفها فورا مهما كان نوعه كاسبر او غير كاسبر

لكنه لم يحذف برامج الاختراق لانه لم يتم تعريف قاعده المكافحه الخاصه به على هذا النوع من الاصابات حتى اداه المكافي والتي تسمى :

macafee site advisor

لن تنبهك بالعكس حتعطيك اشاره الصح الاخضر تشير الى ان الوضع طبيعي وما في شيء

لكن ما يحدث في الجهاز عكس ذلك تماما ....

طبعا بدايه هذه المشكله بدأت في ايطاليا حيث تم تدمير عشر الاف موقع ،كانت البدايه في موقع وانتقلت لكل المواقع الاخرى ....

طبعا عزيزي لا تظن انك بإعتمادك على مكافح الفيروسات تستطيع تفادي خطر هذه الاصابه

بالعكس من النادر اكتشافها من المكافح الا اذا كان قوي جدا وسأشير لمكافحات قويه وفعاله وانا استغرب تجاهلها بالرغم اناها منتشره في الغرب


طيب ،،، ما هي اداه الاختراق المستخدمه ؟؟؟؟؟

الجواب بسيط : اداه روسيه الصنع تباع من قبل شركه روسيه تم تحليل مكونات هذا السكربت الخطير من قبل شركه باندا

اسم الاداه : Mpack

بمقابل 1000 دولار فقط لمده سنه كامله ترخيص ودعم فني خلال هذه السنه وضمان 100%

بأن مكافح الفيروسات لن يكشف keylogger الخاص بها

* تاريخ الاداه موثق وليست وهميه من قبل شركه الباندا كاداه اختراق وتخريب موثقه مع شرح المكونات بالتفصيل

* لذلك عزيزي صاحب المنتدى احرص على تحديث مكافحك لكن لا تعتمد عليه كليا في الوقايه

هذه الطريقه للاختراق معقده وبرامج الاختراق تنتقل من جهاز كمبيوتر الى اخر ويتم نشر معلوماتك على اكثر من سيرفر للهكر بمجرد ارسالها حتى من الممكن تجدها في الجوجل

حيث يقوم الجوجل بالدخول للمواقع المشبوه ويفهرسها لكن يحذرك بان زياره الموقع هذا تضر جهازك الشخصي

وبذلك يكون التخريب يكون من اكثر من طرف وهذا الخطر وهذا جربته عمليا حيث قمت بحظر الاي بي الهكر مجرد تحليل الدومين الذي وضعه في صفحة الاندكس وحصلت على الاي بي ودخلت السي بانل وحظرته على امل عدم الرجوع للتخريب ولكن التخريب كان يتم من قبل سيرفرات اخرى ومن مواقع مختلفه حيث كان موقع السيرفر الاول في الصين ولكن الاصابه الجديده من سيرفر اوكراني !!!!

اذن تم نشر البيانات من قبل الهكر ....


* طبعا يقوم الهكر بوضع الباسوورد المسروق في هذه الاداه mpack وكود التخريب مبرمج مسبقا من قبل الهكر

هذه الاداه الخطيره عبارة عن تجميعه من ملفات php وتربطها واجهه جرافيكيه وهذه الاداه الاساسيه المستخدمه في الاختراق

نأتي اخواني للجزء الاهم من الموضوع

مـــــــــــــا هـــــــــو الحـــــــــــــــــــــل ؟؟؟؟؟؟:crazy:

طبعا الحل اجتهاد ومبني عن دراسه علميه للاصابه وليس تخمين وحذف عشوائي لا فائده منه


سأتناول في هذا الموضوع الارشادات والبرامج وكل ما يفيد اخواني في التعطيل على هؤلاء الهكر

* اولا : الارشادات :

1- لمديري السيرفرات قم باتباع التالي :

عزيزي صاحب الاستضافه اذا تكررت هذه الظاهره القاتله لدى مستخدميك قم بالتالي :

1- قم على الفور بتغيير باسوورد root password فتأكد انها تم سرقتها من قبل الهكر وبذلك اصبر من السهل اختراقه من قبل الهكر وتدمير المواقع بسهوله

2- قم بالبحث عن احدى الادوات التاليه في السيرفر وقم بحذف الحساب الموجوده فيه فورا وبدون تردد وهي :

fout.php
qt.phpo7.php
urlworks.php

وهذه احدى مكونات اداه الاختراق الروسيه اللعينه MPACK المستخدمه في التدمير وقتل المواقع

* بالنسبه للمستخدمين على السيرفر اذا واجهتك هذه المشكله لوحدك طبعا يتم التأكد عن طريق الاتصال بالدعم الفني والاستفسار عن المواقع المصابه بالاختراق

1- قم بتغيير جميع باسوردات لوحة التحكم واسم المستخدم SQL للحمايه من خطر الحقن وجميع الباسوردات المخزنه في المتصفح ولا تحفظها في المتصفح نهائيا ، طبعا تغيير الباسوورد ليس نهائيه المشكله لانك لا تضمن خلو جهازك من برامج التجسس SPYWARE وكذلك اي تسرب للمعلومات عن طريق FTB وهذه البرامج التي نستخدمها غير مؤمنه في معظمها ومنها

FILE ZILLIA

CUTE FTB

SMART FTB

احرص على نقل الملفات عن طريق ناقل بيانات امن

SECURE FILE TRANSFER PROTOCOL

ساضع لكم برنامج امن

طبعا بمجرد استخدام برامج غير مؤمنه لنقل البيانات ستعيد ارسال كلمه السر الى الهاكر وبذلك تكون اسديت خدمه للهاكر وحدثت بياناتك ورجعنا لنقطه الصفر من جديد
طبعا يتم تسريب بياناتك عن طريق FTB LOG ومن ثم لل KEYLOGGER

ويتم ارسالها الى الهكر الذي بدوره يضع معلومات الاف تي بي في الاداه MPACK

وتحصل الكارثه تدمير منتداك من الوجود

لذلك ينصح قبل البدء في المعالجه فرمته الجهاز بالكامل يعني ترجعه وكاله من الشركه ولا تبقى اي ملف لانك لا تعلم باي مكان من جهازك موجوده هذه الملفات ولا يستطيع الكثير من المكافحات كشفها لا نها بالاصل ليست فيروسات

ثم تنصيب نسخة من مكافح فيروسات مزود بتقنيه الحمايه من الفيروسات والسباي واير وهذه اهم نقطه في الوقايه

ساضع لكم اسم البرنامج الحمايه ان شاء الله ....


2- انصح بعدم استخدام متصفحات غير امنه في اثناء تصفح الانترنت وبخاصه المواقع الملغمه حيث من السهل تخزين KEYLOGGER وبذلك سرقة بياناتك بكل سهوله

وساضع لكم اسم المتصفح

3- احرص على عدم تخزين اي بيانات دخول في المتصفح واستخدم برامج متخصصه مقفوله وامنه من الاختراق وسيتم وضع برنامج لكم اعزائي


وهكذا نكون امنا الجهاز من اي محاوله للاختراق وسرقه البيانات

** فيما يتعلق بالموقع المصاب :

:crazy:ملاحظه هامه قبل البدء : لا تقم بتنزيل اي ملف من ملفات الموقع وفحصها نهائيا

قم بتجهيز نسخة نظيفه من VBULLTEIN بنفس الاصدار الموجود على الموقع فمثلا لوكان موقعك محدث للنسخة الجديده 3.8.4 ولكن المفات الموجوده في الموقع 3.7.4

قم بتحضير نسخة نظيفه من النسخه 3.7.4

الان عزيزي القارئ لا تحذف جميع ملفات موقعك بالعكس هذا اهدار للوقت وضياع لارشفه المنتدى فلا يوجد في منتداك اصلا فايروسات فلماذا تحذف ملفاتك ؟؟؟؟؟

كل القصه ان هناك روابط لمواقع ناشره للتروجان ( موجوده في الكود التخريبي) الموضوع في نهايه ملف الاندكس وهذه ليست فايروسات اصلا عندما يقوم المكافح بفحصها يتعرف على رابط الموقع الموجود في الكود وهذا الموقع معرف وموجود في قاعده بيانات للتروجان تضم العديد من مواقع التروجان ومعرفه في المكافح

طبعا اذا لم تعالج هذه المشكله سيتم ادراج موقع في المواقع الضاره والناشره للتروجان

نرجع للموضع الاصلي .. قم بحذف جميع الملفات الضاره INDEX

من جميع الملفات المنتدى ومن ايضا رئيسية المنتدى يعني ملف الاندكس في VB وملف الاندكس من باقى الملفات

الان نقوم بنسخ جميع صفحات الاندكس النظيفه والخاليه من الاكواد الناشره للتروجان بالترتيب نبدأ بملف VB ومن ثم ملف ADMINCP وهكذا الى النهايه حتى يتم استبدال جميع ملفات الاندكس جميعا ستلاحظ في هذه الفتره ان موقعك قد عاود العمل من جديد

قم باستخدام ناقل البيانات الامن في اثناء تنفيذ هذه العمليه ولا تسخدم ناقل بيانات عادي غير مؤمن وهذه خطوه مهمه

وهكذا انتهينا من تنظيف الموقع من الاكواد الضاره

ملاحظه هامه : هذا الهاكر يقوم بتخريب ملفات DEFAULT وليس فقط ملف الاندكس هذا للعلم فقط *

:icon30:ننتقل الى البرامج المستخدمه في عمليه العالج بالتفصيل :

1- ينصح بعمل (يتوجب) عمل فورمات كامل للجهاز لا تترك اي ملف هذا افضل لك حتى تضمن عدم رجوع نهائي للبرامج التجسس وهذه ليست فيروسات ومن الصعب اكتشافها ومافح الفيروسات يتعامل معها على انها ملفات اعتياديه ولن يشير لها بأي شكل من الاشكال
لذلك انصح بفرمته الجهاز بالكامل

2- قم بتنصيب آخرنسخة من مافح الفيروسات البت ديفندر الجديد 2010

طيب ،، لماذا البت ديفندر بالذات ، الاعتقاد الشائع لدى الكثيرين ان الحل هو الكاسبر سكاي 2010 وتنحل المشكله الجواب طبعا لا واهمون من يعتقدوا ذلك ، تم تجربته ولكن للاسف تم اصابه موقعين ( منتدايين) لاحدى المستخدمين استخدموا الكاسبر 2010 بتحديث يومي

وهذه صورة من المنتج الجديد انظروا لها : تم اخذ سرعة الجاهز بعين الاعتبار في هذا الاصدار بعكس الاصدارات السابقه



ما يهمنا بالنسخة الجديده تم الاشاره اليه باللون الاخضر

رمز Code:
BitDefender Antivirus 2010 provides advanced proactive protection against viruses, spyware, phishing attacks and identity theft, without slowing down your PC

تشفير عالي لجميع مدخلاتك الشخصيه وكذلك جميع بياناتك يتم يتشفيرها من السباي وبذلك نكون قد خففنا من اكبر الثغرات الامنيه في جهازك وكذلك في نفس الوقت القضاء على التروجان بفعاليه الصادر من مواقع الهاكر

:icon30:روابط التحميل من هنا :

رمز Code:


2- الان بعد تنصيب المكافح المذكور اعلاه قم بعمل فحص كامل للجهاز بجميع الاقراص وبعد الانتهاء قم بتغيير الباسوردات جميعها ابتداء من cpanel وحتى البريد الالكتروني وحتى باسورد قواعد البيانات

قم بتدوين جميع هذه الباسوردات على برنامج keepass وهذا برنامج مجاني مفتوح المصدر ثم قم بغلق البرنامج بكلمه سر احفظها في مكان امن



قم بتحميل البرنامج من هنا :


ملاحظه : لا تقم بحفظ اي باسوورد على الجهاز حتى مع وجود الانتي فايرس جميع الباسوردات داخل البرنامج

3- قم بحذف جميع برامج الاف تي بي العاديه الغير مؤمنه من الجهاز وقم بتنصيب البرنامج التالي :

turbo ftp 6

ما يميز البرنامج وجود خيارات امنيه لنقل الملفات يتم اختيارها كالتالي :


رابط التحميل من هنا :

رمز Code:


4- قم باستخدام متصفح الفايرفوكس وتستطيع تحميل اخر اصدار متوافر من هنا :

رمز Code:


مع امنتياتي الحارة لكم بالتوفيق واي استفسار انا موجود

اوجه بالشكر الى كل من قدم معلومات مفيده عن هذه الاداه التهكير واخص مدونه الباندا

وسلامتكم

ارجو اني قدمت ما يفيد وينفع والله ولي التوفيق

اخوكم/ إكس زوووم1 - منتديات عرب ماكس

جميع الحقوق محفوظة لمنتديات الابداع منتديات عرب ماكس لكل العرب


لن اسامح كل من ينقل الموضوع ولا يذكر المصدر والكاتب xzooom1

هذا اجتهاد شخصي مبني على معرفه بالمسبب الرئيسي للاصابه