منتديات المُنى والأرب

منتديات المُنى والأرب (http://www.arabna312.com//index.php)
-   الحماية والهاكات وتطوير المنتديات (http://www.arabna312.com//forumdisplay.php?f=70)
-   -   كيـفية كـشف هجمات الأجهزة - إحمي جهازك (http://www.arabna312.com//showthread.php?t=14990)

المُنـى 6 - 4 - 2011 10:25 PM
كيـفية كـشف هجمات الأجهزة - إحمي جهازك
 
كيـفية كـشف هجمات الأجهزة - إحمي جهازك




معظم أجهزة الكمبيوتر هي قابلة للإختراق، ويمكن إستغلال الأخطاء البرمجية فيها بعدّة طرق.
يمكن للهكر أن يستعمل ثغرة معينة، او عدة ثغرات في نفس الوقت، ويكون الخلل معظم الأوقات في ملفات نظام التشغيل أو حتى منفذ خلفي من هجوم مسبق.

نتيجة لذلك، كشف هجمات الهكرز ليس مهمة سهلة، خاصة للمستخدم العادي للإنترنت، وهذا المقال يعطي بعض المبادئ الأساسية للمساعدة لكشف إذا ما كان الجهاز الذي تستعمله يتعرض لهجمات أم الحماية الموجودة في النظام هي محدّثة ومطورة بشكل تمنع هكذا هجمات.
يجب أن تحفظ في ذهنك أنه لا يوجد أي ضمانات لكشف هجمات الهكرز بهذه الطريقة، مثل حكاية الفيروسات حيث هناك فيروسات مشفرة تعجز مكافحات الفيروس عن كشفها. chat
ولكن، هناك فرصة 100 بالمئة أنه في حال كان جهازك مخترقاً فستلحظ نشاطاً أو اكثر مما سأعرضه في مقالي.


أولا: في حال كان جهازك على نظام ويندوز ( xp; vista; w7; win server 2003/2007 ).

ترافيك خارجي مرتفع بشكل مثير للشكوك، في حال كنت على حساب دي اس أل ADSL، ولاحظت ترافيك خارج عن العادة وخصوصاً في حال خمود النشاط على الجهاز، وترى ان الترافيك لا يزال موجوداً، إذن هناك إحتمال كبير أن جهازك مخترق أو يتعرض لهجوم، أو يستخدم لإرسال السبام عبر دودة من خلال الشبكة أو البوت نت، أما في حال الإنترنت عبر الكايبل، يمكنك أن تلاحظ البطء في الإنترنت، ووجود نفس كمية الترافيك الوارد والصادر حتى في حال عدم إستخدامك للإنترنت بشكل كثيف، كتصفح المواقع أو تحميل البيانات من الإنترنت.

تزايد نشاط الهارد ديسك والسي بي يو، أو تواجد ملفات ذات أسماء مثيرة للشكوك.
بعد عملية إختراق معينة للنظام، يلجأ عديد من الهكرز لعملية مسح Scan لأي ملفات مثيرة للإهتمام قد تحتوي كلمات مرور للبنوك أو وسائل الدفع الإلكترونية مثل بايبال .الخ..
بعض البوتات تبحث في أقسام الهارد ديسك عن ملفات تحوي قوائم بريد إلكتروني تستخدم لنشر البوت فضلا عن السبام.
وفي حال لاحظت نشاطاً غير عادي في النظام فذلك دليل على أن جهازك مخترق أو متعرض لنوع من الفيروسات النشّالة ( keyloggers, Stealers )


عدد كبير من حزم البيانات ( Packets ) قادمة من مصدر واحد تتعرض لإيقاف من قبل الفايروول، بعد تحديد الهدف مثلا ( عنوان أي بي لشركة أو مجموعة عناوين أي بي لمستخدمي الكايبل ) الهكرز يقومون عادة بتشغيل أدوات إعتراض أوتوماتيكية لحزم البيانات، لمحاولة فك تشفيرها والحصول على المعلومات الشخصية الخطيرة للمستخدمين فضلا عن كلمات المرور.

في حال كنت تستخدم جدار ناري ولاحظت عددا هائلاً من الحزم التي يتم إيقافها وهي قادمة من عنوان واحد فذلك دليل أن جهازك يتعرض لهجوم مركّز، وأنت آمن إلى حد ما لأن الجدار الناري يقوم بعمله، ولكن يجب الحذر لأن الجدار الناري قد يعجز عن الحماية في حال تعدد مصادر الهجمات، وفي هذه الحال ينصح بتشغيل خاصية الكبح اليدوي للأي بيات المهاجمة، فتحجب لفترات متعددة لغاية توقف الهجوم.

مكافح الفيروسات يقدّم تقارير كثيرة عن باك دوور أو تروجنات يتم كشفها، حتى ولو لم تلاحظ شيئا خارج عن الإعتياد في جهازك، فإعلم أن جهازك في خطر لأن كشف الأنتي فيروس لهذه الفيروسات دليل أن جهازك قابل للإختراق من الخارج.

ثانياً: الأجهزة التي تعمل بأنظمة اليونكس

ملفات ذات أسماء غريبة في ملف الـ/tmp. هناك العديد من الثغرات في اليونكس تعتمد على خلق ملفات مؤقتة في الـtmp ويتم إلغاءها بعد إختراق النظام، وذلك يتكرر أيضاً في حالة بعض البوتات والديدان التي تصيب أنظمة اليونكس فتقوم بعملية Recompile بداخل الـtmp وتستعمله كملف home .


تغييرات في أساسيات النظام مثل " login " telnet" ftp" finger" او بعض تركيبات " deamons" كـ SSHD و ftpd وماشابه.
بعد إختراق النظام، يعمد الهكر إلى تأمين دخوله بزرع منافذ خلفية في أحد الdeamons مما يعطيه دخولاً مباشراً من الشبكة العنكبوتية، أو عبر تعديل المعايير الأولية للنظام لإستخدامها في الإتصال بأجهزة أخرى.
هذه البيانات المعدلة تكون عادة جزءا من العدة اللازمة للإختراق المخفي ( Stealth ) وفي جميع الأحوال هي فكرة جيدة للحفاظ على قاعدة بيانات خاصة بالهكر لجميع مستلزمات النظام في الجهاز المخترق، وفي كل يوزر له.


تغييرات في /etc/passwd او etc/shadow او ملفات اخرى في النظام بداخل مجلد /etc . لأن الهكر يعمد أحياناً لإضافة مستخدم جديدل في /etc/passwd لكي يدخل به من بعد في اوقات لاحقة ( مثل فكرة الـ remote desktop في أنظمة الويندوز )
إبحث دائماً على يوزرات جديدة وغريبة في ملف الباسوورد خاصة في الأنظمة الداعمة لتعدد المستخدمين.

خدمات مثيرة للشك مضافة ل /etc/services تقوم بفتح منافذ خلفية في نظام اليونكس بداخل ملفات نصية.
مثال على اماكن حصول التعديلات ( etc/ined.conf ) قم بمراقبة هذه الملفات بشكل مكثف لأي دليل على وجود مدخل خلفي ( back door ) يقوم بإستخدام منافذ غير مستعملة دائماً ومثيرة للشكوك. منقول

shreeata 6 - 4 - 2011 10:33 PM
مشكورة عزيزتي
المنى
ولكن مهما فعلنا فالهكر له اسلوبه في الاختراق
واذكر هنا ان معظم شركات الانتي فايروس هي من تصمم برامج الاختراق
مع باقة من الورد لك
مشكورة على روعة الطرح
تحيات لك

ابتهال 12 - 4 - 2011 09:07 AM
سلمت الايادي يا المنى وبارك الله بك
منكم نستفيد

المُنـى 12 - 4 - 2011 04:24 PM
اخ شريف واختي ابتهال
شكرا على مروركم الذي به اعتز
بارك الله بكم على حضوركم وردكم
تحياتي


الساعة الآن 04:50 AM.

Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. منتديات المُنى والأرب

جميع المشاركات المكتوبة تعبّر عن وجهة نظر كاتبها ... ولا تعبّر عن وجهة نظر إدارة المنتدى