كيف تعرف إن سيرفرك مخترق؟؟؟ "مهم جداً"

السلام عليكم ورحمة الله

طبعاً الأوامر لاتنتهي ولكن هذه الي إفتكرتها وأنا أكتب الدرس...
على العموم أبدأ
بسم الله الحمن الرحيم

نحن نقوم عادة بتشيك على ملفات معينة في السيرفر بأكثر من امر لنتأكد أن كل شي على مايرام وإنه السيرفر لم يتعرض لإختراق

في البداية قم بتشغيل برنامج روت كيت هنتر
الشرح موجود هنا

إذا وجدت السطر التالي في الناتج فإعلم إنه تم إختراقكك و تعديل بعض الامور في السرفر والحل الأكثر ضماناً هو اعادة تنصيب النظام بعد عملية فورمات.
Warning: Bogus unix lines detected


الآن بعرض بعض الأوامر المهمه لتأكد من أن السيرفر لم يتعرض للإختراق وأن كل شيء على ماييرام.

*****************************
الأمر الأول وهو 'df'
[root@alqursan root]# df

بعد تنفيذ الأمر حيطلع لك الناتج قريب من هذا :


---------------------------------------------------------------
Filesystem 1k-blocks Used Available Use% Mounted on
/dev/hda3 38376872 3461780 32965608 10% /
/dev/hdb1 19750244 3937284 14809704 22% /archive
/dev/hda1 101089 9043 86827 10% /boot
none 515612 0 515612 0% /dev/shm
---------------------------------------------------------------
حنتأكد إن المساحه جيده ولم يتم رفع ملفات كبيرة إلى السيرفر تأثر على عمله

*****************************
الأمر الثاني هو :

find '/' -size +50000k
للبحث عن ملف أكبر من
50000k

find '/' -iname *.rar
للبحث عن ملف rar

find '/' -iname *.zip
للبحث عن ملفات zip
إذا وجت أي ملف من هذه أو إمتدادات r01, r02 وشكيت في أمره أو وجدت ملف كبير يمكنك حذفه بالأمر التالي:
rm -rf ***.zip

find '/' -iname *shell.php
للبحث عن ملف shell بلغة php وأكيد الكل يعرفه طبعاً ماله أي فايدة بإذا فعلت السيف مود أو أغلقت الدوال بس عشان تعرف الي يحاول يخترقك وتحط حذرك بس لو الملف موجود يظهر لك الناتج التالي:
/homedir/alqursan/public_html/nuke/phpshell/phpshell.php


find '/home/*/www' -iname *.pl
للبحث عن ملفات pl وهذه هي الأخطر بس برضه تستطيع إبطالها

لمعرفت جميع الأوامر الي تنفذت في السيرفر نفذ الأمر هذا
find / -name .bash_history
الناتج:
/home/alqursan/.bash_history
/root/.bash_history

إستعرض الملفات الناتجه بالأمر cat

كل هذه الأسطر ترتكز على أمر find أمر قوي بس للي يعرف يستخدمه

****************************
الأمر الرابع : du
مثال :
du -h chk.c
الdu هو امر حساب حجم الملف و البارامتر h يعني human بمعنى ان الرقم الناتج يكون بالميغابايت لا بالبايت حيث انه اسهل على الانسان ان يقرأه.

****************************

الأمر الخامس : less
لمعرفة من دخل على السرفر و في اي وقت والأيبي ,نفذ الأمر التالي :
last | more
root pts/0 113.218.238.85 Wed Jun 16 03:48 still logged in
root pts/0 113.218.238.89 Tue Jun 15 09:09 - 11:07 (01:57)
reboot system boot 1.4.21-9.0.1.ELs Tue Jun 15 07:54 (20:06)
root pts/1 113.218.238.89 Tue Jun 15 07:50 - down (00:01)
root pts/1 113.218.238.89 Tue Jun 15 02:41 - 04:15 (01:33)
root pts/0 113.218.238.89 Mon Jun 14 03:25 - 08:01 (04:35)
reboot system boot 1.4.21-9.0.1.ELs Mon Jun 14 03:25 (1+04:26)
root pts/1 113.218.238.89 Mon Jun 14 03:22 - down (00:00)
root pts/1 113.218.238.89 Sun Jun 13 09:45 - 10:59 (01:14)
root pts/1 113.218.238.89 Sun Jun 13 06:32 - 07:03 (00:30)
root pts/1 113.218.238.86 Sat Jun 12 04:22 - 09:31 (05:09)
root pts/2 113.218.238.89 Thu Jun 10 04:02 - 04:22 (00:19)
root pts/1 113.210.238.89 Thu Jun 10 03:41 - 04:23 (00:42)

wtmp begins Sat Jun 5 06:00:28 2004

***********************************************

الأمر السادس : lastlog
لسرد جميع المستخدمين لنظام ومعرفة من قام بالدخول على السيرفر وآخر مره دخل متى...
lastlog
Username Port From Latest
root pts/1 213.210.235.86 Wed Jun 16 10:42:11 +0300 2004
bin **Never logged in**
daemon **Never logged in**
adm **Never logged in**
lp **Never logged in**
sync **Never logged in**
shutdown **Never logged in**
halt **Never logged in**
mail **Never logged in**
news **Never logged in**
admin pts/2 207.44.240.23 Wed May 5 21:34:00 +0300 2004
cpanel **Never logged in**

***********************************************
الأمر السابع : ps
لإستعراض العمليات أو الخدمات التي تعمل حالياً في السيرفر

ps -aux | grep syslogd

إذا لم تجد ناتج
root 695 0.0 0.0 1460 536 ? S Jan05 0:35 syslogd -m 0 -a /
فقوم فوراً بتشغيل برنامج syslogd
بالأمر التالي :
/etc/rc.d/init.d/syslog restart

إضافة :
أيضاً تستطيع معرفة العمليات التي تشتغل على سيرفرك بالأمر التالي:
cat /proc/*/stat | awk '{print $1,$2}'
*********************************************
الأمر الثامن : less
إستعرض ملف passwd وتأكد إنه لم يتم تحرير مستخدمين جدد

less /etc/passwd
للإغلاق 'q'

أيضاً الملف shadow
less /etc/shadow

وملف group
less /etc/group

تستطيع تحرير أي ملف كالتالي:
vi /etc/passwd

*********************************************

الأمر التاسع مر عليكم في الدرس الثاني: crontab -e
نشوف لو الهكر غير في البرامج المجدولة
crontab -e
لو شفنا أي أمر غريب نقدر نحرر جدول cron مباشرة


*********************************************
الأمر العاشر أو الخطوه العاشرة:
نفذ الأمر التالي لذهاب لمجلد
cd /etc/proftpd
نفذ الأمر التالي لتتأكد هل تم تفعيل الدخول في وضع anonymous
ls -l *.anonftp

نفذ الأمر التالي لتأكد من ملف إعدادات الftp
pico /etc/proftpd.conf
لتعديل لو وجدت أسطر إضافية

ثم قم بإعادة تشغيل برنامج proftpd
/etc/rc.d/init.dproftpd restart
*********************************************
الأمور كما ذكرت كثير لاكن بداية جيده بهذه الأوامر

السلام عليكم
جميع الحقوق محفوظة للقرصــــــان
www.alqursan.com