تجربة عملية في حماية مدونتي من التهكير

قد قمت بكتابة هذا الموضوع لعله يكون مرجعا في مساعدة البعض في حماية مدونته على الانترنت و بعض مافيها يمكن أن يفيد أي شخص يملك أي موقع على الإنترنت , قد يحتوي الموضوع على بعض المصطلحات التقنية و المراجع المفيدة , و سأبقي دائما على تحديثه

بدايتي مع التدوين كانت في العام ٢٠٠٨ ميلادية و في ذلك الوقت قمت ببرمجة مدونتي بنفسي بشكل كامل بواسطة لغة البرمجة ASP مع قواعد بيانات MS SQL , و كان هدفي دعم التاريخ الهجري في المدونة و ذلك من باب الاعتزاز و من باب أن يكون كل شيء تحت تصرفي بشكل كامل

خلال تلك الفترة كانت هناك محاولات بسيطة لاختراق موقعي وكانت معظمها عن طريق ما يسمى SQL injection , و هي آلية تقوم بحقن جمل استعلامات  SQL ضمن طلبات Post في الموقع مما يؤثر على بنية قواعد البيانات , و تم حل المشكلة بمنع تنفيذ ذلك عبر سكربت فلترة بسيط , مابعد ذلك كانت محاولات الاختراق من ثغرات على نفس السيرفر و التي ليس لي القدرة على حمايتها و اقفال ثغراتها بنفسي و بالتالي اعتمادي الكامل على الشركات المستضيفة نفسها أو شركات أنظمة التشغيل

مشكلة موقعي \ مدونتي التي قمت بتطويرها بواسطة ASP متواضعة الخصائص , فهي تقدم الخدمات الأساسية في عرض المحتوى و إمكانية التعليق عليه , أما عن إدارته فلقد كانت لوحة التحكم الداخلية متواضعه جدا جدا , إذ يكفيك أن تعلم بأن الموقع كله مع إدارته كان عبارة عن صفحة واحدة تحوي كل شيء قد قمت ببرمجته ببضع ساعات فقط

فقررت بعدها أن أتحول لاستضافة أكثر حماية من ويندوز سيرفر لكي أقلل على نفسي مشاكل ثغرات أنظمة التشغيل من جهة و لكي أقلل تكلفة الاستضافة من جهة أخرى حيث أن شركات الاستضافة للأنظمة مفتوحة المصدر أقل تكلفة بكثير لأنه لا يوجد هناك تكاليف خاصة برخص استخدام أنظمة التشغيل

تم الانتقال إلى استضافة مشاركة VPS بنظام تشغيل unix و لكن هذه المرة كانت هناك مشكلة أخرى وهي هجمات الطلبات المتكررة ddos attack و التي قد لاتكون متقصدة لمدونتي ولكن قد تكون على السيرفر نفسه أو لدولة معينة, و لعلاج هذه المشكلة تم استخدام وسيط يقوم بعمل جدار حماية من هذه الهجمات و يساعد في عمل كاش للموقع في حال سقوطه بسبب استنفاذ موارده بسبب هذه الهجمات و تم الاستعانة بخدمات موقع (cloudflare.com) , وكذلك الحال تم استضافة الموقع على سيرفر مستقل بخدمات سحابية Cloud

كما تم استخدام نظام إدارة المحتوى  (wordpress) و هو نظام مفتوح المصدر و مجاني و فيه الكثير من المميزات و الخصائص التي تريح في الإدارة و زيادة الوظائف في الوصول والخدمات.

مع وجود هذا النظام من المفترض أننا قد قللنا الأخطار حيث أن هناك مجتمع مكون من عشرات الألاف من المطورين الذين يعملون على هذا النظام و يقوموا بتطوير اضافات عليه و يساعدون في سد ثغراته إن وجدت و تتوالى تحديث النسخ بشكل دائم.

المشكلة هنا كانت بضرورة إعطاء مجلد الويب على السيرفر صلاحية الكتابة على القرص لهذا النظام , لكي يمكنه من تحديث نفسه و سد ثغراته بنفسه

هذه الميزة التي هي بالأساس وضعت لكي تحل مشكلة سد الثغرات , قد تكون أيضا قد خلقت ثغرة جديدة , فبإمكانية الكتابة على القرص تعني أن احتمالية وجود ثغرة فإنا قد تمكن الهاكر من الوصول للقرص عبر الويب و رفع ملفات أو خلق ملفات خبيثة , و هذا ما حدث عدة مرات

امم , ما العمل؟ , الحل كان بأن يتم إيقاف الوصول للقرص و ترك عملية التحديث لأن تكون بشكل يدوي , هذا متعب من جهة و يحتاج إلى متابعة مستمرة و لكنه قام بحل أغلب المشاكل

مالجديد؟ , الجديد حاليا هو وجود سكربت خبيث في الموقع الذي لا أعرف مصدره و لذا تجد أن الموقع يقوم أحيانا بتحويل الزوار إلى صفحة دعائية

وللتأكد من ذلك قمت بالأمس بعمل مسح لكامل السيرفر و تحميل نظام التشغيل (ubuntu 16) والذي يعد حتى تاريخ هذه المقالة الأحدث و الأكثر أمانا , و قمت بتحميل أحدث إصدار من برنامج إدارة المحتوى أيضا (wordpress 4.7.3) , وبالتأكيد تحميل هذه الملفات كان من المصدر الأم لكي يتم التأكد من عدم العبث بها

بعد أخذ نسخة احتياطية من ملفات الميديا في سيرفري القديم من صور و ملفات صوت و فيديو و غيرها تم التأكد من عدم وجود أي ملفات سكربتات أو غيرها ضمنها وذلك لضمان عدم تسرب أي من السكربتات الخبيثة إلى الموقع الجديد

بعد ذلك قمت أيضا بأخذ نسخة من قاعدة البيانات و البحث في داخلها بجمل الاستعلام العامة عن وجود أي من عناوين الموقع المشؤوم الذي يتم التحويل إليه , و كذلك الحال تم اعادة رفع الاضافات (wordpress plugins) من موقع (wordpress) نفسه من جديد

حتى هذه النقطة كل مالدي هو حديث و جديد و لا يوجد أي ملفات قديمه , و تم رفع الموقع

للأسف المشكلة مازالت موجودة ومازال الموقع يقوم بتحويل الناس في بعض الأحيان إلى موقع آخر

امممم , ماهي الأسباب الأخرى التي قد تكون هي السبب؟

  • قد يكون الثيم المستخدم في الموقع؟
  • قد تكون أحد الإضافات تقوم باستدعاء ملفات من مواقع أخرى و قد أصبحت مصابة؟
  • قد يكون السكربت موجود بشكل مشفر ضمن قاعدة البيانات؟
  • قد تكون خدمات موقع (cloudflare) مصابة؟
  • قد تكون خدمات اختصار الروابط مصابة؟

ولذا سوف أضطر لأن أجرب يوما بعد يوم أين هو مصدر المشكلة , و قد بدأت بحذف كل الإضافات بالموقع , و في حال تكررت المشكلة سوف اغير الثيم , و في حال تكررت المشكلة سوف أضطر لعمل سكربت يدوي للبحث والتحقق من قواعد البيانات

تحديث: بعد بضع ساعات مازالت المشكلة مستمرة و لذا تم عمل الخطوات التالية

  •  تم اضافة خدمة مراقبة السيرفر (patchman.co) و لم تجد أي شيء
  • تم تغيير الثيم إلى الثيم الافتراضي الذي يأتي مع  (WordPress)

تحديث نهائي:

وجدت المشكلة وكانت في الثيم , فبمجرد الرجوع لثيم الورد بريس الأفتراضي لم تتكرر المشكلة , مع العلم بأن الثيم مشترى و ليس مجاني و من موقع موثوق (themeforest.net) إلا هذا لا ينفي بأنه يوجد دائما هناك ثغرات و قد تكون غير مقصودة , حيث أن الكثير من المطورين يقوموا باستخدام مكتبات جاهزة لتسريع أعمالهم و قد تكون هذه المكتبات تعتمد على مكتبات أخرى بدورها و لذا يمكن لأن تكون الثغرة في واحدة من هذه السلسلة الكبيرة من المكتبات و لذا الحل الوجيد الأن هو التواصل مع الشركة و اخبارهم بالمشكلة لعلهم اكتشفوا أين هي المشكلة أو أقوم أنا بتتبع السكربت لمعرفة أي الخلل و أن أقوم باصلاحه

في حال استفدت من هذه التدوينة , أو كنت خبيرا في هذه الأمور أو مرت عليك تجربة مماثلة , شاركنا بها في التعليقات

Share

كيف تحمي حسابك على تويتر وفيس بوك من الاختراق؟

منذ العام ٢٠١٠ انتشرت تطبيقات خبيثة تقوم بإرسال رسائل خاصة لكل من يقوم بمتابعتك على تويتر وذلك بعد تعرض حسابك لنوع من الاختراق المباشر أو الغير مباشر , هذه الرسائل تصدر منك دون معرفة مسبقة إلى أصدقائك لكي يقوموا بالضغط على وصلة محددة , و بما أن الرسالة وصلتهم من صديق فسيثقوا بها و يقوموا بالنقر على الوصلة , إلا أنه للأسف هذه الرسائل تكون مضرة

المشكلة أن هذه الرسائل مصممة باستخدام الهندسة الاجتماعية كنوع من اغراء المستخدم للضغط على هذه الوصلة , مثلا أكثر الرسائل انتشارا حاليا هي (Did you see this pic of you? lol) و التي تعني (هل شاهدت الصورة المنشورة عنك ,,  اضغط هنا لتشاهدها) و رسائل كثيرة على هذا الغرار التي يمكن أن تجدها في أخر المقال (هذه الصورة مثال على الرسائل الخاصة التي تصل)


twitter-scam

بالعادة هذه الوصلات تؤدي إلى مواقع شبيهة بموقع (Facebook.com) بالشكل فقط و لكن العنوان مختلف  ويطلب منك تسجيل الدخول لكي تستطيع مشاهدة الصورة , بعد تسجيل الدخول يخبرك الموقع بأنك أدخلت اسم المستخدم أو كلمة السر بشكل خاطيء و عندها يوجهك الموقع فعليا إلى موقع (Facebook.com) و عندها لن تنتبه بأن الموقع قد قام فعليا بسرقة اسم المستخدم و كلمة السر الخاصة بحسابك على (Facebook.com)
 
[huge_it_slider id=”2″]
 

من هذه الوصلات أيضا من تطلب منك تحميل ملفات مشبوهة أو مواقع أخرى بالمحصلة هي مواقع و برمجيات خبيثة و ضارة هدفها إما اختراق خصوصيتك أو سرقة بياناتك أو استخدام حسابك من أجل الدعاية أو الهجوم أو النشر بشكل عشوائي

كيف تحمي نفسك؟

في البداية عليك أن لا تعطي أي موقع مهما كان اسم المستخدم و كلمة السر الخاصة بك حتى لو كان ذلك مقابل خدمة فإن هذه الطريقة اختفت و أصبح هناك بروتوكول متعارف عليه بأسم (OAUTH) يمكن المواقع التي تقدم خدمات مرتبطة بحسابك بفعل ذلك دون الحاجة لحصولها على اسم المستخدم أو كلمة المرور

ثانيا تأكد دائما من عنوان الموقع في الاعلى بأن يكون صحيح فهناك مواقع تقوم بالاحتيال بعنوان مثل (twitter.sssd.com) – العنوان السابق مجرد مثال – و البعض بمجرد رؤية كلمة (twitter) يعتقد أنه الموقع الأصلي و لذا عليك التأكد من أن الموقع الحالي هو الموقع الأصلي لكي لا تقع ضحية سرقة بيانات حسابك

ثالثا عليك أن تقوم بتغيير كلمة السر الخاصة بحسابك بمجرد الاشتباه بأنك قد وقعت لعملية مشابهة, أو أخبرك أصدقائك بأنهم بدئوا باستلام رسائل خاصة منك أنت لم تقم بإرسالها

إذهب إلى الشبكة الاجتماعية (Facebook.com) و (Twitter.com) لانهما الأكثر استهدافا هذه الأيام و من ثم في صفحة (Twitter.com) اذهب (اعدادات / Settings) كما في الصور

twitter-settings

[huge_it_slider id=”3″]

غير كلمة السر / Password من هنا كما في الصورة


twitter-pass

password-ar

 

ثم اختر (التطبيقات / Apps) وقم بالغاء صلاحية كل التطبيقات وهذه أفضل طريقة للتأكد من له لا يوجد أي ارتباط في حسابك و من بعدها قم من جديد بالارتباط بالتطبيقات و المواقع الموثوقة فقط

twitter-ar-remove

twitter-eng-setting 

 بالنهاية هذه قائمة بأكثر الرسائل انتشرا:

  • Did you see this pic of you? lol
  • Someone said this real bad thing about you in a blog
  • Early TWITTER INVESTORS got FILTHY RICH! How YOU CAN GET RICH with the NEXT TWITTER Growth Story Now
  • FYI this profile on twitter (URL) is spreading nasty blogs around about you
  • damn this person is making updates with retarded things that involve you
  • HAHA omg you have to see this IM dying from laughing so hard…
  • lol wat r you doing n this video
  • u didn’t see them tapping u
  • hey this user is making up cruel things that are about you
  • hey this person is making up cruel things that are about you
  • hey someone is writing shocking posts that are about you
  • Hi this user is posting really bad things about you
  • See who is Stalking your Twitter! (this is the StalkTalk scam)
  • Find out who’s stalking your twitter
  • Hello some person is posting very bad rumors about you…
  • LOL…i am laughing so hard at this pic of me my friend found
  • Hello this user is making nasty things about you…
  • did you see this crazy tweet about you?
  • Hey some person is making terrible things about you…
  • Hello somebody is making nasty things about you…
  • Hi someone is posting very bad rumors about you…
  • Someone is saying some real horrible things about you, seen this?
  • Seen this really nasty rumor/blog about you?
  • There is a rumor/blog going around about you might want to read it
  • Rumor has it there is some bad things about you
  • I saw a real bad blog about you, you seen this?
  • Found a funny picture of you!
  • I cannot believe what this person is saying about you! it’s pretty nasty stuff
  • You seen what this person is saying about you? terrible things..
  •  Hey…you seen this yet? some horrible rumors about you going around online…
  • i cant believe this but there are some real nasty things being said about you here
  • Hey, so some real nasty things are being said about you here i cant believe what was said..
  • rofl they was taping you
  • u didn’t seee them tapping u
  • how did you not see them taping u
  • lol they taped your
  • whatt are you doing in this fb vid ?
  • i got mine yesterday
  • you even see them taping u him
  • what on earth you’re doing on this movie
  • O M G your in this
  • what on earth could you be doing in our vid
  • what are you doing in this viddeoo
  • who posted this video of me in the bathroom
  • wtf this dumbass is posting sexual stories that concern you
  • ur famouse now
  • HAHA omg you have to see this [LINK] im dying from laughing so hard…
  • wat r u doing with him in this video
  • OMG i found this pic of u LMAO,
  • I bet you don’t remember this eh?
  • lol your in this video

 

 

Share