| تاريخ كتابة المُساهمة  السبت أبريل 09, 2011 12:02 pm | |
 | دروس في الحماية من الاختراق والمنافذ المفتوحة
طريقة إغلاق البورتات المفتوحة سبق وأن تطرقنا إلى طريقة الكشف عن البورتات ( المنافذ ) المفتوحة في جهازك، والآن سنتعرف على طريقة إغلاق هذه المنافذ. إنها مشكلة معروفة ومعتادة.. تنفذ أمر "netstat -a" على الويندوز، وترى عدد من المنافذ بحالة "LISTENING" أو "ESTABLISHED". يعني ذلك أن بعض التطبيقات تعمل متخفية وبالتالي تُبقي المنافذ التي تستخدمها مفتوحة لأي اتصال قادم. تكمن المشكلة في معرفة أيّ تطبيق هو الذي يبقي المنفذ مفتوحاً، ومن ثم يتم إغلاق هذا التطبيق. فمن غير معرفة ذلك، يمكن أن يكون تروجان بداخل جهازك ويتم السيطرة عليه، أو غيره من التطبيقات التي تعمل دون علمك. و لذلك يجب عليك التحرّي لمعرفة ما يُنصت في جهازك. استخدام Inzider : Inzider هو برنامج بسيط يمكّنك من عرض جميع التطبيقات الفعّالة بالجهاز وأرقام المنافذ (البورتات) التي تستخدمها. يمكنك تحميله من الموقع التالي :http://ntsecurity.nu/cgi-bin/downloads/inzider.exe [ Inzider v1.2 : 250 KB ] * ملاحظة: قد تظهر لك الرسالة التالية بعد التحميل: "GkWare SFX Module V1.90/Is - The data section attached to this self-extractor has been damaged. Please download this file again to get a complete copy." عند ظهورها يجب عليك إعادة تشغيل الجهاز وتشغيل ملف التحميل مرة أخرى. مثال حول طريقة العمل: C:WINDOWS> netstat -a Active Connections Proto Local Address Foreign Address State TCP gwen:137 GWEN:0 LISTENING TCP gwen:138 GWEN:0 LISTENING TCP gwen:nbsession GWEN:0 LISTENING UDP gwen:tftp GWEN:0 LISTENING UDP gwen: nbname *:* UDP gwen:nbdatagram *:* في الأعلى يظهر لنا أن NetBIOS/IP قد تم تفعيله ( المنافذ 137، 138، nbsession، nbname، nbdatagram ). مما يعني أن الجهاز يستخدم كسيرفر سامحاً للأجهزة بالشبكة في مشاركة الملفات أو استخدام الطابعة مثلاً. ولكن يظهر لنا أيضاً TFTP ( البورت UDP/69 ) مفتوح، وذلك غريب بعض الشيء! حيث أن TFTP اختصار لـ ( Trivial File Transfer Protocol ) تعني أنه يسمح لإرسال واستقبال الملفات من غير رقيب. لمعرفة ما هو سبب بقاء ال TFTP مفتوحاً.. نستطيع تشغيل برنامج Inzider ونجعله يقوم بتحليل النظام. النتيجة ستظهر إلى حدّ ما هكذا: inzider 1.1 - (c) 1999, Arne Vidstrom - [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط] Checked C:WINDOWSEXPLORER.EXE (PID=4294965459 ). Checked C:WINDOWSTASKMON.EXE (PID=4294841743). Checked C:PROGRAM FILESCISCO SYSTEMSCISCO TFTP SERVERTFTPSERVER.EXE (PID=4294857879). Found UDP port 69 bound at 0.0.0.0 by C:PROGRAM FILESCISCO SYSTEMSCISCO TFTP SERVERTFTPSERVER.EXE (PID=4294857879) [UDP client] Checked C:WINDOWSSYSTEMMPREXE.EXE (PID=4294953443). Checked C:WINDOWSSYSTEMKERNEL32.DLL (PID=4294916979). Checked C:WINDOWSSYSTEMSYSTRAY.EXE (PID=4294845915). Checked C:MCAFEEVIRUSSCANVSHWIN32.EXE (PID=4294944083). Checked C:WINDOWSSTARTER.EXE (PID=4294869135). يُلاحظ أن "Inzider" وجد العديد من التطبيقات الفعّالة. PID يرمز إلى ( Process ID ) المستخدم من قبل النظام لتعريف وتمييز التطبيق الفعّال عن غيره من التطبيقات التي تعمل في نفس الوقت. في الأعلى نجد أن هناك تطبيق واحد تنفيذي وهو TFTPSERVER.EXE والموجود في C:PROGRAM FILESCISCO SYSTEMSCISCO TFTP SERVER . وقد أظهر البرنامج أن المنفذ الذي يستخدمه هو ( UDP/69 ) وهو منفذ الـ ( TFTP ). بذلك وجدنا الملف التنفيذي الذي يشغل البورت 69 التابع لـ TFTP، وهو ما أردنا الوصول إليه. الآن لنا الخيار في إزالة هذا الملف ومنعه من استخدام البورت المخصص له، أو البقاء عليه إن علمنا أننا نريد الخدمة التي يقدمها. التحقق في Windows: ويندوز يضم أداة مميزة لمعرفة جميع التطبيقات التي تعمل عند تشغيل النظام. هذه الأداة هي الـ ( System Configuration Utility ) ويمكن الوصول إليها عن طريق C:WindowsSystem\MSConfig.exe ، أو من خلال: قائمة ابدأ Start > تشغيل Run > كتابة Msconfig بعد التشغيل.. ننتقل إلى لسان التبويب ( Startup ) الذي يعرض جميع التطبيقات التي تعمل بمجرد تشغيل النظام. لمنع برنامج من التشغيل ببساطة قم بإزالة علامة التحديد بجانب اسمه، ثم OK. بعد إعادة التشغيل لن يتم تشغيل التطبيق الذي قمت بإزالته. إضافة إلى Startup Tab.. يمكنك عرض ملفات ال config.sys, autoexec.bat, system.ini and win.ini . واتباع نفس الطريقة في إيقاف التطبيقات الغير مرغوبة من التنفيذ. لسان التبويب General يمكنك من عمل نسخة احتياطية للملفات المشار إليها. أداة أخرى مميزة في الويندوز هي ( Microsoft System Information ). بعد تشغيلها من خلال نفس خطوات تشغيل وإنما كتابة عند تشغيل Msinfo32 . يتم الانتقال إلى Software Enviornment ثم Startup Programs . تقوم هذه الأداة بنفس عمل Msconfig من حيث معرفة التطبيقات التي تعمل عند بداية التشغيل، إنمّا يضاف على ذلك هنا أنه يمكن عرض من أين تمّ تحميل التطبيق ( registry, startup group, autoexec.bat, etc. ). ويعدّ ذلك مفيداً في تحديد مكان التطبيق المراد إزالته دون البحث عنه. الـخـلاصـة: يتم كشف المنافذ المفتوحة عن طريق الأمر netstat -a في الدوس من خلال Start > Programs > Arabic DOS Windows أو غيرها من الطرق المعروفة للانتقال إلى الدوس. عند تنفيذ الأمر netstat -a لا بدّ وأن تظهر لك العديد من المنافذ إمّا بحالة Listening أو Established .. عندها يجب عليك التمييز بين التطبيقات التي تحتاجها مثلاً كالإكسبلورر والآوتلووك .. الخ. وملاحظة التطبيقات الغريبة خصوصاً إذا ظهر لك رقم IP غير معروف بالنسبة لك.. فهذا يعني أن هناك اتصال بين جهازك وآخر من خلال هذا التطبيق ويجب عليك غلقه وحذفه، إن لم تكن تستخدمه. مثال: في المثال السابق.. الوضع الطبيعي إلى حدّ ما يبدو هكذا، حيث أنه لا يوجد أي رقم IP غريب ولا يمكن معرفة مصدره.. وكذلك هناك منفذ ال POP يمكن أن يكون مشغولاً إذا كنت تستخدم الآوتلوك لجلب ، وكذلك الماسينجر، ولا داعي للقلق خوفاً من التجسس في هذه الحالة. أيضاً تلاحظ وجود البروكسي لمزود الخدمة لديك. لإغلاق المنافذ ( البورتات ) الخطرة لديك.. يجب عليك أولاً: التعرّف على البرنامج الذي يستخدم هذا البورت من خلال برنامج Inzider. ثانياً: تتبع مصدر الخطر ( ملف السيرفر ) وحذفه. ينصح باستخدام أحد برامج الـ Firewall لحماية الجهاز. التي تعمل على إغلاق جميع المنافذ إلاّ المنافذ التي ترغب باستخدامها فقط كمنفذ POP للبريد أو منفذ الـ FTP .. الخ. وهذه البرامج عديدة ، أشهرها: Norton Internet Securtiy و Zone Alarm .
|
|
| | تاريخ كتابة المُساهمة السبت أبريل 09, 2011 12:03 pm | |
| رد: دروس في الحماية من الاختراق والمنافذ المفتوحة
أخطر برامج الاختراق المتداولة ننتقل اليوم للحديث عن أهم وأشهر برامج الاختراق المتداولة مرتبة حسب خطورتها، وسأكتفي بشرح واحدة منها، وذلك نظراً لشهرتها وتداولها بين المخترقين : Net Bus - Back Orifice - Sub Seven - Hack a Tack - Master Paradise Deep Throat - Girl Friend 8- Net Sphere 9- Win Crash 01- Big Cluck - Executer - ICQ Torjan - Back Door. البرنامج نت بص Net Bus تمكن مبرمج سويدي اسمه كارل نيكتر في عام 1998 من إصدار نسخة تجريبية تعمل على الوندوز 95 من برنامج لم يطلق عليه اسما في ذلك الوقت · يستطيع مستخدم البرنامج تشغيله بواسطة كمبيوتر بعيد · هذا البرنامج سماه اتوبيس الشبكة صدرت بعد ذلك نسخ عديدة منه، اذكر منها النسخة 1,6 و 1,7 Net Bus Pro وأخيرا Bus 0002 Net . إمكانياته - يسمح البرنامج لأي شخص بالسيطرة على جهاز الضحية عن بعد على الشكل التالي: 1- عرض صورة مفاجئة على شاشة الضحية، أو تغيير إعدادات الشاشة دون تدخل من المستخدم 2- فتح و غلق باب سواقة السي دي تلقائيا، دون تدخل من المستخدم· 3- وضع مؤشر الماوس في مكان معين بحيث لا يمكن للمستخدم تحريكه عن هذه المنطقة · 4 ظهور حركة للماوس دون أي تدخل من صاحب الجهاز · 5- عرض رسالة قصيرة على الشاشة تختفي وتظهر فجأة او تبقى معلقة دائما بالشاشة فلا يستطيع المستخدم التخلص منها· 6-التجسس على المستخدم ورؤية كل ما يفعله · 7- عـــــــرض محتويات القرص الصلب بالكامل عن بعد · 8- إنزال أي ملف من جهاز الضحية إلى جهاز المخترق · 9- تحميل أي ملف من جهاز المخترق إلى جهاز الضحية · 10- التحكم في علو وانخفاض الصوت· 11- في حالة ارتباط مايكروفون بجهاز الضحية فيمكن للمخترق الاستماع لما يدور من حديث بالغرفة المتواجد بها جهاز الضحية· 12- حذف أي ملف من القرص الصلب وقت ما يشاء المخترق · 13- إقفال أي نافذة من النوافذ المفتوحة بشاشة الضحية 14- تغيير او حذف كلمات السر الخاصة بالضحية واستبدالها بكلمات أخرى 15- تغيير إعدادات النظام بالجهاز الخاص بالضحية· كل هذة الوظائف السابقة يمكن لأي مخترق لديه هذا البرنامج، كما هو الحال في معظم برامج الاختراق، أن ينفذها، أو بمعنى أوضح السيطرة الكاملة على جهاز الضحية · - بعد كل ما ذكرته، سوف يصاب أي شخص يتعرض جهازه للاختراق، بنوع من الخوف والرعب الشديد ولكن الموضوع فى منتهى البساطة، فلا تستعجلوا القرار بقيامكم بعمل فورمات للهارد ديسك لان العلم لم يكتف بذلك، فالمعروف أن كل فعل له رد فعل، بمعنى أنه عندما يوضع ملف التجسس في الجهاز فانه يوضع فى مكان معين وتوجد طرق عديدة للتخلص من هذه البرامج المؤذية، لذلك حافظ على هدوئك تماما، وابحث معي عن حلول للمشكلة، فى كل الأماكن التالية: إن المخترق لكي يتمكن من الاختراق عليه الدخول من أحد المنافذ Ports والبرامج المضادة للمخترقين كفيلة بإغلاق تلك المنافذ في وجه المخترق؛ ولكن، حتى نقطع الطريق على المخترق، إليكم طريقة ممتازة لاكتشاف المنافذ المفتوحة وإغلاقها بطريقة يدوية من خلال الوندوز ويجب تنفيذ هذا الإجراء أثناء الاتصال بالإنترنت online حتى نتمكن من رؤية جميع المنافذ المتصلة بطريقة غير شرعية أثناء الاتصال بالإنترنت· 1- من قائمة إبدأ اختر التشغيل Start/Run 2 -عند ظهور مربع الحوار الخاص بتنفيذ الأوامر اكتب Command 3 -سيظهر لك اطار نظام التشغيل دوس وفي داخل الإطار وأمام خانة المؤشر اكتب netstat - a: ثم اضغط على Enter 4 - والآن قارن بين ارقام المنافذ التي ظهرت لك مع أرقام المنافذ التالية، وهي المنافذ التي يفتحها في العادة ملف التجسس الباتش التابع لبرنامج Net Bus فإن وجدت رقم المنفذ ضمنها، فإن جهازك قد اخترق، وعليك في هذه الحالة التخلص أولا من ملف التجسس · وهذه منافذ دخول برنامج النت باص : - 43002 - 5401 - 0954 - 1176 - 0037- 1037 - 6037 - 3037 - 8037 - 92003 - 00103 - 10103 - 20103 - 73313 - 83313 - 93313 التخلص من برنامج الباتش الخاص بالنت باص واغلاق منافذه المفتوحة: الرابط الرئيسي بين كمبيوتر المخترق وكمبيوتر الضحية هو ملف التجسس المزروع بجهاز الضحية واذا تم تحديده والتخلص منه، قطعت عليه طريق التجسس· أما المنافذ التي فتحت فهي جزء من الذاكرة يتعرف عليها الجهاز بأنها منطقة اتصال ومتى ما تم حذف ملف التجسس (الباتش) فان الوندوز يعيد إغلاق تلك المنافذ أتوماتيكيا عقب إعادة تشغيل الجهاز لأن مصدرها ( ملف الباتش) وملف الباتش قد قضي عليه تماما·
|
|
| | تاريخ كتابة المُساهمة السبت أبريل 09, 2011 12:04 pm | |
| رد: دروس في الحماية من الاختراق والمنافذ المفتوحة
طرق التخلص من أشهر ملفات التجسس هذه مجموعة من اشهر ملفات التجسس و طرق الخلاص منها .. Back Oriface يعمل على فتح المنفذ 3317 لجهازك و يجعل مستخدمي برنامج باك اورفز قادرين على اختراقك . طريقة التخلص من الملف: 1- من قائمة البداية Start اختر Run و اكتبRegedit 2- من القائمة على اليسار اختر HKEY_LOCAL_MACHINE ثم Software ثم Microsoft ثم Windows ثم Current Virsion ثم Run أو احيانا Run Once. 3- اسم الملف متغيير من مكان لأخر امتداده دائما Exe لكن يمكنك معرفته كون اسم الملف او السرفر تظهر بعده مسافةو من ثم .exe عندما تجد الملف الغه تماما .. Net Bus - النسخ قبل 2000 هو الاكثر انتشارا على الشبكة .حجمه 470 كيلو بايت يستخدم المنافذ 12345 و المنافذ 12346و هو يمكن المخترق من السيطرة شبه الكاملة على جهازك . طريقة التخلص من الملف: 1-اطفأ الجهاز و اعد تشغيلة بهيئة الوضع الآمن او Safe Mode . 2- من الاعلى انتبع الخطوات من1و 2 3- ابحث عن الملف التالي c:\windows\patch.exe و الغه و من ثم اعد تشغيل الجهاز. Net Bus 2000 على عكس السابق فاسمه متغيير و حجمة 599 بايت. طريقة التخلص من الملف: 1- من قائمة البداية Start اختر Run و اكتبRegedit 2- من القائمة على اليسار اختر HKEY_LOCAL_Machine ثم Software ثم Microsoft ثم Windows ثم Current Virsion ثم Run services 3- ابحث في القائمة على اليمين عنNBsvr.exe ( هذا هو اسم الملف في الغالب) هكذا انت على علم ان جهازك مصاب .. و عليك بالعلاج التالي .وحتى و ان لم تجد الملف السابق اكمل الخطوات التالية. 4- انتقل إلى HKEY_LOCAL_USER ثم ابحث عن مجلد اسمه NetBus Server اضغط على المجلد بزر الفأرة الايمن اختر DELETE 5- اختر إعادة تشغيل الجهاز بوضع دوس DOS 5- اكتب Cd Winodw ثم إدخال Enter اتبعها ب CD system و ادخال و من ثم اكتب Del NBSvr.exe و ادخال ، Del NBHelp.dll و اخي Del Log.txt و انتهى . اعد تشغيل جهازك . Heack’a Tack’a يستخدم بروتوكل FTP مما يصعب الوصول اليه.يستخدم المنافذ رقم 31785 و 31787 و 31789 و 31791 . طريقة التخلص من الملف: 1- من قائمة البداية Start اختر Run و اكتبRegedit 2- من القائمة على اليسار اختر HKEY_LOCAL_MACHINE ثم Software ثم Microsoft ثم Windows ثم Current Virsion ثم Run أو احيانا Run 3- ابحث عن Explorer32 و الذي يوافق المسار C:\WINDOWS\Expl32.exe و قم بحذفه NetSphere يستخدم المنافذ TCP 30100 - TCP 30101-TCP 30102 طريقة التخلص من الملف: 1- من قائمة البداية Start اختر Run و اكتبRegedit 2- من القائمة على اليسار اختر HKEY_LOCAL_MACHINE ثم Software ثم Microsoft ثم Windows ثم Current Virsion ثم Run 2-ابحث في الجهه اليمنى عن c:\windows\system\nssx.exe 3- احذف هذا الملف . و اعد تشغيل الجهاز بواسطه الضغط على CTRL+ALT+DELETE. مصادر و برامج مفيدة: Commondon Threat معلومات حول انواع كثيرة من ملفات التجسس إذا لم تجد ما تريد في موقعنا يمكنك الاتجاه لهذا الموقع . The Cleaner يقوم بتنظيف جهازك من معظم ملفات التجسس. Port list قائمة بالمنافذ المستخدمة من قبل ملفات التجسس BOClean ينظف جهازك من Back Oriface و انواع اخرى
|
|
العضو المميز
عضو مميز
