برايفت 2013 : كيف تقوم بمسح أي حساب على السيرفر بشكل نهائي

السلام عليكم ورحمة الله
هذا موضوع لي كنت قد كتبته في أحد المنتديات العربية وأحببت نقله لكم هنا... الموضوع يتحدث عن طريقة لمسح الحسابات (او تحويل ما فيها لحسابك في اي سيرفر مركب سكريبت ispconfig)
يكفيك الحصول على يوزر وكلمة سر ذات صلاحيات للتعديل على قواعد البيانات في السيرفر (يمكن ان يكون يوزر pma مثلا ) وان كانت معلومات الروت بشحمه ولحمه فستكون الامور اجمل

ندخل على قواعد البياانت... اما باتصال مباشر او عن طريقة لوحة إدارة لقواعد البيانات مثل : phpmyadmin ... (الاكثر استخداما)

لماذا ذكرت هذا السكريبت بالضبط ؟ لان الكثير من المستخدمين (خصوصا موظفي الشركة ) تكون لهم صلاحيات في هذا السكريبت للمساعدة في ادارة قواعد البيانات.. ولكن قد لا تكون لهم صلاحيات اخرى كالاتصال المباشر بالسيرفر وتنفيذ الاوامر عليه.. في الغالب هذه من خواص المدير الاول (وهو الروت)

المهم... إبحث عن قاعدة بيانات اسمها : dbispconfig

قد تصادف ان صاحب السيرفر (او السيرفر المركزي الذي يدير سيرفرات اخرى ) مغير اسم القاعدة... ولكن 99 % لن يغير مميزاتها وهي على التوالي :

Structure attempts_login
Structure client
Structure client_template
Structure country
Structure cron
Structure dns_rr
Structure dns_soa
Structure dns_template
Structure firewall
Structure ftp_user
Structure mail_access
Structure mail_content_filter
Structure mail_domain
Structure mail_forwarding
Structure mail_get
Structure mail_greylist
Structure mail_mailman_domain
Structure mail_relay_recipient
Structure mail_traffic
Structure mail_transport
Structure mail_user
Structure mail_user_filter
Structure monitor_data
Structure remote_session
Structure remote_user
Structure server
Structure server_ip
Structure shell_user
Structure software_package
Structure software_repo
Structure software_update
Structure software_update_inst
Structure spamfilter_policy
Structure spamfilter_users
Structure spamfilter_wblist
Structure support_message
Structure sys_config
Structure sys_datalog
Structure sys_dbsync
Structure sys_filesync
Structure sys_group
Structure sys_ini
Structure sys_log
Structure sys_user
Structure ***_database
Structure ***_domain
Structure ***_traffic


يعني اذا لم تجد اسم القاعدة كما هو فابحث في قواعد البيانات عن هذه المميزات .. وبالتأكيد هي تابعة للسكريبت الهدف وهو : ISPconfig

هذه اللوحة الجبارة (ISPconfig) والتي يستخدمها الكثير من اقوى السيرفرات الغربية تمكنك من تحكم كامل بالسيرفر والسيرفرات الافتراضية.. وكذا السيرفرات المرتبطة به.. والمواقع وقواعد البيانات وحسابات الاف تي بي والكثير الكثير (للاسف لم اجد معلومات عنها بالعربية حتى اني اضطررت لاكتشافها بنفسي قبل اشهر مضت بدون وجود اي معلومات عنها... قمت فقط ببعض البحوث بالانجليزية والفرنسية لاتعرف عن بعض شكلياتها والبقية قمت بها بنفسي.. ولكن ان شاء الله ساقوم في المستقبل بعمل تجارب عليها واوافيكم بشروحات مركزة )

ما علينا...
بعد عثورنا لقاعدة البيانات نقوم بالتوجه لهذا المميز : sys_user
سنجد فيه اسم المستخدمين الذين لهم صلاحيات التحكم بالسيرفر.. وفي الغالب سيكون حساب الروت فقط
نقوم باخذ اليوزر والباس (يتوجب علينا فك الباس والا سنضطر لتغييره.. مع انني لا احبذ تغييره.. وان استعصى فك التشفيرة نقوم بعمل يوزر جديد ونعطيه كامل الصلاحيات ونستخدمه هو بدلا من حساب الروت )

بعدما اخذنا بينات الدخول لهذه اللوحة الضخمة نقوم بالتوجه الى اي بي السيرفر ونضع بعده كما في المثال التالي:
127.0.0.1/ispconfig/index.php
عوض 127.0.0.1 ضع اي بي السيرفر

الان انت امام صفحة الدخول على الارجح
قم بادخال بيانات الروت (او المستخدم الجديد الذي أنشأته) وقل : هـــــأ لقد دخلت
هذه صورة توضيحية حتى تعرفون عما اتحدث على الاقل :



الان ماذا يمكننا ان نفعل ؟ وكيف نسحب حساب اي يوزر بكل بساطة وبشكل نهائي ؟

بكل بساطة ندخل وننشيء حساب جديد... ونقوم بنقل دومينات ومساحات الحساب الضحية الى الحساب الجديد.. وبعدها مباشرة نقوم بمسح نهائي للحساب الضحية

النت عندي ضعيف ولا استطيع رفع شرح فيديو.. لذلك لم اقم بعمل الشرح فيديو.. ولكنني باذن الله تعالى ساقوم بعمل شروحات مستقبلا عن هذه اللوحة وغيرها (هناك المزيد بفضل الله ) ولكنني قمت بعمل صورة ثانية لنقطة مهمة جدا وهي مسألة سحب حساب الاف تي بي.. وبشكل نهائي (لحد الان لم يسترد مني صاحب موقع حسابه.. واعتقد اان السبب ان اي حركة تم عملها من هذه اللوحة تكون نهائية وتكون موقعة باسم الروت لذلك لايتم التراجع عنها عادة )
هذه الصورة تبين مكان تواجد قسم التحكم في حسابات الاف تي بي (واعذروني على التقصير والله... لكن النت لا يساعد حاليا.. لان اخر الشهر دائما تكون الانترنيت ميتة في اتصالات المغرب ) :



المهم... كان الهدف هو اعطاؤكم الطريقة حتى تجدوا سبلا افضل للهجوم واستغلال صلاحيات الروت وكذا الانفتاح على افاق اخرى وبرمجيات اخرى وان الوقت لا يسمح بعمل شروحات كاملة لمثل هذه الامور.. ولكنني كما اشرت لذلك ساحاول بعد شهر 2 ان شاء الله وضع بعض الشروحات الجديدة في عالم الهكر ومن بينها التركيز على لوحات قوية وضخمة مثل هاته التي في موضوعنا

ان كان هناك اي شيء غير مفهوم في الموضوع فساكون متابعا له طبعا ويمكنكم الاستفسار .. وكذا اضافة ما لديكم ان كان لبعضكم اطلاع على هذه اللوحة من قبل (لانني كما اشرت ان السيرفرات العربية لا تستخدمها كثيرا )

ملاحظة اخيرة : اللوحة تشتغل على انظمة لينكس فقط (تتطلب بعض الادوات الغير متوفرة في ويندوز) لذا فالشرح يخص سيرفرات لينكس
هذا شرح لطريقة الهجوم بالكامل... ولكن ما الحل ضدها ؟؟ ماذا عن من يستخدمون هذه اللوحة وكيف يحمون حسابات المستخدمين بدون اللجوء لسحب الصلاحيات ممن لديهم في نظام التحكم بقواعد البياانت (كالسكريبت المذكور في اول الموضوع) ؟
في الحقيقة هناك عدة طرق.. لعل أهمها عمل قاعدة بيانات خاصة باللوحة اثناء تنصيبها معزولة عن بقية القواعد :) وهناك طرق اخرى يمكن للشخص الحفاظ على اللوحة في امان لحد كبير حتى لو استطاع المخترق سحب بيانات الروت في السيرفر... وان شاء الله ساحاول شرح الامر اكثر واكثر في واضيع قادمة...
في الاخير اقول لكم: بالتوفيق لما يحبه الله ويرضاه

تعليقات

المشاركات الشائعة من هذه المدونة

بحث مرتقب بخصوص علم البيانات الضخمة Big Data وتحليلها - تدوينة للإعداد

توضيحات بخصوص اساليب التخفي - The Onion Router

أسئلة شائعة حول إضافة Mailvelope والإجابة عليها