هجمات Gumblar و Martuz [طور نفسك] ...$...
على غرار الطريقة المعروفة والتي تسمى بحقن الأكواد
(Code Injection) والتي كانت بداياتها تعتمد على حقن
بعض المواد الاعلانية فى المواقع المجانية بأكواد HTML/JAVASCRIPT
الى أن تم استعمال هذه الطريقة في هجوم خاص بها
(Code Injection) والتي كانت بداياتها تعتمد على حقن
بعض المواد الاعلانية فى المواقع المجانية بأكواد HTML/JAVASCRIPT
الى أن تم استعمال هذه الطريقة في هجوم خاص بها
و هو ما يعرف Gumblar Attack.
ما سنتطرق اليه اليوم فهو عبارة عن قفزة نوعية والذهاب
ما سنتطرق اليه اليوم فهو عبارة عن قفزة نوعية والذهاب
الى ما هو أبعد ,فسنتكلم اليوم عن هجمات Martuz والتي
تعتبر تكملة وتطورا نوعيا للهجمات المذكورة انفا .
في هذا النوع من الهجمات يتم حقن أكواد JAVASCRIPT بالاضافة
الى SERVER SIDE SCRIPT ومن أشهرها حقن أكواد
البي أتش بي (PHP Script Injection) لتحقيق اهداف معينة,
حيث يقوم المهاجم باستغلال الثغرات التي تظهر في برامج
التصفح على سبيل المثال لا الحصر CVE-2010-0249 وهي
ثغرة معروفة في متصفح الويندوز تمكن مستغلها من فرض
سيطرته على حاسب الضحية كتنزيل Trojan.
بعد أن يتم تنزيل الدودة أو التروجان (Gumblar/Martuz Worm)
على الجهاز الهدف يبدأ هذا الأخير بالبحث عن حسابات
الاف تي بي (FTP credentials) المخزنة مثلا في حاسب الضحية
وفي حالة اذا ما كانت مشفرة بشكل جيد يقوم بالتنصت على أي
محاولة لتسجيل الدخول , بعد أن يحصل على بيانات FTP يقوم
هذا الأخير بالولوج أويوماتكيا الى مزود الخدمة ويقوم برفع ملفات
بي أتش بي من أهمها image.php و gifimg.php والتي نجدها
في مجلدات متداولة مثل … IMAGES.
قد نتسائل عن السبب وما الغرض من هذا الهجوم العشوائي ؟
بكل بساطة فان معلومات خوادم الأف تي بي المسروقة قد تم
قد نتسائل عن السبب وما الغرض من هذا الهجوم العشوائي ؟
بكل بساطة فان معلومات خوادم الأف تي بي المسروقة قد تم
ارسالها الى المهاجم وقد تكون من بينها حسابات لشركات
معروفة وبنوك ... الخ و هذا هو ما يهم المهاجمين.
و حتى لو قام الهدف بتغيير كلمة السر أو ماشابه فان المهاجم
و حتى لو قام الهدف بتغيير كلمة السر أو ماشابه فان المهاجم
تبقى عنده امكانية الولوج مرة أخرى الى الخادم
عن طريق ملفي : gifimg.php أو image.php وهما عبارة
عن بي أتش بي باك دوور (PHP Backdoor). يعني ماراح تهرب ... :grrrrrr:
كيفية اكتشاف هذا الهجوم :
بكون هذه التغرة متطوره فلم يفكر مطور الهجوم باخفائها
عن اعين محركات البحت كالميتا مثلا :
او استخدام كود ملف الروبوت robot.txt
كود:
[/COLOR] [SIZE=4][COLOR=White][B][FONT=Times New Roman][LEFT][FONT=tahoma]Disallow: /images/gifimg.php[/FONT][/LEFT]
[/FONT][/B][/COLOR][/SIZE][COLOR=White]
كود:
[/COLOR] [COLOR=White][FONT=Times New Roman][LEFT][FONT=tahoma]inurl:"gifimg.php" intext:"404 Not Found"[/FONT][/LEFT]
[/FONT]
كود:
[/COLOR] [COLOR=White][FONT=Times New Roman][LEFT][FONT=tahoma]inurl:"gifimg.php"[/FONT][/LEFT]
[/FONT]
لو دخلتوا على الملف الضار رح تجيكم رسالة خطآ
كود:
404 not foundالكود يعبر عن نفسه
الشرح فيديوا من هنا
اسم الموضوع : هجمات Gumblar و Martuz [طور نفسك] ...$...
|
المصدر : قـسـم إخـتـراق الـمـواقـع والـسـيرفـرات