بایگانی

بدافزار Prowli بیش از 40,000 دستگاه را مجبور به استخراج ارز رمزپایه کرد! – فناوران امید

طبق اعلامیه که دیروز منتشر شد، تیم امنیتی GuardiCore متوجه وجود کمپینی با هدف دستکاری مخرب ترافیک و استخراج ارز رمزپایه شده است. بدافزار Prowli بیش از 40,000 دستگاه را در بین صنایع مختلف از جمله صنایع مالی، آموزشی و حکومتی آلوده کرده است.

این کمپین با نام Operation Prowli شناخته می شود که از تکنیک های مختلفی از جمله اجرای کد های مخرب (Exploit) و حملات متداول برای یافتن پسورد برای گسترش بدافزارش و تسلط بر دستگاه هایی که آلوده شده اند مانند وب سرور ها، مودم ها و دستگاه های مجهز به اینترنت اشیا، استفاده می کند.

تیم GuardiCore متوجه شده است که هدف حملات صورت گرفته توسط Prowli نه عقدیتی یا جاسوسی بلکه پول درآوردن بوده است.

طبق گزارش، دستگاه هایی که مورد نفوذ قرار گرفته بودند، تحت تاثیر یک ماینر مونرو (XMR) و یک کرم به نام r2r2 بوده اند که این بدافزار از دستگاه های هک شده با استفاده از دستورات SSH حملات Brute Force انجام می داده و از بدافزار Prowli پشتیبانی می کرده تا بتواند قربانی های بیشتری بگیرد.

به عبارتی دیگر، با ساخت بلاک های آدرس IP به صورت تصادفی، کرم r2r2 سعی داشته تا با فهرستی از نام کاربری و رمز های عبور دسترسی SSH به سرور ها ایجاد و پس از موفقیت برای ورود به سرور، دستورات مخربش را بر روی دستگاه قربانی اجرا کند. این تیم امنیتی در این باره می نویسد :

حملات همگی به یک شکل انجام گرفته است که شامل ارتباط با یک سرور C&C برای دانلود ابزار های حمله به نام r2r2 و یک ماینر ارز رمزپایه می باشد

علاوه بر این، سارقان مجازی از یک شل قابل اجرا تحت وب به نام WSO Web Shell برای تغییر وبسایت های هک شده به منظور میزبانی از کد های مخربی که بازدیدکنندگان وبسایت را به سیستم توزیع ترافیک هدایت می کند، استفاده کرده اند که سپس کاربر ها به دیگر وبسایت های مخرب هدایت می شوند.

همچنین بخوانید |  دو فرد ایرانی در ارتباط با باج افزار بیت کوین در فهرست تحریم ها قرار گرفتند

به محز این که به یک وبسایت جعلی هدایت شوند، کاربران با کلیک بر روی افز.نه مخرب مرورگر وب تبدیل به قربانی می شوند. تیم GuardiCore گفته است که بدافزار Prowli موفق شده تا بیش از 9,000 شرکت را آلوده کند.

ماه گذشته، یک بدافزار سرقت ارز رمزپایه تازه، از نیم میلیون کامپیوتر برای استخراج 133 توکن مونرو در 3 روز استفاده کرد. شرکت فعال در زمینه امنیت در فضای مجازی، 360 Total Security متوجه وجود این بدافزار شد که ادعا کرد که نام آن WinstarNssmMiner است و توانایی این را دارد تا علاوه بر استخراج ارز رمزپایه بتواند باعث ایجاد اختلال در کارکرد دستگاه ها شود.

امتیاز شما به این نوشته چقدر است؟

برای آگاهی از آخرین نوشته ها، خبر ها و تحلیل های کوتاه به کانال تلگرام فناوران امید بپیوندید.

فناوران امید مکانیزه ترین ارائه دهنده خدمات پرداخت آنلاین، ویژه دانشجویان ، برنامه نویسان و سایر کاربران ایرانی که شامل :

خرید از فروشگاه های خارجی ، افتتاح حساب های بین المللی ، ارائه درگاه های خارجی ، صدور و شارژ کارت های اعتباری ویزا و مستر ، تعیین وقت سفارت ،

ثبت نام آزمون های دانشجویی ، فعالسازی حساب های کاربری ویژه برنامه نویسان و نقد کردن درآمد های ارزی آنها می شود.

این مجموعه نظر به استقبال کاربران ایرانی برای خرید و سرمایه گذاری در حوزه ارزهای دیجیتال هم چون بیت کوین ، اتریوم ، ریپل و .. و عدم دسترسی آنها به اکسچنجر های بین المللی امکان خرید و فروش این دسته از محصولات را نیر برای کاربران ایرانی فراهم نموده است

واتساپ پشتیبانی و فروش : 989168869631+

تلگرام پشتیبانی و فروش: omidahmadyani_support@

تماس جهت مشاوره رایگان:

تماس: 02128421193

واتساپ: 09129726343

دو فرد ایرانی در ارتباط با باج افزار بیت کوین در فهرست تحریم ها قرار گرفتند – فناوران امید

وزارت خزانه داری ایالات متحده دو ایرانی را که ظاهرا در ارتباط با برنامه باج افزار SamSam بیت کوین بوده اند در فهرست تحریم هایش قرار داده است. خزانه داری این خبر را دیروز به طور رسمی اعلام کرد.

دفتر کنترل دارایی های خارجی وزارت خزانه داری ایالات متحده (OFAC) روز چهارشنبه اقداماتی را علیه دو ایرانی به نام های علی خوراشادی زاده و محمد قربانیان انجام داد که در زمینه تبدیل بیت کوین به ریال (پول ایران) دست داشته اند.

این اولین باری است که آدرس های بیت کوین به طور عمومی در فهرست تحریم های OFAC به برای افراد ثبت شده است.

در گزارش آمده است که باج افزار SamSam وارد شبکه کامپیوتری کمپانی ها می شود و به مجرمان این امکان را می دهد که کنترل مدیریت سیستم ها را بر عهده بگیرید و در ازای آزاد سازی دسترسی دوباره کاربران به شبکه از آن ها بیت کوین درخواست کند.

همچنین در گزارش خزانه داری آمده که تا به حال این باج افزار به چندین کمپانی، آژانس های دولتی، دانشگاه و بیمارستان ها آسیب زده و 200 نفر قربانی این باج افزار شده اند.

OFAC توانسته دو آدرس ارز رمزپایه مرتبط با دو فرد مجرم ایرانی را شناسایی کند که از سال 2013 در حدود 7,000 تراکنش در شبکه بیت کوین انجام شده است و 6,000 بیت کوین جا به جا کرده اند.

در حالی که گفته می شود خوراشادی زاده و قربانیان مسئول تبدیل ارز رمزپایه و تبدیل و انتقال آن به بانک های ایرانی هستند، در این باج گیری همچنین دو بازیگر ایرانی هستند که به عنوان هکر ایفای نقش کردند و داده های چندین شبکه در ایالات متحده، انگلیس و کانادا را از سال 2015 با استفاده از باج افزار SamSam آلوده کرده اند.

همچنین بخوانید |  کلاهبرداری بیت کوین رایگان باعث سرقت رمز ارز از طریق یوتیوب شد

در شهریور ماه، Wired UK که مجله ای خبری در زمینه علم و فناوری است گزارش کرد که سازندگان باج افزار SamSam حدود 300,000 دلار در ماه درآمد کسب می کنند و هیچکس نمی تواند متوجه شود که آن ها چه کسانی هستند.

طبق تحقیقی که توسط شرکت امنیت فضای مجازی، Sophos صورت گرفته، باج افزار SamSam از سال 2015 که شروع به کار کرده تا به حال حدود 6 میلیون دلار بدست آورده است.

به گفته Wired UK، باج افزار SamSam کار پیچیده ای انجام نداده است و هیچ گونه اتوماسیون در این کار وجود نداشته است و در آن از تکنیک های قدیمی استفاده شده است. این باج افزار برخلاف باج افزار گسترده WanaCry که هزاران بیمارستان را در سال 2017 از کار انداخت، به صورت دستی مدیریت می شده است.

امتیاز شما به این نوشته چقدر است؟

برای آگاهی از آخرین نوشته ها، خبر ها و تحلیل های کوتاه به کانال تلگرام فناوران امید بپیوندید.

فناوران امید مکانیزه ترین ارائه دهنده خدمات پرداخت آنلاین، ویژه دانشجویان ، برنامه نویسان و سایر کاربران ایرانی که شامل :

خرید از فروشگاه های خارجی ، افتتاح حساب های بین المللی ، ارائه درگاه های خارجی ، صدور و شارژ کارت های اعتباری ویزا و مستر ، تعیین وقت سفارت ،

ثبت نام آزمون های دانشجویی ، فعالسازی حساب های کاربری ویژه برنامه نویسان و نقد کردن درآمد های ارزی آنها می شود.

این مجموعه نظر به استقبال کاربران ایرانی برای خرید و سرمایه گذاری در حوزه ارزهای دیجیتال هم چون بیت کوین ، اتریوم ، ریپل و .. و عدم دسترسی آنها به اکسچنجر های بین المللی امکان خرید و فروش این دسته از محصولات را نیر برای کاربران ایرانی فراهم نموده است

واتساپ پشتیبانی و فروش : 989168869631+

تلگرام پشتیبانی و فروش: omidahmadyani_support@

تماس جهت مشاوره رایگان:

تماس: 02128421193

واتساپ: 09129726343

کلاهبرداری بیت کوین رایگان باعث سرقت رمز ارز از طریق یوتیوب شد – فناوران امید

دیروز گزارشی در BleepingComputer منتشر شد که حاکی از این است که Qulab تروجانی برای سرقت اطلاعات صفحه کلید از طریق یک ویدیو کلاهبرداری که تظاهر به امکان استخراج رایگان بیت کوین می کند در یوتیوب در حال پخش شدن است.

طبق این گزارش، محقق امنیتی، فراست درباره این کلاهبرداری از طریق تروجان با BleepingComputer تماس گرفته است و گفته است که یوتیوب می تواند این ویدیو ها را از بین ببرد ولی حساب های کاربری جدیدی که مدام در حال ایجاد شدن است می تواند دوباره این ویدیو ها را اضافه کند.

در این ویدیو های کلاهبرداری که در یوتیوب منتشر شده است ابزاری را معرفی می کند که کاربران می توانند بیت کوین رایگان استخراج کنند و در توضیحات این ویدیو ها لینکی وجود دارد. این لینک کاربر را به دانلود یک برنامه هدایت می کند که حاوی تروجان Qulab است.

پس از دانلود این تروجان، برای این که بتواند فعالیت خود را آغاز کند می بایست نصب شود.

علاوه بر این که این تروجان سعی دارد تا بخش وسیعی از اطلاعات کاربر را به سرقت برساند، همچنین با دریافت عباراتی که توسط کاربر در صفحه کلید کپی می شود، به دنبال آدرس کیف پول های رمز ارز می گردد و اگر آدرسی پیدا کند آن را با آدرس فرد هکر جایگزین می کند و به این ترتیب در انتقال رمز ارز توسط فرد قربانی، مقدار مورد نظر به کیف پول سارق منتقل می شود.

از آن جایی که آدرس های کیف پول معمولا طولانی است و کاربر هم به عملیات کپی پیست در سیستم خودش اطمینان دارد، دیگر توجهی به آدرسی که واقعا در فیلد وارد شده است، نمی کند.

همچنین بخوانید |  مراقب بدافزار استخراج رمزارز که دستگاه های اندروید را نشان گرفته، باشید!

ظاهرا لیست بلند بالایی از آدرس کیف پول هایی که این تروجان پشتیبانی می کند از جمله بیت کوین، بیت کوین کش، کاردانو، اتریوم، لایت کوین، مونرو و… وجود دارد.

چندی پیش هم یوتیوب تبلیغ یک بدافزار را قرار داده بود که به ظاهر تبلیغی برای یک کیف پول بیت کوین به نام Electrum بود. کاربران شبکه اجتماعی Reddit این کلاهبرداری را توصیف کرده اند.

این تبلیغ مخرب به شکل تظاهر به تبلیغ کیف پول Electrum می کند […] حتی در ویدیو این تبلیغ به شما گفته می شود که به لینک درست این کیف پول یعنی electrum.org بروید ولی هنگامی که روی تبلیغ کلیک می کنید، فایلی با پسوند اجرایی EXE که مخرب است شروع به دانلود شدن می کند. اما فایلی که دانلود می شود از آدرس elecktrum.org و نه electrum.org است.

کاربری در شبکه اجتماعی ردیت با نام کاربری mrsxeplatypus

امتیاز شما به این نوشته چقدر است؟

برای آگاهی از آخرین نوشته ها، خبر ها و تحلیل های کوتاه به کانال تلگرام فناوران امید بپیوندید.

فناوران امید مکانیزه ترین ارائه دهنده خدمات پرداخت آنلاین، ویژه دانشجویان ، برنامه نویسان و سایر کاربران ایرانی که شامل :

خرید از فروشگاه های خارجی ، افتتاح حساب های بین المللی ، ارائه درگاه های خارجی ، صدور و شارژ کارت های اعتباری ویزا و مستر ، تعیین وقت سفارت ،

ثبت نام آزمون های دانشجویی ، فعالسازی حساب های کاربری ویژه برنامه نویسان و نقد کردن درآمد های ارزی آنها می شود.

این مجموعه نظر به استقبال کاربران ایرانی برای خرید و سرمایه گذاری در حوزه ارزهای دیجیتال هم چون بیت کوین ، اتریوم ، ریپل و .. و عدم دسترسی آنها به اکسچنجر های بین المللی امکان خرید و فروش این دسته از محصولات را نیر برای کاربران ایرانی فراهم نموده است

واتساپ پشتیبانی و فروش : 989168869631+

تلگرام پشتیبانی و فروش: omidahmadyani_support@

تماس جهت مشاوره رایگان:

تماس: 02128421193

واتساپ: 09129726343

مراقب بدافزار استخراج رمزارز که دستگاه های اندروید را نشان گرفته، باشید! – فناوران امید

یک بات نت جدید که به استخراج رمزارز می پردازند اخیرا کشف شده که از طریق پورت های Android Debug Bridge (ADB) نفوذ می کند. این پورت یک پورت سیستمی است که به منظور رفع عیب برنامه های نصب شده بر روی دستگاه های اندرویدی مورد استفاده قرار می گیرد.

این بدافزار بانت نت، طبق گزارش Trend Micro در 21 کشور پیدا شده است و در کره جنوبی شایع تر است.

این حمله از مزیت پورت های ADB استفاده می کند که به صورت پیشفرض نیاز به احراز هویت ندارد و به محز این که نصب شود، به گونه ای طراحی شده که در هر سیستمی که اخیرا یک اتصال SSH به اشتراک گذاشته، پخش شود. اتصالات SSH طیفی از دستگاه ها را به یکدیگر متصل می کند؛ همه چیز از موبایل تا ابزار آلات اینترنت اشیا که یعنی کلی کالای حساس که مورد استفاده قرار می گیرند.

یک دستگاه شناخته بودن یعنی این که دو سیستم بتوانند با یکدیگر بدون هرگونه نیاز به اعتبارسنجی و پس از رد و بدل کلید اولیه تبادل، ارتباط برقرار کنند و طرفین را به عنوان دستگاه امن بشناسند. محقق در این زمینه می گوید “وجود یک مکانیسم در حال پخش ممکن است به این معنی باشد که این بدافزار می تواند از فرآینده پرکاربرد اتصالات SSH سو استفاده کند”.

این اتفاق با یک آدرس آی پی شروع می شود.

45[.]67[.]14[.]179 از طریق ADB می رسد و از دستور شل برای تعییر مسیر فعالیت به “/data/local/tmp” استفاده می کند. چرا که فایل های .tmp معمولا دسترسی های پیش فرض برای اجرای دستورات را دارند.

همچنین بخوانید |  بدافزار Prowli بیش از 40,000 دستگاه را مجبور به استخراج ارز رمزپایه کرد!

به محز این که بات متوجه می شود که وارد مکانی برای اجرا شده است، از دستور wget برای دانلود سه مدل از ماینر های مختلف استفاده می کند و اگر در سیستم آلوده شده دستور wget تعریف نشده باشد از دستور curl استفاده می کند.

این بدافزار تشخیص می دهد که کدام ماینر برای اجرا در سیستم قربانی نسبت به سازنده سیستم، معماری، نوع پردازنده و سخت افزار بهتر است.

و یک دستور دیگر باسطح دسترسی 777 که a.sh است، بعد به اجرا در می آید تا مجوز تنظیمات بدافزاری را تغییر دهد. در نهایت بدافزار خود را از هاست با استفاده از دستور rm -rf a.sh* پنهان می کند تا فایل دانلود شده را پاک کند. به این شکل رد جایی که این حفره نشات گرفته نیز پنهان می دهد چرا که به دیگر قربانی ها منتقل می شود.

محققان اسکریپت مهاجم را مورد بررسی قرار داده اند و متوجه شدند که سه ماینر در حمله مورد استفاده قرار می گیرد که همگی با یک آدرس ارائه می شوند و به شرح زیر هستند.

http://198[.]98[.]51[.]104:282/x86/bash
http://198[.]98[.]51[.]104:282/arm/bash
http://198[.]98[.]51[.]104:282/aarch64/bash

آن ها همچنین متوجه شده اند که این اسکریپت حافظه میزبان خود را با فعال کردن قابلیت HugePages ارتقا می دهد که صفحه های حافظه را که بیشتر از اندازه پیشفرض هستند، فعال می کند تا خروجی استخراج بهتر شود.

اگر ماینر ها توسط سیستم پیدا شوند، بات نت سعی می کند تا URL های از بین ببرد و با تغییر کد هاست آن ها را نابود کند.

تابستان سال گذشته، Trend Micro بر روی یک نفوذگر دیگر از طریق ADB تحقیق کردند که آن ها به آن Satoshi Variant می گفتند.

همچنین بخوانید |  نظارت سوابق جستجوی شما در وب توسط تروجان رمزارز جدید بنام Saefko

در طی چندسال اخیر شاهد گسترش بدافزار های استخراج ارز یا کریپتو جکینگ بوده ایم. در راستای مقابله با این بدافزار ها البته برخی کمپانی نیز اقداماتی انجام داده اند از جمله موزیلا که در نسخه جدید مرورگر خود قابلیت ضد کریپتو جکینگ را ارائه کرده است.

امتیاز شما به این نوشته چقدر است؟

برای آگاهی از آخرین نوشته ها، خبر ها و تحلیل های کوتاه به کانال تلگرام فناوران امید بپیوندید.

فناوران امید مکانیزه ترین ارائه دهنده خدمات پرداخت آنلاین، ویژه دانشجویان ، برنامه نویسان و سایر کاربران ایرانی که شامل :

خرید از فروشگاه های خارجی ، افتتاح حساب های بین المللی ، ارائه درگاه های خارجی ، صدور و شارژ کارت های اعتباری ویزا و مستر ، تعیین وقت سفارت ،

ثبت نام آزمون های دانشجویی ، فعالسازی حساب های کاربری ویژه برنامه نویسان و نقد کردن درآمد های ارزی آنها می شود.

این مجموعه نظر به استقبال کاربران ایرانی برای خرید و سرمایه گذاری در حوزه ارزهای دیجیتال هم چون بیت کوین ، اتریوم ، ریپل و .. و عدم دسترسی آنها به اکسچنجر های بین المللی امکان خرید و فروش این دسته از محصولات را نیر برای کاربران ایرانی فراهم نموده است

واتساپ پشتیبانی و فروش : 989168869631+

تلگرام پشتیبانی و فروش: omidahmadyani_support@

تماس جهت مشاوره رایگان:

تماس: 02128421193

واتساپ: 09129726343

نظارت سوابق جستجوی شما در وب توسط تروجان رمزارز جدید بنام Saefko – فناوران امید

تحلیلگران کامپیوتر در کمپانی امنیت سایبری Zscaler ThreatLabZ نوعی جدید از تروجان را کشف کرده اند که کاربرانی که از رمزارز ها استفاده می کنند، را هدف قرار می دهد.

در پست وبلاگ دو روز پیش، این کمپانی خبر از یک تروجان با دسترسی از راه دور (RAT) داد که قادر است تا امکان مدیریت کامپیوتر هدف را بدست بیاورد و تاریخچه جستجو کاربر را نظارت کند و به دنبال فعالیت هایی بگردد که مرتبط با رمزارز، کردیت کارت ها، کسب و کار، شبکه های اجتماعی و سایر موارد است.

این بدافزار Saefko نام دارد و به زبان .NET نوشته شده که فریمورکی برای برنامه نویسی می باشد که توسط مایکروسافت ساخته شده است.

RAT ها معمولا در نتیجه باز کردن پیوست ایمیل ها یا دانلود نرم افزار یا بازی که آلوده شده، نصب می شوند. چون که RAT ها دسترسی مدیریتی دارند، نفوذگر می تواند هر کاری که مایل است مانند نظارت بر فعالیت های کاربر با ثبت کلید های فشرده شده، دسترسی به اطلاعات حساس، فعال سازی وب کم سیستم، ثبت اسکرین شات، پاک کردن درایو ها و.. را در کامپیوتر هدف انجام دهد.

پست وبلاگ Zscaler ThreatLabZ

این کمپانی پیشنهاد می کند که افراد فایل هایی که از طرف منابع ناشناس است را باز یا دانلود نکنند و همچنین مدیران شبکه می بایست پورت هایی که استفاده نمی شود را مسدود کنند و سرویس هایی که استفاده نمی شود را خاموش کنند و ترافیک خروجی شبکه را نیز نظارت کنند.

اوایل این هفته، خبر هایی مبنی بر هدف قرار دادن کسب و کار های مربوط به بازی های ویدیویی و رمزارز توسط جاسوسان سایبری دولت چین، منتشر شد.

همچنین بخوانید |  کلاهبرداری بیت کوین رایگان باعث سرقت رمز ارز از طریق یوتیوب شد

در ماه ژوئن، کمپانی ESET خبر از کشف یک ماینر غیر عادی را داد که به گفته آن، برای سیستم عامل های مک او اس و ویندوز از آگوست 2018 فعالیت می کند. این بدافزار LoudMiner نام گرفته که از نرم افزار مجازی ساز VirtualBox برای ویندوز و QEMU برای مک او اس استفاده می کند تا یک ماشین مجازی با سیستم عامل Tiny Core Linux راه اندازی کند و بنابراین این بدافزار می تواند در سیستم عامل های مختلف اجرا شود.

در گزارشی که از سوی یک کمپانی فعال در زمینه رمزارز به نام CipherTrace در ماه آپریل منتشر شد، زیان ناشی از سرقت و کلاهبرداری ارز دیجیتال در نیمه اول سال 2019 حدود 356 میلیون دلار برآورد شده است.

امتیاز شما به این نوشته چقدر است؟

برای آگاهی از آخرین نوشته ها، خبر ها و تحلیل های کوتاه به کانال تلگرام فناوران امید بپیوندید.

فناوران امید مکانیزه ترین ارائه دهنده خدمات پرداخت آنلاین، ویژه دانشجویان ، برنامه نویسان و سایر کاربران ایرانی که شامل :

خرید از فروشگاه های خارجی ، افتتاح حساب های بین المللی ، ارائه درگاه های خارجی ، صدور و شارژ کارت های اعتباری ویزا و مستر ، تعیین وقت سفارت ،

ثبت نام آزمون های دانشجویی ، فعالسازی حساب های کاربری ویژه برنامه نویسان و نقد کردن درآمد های ارزی آنها می شود.

این مجموعه نظر به استقبال کاربران ایرانی برای خرید و سرمایه گذاری در حوزه ارزهای دیجیتال هم چون بیت کوین ، اتریوم ، ریپل و .. و عدم دسترسی آنها به اکسچنجر های بین المللی امکان خرید و فروش این دسته از محصولات را نیر برای کاربران ایرانی فراهم نموده است

واتساپ پشتیبانی و فروش : 989168869631+

تلگرام پشتیبانی و فروش: omidahmadyani_support@

تماس جهت مشاوره رایگان:

تماس: 02128421193

واتساپ: 09129726343

چگونه سرور را از نرم افزارهای مخرب اسکن کنیم؟

گوگل هر روز ۶۰۰۰  وب سایت را به دلیل سرویس دهی نرم افزارهای مخرب در بلک لیست قرار میدهد. تقریبا همه ی این سایت ها به نام “سایت های به خطر افتاده (compromised sites)” طبقه بندی شده اند، به این معنی که سایت با نرم افزارهای مخرب بدون اطلاع صاحب سایت آلوده شده است.


یک بدافزار مخرب می تواند منجر به از دست دادن رتبه در جستجوگرها و شهرت کسب و کار شود. ساختن دوباره ی ترافیک سایت ممکن است اگر ماه ها طول نکشد اما هفته ها طول بکشد. این چهار عمل را برای دور نگه داشتن سرور شما از نرم افزارهای مخرب انجام دهید :

  1. اسکن فایل نصبی قبل از آپلود

بدافزار در درجه اول با دو روش وارد سرور میشود:

سوء استفاده نرم افزاری (Software exploits) – آسیب پذیری های نرم افزار وب سایت مانند Cross Site Scripting یا (XSS) و Remote File Inclusion یا (RFI) و غیره به مهاجمان امکان آپلود نرم افزارهای مخرب را میدهد.

استفاده از اطلاعات لاگین به سرقت رفته – مهاجمان از ایمیل های فیشینگ، حملات brute force  و یا درایو های دانلود جهت سرقت FTP و یا اطلاعات ورود به سیستم برنامه های تحت وب استفاده میکنند. سپس با  استفاده از آنها وب سایت را آلوده میکنند.

برای مقابله با این کانالهای آلودگی، از یک اسکنر آپلود برای وب ، FTP و سرویس های دیسک وب استفاده کنید.

بسیاری از سرویس دهنده های FTP اجازه یکپارچگی با ابزارهای ضد ویروس را میدهند. به طور مشابه، ابزارهای اسکن نرم افزارهای مخرب را می توان با فایروال برنامه کاربردی وب مانند modSecurity یکپارچه ساخت.

با این حال، توجه داشته باشید که این مورد می تواند منجر به آپلود قانونی فایلی که با عنوان ویروس علامت گذاری شده ، شود. بنابراین مهم است که به ورودی ها توجه کنیم و قوانین سفارشی را برای مطابقت با سرور خود ایجاد کنید.


“آنتی ویروس ClamAV می تواند با ویژگی ModSecurity فایروال یکپاچه شده تا فایل های مخربی که از طریق رابط وب آپلود میشوند را شناسایی کند.”

  1. پیکربندی روند اسکن

“روند” وظیفه ای است که توسط سرور اجرا می شود. برای مثال اگر مرورگر شما درخواست تصویر از یک وب سایت داشته باشد، یک وظیفه (با نام مستعار روند) با یک شناسه منحصر به فرد برای ارسال تصویر به شما ایجاد میشود.

به طور معمول درخواست های اینگونه ی کاربر در عرض چند ثانیه به پایان میرسند. بنابراین اگر وظیفه ی کاربر بیشتر از ۱۰ ثانیه اجرا شود، این احتمال وجود دارد که مضر باشد.


“فرآیندهای طولانی در حال اجرا که توسط یک اسکریپت کاربر اجرا میشود می تواند مخرب باشد.”

بسیاری از ابزارهای ضد ویروس در ویندوز به طور پیش فرض فرایند ردیابی (با نام مستعار اسکن) را دارند. اما در سرور های لینوکس، شما ممکن است به طور خاص نیاز به نصب و پیکربندی فرآیند ردیابی با استفاده از ابزارهایی مانند Linux Failure Daemon یا (LFD) داشته باشید.

  1. اسکن فایل نصبی بر اساس تغییر فایل سیستم

اسکن فایل ها در زمان آپلود یک راه حل بسیار خوب برای گیر انداختن نرم افزارهای مخرب است، اما در برخی از سرویس دهنده ها ممکن است نظارت بر تمام کانال ها امکان پذیر نباشد (مانند اشتراک گذاری فایل، آپلود پنل وب، و غیره).

در چنین مواردی، شما می توانید ابزار راه اندازی آنتی ویروس را برای نظارت بر تغییرات در فایل سیستم نصب کنید و تمام فایل های اصلاح شده را اسکن (و یا ایجاد) کنید.


“در سرور های لینوکس، تغییرات سیستم فایل با استفاده از یکی از ویژگی های هسته که inotify نامیده می شود تحت نظارت است. Maldet (با نام مستعار LMD) یکی از نمونه ابزارهایی است که از inotify برای اسکن نرم افزارهای مخرب استفاده می کند.”

  1. برنامه ریزی دوره ای اسکن کامل سرور

پایگاه داده آنتی ویروس ها همیشه به روز نیستند. بنابراین، ممکن است که برخی از بدافزارها به سرور آپلود شوند قبل از انکه ردی از آن در پایگاه داده آنتی ویروس در دسترس باشد.

بنابراین اسکن کل سرور از نرم افزارهای مخرب حداقل یک بار در روز شیوه ی خوبی می باشد. برای اسکن فضای وب شما می توانید از نرم افزارهای Maldet، ClamAV و یا هر گونه اسکنر دیگر استفاده کنید.


“برخی از ابزارها مانند RkHunter، ChkRootkit و Lynis می توانند سازش سطح مدیر (administrator level compromises) را تشخیص دهد.در اینجا یک اسکرین شات صفحه نمایش از RkHunter را می بینید.”

نکته کمکی – از آنتی ویروس های مختلف استفاده کنید.

هیچ ارائه دهنده ای  نمی تواند تمام نرم افزارهای مخربی را که در اینترنت هستند پوشش دهد. بنابراین بهتر است تا امضای نرم افزارهای مخرب را از طیف گسترده ای از فروشندگان جمع آوری کنیم.

پایگاه داده های آزاد امضای مخرب بسیاری مانند SaneSecurity، ScamNailer، ExtremeShock، و غیره وجود دارد که می تواند نرخ تشخیص نرم افزارهای مخرب سرور شما را بهبود بخشد. در سرور ویندوز، از ابزارهای مختلف آنتی ویروسی از قبیل ClamWin ، Malwarebytes ، و Microsoft Security Essentials استفاده کنید.

به این نوشته امتیاز دهید

[Total: 1 Average: 4]

در صورت نیاز به تامین امنیت وب سات یا بخش آی تی مجموعه خود با ما در تماس باشید.
02128421193
09129726343
09362196343

omid.ahmadyani@outlook.com

موارد مورد آنالیز وب سایت:
● اسکن پورت های باز و دارای حفره امنیتی

● اسکن بیش از ۱۵۰۰ ضعف امنیتی خطرناک در اسکریپت و ساختار سایت

● کشف ضعف تزریق SQL + اعمال Blind SQL Injection

● کشف ضعف های تزریق اسکریپت (XSS)

● کشف ضعف امنیتی پیمایش پوشه ها (Directory Traversal)

● کشف صفحات ورود کاربران و مدیر و اعمال آزمون نفوذ پذیری

● اسکن وب سرور ها برای ضعف های امنیتی

● اسکن وب اپلیکیشن ها (مثل: Cpanel, Plesk, phpMyAdmin, WordPress, Mambo, Joomla, Drupal, DotNetNuke, phpNuke, phpBB, Mambo)

● کشف زیر دامنه ها توسط DNS zone و اعمال اسکن بر روی آن‌ها.

●جلوگیری از هک شدن سایت

●آنالیز و بروزرسانی وب سایت

●ایمن سازی پوشه ها و سطح دسترسی ها

●بروزرسانی پایگاه داده ها

●امن سازی پایگاه داده ها

●نصب افزونه های امینتی و مانیتور وب سایت

●پشتیبانی حرفه ای از امنیت سایت

●مدیریت حفره های امنیتی و غیره ……

۳ مورد از ابزارهای موجود برای اسکن سرور اوبونتو

سرورها ممکن است به طور مداوم دچار حملات مختلفی شوند و به همین خاطر استفاده از ابزارهای مناسب برای اسکن آن ها ضروری است. با اینکه استفاده از فایروال و به روزرسانی مداوم سیستم، اولین لایه دفاعی از سرور و امنیت آن  است اما باید به طور منظم و در بازه های زمانی تعیین شده سرور خود را به کمک ابزارهای موجود برای بدافزارها و ویروس ها اسکن کنید. در این مقاله قصد داریم ابزارهایی را برایتان معرفی کنیم که استفاده از آن ها می تواند به تشخیص بدافزارها، ویروس ها، Rootkit ها و رفتارهای بدخواهانه کمک کند. شما می توانید از این ابزارها به طور روزمره استفاده کنید و گزارش ها را در ایمیل تان دریافت نمایید. همراهامید احمدیانی باشید تا این ابزارها را با هم مرور کنیم.

 ابزار Chkrootkit: ابزاری برای اسکن کردن Rootkit در سیستم عامل لینوکس

این ابزار یکی از ابزارهای کلاسیک موجود برای بررسی Rootkit است. این گزینه سرور اوبونتوی شما را برای فرایندهای مشکوک  وفهرستی از فایل های شناخته شده Rootkit  مورد بررسی قرار می دهد.  شما می توانید Chkrootkit را از منبع رسمی یا مخزن اوبونتو نصب کنید. در این آموزش سعی می کنیم نحوه نصب آن از طریق مخزن را با هم مرور کنیم زیرا ساده تر است:

 

برای اینکه سرور خود را با Chkrootkit بررسی کنید، دستور زیر را اجرا نمایید:

 

این دستور شروع به بررسی سیستم شما برای بدافزارها و Rootkit ها می کند و بعد از اتمام این فرایند می توان گزارش موجود را مشاهده کرد. اگر می خواهید سیستم شما  به طور منظم توسط این ابزار مورد بررسی قرار گیرد می توانید یک cron job برای آن ایجاد کنید.  در این بخش می خواهیم یک cron job برای اسکن Chkrootkit ایجاد کنیم . اول از هر کاری پیکربندی cron را با  دستور زیر باز کنید:

 

حالا خط زیر را در فایل پیست کنید و آن را ذخیره نمایید و خارج شوید. مطمئن شوید که آدرس ایمیل خود را در بخش مربوطه وارد می کنید:

 

حالا سرور شما هر جمعه در نیمه شب مورد بررسی قرار می گیرد و نتایج آن برایتان ایمیل می شود.

ابزار Lynis: ابزار بررسی امنیتی  و اسکنر rootkit

Lynis یکی از ابزارهای بررسی امنیتی برای لینوکس و سیستم عامل های مبتنی بر آن است. این ابزار تلاش می کند جنبه های مختلف امنیت سرور شما را مورد بررسی قرار دهد.

ما در این بخش سعی می کنیم Lynis را به کمک سورس و منبع آن نصب کنیم.  شما می توانید اخرین نسخه از این ابزار را از سایت رسمی اش به دست آورید:

 

به دایرکتوری opt بروید تا بتوانید فایل tar را دانلود کنید:

 

دستور زیر را برای دانلود، اکسترکت و انتقال فابل به موقعیت مناسب اجرا کنید

 

 

از فایل باینری Symlink را ایجاد کنید

 

حالا شما می توانید سرور اوبونتوی خود را به کمک دستور زیر اسکن نمایید:

 

Lynis اسکن کاملی را انجام می دهد و خلاصه ای از این گزارش را در انتها نشان می دهد. شما می توانید به کمک دستورات زیر یک cron job برای این ابزار ایجاد کنید.

فایل پیکربندی cron را  باز کنید. برای اینکار می توانید از دستور زیر کمک بگیرید:

 

حالا خط زیر را در فایل پیست کنید و آن را ذخیره کنید و خارج شوید. مطمئن شوید که آدرس ایمیل خود را در محل مربوط قرار می دهید.

 

حالا سرور شما هر جمعه اسکن می شود و نتایج برایتان ارسال می گردد.

 ابزار ISPProtect: اسکنر بدافزار سایت

ISPProtect یکی از اسکنرهای موجود برای بدافزارهای وب سرور است. این گزینه بدافزارها را در فایل سایت ها و سیستم های مدیریت محتوا همچون وردپرس، جوملا و دروپال اسکن می کند.  این ابزار در برگیرنده ۵ موتور اسکن کننده است:

  • اسکنر بدافزار مبتنی بر امضا
  • اسکنر بدافزار کشف کننده
  • اسکنر برای نشان دادن دایرکتوری های نصب سیستم cms قدیمی
  • اسکنری که همه افزونه های قدیمی وردپرس بر روی کل سرور را نشان می دهد
  • اسکنر محتوای پایگاه داده

این ابزار رایگان نیست اما می توانید آن را بدون ثبت نام برای تست مورد استفاده قرار دهید. این گزینه برای نصب بر روی سرور نیازمند PHP است بنابراین اگر آن را ندارید می توانید آن را به کمک دستور زیر نصب نمایید:

 

بعد از اینکه PHP را نصب کردید می توانید به کمک دستور زیر ISPProtect را هم نصب نمایید:

 

حالا می توانید symlink را برای مسیر قابل اجرای خود ایجاد نمایید:

 

برای استارت ISPProtect دستور زیر را اجرا کنید:

 

اسکنر به طور خودکار به دنبال به روزرسانی ها می گردد و key را از شما می پرسد. در این شرایط می توانید عبارت trial  را وارد کنید.  حالا از شما می خواهد مسیر سایت خود همچون “/var/www/” را وارد کنید. بعد از آن، اسکنر شروع به بررسی سرور می کند و آیتم های آلوده را  نشان می دهد. در انتها می توانید نتایج را در دایرکتوری نصب این ابزار مشاهده کنید. برای اجرای هفتگی ISPProtect می توانید از این دستورات استفاده کنید:

 

خط زیر را به فایل اضافه کنید. آن را ذخیره نمایید و سپس خارج شوید:

 

۳ مورد از ابزارهای موجود برای اسکن سرور اوبونتو

امتیاز دهید

در صورت نیاز به سرور و خدمات مدیریت آن با ما در تماس باشید

۰۲۱۲۸۴۲۱۱۹۳
۰۹۱۲۹۷۲۶۳۴۳
۰۹۳۶۲۱۹۶۳۴۳
@omidahmadyani
@omid_ahmadyani