الحماية الشاملة من الاختراق

[frame="12 80"]-------------------------------------------------------------------------------- السلام عليكم ورحمة الله وبركاته والصلاة على اشرف المرسلين سيدنا محمد وعلى اله واصحابة اجمعين اما بعد دورة في الحماية من الهكر من الصفر الى100 فقط تابع الموضوع وعلى كفالتي لو صار فيك شي اولا طريقة حذف الباتش من الجهاز هذا الملف ظهوره كان يعتبر حلم للهاكرز فهاذا الملف السحري به يستطيع الهاكر أن يحصل على سيطرة كاملة بالجهاز المصاب بهذا الملف . فمنة يستطيع تغيير أو حذف أو حتى اضافة ملفات للجهاز . و منة يستطيع أن يتحكم بالأجهزة الموجودة كفتح السي دي روم أو حتى فصل بطاقة الصوت من الجهاز كيفية حذف الملف ؟ طريقة حذف الملف سهلة جدا 1- في قائمة البداية اختر الأمر RUN 2- اكتب هذه الكلمة في المكان المتاح REGEDIT 3- من القائمة اختر HKEY-LOCAL-MACHINE 4- بعد ذلك اختر Software 5- ثم Microsoft 6- بعد ذلك ************************s 7- ثم Current Version 8- و أخيرا Run 9- في القائمة على اليسار راجع الملفات الموجودة و ابحث عن ملف PATCH.EXE أو أي ملف استقبلته و لم يعمل و احذفه ثم اعد تشغيل الجهاز :::::::::::::::::::::::::::::::::::::::::::::::::: ::::::::::::::::::::::::::::::::::::::::::::: الدرس الثاني : أفضل طريقة للحماية من الإختراقات والقرصنة قبل الحديث عن حماية جهازك ، يجب أن نتذكر بعض النقاط المهمة التى بدونها لا فائدة من الحماية: وجود برنامج حماية من قراصنة الكمبيوتر بجهازك، لا يعني عدم قدرتهم على اختراقه· إذا اعتقدت أن وجود عدة برامج حماية بجهازك ، وتعمل فى آن واحد سوف يحمى جهازك و يزيد من فعالية الحماية فأنت مخطىء تماما، لأن ذلك يضعف من إمكانية الحماية على الجهاز· وإذا لم تكن مباليا بهؤلاء القراصنة معتقدا أنه ليس في جهازك شئ تخاف عليه، فأنت لم تفهم هدف القراصنة· ان هدف 80 في المئة من القراصنة هو الحصول على اشتراكك و رقمك السري وبريدك الإلكتروني ورقمه السري ، لأهداف كثيرة وخطيرة جدا، منها الابتزاز والتخريب الذى يتم بسهولة لو تم اختراق جهازك· أما الـ20 في المئة الباقون، فهدفهم الرئيسى هو التجسس والإطلاع على محتويات جهازك ومعلوماتك الشخصية وصورك الخاصة، وسحب ملفات أو برامج، أو مسحها كلياً من جهازك وهذه الفئة تندرج تحت مسمى الهواة أو الذين يستعرضون عضلاتهم على خلق الله · طرق الحماية إذا كنت تريد الحماية، اتبع الطرق الآتية : أولاً : يجب التأكد من عدم وجود تروجان بجهازك، والتروجان هو خادم يسمح للمخترق بالتحكم الكامل فى جهازك، ويتم زرعه بجهازك عن طريق المخترق و ذلك بإرساله إليك عن طريق بريدك الإلكتروني مثلا أو عن طريق برامج الدردشة الفورية مثل ICQ أو عن طريق قرص مرن، أو تقوم أنت بزرعه فى جهازك عن طريق الخطأ بسبب عبثك فى برامج الاختراق · فتقوم بفك التروجان في جهازك، بدلا من أن ترسله إلى الجهاز المراد اختراقه ، لذلك أنصحك عدم تحميل هذه البرامج نهائياً ، ولكي نتأكد ما اذا كان بجهازك تروجان أم لا، هناك عدة طرق مثل البحث فى ملف السجل Registry ريجستري الخاص بالوندورز، ولأهمية الريجستيري ولتفادى حذفك الملفات عن طريق الخطأ سوف نبحث عن التروجان بطريقة آمنة و ذلك باستخدام برامج باحثة · الذي يعد أفضل برنامج Cleaner Theفإذا لم يكن متوفرا لديك، قم بتحميله فوراً وهو برنامج http://www.moo soft.com/download.php ثانياً : قم بعمل بحث عن التروجان بالضغط على زر بحث سكان Scan و بعد الانتهاء من البحث على قرصك الصلب، سيخبرك برنامج إن كان يوجد لديك تروجان مزروع بجهازك، وسيعطيك خيار حذفه أو عدمه ، طبعاً إضغط على الموافقة لحذفه · إذا إنتهى البحث و ظهرت نافذة صغيرة مكتوب بها scan complete فهذا معناه أن جهازك خال و نظيف من التروجان · ثالثاً : قم بتحديث البرنامج المكافح للفيروسات لديك دائماً ، فبرنامج الفيروسات يقوم أحياناً بكشف التروجان عند فتحه عن طريق تحديث البرنامج الموجود على جهازك لأن عمل UPDATE باستمرار من على الإنترنت · فيكون قد تم وضع آخر إصدار لهذه البرامج المكافحة للفيروس والتروجان من على الموقع الخاص ببرنامج المكافحة ومدك أيضاً بأحداث أسماء للفيروسات والتروجان الذى أنصحك دائماً بعمل UPDATE للبرنامج الخاص بك باستمرار · وأيضاً معرفة أحدث البرنامج المكافحة للفيروسات والتروجان من خلال شبكة الإنترنت · رابعاً : استقبل الملفات أو البرامج أو الصور من أشخاص تثق بهم فقط ، وإن لم تفعل ذلك، فعلى الأقل لا تقم بفتحها إلا بعد انقطاعك عن الاتصال ، وبعد فتحها جميعاً قم بعملية بحث عن التروجان بواسطة برنامج Cleaner على قرصك الصلب لتتأكد من خلوه من التروجان ، فالتروجان له خاصية الذوبان فى النظام ، علماً بأن حجمه يتراوح من 50 إلى 150 كيلو بايت حسب نوعيته و إصداره · (قد تستقبل صورة أو ملف و يكون التروجان مزروعا بداخلها لذلك احذر) خامساً : إاذر الملفات التى تأتيك عن طريق البريد الإلكتروني، فإذا كان الملف المرسل إليك من شخص لا تثق به و من نوع dll أو exe فلا تستقبله أبداً أبداً أبداً أبداً أبداً · سادساً و أخيراً : يفضل أن يكون رقمك السري مكونا من حروف وأرقام، ويكون أكثر من 8 خانات ، كما يفضل تغييره على الأقل كل شهر · أنت الآن فى أمان من الهاكرز إن شاء الله . :::::::::::::::::::::::::::::::::::::::::::::::::: ::::::::::::::::::::::::::::::::::::::::::::: الدرس الثالث إختراق المواقع و طرق الوقاية ماذا سيكون رد فعلك، إذا دخلت إلى موقع أحد الشركات التجارية الكبرى، أو أحد مواقع إنترنت الحكومية، بقصد الحصول على بيانات رسمية معينة، وإذ برسالة بذيئة، تطالعك في الصفحة الرئيسية من هذا الموقع؟! إذا كنت مستخدماً عادياً، فستنتقل بسرعة، غالباً، من حالة الصدمة والاندهاش، إلى حالة السخرية من الموقع والجهة التي يمثلها! أما إذا كنت مشرفاً على هذا الموقع، أو مسؤولاً عن الشبكة التي ينتمي إليها، فنتوقع أن يؤدي مزيج المشاعر التي ستنتابك، إلى تصبب العرق منك بغزارة.. لأنك ستكون أنت، موضع السخرية! حدث الموقفان السابقان ملايين المرات، خلال شهر فبراير/ شباط الفائت.. فقد وقعت عشرات من عمليات اختراق مزودات ويب، نفذتها مجموعات مختلفة من المخترقين في مناطق عديدة من العالم. وهدف بعضها إلى تشويه مواقع ويب (defacement)، وذلك بتغيير الصفحة الرئيسية فيها، وتَمثّل بعضها الآخر في هجمات حجب الخدمة الموزعة DDoS (distributed denial of service)، التي هدفت، كما أشار المحللون، إلى تدمير شبكة إنترنت بالكامل! وكانت مواقع ويب حكومية عربية، ضحية عدد كبير نسبياً من تلك العمليات. وقد تتبع فريق DIT بعضها، وقت حدوثها تتكرر عمليات التشويه بشكل يومي، تقريباً، في عدد كبير جداً من مواقع ويب، إلا أن الأمر الذي لفت الانتباه إليها في هذه الفترة تحديداً، هو ترافقها مع عمليات الاختراق التي أصابت أكبر مواقع إنترنت العالمية، على شكل هجمات حجب الخدمة. لكن، كيف حدثت هذه الهجمات والتشويهات؟ ومن وراءها؟ وما هي أهدافها؟ تشويه مواقع ويب هل شاهدت أفلاماً سينمائية قديمة، تدور أحداثها حول عمليات القرصنة البحرية، التي كانت تتم في القرون الماضية؟ ربما كان أكثر المشاهد بروزاً في هذه الأفلام، هو مشهد إنزال علم السفينة التجارية، ورفع علم القراصنة (المكون من عظام وجمجمة) مكانه، للدلالة على السيطرة والنصر! يوجد تشابه كبير، بين عمليات تشويه مواقع ويب (defacement)، ومشهد إنزال علم دولة معينة، عن السفينة، ورفع علم القراصنة مكانه، حيث أن عملية التشويه، في أغلب الأحيان، ليست سوى تغيير الصفحة الرئيسية للموقع، بصفحة أخرى، يعلن المخترق فيها انتصاره على نظام مزود ويب، والإجراءات الأمنية للشبكة، ويقصد من ورائها إبراز قدراته التقنية، وإعلان تحديه للمشرفين على نظم مزودات ويب، ليثبت لنفسه، أو لغيره، امتلاكه المقدرة التقنية على كسر نظام الحماية في هذه المزودات، الأمر الذي يتطلب معرفة معمقة، لطريقة عمل إنترنت، وبروتوكولات التشبيك، وأنظمة التشغيل المختلفة التي تعمل عليها مزودات ويب. وتتضمن الصفحة الجديدة أحياناً، رسالة يرغب الشخص الذي قام بعملية التشويه إيصالها للعالم. وقد تتضمن هذه الرسالة اعتراضاً منه على حالة سياسية أو اجتماعية، أو صرخة يريد إيصالها، إلى كل من يزور هذا الموقع! وتقتصر الأضرار التي تتسبب بها عمليات تشويه مواقع ويب، على الإضرار بسمعة الجهة المالكة للموقع، حيث يتم تغيير الصفحة الرئيسية فقط من الموقع، بصفحة HTML من تصميم المخترق، الذي يقتصر هدفه، كما ذكرنا، على إيصال رسالته إلى العالم عبر الموقع. ولا يلجأ المخترقون، عادةً، في عمليات التشويه إلى تدمير محتويات الموقع، حيث يمكنك في أغلب المواقع التي تتعرض لعمليات التشويه، الوصول إلى جميع صفحات المكونة الموقع، إذا كنت تعلم عنوان الصفحة كاملاً. كيف تحدث عمليات تشويه موقع ويب؟ يتبع المخترقون أساليب عدة، في عمليات تشويه صفحات ويب. وتختلف هذه الأساليب من موقع إلى آخر، بناءً على نوع نظام التشغيل، ومزود ويب الذي يعتمد عليه الموقع. ونوضح هنا، أكثر هذه الأساليب انتشاراً: 1 الدخول بهوية مخفية (anonymous)، عبر منفذ بروتوكول FTP: تمكن هذه الطريقة، في بعض الحالات، المخترق من الحصول على ملف كلمة الدخول المشفرة، الخاصة بأحد المشرفين على الشبكة، أو من يملكون حق تعديل محتويات الموقع، والعمل على فك تشفيرها، حيث يتم إرسال كلمة السر مشفرة في مختلف المزودات. لكن هذه الشيفرة، تظهر في بعض المزودات، ضمن ملف كلمة السر، ويظلل البعض الآخر من المزودات، هذه الكلمة بعد تشفيرها (أي يظهر حرف x مكان كل رمز من الكلمة المشفرة). وتصعب الحالة الأخيرة على المخترقين، عملية كسر الشيفرة. ويلجأ المخترقون، بعد الحصول على ملف كلمة السر، إلى استخدام برامج خاصة لتخمين كلمات السر. ومن أكثر هذه البرامج انتشاراً: Cracker Jack، وJohn The Ripper، وJack The Ripper، و Brute Force Cracker. وتعمل هذه البرامج على تجربة جميع الاحتمالات الممكنة لكلمة السر، من حروف وأرقام ورموز، لكنها تستغرق وقتاً أطول في التوصل إلى هذه الكلمة، إذا احتوت على عدد أكبر من الرموز. وقد تصل الفترة التي تتطلبها هذه البرامج، للتوصل إلى كلمة السر، إلى سنوات، بناءً على عدد الرموز المستخدمة، والنظام المستخدم في عمليات التخمين. وننصح باستخدام كلمة سر طويلة نسبياً، وتغييرها خلال فترات متقاربة، للتقليل من احتمال توصل أحد المخترقين إليها. فمن شأن حصول المخترق على كلمة السر الخاصة لأحد المشرفين، السماح له بالدخول إلى مزود ويب، وتغيير الصفحة الرئيسية. 2 استغلال الثغرات الأمنية في مزودات ويب، وأنظمة التشغيل:لا يخلو أي نظام تشغيل، أو مزود ويب، من ثغرات أمنية تعرض مستخدميه لخطر الاختراق، ويعمل المطورون بشكل مستمر، على سد هذه الثغرات، كلما اكتشفت. ويستغل الهكرة هذه الثغرات الأمنية في عمليات الاختراق، إلى أن تجد الشركة المصممة للنظام، الحل المناسب لها. وتبقى بعض الثغرات متاحة لفترة طويلة حتى يتم اكتشافها، وذلك لأن أغلب هذه الثغرات يكتشفها الهكرة، الذين لا يعلنون عنها بسرعة، ليتمكنوا من استغلالها فترة أطول! وننصح لذلك، جميع مدراء ومشرفي الشبكات، بمتابعة مواقع الشركات المصممة لنظم التشغيل، ومزودات ويب، للاطلاع على آخر ما تم التوصل إليه من ثغرات أمنية، وجلب برامج الترقيع (patches) لها، حيث تحرص هذه الشركات على تقديم مثل هذه البرامج بأسرع وقت ممكن. يمكنك الاطلاع على آخر . 3 استخدام بروتوكول Telnet: تسمح كثير من الثغرات الأمنية في الأنظمة المختلفة، سواء كانت يونكس، أو ويندوز، أو غيرها، باستخدام تطبيقات تعتمد على بروتوكول Telnet، الذي يسمح بالوصول إلى أجهزة الكمبيوتر عن بعد، وتنفيذ الأوامر عليها. ويمكن استخدام هذا البروتوكول للدخول إلى مزودات ويب، وتغيير الصفحات فيها. تاريخ عمليات تشويه صفحات ويب بلغ عدد عمليات تشويه صفحات ويب، التي رصدت في أنحاء العالم منذ العام 1995، وحتى الآن، حوالي 5000 عملية، توزعت على مختلف مواقع ويب، التي تملك أسماء نطاقات تجارية (com وnet، وorg)، ونطاقات محلية في جميع دول العالم تقريباً. وتشير الدراسات، إلى أن حوالي 20 في المائة من عمليات التشويه، تتم يوم الأحد. ويرجح السبب في ذلك، إلى أن تغيير الصفحة الرئيسية في موقع معين يوم العطلة الأسبوعية (في معظم دول العالم)، يضمن بقاء التغيير أطول مدة ممكنة، إلى أن يعود مدير الشبكة وموظفو الشركات، من إجازتهم، ويرجعوا الصفحة الأصلية للموقع، إلى ما كانت. وحدثت أوائل عمليات التشويه في العالم، العام 1995، ولم تتعدَ في ذلك الوقت، أربع عمليات. وتلتها 18 عملية العام 1996، و28 عملية سنة 1997، ثم تضاعفت العام 1998، عشر مرات، ليصل العدد إلى 233 عملية. وانتشرت حمى تشويه مواقع إنترنت سنة 1999، ليتضاعف عددها حوالي 15 مرة، وليبلغ 3699 عملية تشويه في مختلف أنحاء العالم، ومن ضمنها 16 عملية تمت على مواقع محلية في الدول العربية! وكانت المواقع المحلية البرازيلية، أكثر دول العالم إصابة بعمليات التشويه، وبلغ عدد العمليات فيها، 178 عملية، تلتها الولايات المتحدة الأمريكية، التي بلغ عدد العمليات فيها 126 عملية. وجدير بالذكر أن كثيراً من عمليات التشويه، مرت بدون أن يذاع صيتها، فلم تدخل ضمن هذه الإحصائيات. ويتوقع لذلك، أن يكون عدد عمليات التشويه الفعلية التي تمت، أكبر من العدد المذكور! هجمات حجب خدمة: الهدف.. تدمير إنترنت! "الوصول إلى هذا الموقع، غير ممكن!" قد تعني الرسالة السابقة أن الموقع الذي تحاول أن تزوره، تعرض لهجمات حجب الخدمة، خاصة إذا كان واحداً من المواقع الكبرى، التي يعني ظهور مثل هذه الرسالة في موقعها، خسارة عشرات الآلاف من الدولارات! يكمن الفرق بين عمليات التشويه، وبين هجمات حجب الخدمة DoS (denial of service)، أن الأولى تتم عن طريق اختراق مزودات ويب، وتتم الثانية عن طريق توجيه جهة معينة، حزم بيانات شبكية بصورة كثيفة جداً، إلى هذه المزودات، بهدف إيقافها عن العمل. ويعتبر القيام بمثل هذه الهجمات سهلاً للغاية، حيث يوجد عدد كبير من البرامج التي يمكن استخدامها لتوجيه الطلبات والحزم الشبكية إلى هدف محدد، كموقع إنترنت، أو عنوان IP. اعتمدت أولى هجمات حجب الخدمة، التي ظهرت في العالم، على توجيه طلبات كثيفة باستخدام بروتوكول رسائل التحكم بإنترنت ICMP (Internet Control Message Protocol)، الذي يسمح بتبادل رسائل التحكم، والتعامل مع رسائل الخطأ، بين مزودات ويب. وتحدث هذه الهجمات اليوم، باستخدام منافذ بروتوكولات TCP، وUDP، بالإضافة إلى ICMP، في تسليط سيل من الرزم الشبكية إلى مزودات معينة، عبر أوامر، مثل Ping. ومن أشهر الهجمات، تلك التي تستخدم نوع الهجوم المعروف باسم WinNuke، والتي تسلط سيلاً من الحزم الشبكية عبر المنفذ 139 من نظام NetBIOS، الذي يسمح بتحاور التطبيقات الموجودة على الأجهزة المرتبطة بالشبكة. وتوجد بالإضافة إلى ما سبق، عشرات الطرق التي يمكن اتباعها لدفع الحزم أو الطلبات الشبكية، إلى مزودات معينة، لإيقافها عن العمل، سواء كانت مزودات ويب، أو مزودات بريد إلكتروني، أو أي مزود يمكنه أن يستقبل الحزم الشبكية. وتعرف أنواع هذه الهجمات، بأسماء غريبة، منها: SYN، وSmurf، و Floods، وLand، وPing Bomb، وPing O'Death، وFraggle، بالإضافة إلى Winnuke، المذكور سابقاً. والأمر الذي يزيد الطين بلة، بالإضافة إلى سهولة القيام بمثل هذه الهجمات، هو أن توقعها، أو صدها صعب جداً! لكن ما دوافع هذه الهجمات؟! توجد عدة أهداف، قد تدفع جهة معينة، أو شخصاً معيناً، إلى القيام بمثل هذه الهجمات، وأهمها: 1-التسلل إلى النظام: يمكن أن يتمكن بعض المخترقين من التسلل إلى النظام وقت انهياره وحجبه عن الخدمة، أو وقت إعادة إقلاعه. وتوجد عدة طرق لذلك، على مختلف الأنظمة، وهي أحد الأسباب الأكثر منطقية لمثل هذه الهجمات. 2-أسباب سياسية: قد توجه جهة معينة، مثل هذه الهجمات، إلى موقع حكومي يتبع دولة تعاديها، أو موقع شركة تنتمي إلى هذه الدولة. ويتوقع أن تزداد في المستقبل، الهجمات ذات الأهداف السياسية، مع ازدياد انتشار إنترنت! 3-أسباب اقتصادية: قد توجه شركة صغيرة مثل هذه الهجمات، إلى شركة كبيرة تسيطر على السوق، في نوع من المنافسة التجارية غير الشريفة! 4-الانتقام: يحدث كثيراً، أن تسرّح شركة أحد الموظفين المسؤولين عن إدارة الشبكة. وقد يلجأ بعض هؤلاء، إذا ما شعروا بالظلم، إلى الانتقام من الشركة! 5- الطبيعة التخريبية: يلجأ بعض الأشخاص إلى مثل هذه الهجمات، لإشباع رغبات تخريبية تتملكهم! . . ليسوا هكرة! أثارت العمليات التخريبية الأخيرة، من جديد، حفيظة المدافعين عن المفهوم الحقيقي للهاكر، الذي لا يحتوي على أي معنىً تخريبي، ويطلق أصلاً، على كل محب للتعمق في المعرفة التقنية. وكان السبب في ذلك، الحملة الإعلامية الكبيرة، التي شنّتها وسائل الإعلام المختلفة، على من يطلق عليهم خطأً لقب الهكرة، نتيجة لهذه العمليات، وهم في الحقيقة، ليسوا سوى بعض المراهقين، الذين حصلوا على مجموعة من البرامج، أو النصوص البرمجية الجاهزة، التي تقوم بهذه الهجمات، وبدءوا باستغلالها في شن هجمات حجب الخدمة على مواقع إنترنت المختلفة. وأطلق المحللون، والهكرة الحقيقيون، لقب "أطفال النصوص البرمجية" ( ************************ kiddies) على هؤلاء! وهم مجموعة من الأشخاص الذين يملكون الحد الأدنى من المعرفة التقنية في مجال الشبكات، ويسبرون مواقع إنترنت، بحثاً عن المزودات التي تتضمن ثغرة معينة، سعياً وراء استغلالها لتدمير الموقع. وتشير تحريات مكتب التحقيقات الفيدرالي (FBI) الأمريكي، إلى أن الشكوك تحوم حول شخصين، يدعيان Mafiaboy، وCoolio ظهرت اسماهما في عدد من مواقع إنترنت السفلية. أكبر عملية حجب خدمة في تاريخ إنترنت! تعتبر هجمات حجب الخدمة الموزعة DDoS (Distributed Denial of Service)، نوعاً جديداً من هجمات حجب الخدمة العادية التي تعتمد على استخدام برامج معينة في الهجوم. وهذا النوع من الهجمات، هو الذي استخدم في الهجوم على كبرى مواقع إنترنت، مثل ZDNet وYahoo!، وeBay، وAmazon، وCNN، وغيرها. وتعتمد هذه الهجمات على تجنيد أجهزة كمبيوتر متصلة بإنترنت، بدون علم مالكيها، وتوجيهها إلى بث الرزم الشبكية إلى مزود معين، بهدف إيقافه عن العمل، نتيجة ضغط البيانات المستقبلة. ويعتمد هذا النوع من الهجمات على وضع برنامج خبيث خاص، من نوع "حصان طروادة" (Trojan horse)، في كل كمبيوتر متصل بإنترنت يمكن الوصول إليه، عن طريق إرسال البرنامج بواسطة البريد الإلكتروني، مثلاً، وتفعيله على هذه الأجهزة، لتعمل كأجهزة بث للرزم الشبكية، عند تلقيها الأمر بذلك من برنامج محدد يقبع على جهاز أحد المخترقين. ومن أشهر البرامج المستخدمة في إجراء هذه الهجمات: TRINOO، وTribe FloodNet، وTFN2K، وstacheldraht. ويعتبر هذا النوع من هجمات حجب الخدمة، أكثر الأنواع خطورة، حيث يمكن أن يشكل خطراً على شبكة إنترنت كلها، وليس على بعض المواقع فقط، حيث أن كل موقع من المواقع التي أصيبت في شهر فبراير/ شباط الفائت، بهذا النوع من هجمات حجب الخدمة، هي مواقع تحجز جزءاً كبيراً من حزمة البيانات في إنترنت، ما قد يهدد الشبكة بالكامل. وإن حدث ذلك يوماً، فنتوقع أن يشهد العالم أزمة اقتصادية شاملة! ما الحل؟! معلومات تقنية مهمة، للتصدي لهجمات حجب الخدمة إذا كنت تعمل مديراً لشبكة ويب، أو كنت مسؤولاً عن أحد مواقع ويب، فمن المؤكد أن تكون عمليات التشويه وحجب الخدمة الأخيرة، التي تمت خلال شهر فبراير/ شباط الفائت، والتي طالت أكبر مواقع إنترنت في الدول العربية والعالم، سببت لك قلقاً كبيراً على وظيفتك، وربما بعضاً من الكوابيس ليلاً! وننصحك لذلك، بالاطلاع على الدراسات التقنية في المواقع التالية، التي تشرح بتوسع طرق عمل عمليات حجب الخدمة، مع عرض أفضل الوسائل التقنية للوقاية منها، وتحري مصادرها: خلاصة ورشة عمل، أجرتها منظمة CERT، للتعامل مع هجمات حجب الخدمة http://www.cert.org/reports/dsit_workshop.pdf دراسة لاستراتيجيات الوقاية من هجمات حجب الخدمة الموزعة، تقدمها شركة Cisco http://www.cisco.com/warp/public/707/22.html شرح تقني مهم، لطرق التقليل من مخاطر هجمات Smurf، وfraggle http://users.quadrunner.com/chuegen/smurf.cgi ماذا تفعل عند إصابة نظامك ببرامج حصان طروادة، الخاص بهجمات DDoS؟ http://www.sans.org/y2k/DDoS.htm أساليب الوقاية التي يجب أن يتبعها مقدمو خدمة إنترنت (ISPs) http://www.cs.washington.edu/homes/s...traceback.html التعامل مع هجمات DDoS الناتجة عن برنامجي TRINOO، وTFN http://xforce.iss.net/**************.../advise40.php3 . . إنذار.. برنامج جديد لشن هجمات حجب الخدمة الموزعة استخدمت جميع هجمات حجب الخدمة التي تمت في شهر فبراير الفائت، برامج من نوع حصان طروادة، لا تعمل إلا على أنظمة يونكس، ولينكس فقط، ما يعني أن مستخدمي أنظمة ويندوز كانوا في أمان نسبي، من أن تُستخدم أجهزتهم، بدون علمهم، لشن هجمات على مواقع إنترنت معينة. لكن شركة TrendMicro، التي تعمل في مجال الحماية من الفيروسات، كشفت أواخر الشهر ذاته، عن انتشار برنامج ( TROJ_TRINOO) الجديد من نوع حصان طروادة، تمت برمجته لشن هجمات حجب الخدمة هذه المرة، من أنظمة ويندوز! وهذا البرنامج هو زبون لبرنامج Trinoo، الذي يعمل كمركز القيادة، لشن هذه الهجمات.. فإذا تمكن أحد المخترقين، وضع هذا البرنامج في نظامك، بدون علمك، عن طريق إرساله بالبريد الإلكتروني، مثلاً، فإنه سيتمكن من استخدام جهازك لشن الهجمات على أي مزود متصل بإنترنت. ولا يحتاج في هذه الحالة، إلا إلى معرفة عنوان IP لجهازك، خلال اتصالك بإنترنت! ويمكنك التأكد من خلو نظامك من هذا البرنامج، كما يلي: افصل اتصال جهازك بإنترنت، ثم شغّل برنامج محرر سجل النظام (Regedit.exe)، واذهب إلى المفتاح ( HKEY_LOCAL_MACHINE\Software\Microsoft\************ ************s\Curr entVersion\Ru n)، وابحث عن الملف SERVICE.EXE (وليس الملف SERVICES.EXE، الموجود أصلاً في أنظمة NT، و2000)، واحذفه من النظام، إن وجد، ثم أعد تشغيل الجهاز. ويمكنك التأكد من أن الملف الذي تحذفه هو هذا البرنامج الخبيث، بالتأكد من حجمه، الذي يعادل 23145 بايت. وجدير بالذكر أن معظم برامج الحماية من الفيروسات ستطرح تحديثات تحمي من هذا البرنامج، في أحدث إصداراتها. :::::::::::::::::::::::::::::::::::::::::::::::::: :::::::::::::::::::::::::::::::::::::::::: الدرس الرابع: التخلص من الإعلانات والكعكات (@-@@-@@-@@-@@-@@-@s) والمخترقين سنحاول اليوم استعراض بعض البرامج التي توفر الحماية أينما كنت على شبكة الإنترنت، وكذلك بعض البرامج التي تقفل جهازك وتقوم بتشفير البيانات التي تبعث بها بحيث لا يعترضها أحد أو لا تقع في يد حتى أقرب الموظفين إليك في مجال العمل· وسواء أردنا ذلك أو لم نرده، فان الإبحار على شبكة الإنترنت يجعلنا عرضة للقراصنة والمخترقين، والمتطفلين، وغيرهم· * إلغاء الإعلانات صحيح أن الإعلانات التي تقفز أمامك على الشاشة كلما تنقلت من صفحة الى أخرى ليست مضرة وهي في بعض الأحيان الثمن الذي تدفعه مقابل الاستفادة من المواقع التي تتصفحها، ولكنك تستطيع أن تزيل الإعلانات من كمبيوترك إذا استخدمت البرنامج التالي المجاني OptOut الذي تستدعيه من موقع الشركة http://grc.com على الإنترنت، وبالذات من الصفحة http://grc.com/optout.htm فهذا البرنامج يزيل حتى بقايا الاعلانات التي تعلق في الكمبيوتر· وهناك برنامج آخر أقوى منه هو ad-Aware وهو برنامج مجاني تستطيع استدعاءه من موقع الشركة www.lavasoft.de <LI dir=rtl>الوقاية من القراصنة ربما كانت الطريقة المثلى للوقاية من المخترقين والقراصنة على الإنترنت وخصوصا إذا كان أحدنا يستخدم الخط الرقمي أو ADSL السريع، في استخدام جدران النار الشخصية· ويعد البرنامج Tiny Personal Firewall من البرامج الناجحة في هذا الخصوص، وتستطيع استدعاءه من موقع الشركة Tiny Software على العنوان www.tinysoftware.com/index.php فهو يوفر ثلاثة مستويات من الوقاية ويجعلك توصف الأمان حسبما تريد وهناك أيضا البرنامج Termi-Net وتجده على العنوان www.danu.ie وهو جدار ناري وتستطيع ان توصف مستويات الأمن المناسبة لك والتي تعمل بطريقة تلقائية· من جهة أخرى، فانك تحتاج في كل مرة تريد مراجعة بريدك الالكتروني الى كلمة مرور Password وبدونه لا تستطيع أن تحصل على رسائلك الالكترونية، وكذلك الحال كلما أردت شراء بعض السلع والخدمات عبر الانترنت· ان ذلك يعرضك لمخاطر القراصنة الذين قد يسرقون رقم بطاقة الائتمان الشخصية الخاصة بك لاستخدامها، ولهذا السبب، تستطيع بقليل من العناية أن تحافظ على السرية والأمان في هذه الأحوال كلها· إليك بالبرنامج Password 0002 وتجده على عنوان الشركة www.mightsoft.com فهو يقوم باختزان وحفظ كلمات المرور الخاصة بك كما يقوم بتشفيرها بحيث لا يستطيع أحد فهمها، كما يمكن للبرنامج أن يعد كلمات مرور خاصة بك· <LI dir=rtl>الوقاية من الكعكات @-@@-@@-@@-@@-@@-@s الكعكات @-@@-@@-@@-@@-@@-@s كما نعرف جميعا عبارة عن ملفات لبرامج صغيرة للغاية ترسلها الى كمبيوترك شركات ما أثناء زيارتك لمواقعها على الانترنت، ومن المعروف أن هذه الكعكات تلتصق بالكمبيوتر وتبدأ بارسال معلومات الى الشركات المعنية تبين فيها طريقتك في الابحار على الانترنت، واسلوبك في التعامل مع المواقع، وتهدف من وراء ذلك الى تطوير خدماتها بحيث تلبي رغباتك ورغبات الآخرين، ولكن كثيرا من المبحرين لا يحبذون ذلك وخصوصا ان بعض أنواع الكعكات تتابع كل صفحة من صفحات الوب التي تزورها· وهناك برنامج تستطيع بواسطته التخلص من الكعكات وهو Zeroclick وتستطيع استدعاءه مجانا من عنوان الشركة www.davecentral.com/86321.html وهو يمنع أي نوع من الكعكات من الالتصاق بجهازك· وهناك برامج تخيرك بين قبول هذه الكعكات أو رفضها منها البرنامج @-@@-@@-@@-@@-@@-@ Pal وتجده على عنوان الشركة www.kburra.com أو البرنامج (شرطي الكعكات) @-@@-@@-@@-@@-@@-@ Cop وتجده على عنوان الشركة http://www.pacificnet.net/~bbruce/**...******ycop.htm <LI dir=rtl>كيف تقفل جهازك؟ الحفاظ على السرية لا يقتصر فحسب على ابحارك على شبكة الانترنت، بل يشمل أيضا أولئك الأشخاص الذين يستخدمون جهازك في غيابك، ولذلك تحتاج الى برنامج يقفله ويقوم بتشفير كافة البيانات الموجودة فيه· ان البرنامج Freezer خير من يقوم بالمهمة وتجده على عنوان الشركة www.talyasoft.com وهو يستخدم مستويات مختلفة من التعقيد لمنع أي شخص من دخول جهازك أو حتى استخدام أي وظيفة منه، كما يمنعه من استخدام كلمة المرور الخاصة بك· البرنامج ثمنه 25 دولارا ولكنك تستطيع تجربته لمدة شهر. وهناك أيضا البرنامج SecureIt Pro وتجده على عنوان الشركة www.go.to/quantrix أما اذا لم ترد اغلاق جهازك وتريد أن تعرف كيف يستخدمه الآخرون في غيابك، اليك هذا البرنامج Desktop Dectective وتجده على عنوان الشركة www.davecentral.com/84321.html :::::::::::::::::::::::::::::::::::::::::::::::::: :::::::::::::::::::::::::::::::::::::: الدرس الخامس : برامج الأمن والحماية.. تحت المجهر من البديهيات أن يكون لديك برنامج أمني وأنت تبحر في بحر الشبكة متلاطم الأمواج، وأن يكون هذا البرنامج منيع بما فيه الكفاية وأنت تمخر عباب بحر لجي يمنع المتطفلين من أن يعكروا صفو استمتاعك وأنت تقطع أودية الشبكة من أقصاها إلى أقصها. نتناول اليوم أشهر برنامجين أمنين ومن فئتين مختلفتين هما: Zone Alarm و Norton Internet Security. الأول وهو من فئة الجدران النارية المنيعة: Zone Alarm يتميز هذا البرنامج بسهولة التعامل معه من غير أن تكون أحد المبرمجين الذين لا يشق لهم غبار، فأي من رواد الشبكة يستطيع وبكل سهولة أن يتعامل مع البرنامج ويطوعه لكي يلائم متطلبات الأمن ولكي يواجه التحديات الموجودة سلفا وما يستجد منها . المميزات: كما أسلفت أن السهولة هي ما يميز هذا البرنامج عن غيره من برامج الأمن.. فمن خلال واجهة استخدام واحدة تستطيع أن تتعامل مع البرنامج، وتوجد في هذه الواجهة كل ما تحتاجه من خيارات ومن أوامر. هناك اختلاف بسيط بين آخر إصدار من البرنامج وبين الإصدارات الأخرى (ZoneAlarm Pro) غير ذلك لا توجد أي اختلافا ت ومتاهات أخرى. فمن خلال هذه الواجهة تستيطع أن تمنع أو تسمح لأي برنامج أن يصل أو لا يصل إلى الشبكة وأن تحدد أيضاً درجة الأمن المطلوبة. ومن مميزات البرنامج أيضاً هو أنه يمكن من خلاله أن تتحكم في درجة أمن الشبكة الداخلية إن كنت تعمل في شركة بها شبكة داخلية، وهذه ميزة والحق يقال لا توجد في أعتى برامج الأمن لذلك ينفرد بها زون ألارم عن غيره. ومن مميزاته أيضاً هو أنه يغلق جميع المنافذ بمعنى الكلمة لأن هناك منافذ لا يستطيع أي برنامج آخر أن يغلقها، إضافة إلى القدرات الأخرى الذي يشترك فيها مع البرامج الأخرى من عرض معلومات المخترق ومن أين أتى وما إلى ذلك . فلسفته: تسيطر فلسفة الجدار الناري على مجريات العمل في هذا البرنامج.. فهذا البرنامج جدار ناري صرف نعم هو جدار منيع ولكن ليس كل ما أطلبه هو قوة الجدار وحدها بل هناك أشياء أخرى لابد وأن تكون مأخوذة في الاعتبار عند التعامل مع الشبكة غير قوة الجدار . عيوبه: يعيب هذا البرنامج قصور الأداء عند التعامل مع المتحوى الداخلي لصفحات الشبكة.. فهذا البرنامج مثل حارس يقف يقظ بجوار المبنى لكي يمنع أو يسمح لأشخاص معينين بالدخول فقط دون التدخل في تصرفات هذا الشخص مع أهل المبنى، أي أن فلسفة الأمن الشامل لا تروق له كثيراً مكتفياً في أن يحقق في هويات الزوار. البرنامج الثاني Norton Internet Security المتميز هكذا تكون البرامج وإلاّ فلا. نعم فلهذا البرنامج من المميزات ما يجعله أحد إن لم يكن الوحيد في فئته من برامج الأمن. فكل من تعامل مع هذا البرنامج يقع في غرامه من أول نظرة لما له من قدرات خيالية لم تكن في حسبان أكثر الناس تفاؤلاً أن يوجد برنامج بمثل هذه القدرات في التعامل مع أمنك الشخصي. المميزات: فلتفعل الصفحات ما شاءت من إضافة آكتف إكس أو جافا ابليت فلن تضر، وقد أسلفت في مشاركة أخرى عن آكتف إكس ومن غير المجدي أن أعيد ما ذكرته هنا. من مميزات هذا البرنامج منع تشغيل هذه المتحكمات إلا بإذن كتابي منك شخصياً. فهذا البرنامج يتعامل مع الأمن بمفهومه الشامل.. فهو جدار ناري وهو مدير أمن شامل أيضاً يمنع إعلانات الصفحات التي تسبب الضيق، ويستطيع أن يمنع تخزين ال****************ز ( وإن كانت هذه المميزات لها برامج مستقلة وقد ضمنت أخيراً في برامج التصفح ومن أشهرها اكسبلورر 6 وهنا تسجل الريادة والسبق للبرنامج ) وتستطيع بمساعدة هذا البرنامج أن تحدد ما يستطيع أفراد عائلتك أن يتصفحوه حتى وإن خارج المنزل أو تغط في سبات عميق، ومن الممكن أن تحدد مفهوم الخصوصية بمعناها وأن تتمتع بأمن وأنت في أودية الشبكة، فلن تستطيع أي صفحة أن تنعم بمعلوم واحدة من متصفحك الذي ينفذ كل أمر يصدر إليه وهو في منتهى الأدب والطاعة مع الصفحات ضارباً عرض كل حائط بأمنك وخصوصيتك. ومن مميزات هذا البرنامج هو كشف ما تطلبه الصفحات، وتستطيع أن تتمتع بالرعب إذا طالعت تاريخ التصفح إذا علمت ما تطلبه الصفحات من معلومات عنك. فهذا البرنامج يكشف لك هذه الصفحات وما طلبته وأنه رفضها (أدّى دوره والباقي عليك). وهذا إلى جانب مميزات الجدران النارية جميعها من منع الوصول إليك من قبل المتطفلين ومنع أي برنامج من الوصول إلى الشبكة بدون أن تعلم. وأيضاً من الممكن أن تصنف الصفحات إلى آمنة وغير آمنة، وأن تحدد أي القواعد تطبق معها إلى جانب أن المنافذ مراقبة جميعاً مراقبة من ترصد إلى فريسته في يقظة، إن وجدت منافذ يستحب إغلاقها فمن السهل جداً أن تغلقها وإلى الأبد. فلسفته: تسيطر فلسفة الأمن الشامل وما تعنيه من قواعد ومبادئ وأسس على هذا البرنامج، ويأرق نومه الهاجس الأمني نيابة عنك فنم ملء جفنيك فخلفك برنامج يقظ وزكي بما فيه الكفاية. عيوبه: يعيب البرنامج بعض الصعوبة في التعامل وخاصة مع المبتدئين لكي يطوعوا البرنامج لمتطلبات الأمن لديهم. لذلك يجب أن يكون هناك شرح وافي للبرنامج من قبل المتقدمين والمحترفين للمساعدة على التغلب على كثرة نوافذ البرنامج وواجهة الاستخدام. في النهاية أنت من تحدد أي البرامج تستخدم وأي الفلسفات تروق لك . :::::::::::::::::::::::::::::::::::::::::::::::::: ::::::::::::::::::::::::::::::::::::::::: الدرس السادس: هذا الدرس من اهم الدروس ياشباب طريقة إغلاق البورتات المفتوحة سبق وأن تطرقنا إلى طريقة الكشف عن البورتات ( المنافذ ) المفتوحة في جهازك، والآن سنتعرف على طريقة إغلاق هذه المنافذ. إنها مشكلة معروفة ومعتادة.. تنفذ أمر "netstat -a" على الويندوز، وترى عدد من المنافذ بحالة "LISTENING" أو "ESTABLISHED". يعني ذلك أن بعض التطبيقات تعمل متخفية وبالتالي تُبقي المنافذ التي تستخدمها مفتوحة لأي اتصال قادم. تكمن المشكلة في معرفة أيّ تطبيق هو الذي يبقي المنفذ مفتوحاً، ومن ثم يتم إغلاق هذا التطبيق. فمن غير معرفة ذلك، يمكن أن يكون تروجان بداخل جهازك ويتم السيطرة عليه، أو غيره من التطبيقات التي تعمل دون علمك. و لذلك يجب عليك التحرّي لمعرفة ما يُنصت في جهازك. استخدام Inzider : Inzider هو برنامج بسيط يمكّنك من عرض جميع التطبيقات الفعّالة بالجهاز وأرقام المنافذ (البورتات) التي تستخدمها. يمكنك تحميله من المواقع التالية: اضغط هنا للتحميل (( 1 ))(( 2 )) [ Inzider v1.2 : 250 KB ] * ملاحظة: قد تظهر لك الرسالة التالية بعد التحميل: "GkWare SFX Module V1.90/Is - The data section attached to this self-extractor has been damaged. Please download this file again to get a complete copy." عند ظهورها يجب عليك إعادة تشغيل الجهاز وتشغيل ملف التحميل مرة أخرى. مثال حول طريقة العمل: C:************************S> netstat -a Active Connections Proto Local Address Foreign Address State TCP gwen:137 GWEN:0 LISTENING TCP gwen:138 GWEN:0 LISTENING TCP gwen:nbsession GWEN:0 LISTENING UDP gwen:tftp GWEN:0 LISTENING UDP gwen:nb**************** *:* UDP gwen:nbdatagram *:* في الأعلى يظهر لنا أن NetBIOS/IP قد تم تفعيله ( المنافذ 137، 138، nbsession، nb****************، nbdatagram ). مما يعني أن الجهاز يستخدم كسيرفر سامحاً للأجهزة بالشبكة في مشاركة الملفات أو استخدام الطابعة مثلاً. ولكن يظهر لنا أيضاً TFTP ( البورت UDP/69 ) مفتوح، وذلك غريب بعض الشيء! حيث أن TFTP اختصار لـ ( Trivial File Transfer Protocol ) تعني أنه يسمح لإرسال واستقبال الملفات من غير رقيب. لمعرفة ما هو سبب بقاء ال TFTP مفتوحاً.. نستطيع تشغيل برنامج Inzider ونجعله يقوم بتحليل النظام. النتيجة ستظهر إلى حدّ ما هكذا: inzider 1.1 - (c) 1999, Arne Vidstrom - http://www.bahnhof.se/~winnt/toolbox/inzider/ Checked C:************************SEXPLORER.EXE (PID=4294965459). Checked C:************************STASKMON.EXE (PID=4294841743). Checked C:PROGRAM FILESCISCO SYSTEMSCISCO TFTP SERVERTFTPSERVER.EXE (PID=4294857879). Found UDP port 69 bound at 0.0.0.0 by C:PROGRAM FILESCISCO SYSTEMSCISCO TFTP SERVERTFTPSERVER.EXE (PID=4294857879) [UDP client] Checked C:************************SSYSTEMMPREXE.EXE (PID=4294953443). Checked C:************************SSYSTEMKERNEL32.DLL (PID=4294916979). Checked C:************************SSYSTEMSYSTRAY.EXE (PID=4294845915). Checked C:MCAFEEVIRUSSCANVSHWIN32.EXE (PID=4294944083). Checked C:************************SSTARTER.EXE (PID=4294869135). يُلاحظ أن "Inzider" وجد العديد من التطبيقات الفعّالة. PID يرمز إلى ( Process ID ) المستخدم من قبل النظام لتعريف وتمييز التطبيق الفعّال عن غيره من التطبيقات التي تعمل في نفس الوقت. في الأعلى نجد أن هناك تطبيق واحد تنفيذي وهو TFTPSERVER.EXE والموجود في C:PROGRAM FILESCISCO SYSTEMSCISCO TFTP SERVER . وقد أظهر البرنامج أن المنفذ الذي يستخدمه هو ( UDP/69 ) وهو منفذ الـ ( TFTP ). بذلك وجدنا الملف التنفيذي الذي يشغل البورت 69 التابع لـ TFTP، وهو ما أردنا الوصول إليه. الآن لنا الخيار في إزالة هذا الملف ومنعه من استخدام البورت المخصص له، أو البقاء عليه إن علمنا أننا نريد الخدمة التي يقدمها. التحقق في ************************s98: ويندوز يضم أداة مميزة لمعرفة جميع التطبيقات التي تعمل عند تشغيل النظام. هذه الأداة هي الـ ( System Configuration Utility ) ويمكن الوصول إليها عن طريق C:************************sSystemMSConfig.exe ، أو من خلال: قائمة ابدأ Start > تشغيل Run > كتابة Msconfig . أو اضغط هنا للوصول إليها تلقائياً. بعد التشغيل.. ننتقل إلى لسان التبويب ( Startup ) الذي يعرض جميع التطبيقات التي تعمل بمجرد تشغيل النظام. لمنع برنامج من التشغيل ببساطة قم بإزالة علامة التحديد بجانب اسمه، ثم OK. بعد إعادة التشغيل لن يتم تشغيل التطبيق الذي قمت بإزالته. إضافة إلى Startup Tab.. يمكنك عرض ملفات ال config.sys, autoexec.bat, system.ini and win.ini . واتباع نفس الطريقة في إيقاف التطبيقات الغير مرغوبة من التنفيذ. لسان التبويب General يمكنك من عمل نسخة احتياطية للملفات المشار إليها. أداة أخرى مميزة في الويندوز هي ( Microsoft System Information ). بعد تشغيلها من خلال نفس خطوات تشغيل وإنما كتابة عند تشغيل Msinfo32 أو اضغط هنا للوصول إليها مباشرة.. يتم الانتقال إلى Software Enviornment ثم Startup Programs . تقوم هذه الأداة بنفس عمل Msconfig من حيث معرفة التطبيقات التي تعمل عند بداية التشغيل، إنمّا يضاف على ذلك هنا أنه يمكن عرض من أين تمّ تحميل التطبيق ( registry, startup group, autoexec.bat, etc. ). ويعدّ ذلك مفيداً في تحديد مكان التطبيق المراد إزالته دون البحث عنه. الـخـلاصـة: <LI dir=rtl> يتم كشف المنافذ المفتوحة عن طريق الأمر netstat -a في الدوس من خلال Start > Programs > Arabic DOS ************************s أو غيرها من الطرق المعروفة للانتقال إلى الدوس. <LI dir=rtl> عند تنفيذ الأمر netstat -a لا بدّ وأن تظهر لك العديد من المنافذ إمّا بحالة Listening أو Established .. عندها يجب عليك التمييز بين التطبيقات التي تحتاجها مثلاً كالإكسبلورر والآوتلووك .. الخ. وملاحظة التطبيقات الغريبة خصوصاً إذا ظهر لك رقم IP غير معروف بالنسبة لك.. فهذا يعني أن هناك اتصال بين جهازك وآخر من خلال هذا التطبيق ويجب عليك غلقه وحذفه، إن لم تكن تستخدمه. <LI dir=rtl> في المثال السابق.. الوضع الطبيعي إلى حدّ ما يبدو هكذا، حيث أنه لا يوجد أي رقم IP غريب ولا يمكن معرفة مصدره.. وكذلك هناك منفذ ال POP يمكن أن يكون مشغولاً إذا كنت تستخدم الآوتلوك لجلب ، وكذلك الماسينجر، ولا داعي للقلق خوفاً من التجسس في هذه الحالة. أيضاً تلاحظ وجود البروكسي لمزود الخدمة لديك. <LI dir=rtl> لإغلاق المنافذ ( البورتات ) الخطرة لديك.. يجب عليك أولاً: التعرّف على البرنامج الذي يستخدم هذا البورت من خلال برنامج Inzider. ثانياً: تتبع مصدر الخطر ( ملف السيرفر ) وحذفه. ينصح باستخدام أحد برامج الـ Firewall لحماية الجهاز. التي تعمل على إغلاق جميع المنافذ إلاّ المنافذ التي ترغب باستخدامها فقط كمنفذ POP للبريد أو منفذ الـ FTP .. الخ. وهذه البرامج عديدة ، أشهرها: Norton Internet Securtiy و Zone Alarm . :::::::::::::::::::::::::::::::::::::::::::::::::: :::::::::::::::::::::::::::::::::::::::: طريقة اكتشاف البورتات المفتوحة في جهازك البورت هي البوابة التي تمكن الهاكر من الدخول إلى جهازك، لذلك يجب عليك أن تعرف هذه البوابة وتقوم بإغلاقها. وسنذكر الطريقة التي تكشف لك البوابات ( البورتات ) المفتوحة في جهازك. تتم هذه الطريقة باستعمال الدوس.. قم بتشغيل الدوس بعدها أدخل الأمر التالي: Netstat -a ثم اضغط enter عند تنفيذ الخطوات السابقة سيتم عرض جميع المنافذ المفتوحة وهي التي تلي الرمز ( : ) أما ما قبل الرمز فهو اسم الكمبيوتر الخاص بك الذي تم تعريفه عند تجهيز شبكة الاتصال. ملاحظة : إذا أردت أن تحصل على نتائج حقيقية يجب أن تكون متصلاً بالإنترنت. قائمة بأرقام المنافذ (البورتات) التي تستخدمها برامج الإختراق المتعددة. رقم المنفذ ( Port ) اسم البرنامج 2 Death 21 Net Administrator, Senna Spy FTP Server, 23 Truva Atl 25 NewApt 48 DRAT 50 DRAT 80 Hooker 123 Net Controller 146 Infector 146 (UDP) Infector 605 Secret Service 777 Aim Spy 1000 Der Spacher 3 1001 Der Spacher 3 1020 Vampire 1050 MiniCommand 1080 WinHole 1095 RAT 1097 RAT 1098 RAT 1099 RAT 1200 (UDP) NoBackO 1201 (UDP) NoBackO 1207 SoftWAR 1313 NETrojan 1969 OpC BO 2000 Der Spaeher 3 2001 Der Spaeher 3 2300 Xplorer 2716 The Prayer 2773 SubSeven 3456 Terror Trojan 4242 Virtual Hacking Machine 5031 NetMetropolitan 5637 PC Crasher 5638 PC Crasher 6272 Secret Service 6667 ScheduleAgent 6669 Host Control 6711 SubSeven 6712 SubSeven 6713 SubSeven 6776 2000 Cracks 7000 SubSeven 7215 SubSeven 8787 Back Orifice 2000 8897 HackOffice 8989 Rcon 9999 The Prayer 10086 Syphillis 10666 (UDP) Ambush 11050 Host Control 11223 Secret Agent 12349 BioNet 12623 (UDP) DUN Control 16484 Mosucker 16772 ICQ Revenge 17777 Nephron 19864 ICQ Revenge 20203 Chupacabra 20331 Bla 27374 SubSeven 27573 SubSeven 32418 Acid Battery 34555 (UDP) Trinoo 35555 (UDP) Trinoo 37651 YAT 52317 Acid Battery 2000 54283 SubSeven 57341 NetRaider 61348 Bunker_Hill 61603 Bunker_Hill 63485 Bunker_Hill 65432 The Traitor 65432 (UDP) The Traitor "::::::::::::::::::::::::::::::::::::::::::::: :::: ::::::::::::::::::::::::::::::::::::::::: كيف تتخلص من القنبلة Sub seven أخطر برامج الإختراق يسمى في منطقة الخليج ( الباكدور جي ) ويطلق عليه البعض إسم القنبلة تتركز خطورته في أنه يتميز بمخادعة الشخص الذي يحاول إزالته فهو يعيد تركيب نفسه تلقائيا بعد حذفه يعتبر أقوى برنامج إختراق للأجهزة الشخصية وفي إصدارته الأخيرة يمكنه أن يخترق سيرفر لقنوات المحادثة Mirc كما يمكنه إخترق أي جهاز أي شخص بمجرد معرفة إسمه في ICQ أخطر برامج الإختراق يسمى في منطقة الخليج ( الباكدور جي ) ويطلق عليه البعض إسم القنبلة تتركز خطورته في أنه يتميز بمخادعة الشخص الذي يحاول إزالته فهو يعيد تركيب نفسه تلقائيا بعد حذفهيعتبر أقوى برنامج إختراق للأجهزة الشخصية .. وفي إصدارته الأخيرة يمكنه أن يخترق سيرفر لقنوات المحادثة Mirc كما يمكنه إخترق أي جهاز أي شخص بمجرد معرفة إسمه في ICQ كما يمكنه إختراقمزودات البريد smtp/pop3 يعتبر الإختراق به صعب نسبيا وذلك لعدم إنتشار ملف التجسس الخاص به في أجهزة المستخدمين الا أنه قائما حاليا على الإنتشار بصورة مذهلة ويتوقع أنه بحلول منتصف عام 2001 سوف تكون نسبة الأجهزة المصابة بملف السيرفر الخاص به 40-55 % من مستخدمي الإنترنت حول العالم وهذه نسبة مخيفة جدا إذا تحققت فعلا ... مميزاته خطيرة للغاية فهو يمكن المخترق من السيطرة الكاملة على الجهاز وكأنه جالس على الجهاز الخاص به حيث يحتوي على أوامر كثيرة تمكنه من السيطرة عليه ... بل يستطيع أحيانا الحصول على أشياء لا يستطيع مستخدم الجهاز نفسه الحصول عليها مثل كلمات المرور .. فالمخترق من هذا البرنامج يستطيع الحصول على جميع كلمات المرور التي يستخدمها صاحب الجهاز !!! ولخطورته الكبيرة فسوف نفصل في الشرح عنه أعـراض الإصابة : من أهم أعراض الإصابة بهذا البرنامج ظهور رسالة " قام هذا البرنامج بأداء عملية غير شرعية ... " وتظهر هذه الرسالة عند ترك الكمبيوتر بدون تحريك الماوس أو النقر على لىحة المفاتيح حيث يقوم البرنامج بعمل تغييرات في حافظة الشاشة وتظهر هذه الرسائل عادة عندما تقوم بإزالة إدخالات البرنامج في ملف system.ini كما أن بإمكان الخادم إعادة إنشاء نفسه بعد حذفه من الويندوز بإستخدام بعض الملفات المساعدة له في ذلك خطورة البرنامج : يمكن عمل تعديلات على الخادم الخاص بالبرنامج من خلال برنامج التحرير الخاص به لذلك فإنه من الواجب البحث في أي مكان ممكن أن يسجل فيه ليعمل تلقائيا يعني أي مكان يمكن وضع أوامر للويندوز ليقوم بتشغيله تلقائيا . التخلص منه : 1- إفتح الملف win.ini الموجود في مجلد الويندوز وابحث في بداية السطور الأولى من هذاالملف عن أي قيك شبيهة بالقيم التـالية : run=xxxx.exe أو run = xxxx.dll أو Load=xxxx.exe أو Load = xxxx.dll لاحظ أن xxxx تعني إسم الخادم وإذا عثرت على أي قيمة منها فقم بحذفها 2- افتح الملف system.ini الموجود في مجلد الويندوز وفي السطر الخامس ستجد السطر التالي : ******************** = Explorer.exe ... فإذا كان جهازك مصابا ستجد السطر على هذا الشكل : ********************=Explorer.exe xxxx.exe .... أو ******************** = Explorer.exe xxxx.dll مع العلم بأن xxxx هو إسم الخادم الذي من أشهر أسمائه rundll16.exe و Task_Bar.exe فإذا كان كذلك فقم بمسح إسم الخادم فقط ليصبح السطر : ******************** = Explorer.exe 3- إضغط على start ثم تشغيل ثم إكتب regedit لتدخل الى ملف السجل ثم قم بالدخول تسلسليا على الأتي : HKEY_LOCAL_MACHINE Software Microsoft ************************s Current Version داخل المجلد Run إبحث عن إسم الخادم الذي عثرت عليه في مــلف system.ini أو الملف win.ini ( في بعض الأحيان قد يتغير إسم الخادم في ملف التسجيل لذلك إبحث عن أي شي غريب ) ثم بعد ذلك توجه لمجلد الويندوز وستجد أن حجم الخادم الذي عثرت عليه في ملف التسجيل حوالي 328 كيلو بايت إذا كان كذلك عد لنفس المنطقة في ملف التسجيل وقم بحذف القيمة وذلك بالنقر على إسمها وإختيار حذف delete الآن أعد تشغيل الجهاز ثم توجه لمجلد الويندوز وقم بحذف الخادم بالنقر عليه بالزر الأيمن للماوس وإختيار حذف المصدر : كتاب المخاطر الأمنية وطرق الحمايه منها.[/frame]

معلومات مهمة جدا

مشكورة على الموضوع بنت شيوخ

انجااااز يا بنت الشموخ

بس فيه مشكله بسيطه .. لو كبرت الخط شوي وخليتي الكتابه سطر تحت سطر افضل .. كيف يشوف الكلام الي نظره ضعيف ...

يعطيك العافيه والله ماقصرت

يعطيك العافيه


بس فيه مشكله بسيطه .. لو كبرت الخط شوي وخليتي الكتابه سطر تحت سطر افضل .. كيف يشوف الكلام
نفس كلام اخوي تركي

وتقبلي مروري

اختي بنت الشيووووووخ



تقبلي مروري

مشكورة على الموضوع


تقبلي مروري