مجتمع المهيبرين
Close

سايبر اتاك.. هاك الميل سرفر..

  • Home
  •  / 
  • Blog
  •  / 
  • Hypress
  •  / 
  • سايبر اتاك.. هاك الميل سرفر..

سايبر اتاك.. هاك الميل سرفر..

الميل سرفر محمل علي الويبسرفر.. في حالتنا.. سنتعامل مع التالي:

Postfix mailserver with clamv antivirus mailware and dovecot

Cyberpanel webserver panel with enabled firewall and limited ports open

Open lite speed (OLS) Webserver with firewall

مداخل الاختراق اما عبر مكونات السيرفر المشروحة سابقا والتي يمكن استبعادها للاسباب التالية:

1- وجود فايروول يغلق كل البورتات عدا الاساسية.

2- عدم وجود اثار لمحاولات دخول فاشلة علي السرفر

3- عدم وجود ايميلات لست مرفوعة علي السرفر

4- فعالية ال Tls بروتوكول التامين

او يمكن ان تكون عبر السكريبتات المحملة علي السرفر و في حالتنا:

ووكمرس / ووردبرس من اكبر مصادر الاختراقات و تلاحظ وجود اضافات حماية من الميلوير و الاختراقات و لكن غير مفعلة و غير محدثة. كالتالي:

ملكير موجودة و غير محدثة و غير مفعلة

بعد تحديثها و تفعيلها اكتشفنا وجود ملفات مخترقة في الوردبرس

كذلك كل اضافات الحماية علي الموقع موجودة و غير محدثة و غير مفعلة مثل وردفنس و  Sucuri Security والتي تم ايقافها يوم 22 ابريل

كذلك لوحظ عدم وجود اي اضافات لارسال ايميلات وردبرس بصورة محمية و يتم ارسالها عبر بي اتش بي.. غير المحمي بالكامل. وتلك ثغرة امنية كبيرة و مباشرة و يمكن الاعتقاد بانها السبب المباشر في حدوث الاختراق.

Php scripts

تلاحظ ايضا عدم وجود تشفير لنقل البيانات داخليا بين ووردبرس و الاسكريبتات الاخري الخاصه به مثل سكريبت الافيلييت، مما يجعلها فرصة سانحة للاختراق

و اخيرا يمكن ان يكون مبدئ الهجوم من نقاط التواصل الخارجية مع لوحات التحكم و في حالتنا:

نقاط دخول عبر في بي ان..

نقاط دخول عبر RDP.

البنية التحتية:

Data center Contabo من مراكز البيانات ذات محاولات الاختراق المتكررة.

تاثيرات المشكلة:

بلوك الميل سرفر مما يؤدي لتراكم الايميلات و غلق منافذ ارسال الميلات الجديدة.

التسبب في تسجيل اي بي الموقع في نشرات البلاك لست الدولية و التي بدورها تؤثر علي وصول الايميلات للانبوكس في الميل سرفر الشهيرة مثل جوجل، او حتي منع وصولها بالكامل و هو ما حدث في حالتنا..

تعطل الميل سرفر بالكامل نتيجة حجم الهجوم الكبير..

توقف سيرفرات الايميلات الكبيرة عن استقبال البريد الصادر من الاي بي الخاص بالميل سرفر المصاب لسوء سمعة الاي بي

تاثير جانبي علي سيو seo ranking

الاجراءات المتبعة للفحص الامني السريع لايقاف هجمات الميل سرفر::

1- ايقاف الهجوم باوامر مسح للايميلات المتسببة في غلق بورتات الميل سرفر

2- ايقاف مؤقت للميل سرفر لحين تغيير الباسوردات ذات العلاقة و انتهاء المراجعه الامنية الشاملة..

3- تحديث مضاد الفيروسات انتي فيرس و في حالتنا استخدمنا:

Clamv

4- مراجعة شهادات الامان والتحقق من فاعليتها علي مستوي السرفر و الميل سرفر و الويب سرفر و كذلك علي مستوي المواقع المحملة علي السرفر.

5- اعادة تشغيل الميل سرفر المؤقت

6- تغيير نقاط الدخول للسيرفر و الميل سرفر

فحص الاضرار:

1- بحث سمعة الاي بي و معرفة اذا تم ادراج الاي بي الخاص بالميل سرفر في اي من نشرات الميل سرفر الدولية و في حالتنا قمنا بالفحص عبر mxtools

2- ازالة الاي بي يدويا من النشرات الدولية عبر روابط الازالة الخاصة بكل نشرة و في حالتنا وجدنا الادراج في 7 نشرات ، تم ازالة 4 منهم يدويا و 1 يزول في 24 ساعة اليا، و 1 يزول بعد 4 ايام،و 1 بعد اسبوع من عدم حدوث اتاك عبر الميل سرفر ليزال اليا.

3- مراجعة الارسال علي الميلات الشهيرة و التاكد من وصولها و فحص اكواد عدم التسليم لمراجعة اسبابها و معالجتها و في حالتنا وجدنا حجب الجيميل للاي بي بكود 5.7.7.1 والذي يعني سوء سمعة الاي بي بشكل عام.

حل الاضرار الفوري:

1- ازالة الاي بي من نشرات البلاك لست كما ذكرنا في فحص الاضرار سابقا

مزيد من الحلول الفورية :

2- تخصيص اي بي جديد للميل سرفر و ذلك اما بشراء اي بي جديد او اي بي ذو سمعة عالية. و ذلك يفيد لاحقا في معرفة مصدر الهجوم هل من السرفر و الداتا سنتر ام من الوردبرس كما ان له وظائف اخري كما سيلي

الاي بي الجديد: ياخذ من 1:4 ايام ليتم ازالته من نشرات السبام كليا و يعمل فورا في ارسال الايميلات لكن ربما تصل للسبام في محركات البحث الشهيرة مثل جوجل لحين رفعه من قوائم الفحص. و مميزاته رخص سعره حوالي 5$ شهريا و حسب استضافتك و انخفاض تكلفة ربطه (2 ساعة عمل = 50$)

3- استخدام ميل ريلاي mail rely server من احد الميلات سرفر الشهيرة مثل جيميل

مميزاته : ريلاي سرفر قوي ذو سمعه معتمده و يعمل بشكل فوري و يمكن استخدامه مع تغيير الاي بي لاداء افضل او منفردا.

يحاسب علي اساس الايميل في الشهر و يبدا من 6دولار لمزيد من التفاصيل

تكلفة ضبطه و تشغيله مع البوستفيكس و الدوفكوت ساعة عمل 25 دولار.

اقتراحات تامينية المدي الطويل

1- تخصيص في بي اس داخلي مستقل او سرفر مستقل لعمل الميل سرفر (يمكن استخدامه لاحقا لعمل لود بلانسر و / او كلستر احتياطي للسرفر الحالي) و لتحديد منافذ الاختراق مستقبلا

الفكرة العامة:

1- ترقية الويبسرفر من الاصدار مفتوح المصدر الي اصدار الشركات

للمزايا الكاملة و الفروقات يمكنك الضغط هنا، و لكن ما يهمنا في حالتنا كمراجعة امنية للموقع ميزتان اساسيتان في الاصدار التجاري:

اولا: حماية ضد هجمات البروتفورس علي منصات الوردبرس و التي تعتبر مدخلا اساسيا في حالتنا كما ذكرنا في بداية التقرير و لمزيد تفاصيل اضغط هنا

ثانيا: خاصية فحص شهادات الامان داخليا، مما يؤدي لتسريع الموقع و تقليل الاتصالات غير المؤمنة خارج الموقع بتشفير المعلومات داخليا دون الحاجة لارسالها لسلطات التشفير المتعلقة بالجهة المصدرة لشهادات الامان و في حالتنا نستخدم اوتو لتس انكربت و لمزيد من التفاصيل اضغط هناSsl offload

و يمكن تنفيذ الترقية بطريقتين:

اولا: ضبط السرفر الحالي بنظام بروكسموكس

ثانيا اخذ سرفر في مركز بيانات اخر

و سيتم تناول الموضوع بمزيد تفصيل في تقرير قادم بامر الله

Related Posts

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *