إخفاء الأثار من الأمور الهامة التي يقوم بها أي مخترق فور إختراق شبكة أو خادم معين , حيث يقوم المخترق بإزاله كل الأثار والأمور التي قام بها قبل إنهاء عملية الإختراق , وكما نعلم يوجد هنالك العديد من الملفات والتقنيات التي ترصد جميع العمليات التي يقوم بها المخترق داخل الشبكة أو الخادم , واليوم بإذن الله سوف نتطرق لكيفية تنفيذ أسلوب جديد لإخفاء الأثار وبالغالب يكون أكثر فاعليه وتأثير من حذف ملفات logs التي تقوم بتسجيل ورصد الحركات التي يقوم بها المستخدم كمثال ملفات http logs التي تقوم بحفظ جميع الطلبات والعمليات التي قمت بها على تطبيق ويب معين تحت إدارة خادم ويب معين سواء كان apache , nginx.
منذ فترة كنت أقوم ببحث معين عن التحليل الجنائي الرقمي على سيرفر خاص بي فوجدت جميع الطلبات التي أريدها موجوده بشكل طبيعي داخل ملف access_log ممكن أن يكون إسمه access.log في بعض الحالات , طبعاً عملية تخزين الطلبات في هذا الملف أمر عادي جداً وتم توضيحه مسبقاً في مقال تحدثنا عنه عن التحقيق الجنائي الرقمي , طبعاً أثناء قيامي بالبحث قمت بحذف ملف access_log الخاص بتطبيق الويب المعني على الخادم مما لا يعطيني القدره على مشاهدته مع عدم توفر أي نسخ إحتياطيه منه أو ملف أخر يقوم بتسجيل العمليات مما يجعل موقف “المخترق” بوضع سليم ولا يستطيع أحد إثبات أي شيء عليه , ولكن لحظه ! من الممكن أن يتم إسترجاع ملف access_log الذي قام المخترق بحذفه من على السيرفر !
ممكن أن تأخذ العملية بعض وفي بعض الحالات النادرة لا تستطيع إسترجاعه ولكن
بأغلب الحالات عملية الإسترجاع تتم دون مشاكل
فماذا يمكنني أن أفعل لكي أقوم بإخفاء أثاري بشكل كامل كهاكر دون الوقوع بأي مشاكل أو إثبات أي شيء إتجاهي ؟ الحل بسيط جداً ! طالما يوجد معك صلاحيات لحذف الملف بالطبع توجد صلاحيات تعطيك الحرية في التعديل على الملف ! وهذا دون أدنى شك يحتاج إلى صلاحيات root , وطالما أنك إستطعت الحصول عليها وحذف ملف access_log ملف على السيرفر فمن الطبيعي ان تستطيع التعديل عليه والقيامة بتعديل القيم وتعديل الطلبات التي قمت بها بشكل سريع جداً وفعال جداً ! حيث أننا سوق نقوم بإستبدال عنوان ip الخاص بنا كمختبري إختراق بأيبي وهمي أخر أو أي كتابه نريدها لكي نجعل مدير الخادم يصاب بأزمة قلبيه :D.
إنتهيت من مقدمة سريعه وتعريف بالعملية والأن سوف نأتي للتطبيق العملي ونبدأ بإستعراض العملية بشكل سريع كمختبر إختراق ونقوم بالدخول على تطبيق ويب موجود على جهازي الخاص وسوف نقوم بالدخول عليه من خلال جهاز وهمي يعمل بنظام Kali linux حيث سوف نقوم بطلب تطبيق الويب والدخول عليه بشكل سليم :
كما رأينا قمنا بطلب صفحة index.php وقمنا بتمرير البارميتر name مع القيمة Askar وقام بطباعة hello : Askar , حيث يقوم بأخذ قيمة البارميتر name وطباعتها في الصفحة دون أي مشاكل , لو قمنا الأن بحقن javascript code يقوم بطباعة الرقم 5 على شكل alert من خلال الكود : <script>alert(5)</script>
كما تشاهدون تم تنفيذ javascript code بشكل سريع وتم حقنه مباشره بالصفحه أي أنه يوجد ثغرة xss بالسكربت.
حسناً لنعتبر أنه تم إستغلال الثغرة ومن ثم إختراق السيرفر بشكل كامل وتم سحب صلاحيات روت على السيرفر ومن ثم قررنا أن نقوم بحذف logs الموجوده على المسار /var/log/apache2/access.log , ولكن لحظه ! كما ذكرنا من الممكن أن يتم إسترجاع ملفات logs وكشف عملية الإختراق ! لما لا نقوم بتعديل المعلومات الخاصه بنا داخل ملفات logs بدلاً من حذفها !!! أي مثلاً نقوم بتغير ip الخاص بنا لأي كتابه أو أيبي وهمي نريده ! كما ذكرنا مسبقاً سوف نحاول التسبب بأزمة قلبية لمدير السيرفر
,, دعونا نستعرض الملف بصلاحيات الرووت ونقوم بالعديل عليه ونحاول قرأته مره أخرى بصلاحيات رووت كمدير سيرفر ونرى ما سوف نحصل عليه :
كما نشاهد أخر سطر يظهر الأيبي الخاص بنا التي قمنا بالهجوم من خلاله وكذلك معلومات الطلب , الأن سوف نقوم بتغير جميع عناوين ip الخاصه بنا “192.168.236.1” إلى كلام وهمي وكذلك لنغير تفاصيل الطلب بشكل عشوائي لتصبح كالتالي :
كما نلاحظ قمنا بتغير عنوان ip الخاص بنا إلى :p , حيث سوف تظهر هذه العلامة مكان الأيبي الخاص بنا ولن يعرف مدير السيرفر الأيبي الخاص بنا لأننا قمنا بتبديله بدلاً من حذفه ! وكذلك لو تلاحظون قمنا بإستبدال الطلب الحقيقي ب “NO REQUEST :p” لكي نخفي الأمور التي قمنا بها لكي لا يندل مدير السيرفر على الثغرة أو الأمور التي قمنا بها , في هذه الحالة لو قرر مدير السيرفر قرأة ملفات logs بعد إختراق السيرفر سوف يظهر له التالي :
كما نلاحظ ظهر لمدير السيرفر جميع التعديلات التي قمنا بها ولم يظهر له أي معلومات حول تفاصيل الإختراق التي قمنا بها ! وبهذا نكون قد أخفينا الطلبات التي قمنا بها بشكل سريع ويبعد الشكوك عنا وهذه الصورة توضح ما جرى لمدير السيرفر فور مشاهدة ملف logs
أتمنى أن يكون نال المقال إعجابكم ووصلت لكم فكرة logs spoofing بشكل مبسط وأتمنى أن لا يتم إستخدامها في أي أمور تخريبية و ceh4arab ليست مسؤوله عن أي عمليات تخربية يستخدم فيها هذا الشرح وأرجو أن تشاركوا بتعليقاتكم بالمقال وتقترحوا حلول تساهم في إكتشاف هذه العملية والحد منها في حال حصولها.
