صهيب الفهداوي
20-02-2010, 09:12 مساءً
http://img181.imageshack.us/img181/5140/11069446aq6.gif (http://up.3eyon.net/)
يسعدنا أن نعلن لكم عن اطلاق الاصدار التجريبي الأول 0.1 من أداة iScanner, تعتبر هذه الأداة أول المشاريع البرمجية التي يطلقها موقع iSecur1ty وهي موجّهة لمدراء السيرفرات وشركات الاستضافة لتساعدهم على التأكد من خلو المواقع الموجودة على السيرفر من بعض الملفات الضارة و فيروسات المواقع (http://www.isecur1ty.org/articles/web-security/60-websites-virus.html) التي انتشرت بشكل كبير خلال الفترة السابقة.
منذ البدء ببرمجة هذه الأداة وضعنا عدّة أمور من الأولويات أهمها سهولة تركيب والاستخدام بالاضافة للمرونة وقابلية التطوير في المستقبل.. برمجة الأداة استغرق وقت وساعات عمل ليست بالقليلة وذلك لضمان عمل الأداة بطريقة آمنة ولتوفّر تحكم كامل لمدير السيرفر مع متابعتنا لاختبار أداء العمل بشكل مستمر لضمان عدم التسبب بضغط على السيرفر وليتم فحص الملفات الموجودة فيه بشكل سريع.
الأداة مبرمجة بلغة Ruby (برمجت من الصفر دون الاعتماد على أي أدوات أخرى وتتطلّب وجود مفسّر روبي على السيرفر فقط!) وهي مجانية ومفتوحة المصدر تحت رخصة GNU Affero General Public License وحقوقها محفوظة لموقع iSecur1ty (http://www.isecur1ty.org/) يمكن لأي شخص الحصول على نسخة منها واستخدامها مجاناً, الاطلاع على لكود المصدري ودراسته وحتى المساهمة في تطويرها بشرط أن يبقى الملف المصدري متوفّراً, يمكن مراجعة رخصة AGPL (http://www.fsf.org/licensing/licenses/agpl-3.0.html) لقراءة نص الرخصة كاملاً.
طريقة عمل الأداة بسيطة وليست معقدة فهي تعمل بشكل مشابه لبرامج مضادات الفايروسات لكن بطريقة مختلفة بعض الشيء, يأتي مع الأداة قاعدة بيانات صغيرة تحتوي على تواقيع أمنية (عبارة عن Regex) تمثّل بصمة للأكواد الضارة التي تستخدمها الفايروسات لنشر نفسها أو الهاكرز لنشر ملفات التجسس أو استغلال بعض الثغرات لاختراق أجهزة المستخدمين عن طريق المتصفح, لكل توقيع موجود في قاعدة البيانات كود خاص به و وصف بسيط بالاضافة لمعلومات أخرى تعتمد عليها الأداة لتحديد طريقة الفحص.
الميزات الحالية:
اكتشاف فايروسات iframe المخفية بالصفحات.
اكتشاف أكواد Javascript الضارة وثغرات ActiveX التي يستغلها الهاكرز لاختراق أجهزة المستخدمين (الصفحات الملغمة).
اكتشاف الأكواد المشفرة بتشفير base64 وأكواد vbscript (يتم استخدام أكواد vbscript لاستغلال بعض ثغرات IE).
فحص الملفات بالامتدادات htm , html , php , js , xml مع امكانية تحديد امتدادات مختلفة من خيارات الأداة عند التشغيل.
امكانية تحديث قاعدة البيانات من سيرفر خاص تم اعداده لأداة iScanner مع امكانية تحديث البرنامج كامل بشكل مباشر في حال توفّر اصدار أحدث.
القدرة على تعديل قاعدة البيانات بسهولة واضافة تواقيع خاصة بك في حال لم تكتشف الأداة احدى الأكواد الضارة.
تصدير ملف log يوضح الملفات المصابة, التوقيع المستخدم, وصف عن التوقيع الأمني والكود المصاب بالصفحة.
امكانية تشغيل الأداة بالوضع العادي لاظهار الملفات المصابة على الشاشة مباشرة أو بالوضع الصامت quiet mode.
قدرة الأداة على حذف الكود الضار من جميع الملفات المصابة الموجودة في ملف الـ log بشكل تلقائي.
امكانية تشغيل الأداة باستخدام الوضع Auto Clean لحذف الفايروسات من الصفحات مباشرة وبشكل أوتوماتيكي.
صور تظهر الأداة أثناء عملها:
http://best-sec.net/vb/images/statusicon/wol_error.gifClick this bar to view the full image.
http://www.isecur1ty.org/images/stories/blog/iscanner-options.png
(http://www.isecur1ty.org/images/stories/blog/iscanner-options.png)http://best-sec.net/vb/images/statusicon/wol_error.gifClick this bar to view the full image.
http://www.isecur1ty.org/images/stories/blog/iscanner.png
(http://www.isecur1ty.org/images/stories/blog/iscanner.png)http://best-sec.net/vb/images/statusicon/wol_error.gifClick this bar to view the full image.
http://www.isecur1ty.org/images/stories/blog/iscanner-infected-log.png
(http://www.isecur1ty.org/images/stories/blog/iscanner-infected-log.png)طبعاً ليس من الضروري أن تكون جميع التحذيرات الظاهرة هي فايروسات أو أكواد ضارة فمثلاً الأكواد المشفرة باستخدام base64 قد لا تكون ضارة لكن يجب اظهار تحذير عن ذلك لأن غالباً يتم استخدامها من قبل الهاكرز لتشفير الأكواد الضارة واخفاؤها كذلك الأمر بالنسبة لأكواد iframe المخفية, بعض السكريبتات تستخدمها لكنها بنفس الوقت مستخدمة من قبل فايروسات المواقع. بمعنى آخر الأداة تظهر جميع الأمور والتحذيرات التي قد تكون خطيرة وتترك حرية التصرف لمدير النظام.
بماذا يختلف iScanner عن مضادات الفايروسات الأخرى مثل ClamAV مثلاً؟
مضادات الفايروسات مثل ClamAV تعتمد على تحليل الملفات التنفيذية ومقارنتها مع تواقيع رقمية لكل ملف. أما iScanner فيعتمد على تحليل سورس كود الصفحات والملفات النصية الموجودة بالموقع ثم مقارنته مع توقيع أمني عبارة عن Regex يكون مخزن في قاعدة البيانات.
ميزات نعمل على إضافتها للاصدارات القادمة:
اضافة installer و uninstaller لتنصيب iScanner على النظام.
خاصية مضمنة بالأداة لارسال تقرير مفصّل على الايميل.
تصدير تقارير الملفات المصابة بصيغ مختلفة مثل html, xml.
عمل نسخة احتياطية للملف قبل حذف الكود الضار مع امكانية استرجاعه بسهولة.
توسيع قاعدة البيانات لاكتشافات الملفات الضارة (مثل php shell) وحذفها بشكل كامل من السيرفر (تتضمن الملفات المشفرة).
اضافة ميزة تمكن مدير السيرفر من ارسال ملف مصاب غير مكشوف من الأداة الى سيرفر iSecur1ty ليتم تحليله واصدار توقيع أمني له (الارسال سيكون من داخل الأداة).
انشاء خدمة لفحص رابط الصفحات عن بعد من سيرفر iSecur1ty بشكل مباشر.
برمجة API للخدمة السابقة تمكّن المبرمجين من استخدامها داخل مواقعهم وتطبيقاتهم.
وكما قلنا سابقاً تم برمجة الأداة من البداية بطريقة مرنة جداً تسمح لنا بتطويرها واضافة ميزات أخرى في المستقبل, ليس بالضروري أن تكون محصورة على اكتشاف الفايروسات الموجودة بالصفحات فقط! نذكّر أن الأداة مازالت بالاصدار التجريبي وفي حال وجود اقتراحات أو اكتشاف أي مشاكل بالأداة يرجى اعلامنا.
يمكن تحميل iScanner 0.3 من هذه الصفحة (http://iscanner.isecur1ty.org/) وإن شاء الله سيتم عمل شرح فيديو قريباً لنشره على موقع iSecur1ty (http://www.isecur1ty.org/) يوضّح ميّزات الأداة وكيفية التعامل معها بالتفصيل.
والآن نأتي لشرح التركيب
في بادئ الأمر أحب أ أنوه بأن الأدة مبرمجة بلغة الـ ruby
لذلك حتى تعمل على السيرفر فيفترض ان تقوم بتنزيل Ruby Compiler
الأمر سهل لسيرفرات Cpanel
فقط نفذ التالي
/scripts/installruby
او من لوحة WHM
Software
ثم
Module Installers
ثم اضغط على Ruby Gem
أولاً قم بالدخول إلى الشل بواسطة الروت
ومن ثم
نقوم بتحميل الأداة باستخدام برنامج wget:
wget http://iscanner.isecur1ty.org/download/iscanner.tar.gz
نفك ضغط الأداة باستخدام برنامج tar وندخل لمجلد الأداة بعد فك الضغط:
tar zxvf iscanner.tar.gz && cd iscanner-0.3
نحوّل لصلاحيات root باستخدام الأمر:
su
لتحديث الأداة قبل عملية الفحص ننفذ الأمر:
./iscanner -U
لفحص مجلد الـ home
infected.log ووضع النتائج في الـ
./iscanner -f /home -o infected.log
هذه أوامر الأداة وشرحها :-
./iscanner -f, --folder [DIRECTORY] فحص مجلد معين
./iscanner -e, --extensions [ext:ext:ext] فحص إمتدادت معينة من الملفات
./iscanner -d, --database [DATABASE] لإختيار قاعدة بيانات جاهزة
./iscanner -o, --log [LOG FILE] إسم ملف اللوج الخاص بالادة التي ستضع فيه نتائج فحص السيرفر
./iscanner -c, --clean [LOG FILE] لفحص السيرفر بالكامل
./iscanner -a, --auto-clean تفعيل الفحص التلقائي
./iscanner -q, --quiet تشغيل الأداة في الخلفية أي الوضع الصامت
./iscanner -U, --update تحديث الأداة لآخر إصدار
./iscanner -u, --update-db تحديث قاعدة بيانات الأداة فقط
./iscanner -v, --version عرض إصدار الأدة
./iscanner -h, --help لعرض ملف المساعده الخاص بالأداة
مثال:
./iscanner -f /home -e htm:html:php -o infected.log
سيقوم بفحص مجلد
home
والإمتدادت
htm:html:php
وملف اللوج هو
infected.log
مثال آخر على تطبيق الأدة
./iscanner -c infected.log
سيقوم بفحص السيرفر بأجمعه ووضع اللوج في الملف
infected.log
الموقع الرسمي للاداة
http://iscanner.isecur1ty.org/ (http://iscanner.isecur1ty.org/)
في حال حدوث أي مشاكل معكم
فنحن هنا والموضوع مفتوح لجميع الأسئلة والإستفسارات
تحياتي وإحترامي لكم
صهيب الفهداوي
http://img364.imageshack.us/img364/5291/34787798xm6xo8jc5.gif (http://up.3eyon.net/)
يسعدنا أن نعلن لكم عن اطلاق الاصدار التجريبي الأول 0.1 من أداة iScanner, تعتبر هذه الأداة أول المشاريع البرمجية التي يطلقها موقع iSecur1ty وهي موجّهة لمدراء السيرفرات وشركات الاستضافة لتساعدهم على التأكد من خلو المواقع الموجودة على السيرفر من بعض الملفات الضارة و فيروسات المواقع (http://www.isecur1ty.org/articles/web-security/60-websites-virus.html) التي انتشرت بشكل كبير خلال الفترة السابقة.
منذ البدء ببرمجة هذه الأداة وضعنا عدّة أمور من الأولويات أهمها سهولة تركيب والاستخدام بالاضافة للمرونة وقابلية التطوير في المستقبل.. برمجة الأداة استغرق وقت وساعات عمل ليست بالقليلة وذلك لضمان عمل الأداة بطريقة آمنة ولتوفّر تحكم كامل لمدير السيرفر مع متابعتنا لاختبار أداء العمل بشكل مستمر لضمان عدم التسبب بضغط على السيرفر وليتم فحص الملفات الموجودة فيه بشكل سريع.
الأداة مبرمجة بلغة Ruby (برمجت من الصفر دون الاعتماد على أي أدوات أخرى وتتطلّب وجود مفسّر روبي على السيرفر فقط!) وهي مجانية ومفتوحة المصدر تحت رخصة GNU Affero General Public License وحقوقها محفوظة لموقع iSecur1ty (http://www.isecur1ty.org/) يمكن لأي شخص الحصول على نسخة منها واستخدامها مجاناً, الاطلاع على لكود المصدري ودراسته وحتى المساهمة في تطويرها بشرط أن يبقى الملف المصدري متوفّراً, يمكن مراجعة رخصة AGPL (http://www.fsf.org/licensing/licenses/agpl-3.0.html) لقراءة نص الرخصة كاملاً.
طريقة عمل الأداة بسيطة وليست معقدة فهي تعمل بشكل مشابه لبرامج مضادات الفايروسات لكن بطريقة مختلفة بعض الشيء, يأتي مع الأداة قاعدة بيانات صغيرة تحتوي على تواقيع أمنية (عبارة عن Regex) تمثّل بصمة للأكواد الضارة التي تستخدمها الفايروسات لنشر نفسها أو الهاكرز لنشر ملفات التجسس أو استغلال بعض الثغرات لاختراق أجهزة المستخدمين عن طريق المتصفح, لكل توقيع موجود في قاعدة البيانات كود خاص به و وصف بسيط بالاضافة لمعلومات أخرى تعتمد عليها الأداة لتحديد طريقة الفحص.
الميزات الحالية:
اكتشاف فايروسات iframe المخفية بالصفحات.
اكتشاف أكواد Javascript الضارة وثغرات ActiveX التي يستغلها الهاكرز لاختراق أجهزة المستخدمين (الصفحات الملغمة).
اكتشاف الأكواد المشفرة بتشفير base64 وأكواد vbscript (يتم استخدام أكواد vbscript لاستغلال بعض ثغرات IE).
فحص الملفات بالامتدادات htm , html , php , js , xml مع امكانية تحديد امتدادات مختلفة من خيارات الأداة عند التشغيل.
امكانية تحديث قاعدة البيانات من سيرفر خاص تم اعداده لأداة iScanner مع امكانية تحديث البرنامج كامل بشكل مباشر في حال توفّر اصدار أحدث.
القدرة على تعديل قاعدة البيانات بسهولة واضافة تواقيع خاصة بك في حال لم تكتشف الأداة احدى الأكواد الضارة.
تصدير ملف log يوضح الملفات المصابة, التوقيع المستخدم, وصف عن التوقيع الأمني والكود المصاب بالصفحة.
امكانية تشغيل الأداة بالوضع العادي لاظهار الملفات المصابة على الشاشة مباشرة أو بالوضع الصامت quiet mode.
قدرة الأداة على حذف الكود الضار من جميع الملفات المصابة الموجودة في ملف الـ log بشكل تلقائي.
امكانية تشغيل الأداة باستخدام الوضع Auto Clean لحذف الفايروسات من الصفحات مباشرة وبشكل أوتوماتيكي.
صور تظهر الأداة أثناء عملها:
http://best-sec.net/vb/images/statusicon/wol_error.gifClick this bar to view the full image.
http://www.isecur1ty.org/images/stories/blog/iscanner-options.png
(http://www.isecur1ty.org/images/stories/blog/iscanner-options.png)http://best-sec.net/vb/images/statusicon/wol_error.gifClick this bar to view the full image.
http://www.isecur1ty.org/images/stories/blog/iscanner.png
(http://www.isecur1ty.org/images/stories/blog/iscanner.png)http://best-sec.net/vb/images/statusicon/wol_error.gifClick this bar to view the full image.
http://www.isecur1ty.org/images/stories/blog/iscanner-infected-log.png
(http://www.isecur1ty.org/images/stories/blog/iscanner-infected-log.png)طبعاً ليس من الضروري أن تكون جميع التحذيرات الظاهرة هي فايروسات أو أكواد ضارة فمثلاً الأكواد المشفرة باستخدام base64 قد لا تكون ضارة لكن يجب اظهار تحذير عن ذلك لأن غالباً يتم استخدامها من قبل الهاكرز لتشفير الأكواد الضارة واخفاؤها كذلك الأمر بالنسبة لأكواد iframe المخفية, بعض السكريبتات تستخدمها لكنها بنفس الوقت مستخدمة من قبل فايروسات المواقع. بمعنى آخر الأداة تظهر جميع الأمور والتحذيرات التي قد تكون خطيرة وتترك حرية التصرف لمدير النظام.
بماذا يختلف iScanner عن مضادات الفايروسات الأخرى مثل ClamAV مثلاً؟
مضادات الفايروسات مثل ClamAV تعتمد على تحليل الملفات التنفيذية ومقارنتها مع تواقيع رقمية لكل ملف. أما iScanner فيعتمد على تحليل سورس كود الصفحات والملفات النصية الموجودة بالموقع ثم مقارنته مع توقيع أمني عبارة عن Regex يكون مخزن في قاعدة البيانات.
ميزات نعمل على إضافتها للاصدارات القادمة:
اضافة installer و uninstaller لتنصيب iScanner على النظام.
خاصية مضمنة بالأداة لارسال تقرير مفصّل على الايميل.
تصدير تقارير الملفات المصابة بصيغ مختلفة مثل html, xml.
عمل نسخة احتياطية للملف قبل حذف الكود الضار مع امكانية استرجاعه بسهولة.
توسيع قاعدة البيانات لاكتشافات الملفات الضارة (مثل php shell) وحذفها بشكل كامل من السيرفر (تتضمن الملفات المشفرة).
اضافة ميزة تمكن مدير السيرفر من ارسال ملف مصاب غير مكشوف من الأداة الى سيرفر iSecur1ty ليتم تحليله واصدار توقيع أمني له (الارسال سيكون من داخل الأداة).
انشاء خدمة لفحص رابط الصفحات عن بعد من سيرفر iSecur1ty بشكل مباشر.
برمجة API للخدمة السابقة تمكّن المبرمجين من استخدامها داخل مواقعهم وتطبيقاتهم.
وكما قلنا سابقاً تم برمجة الأداة من البداية بطريقة مرنة جداً تسمح لنا بتطويرها واضافة ميزات أخرى في المستقبل, ليس بالضروري أن تكون محصورة على اكتشاف الفايروسات الموجودة بالصفحات فقط! نذكّر أن الأداة مازالت بالاصدار التجريبي وفي حال وجود اقتراحات أو اكتشاف أي مشاكل بالأداة يرجى اعلامنا.
يمكن تحميل iScanner 0.3 من هذه الصفحة (http://iscanner.isecur1ty.org/) وإن شاء الله سيتم عمل شرح فيديو قريباً لنشره على موقع iSecur1ty (http://www.isecur1ty.org/) يوضّح ميّزات الأداة وكيفية التعامل معها بالتفصيل.
والآن نأتي لشرح التركيب
في بادئ الأمر أحب أ أنوه بأن الأدة مبرمجة بلغة الـ ruby
لذلك حتى تعمل على السيرفر فيفترض ان تقوم بتنزيل Ruby Compiler
الأمر سهل لسيرفرات Cpanel
فقط نفذ التالي
/scripts/installruby
او من لوحة WHM
Software
ثم
Module Installers
ثم اضغط على Ruby Gem
أولاً قم بالدخول إلى الشل بواسطة الروت
ومن ثم
نقوم بتحميل الأداة باستخدام برنامج wget:
wget http://iscanner.isecur1ty.org/download/iscanner.tar.gz
نفك ضغط الأداة باستخدام برنامج tar وندخل لمجلد الأداة بعد فك الضغط:
tar zxvf iscanner.tar.gz && cd iscanner-0.3
نحوّل لصلاحيات root باستخدام الأمر:
su
لتحديث الأداة قبل عملية الفحص ننفذ الأمر:
./iscanner -U
لفحص مجلد الـ home
infected.log ووضع النتائج في الـ
./iscanner -f /home -o infected.log
هذه أوامر الأداة وشرحها :-
./iscanner -f, --folder [DIRECTORY] فحص مجلد معين
./iscanner -e, --extensions [ext:ext:ext] فحص إمتدادت معينة من الملفات
./iscanner -d, --database [DATABASE] لإختيار قاعدة بيانات جاهزة
./iscanner -o, --log [LOG FILE] إسم ملف اللوج الخاص بالادة التي ستضع فيه نتائج فحص السيرفر
./iscanner -c, --clean [LOG FILE] لفحص السيرفر بالكامل
./iscanner -a, --auto-clean تفعيل الفحص التلقائي
./iscanner -q, --quiet تشغيل الأداة في الخلفية أي الوضع الصامت
./iscanner -U, --update تحديث الأداة لآخر إصدار
./iscanner -u, --update-db تحديث قاعدة بيانات الأداة فقط
./iscanner -v, --version عرض إصدار الأدة
./iscanner -h, --help لعرض ملف المساعده الخاص بالأداة
مثال:
./iscanner -f /home -e htm:html:php -o infected.log
سيقوم بفحص مجلد
home
والإمتدادت
htm:html:php
وملف اللوج هو
infected.log
مثال آخر على تطبيق الأدة
./iscanner -c infected.log
سيقوم بفحص السيرفر بأجمعه ووضع اللوج في الملف
infected.log
الموقع الرسمي للاداة
http://iscanner.isecur1ty.org/ (http://iscanner.isecur1ty.org/)
في حال حدوث أي مشاكل معكم
فنحن هنا والموضوع مفتوح لجميع الأسئلة والإستفسارات
تحياتي وإحترامي لكم
صهيب الفهداوي
http://img364.imageshack.us/img364/5291/34787798xm6xo8jc5.gif (http://up.3eyon.net/)