علامتهایی که هک شدن برنامه وب را نشان می دهد!

[ms.khassi]

پیام‌های ثبت شده غیرمنتظره را پیدا کنید

اگر فایل‌های گزارش به درستی تنظیم شده باشند، در خصوص یک حمله، اطلاعات ارزش‌مندی را در اختیارتان قرار می‌دهند. این فایل‌ها گزارشی از محاوره‌های غیرمنتظره، به ویژه زمانی که دسترسی به اطلاعات به درستی امکان‌پذیر نباشد فراهم می‌کنند؛ اگر فایل‌های گزارش بانک‌اطلاعاتی در یک بازه زمانی کوچک خطاهای متعددی را به ثبت رسانده باشند، می‌توانند علامتی از فردی باشند که پیرامون یک برنامه پرسه می‌زند یا نشان دهنده یک تزریق کد SQL است. این ردیابی از مکانی آغاز می‌شود که محاوره‌های اولیه بانک‌اطلاعاتی انجام شده و اطمینان از این‌که ورودی‌ها به درستی اداره شده‌اند.

نرم‌افزار وب سرور می‌تواند ارتباطات ورودی و خروجی شبکه را که از طریق پروتکل‌های FTP و HTTP انجام شده‌اند، ثبت کند؛ هم‌چنین این گزارش‌ها می‌توانند علائم هشداردهنده از فعالیت‌های مخرب یا غیرمجاز را جمع‌آوری کنند. معمولاً وب سرور باید تنها ارتباطاتی را که از بانک‌اطلاعاتی داخلی می‌آیند، مقداردهی اولیه کند؛ اگر وب سرور شما یک ارتباط خروجی با آدرس‌های IP عمومی برقرار کرده است؛ بنابراین زمان آن رسیده که بپرسید به چه دلیل این ارتباط مقداردهی شده است؟ انتقال غیرقابل توضیح فایل‌ها، نشان می‌دهد فایل‌هایی از وب سرور خارج شده‌اند.

چنین موردی نشان می‌دهد که هکرها از یک برنامه کاربردی، داده‌هایی را سرقت کرده‌اند و در حال انتقال این محتوا به سرورهای راه دور هستند؛ اما نباید بیش از اندازه تمرکز خود را روی فعالیت‌های خارج از شبکه معطوف سازید؛ زیرا ممکن است مسائل جانبی را نادیده بگیرید؛ اگر وب سرور با منابع داخلی شبکه در حال برقراری ارتباط است؛ به‌طور مثال کاربری قصد به اشتراک‌گذاری فایل را داشته باشد، می‌تواند نشانه ورود هکرها به درون شبکه باشد؛ اگر برنامه کاربری به کاربر اجازه آپلود فایل‌ها را می‌دهد، اطمینان حاصل کنید که این‌کار از طریق یک سرور اختصاصی (نه از یک سرور عمومی که توسط سازمان مورد استفاده قرار می‌گیرد) انجام می‌شود.

به‌طور منظم به‌روزرسانی‌های عرضه شده برای سیستم‌عامل‌ها و نرم‌افزارهای جانبی را دانلود کنید. این توصیه در ارتباط با وب‌سرورها و برنامه‌های کاربردی نیز صدق می‌کند. به‌طور مرتب برنامه‌های جانبی را به‌روزرسانی کرده تا مطمئن شوید که آسیب‌پذیری‌ها، وصله شده‌اند.

همانند فایل‌های گزارش تولید شده توسط سرور، فایل‌های گزارش تولید شده توسط برنامه‌های کاربردی نیز به شما مشکلات و علائم مشکوک را نشان می‌دهند. اطمینان حاصل کنید که فایل‌های گزارش برنامه کاربردی، وظایف سطح مدیریتی از قبیل ساخت حساب‌های کاربری یا مدیریت حساب‌ها را به درستی ثبت می‌کنند؛ هم‌چنین به این نکته توجه داشته باشید که این گزارش‌ها به درستی، نحوه ساخت حساب‌های کاربری را ثبت کنند؛

به عنوان مثال، حساب‌ها توسط مدیر شبکه ایجاد شده‌اند یا هکرها اقدام به ساخت آن‌ها کرده‌اند؛ هم‌چنین برنامه‌های کاربردی، باید زمان ورود مدیران را نیز ثبت کنند. این‌کار باعث می‌شود تا همواره اطلاعاتی درباره زمان و مکانی را که مدیران به شبکه وارد شده‌اند، در اختیار داشته باشید. اطمینان حاصل کنید که حساب‌های مدیریتی توانایی انجام چه کارهایی را دارند. معمولاً موارد غیر قابل توصیف از دسترسی حساب‌های مدیریتی به برنامه‌های کاربردی، نشانه‌ بارزی از یک نقص‌ بزرگ است؛ اگر تعداد خطاهای وابسته به فرم (Form Submissions) افزایش پیدا کرده یا در زمان بارگذاری صفحات تعداد خطاها زیاد شده است، این احتمال وجود دارد که برنامه کاربردی سعی در انجام کاری دارد که برای آن طراحی نشده است؛ اگر متوجه افزایش خطاها شدید، به ردیابی صفحه‌ای که این خطاها را تولید کرده، بپردازید و تغییر به وجود آمده را کشف کنید.