علامتهایی که هک شدن برنامه وب را نشان می دهد!

[ms.khassi]

فرآیندها، کاربران یا وظایف جدیدی پیدا می‌کنید

برای تشخیص زمانی‌که سرور پردازه‌های ناشناسی را ایجاد کرده یا پردازه‌های آشنایی را در زمان غیر معمول اجرا کرده است، نظارت بر پردازه‌های در حال اجرا روی وب‌سرور مفید‌ هستند؛ در واقع، یک پردازه ناشناس یک سرنخ بزرگ است که نشان می‌دهد برنامه کاربردی‌تان تحت کنترل شما نیست. زمانی‌که یک هکر حسابی را روی یک سرور ایجاد می‌کند، احتمال بسیار کمی وجود دارد که هکر، فعالیت خاصی انجام ندهد. نظارت مداوم روی سرور و حساب‌های کاربری، به ویژه حساب‌هایی که با مجوزهای سطح بالا ساخته می‌شوند، یک وظیفه حیاتی به شمار می‌رود.

به یاد داشته باشید که هیچ حساب کاربری روی هوا ساخته نمی‌شود؛ در نتیجه زمانی که یک حساب کاربری ساخته می‌شود، ارزش دارد که آن‌را بررسی کنید و ببینید این حساب چه زمانی ساخته شده است؛ اگر کاربران خاصی در سیستم هستند که به‌طور معمول به مجوز‌های سطح بالا یا دسترسی به ریشه، نیازی ندارند و ناگهان چنین درخواستی از سوی آن‌ها ارائه می‌شود، پس شک کنید که ممکن است اعتبار این کاربران به سرقت رفته است. سعی کنید خود را عادت دهید که از Crontab در سرورهای لینوکسی و Scheduled Task در سرورهای ویندوزی استفاده کرده و بدانید چه موجودیت‌هایی رفتار طبیعی دارند؛ اگر کارهای جدیدی اضافه شده‌اند، ممکن است نشانه‌ای از یک برنامه‌ باشد که می‌خواهد یک کار غیرمنتظره انجام دهد.

هر چند ممکن است که کار اضافه شده یکی از وظایف عادی سیستم‌عامل بوده که قرار است اجرا شود؛ اما ممکن است تلاشی از سوی یک هکر برای دسترسی به یک برنامه خاص باشد تا از راه دور و از طریق سرور C&C (سرنام Command-and-Control )، دستورات خود را ارسال کند. یک هکر هم‌چنین این توانایی را دارد تا داده‌های استخراج شده را در قالب دسته‌های (Batch) کوچک خودکار برای سرور راه دور ارسال کند.