تحلیل فنی از جریان هک شدن سرور آل البیت
در چند شب گذشته (28 شهریور) حمله ای بی سابقه علیه بزرگترین سرور جهان تشیع (سرور آل البیت به آدرس ns1.al-shia.com , ns3.al-shia.com) که میزبانی سایتهای بسیاری از مراجع تقلید (حضرات آیت الله مکارم شیرازی، آیت الله تبریزی، آیت الله سیستانی ، آیت الله سبحانی، آیت الله گرامی و ...) شخصیت ها (همچون استاد انصاریان، محمد باقر الموسوی المهری، السید علی الشهرستانی ، واعظ موسوی، و ....) مراکز مذهبی شیعی (مدرسه امام صادق (ع)، مرکز امام علی (ع) ، پیام کوثر، مؤسسه زائر، حرم حضرت معصومه (س)، دارالهلال، هیئت مهدویون قم ، بوستان کتاب ، قم سیتی و ...) را به عهده دارد توسط یک گروه عرب وهابی ظاهرا اماراتی (البته نه به صورت متقن بلکه بیشتر به دلیل وجود لینک سایت http://www.alamuae.com در لوگ مربوطه) تحت نام GroupXp انجام شده و طی هک شدن این سرور تمامی دامنه های تعریف شده بر روی این سرور (حدود 600 سایت ) از دسترس خارج شده اند.
این گروه وهابی که ادعای از بین بردن تمامی سایتهای شیعیان (روافض) را دارند بر روی تقریبا تمامی سایتها (Domain ها) که از سرور موسسه آلالبیت استفاده می کنند با استفاده از اشعار و ادبیات و تصاویر موهن، به توهین و هتک حرمت مراجع پرداخته و با انتشار اشعاری به زبان عربی، به تشیع و شیعیان توهین کردهاند.
و همچنین در صفحه مذکور فایل ویدیویی از یوتیوب گذاشته شده که در آن مجری یک برنامه انگلیسی زبان در مورد یکی از فتوی های آیت الله سیستانی توضیحاتی همراه با شوخی ارائه میکند.
و اما بحث فنی این جریان اینچنین است که شخص هکر (بیشتر تاکید بر این نکته که بصورت فردی بوده نه گروهی و جهت بزرگنمایی از اسامی همچون groupxp استفاده شده ، چرا که تاکنون هیچ ردپایی از این گروه نبوده (جهت این موضوع به سایتهای منبعی همچون http://www.zone-h.org می توان مراجعه کرد) تنها با بدست آوردن پسورد ایمیل مسئول فنی سرور آل البیت (admin) و مشاهده اکانت مربوط به دامنه al-shia.net که در حقیقت دامنه اصلی سرور آل البیت (ns1.al-shia.neT) می باشد ، آن را تغییر داده (پسورد دامنه) و تنظیمات مربوط به DNS آن را از روی سرور آل البیت به روی سرور موردنظر خودش (NS1. alstrahost.COM) که باعث گردید تمامی دامنه ها تعریف شده بر روی سیستم های سرور آل البیت (که خود شامل سرور اختصاصی سایت http://www.al-shia.net که برای مؤسسه آل البیت نیز بود) بر روی سرور جدید ریدایرکت شود ، اما از آنجایی که این امر (تغییر dns مربوط به دامنه) معمولا بین یک تا چند روز (بستگی به نقطه مورد فراخوانی دامنه دارد) طول می کشد (البته نکته فنی آن به علت دیر آپدیت شدن Rotuer ها (مسیریابها) و Cash پرووایدرهای اینترنتی (ISPها ) یی است که در این شبکه بزرگ اینترنتی موجود هستند می باشد) در بسیاری از مناطق این دامنه ها (سایت ها) هنوز به صورت نرمال فعال بوده و حمله (هک) را متوجه نشده و در حقیقت این تغییر dns در منطقه آنها هنوز اعمال نشده بود.
(به طور نمونه سایت ولی عصر 1331 بازدیدکننده دیروز داشته (که 164 بازدید آن به قبل از تغییر dns (که شامل قبل ساعت 4 بامداد) می باشد) و بقیه بازدیدها به دلیل نکته فوق الذکر قادر به مشاهده سایت بودند) (نکته: جهت مشاهده اصل وضعیت بروز یک سایت می توانید از پروکسی استفاده نمایید)
و در حقیقت می توان این حمله را یک تغییر آدرس سرور به علت اهمال مسئول فنی مربوطه دانست نه بزرگنمایی که بسیاری از خبرگزارهای و سایتها متاسفانه به آن شاخ و برگ دادند. که من جمله به خبر سایت تابناک
http://www.tabnak.ir/pages/?cid=18660
می توان اشاره کرد که در آن ساعت حمله را به اشتباه 2:30 اعلام کردند که در حقیقت ساعت 4 بامداد بوده و یا بزرگنمایی بیش از حد در مورد تعداد نفرات (حدود 200 تا 250 نفر ) که به نظر بنده به سختی می توان قبول کرد که بیش از یک نفر بوده و یا هزینه 300 میلیون دلار که آن هم فکر کنم گزافه گویی بیش از حد بوده چرا که برای بدست آوردن پسورد یک ایمیل نیازی به هزینه ای نیست و سوء استفاده از سهل انگاری دیگری بوده است و ...
اثرات منفی اینگونه اطلاع رسانی های اشتباه را می توانید در لینک های ذیل مشاهده نمایید:
https://balatarin.com/topic/2008/9/18/1001880
http://balatarin.com/permlink/2008/9/18/1400701
http://balatarin.com/permlink/2008/9/18/1400394
http://balatarin.com/permlink/2008/9/18/1400459
و..
و البته لازم به ذکر است که در این حمله به هیچ عنوان به اصل خود سرور نفوذی صورت نگرفته و کلیه اطلاعات بر روی سرور موجود و بدون هیچ تغییری است و حتی دامنه های آن نیز مشکلی نداشته و تنها دامنه اصلی سرور تغییر یافته بود.
لینک خبر هک سایت آیت الله سیستانی در زئون:
http://www.zone-h.org/component/option,com_mirrorwrp/Itemid,160/id,7947763/
جهت مشاهده لیست دامنه های موجود بر روی سرورهای آل البیت می توان از لینک ذیل استفاده نمایید:
http://domainbyip.com/66.230.192.134/
وهمچنین سرور اختصاصی خود الشیعه :
http://domainbyip.com/66.230.195.118/
توضیحات مربوط به سرور alstrahost را که سایت های سرور آل البیت بر روی آن ریدایرکت شده بود را می توانید در لینک ذیل مشاهده نمایید:
http://whois.domaintools.com/alstrahost.com
لینک برخی از سایتهای موجود بر روی این سرور:
http://domainbyip.com/69.73.131.183/
و جهت رفع مشکل فوق نیز مسئولین فنی آل البیت از آنجایی که جهت خرید دامنه های خود از سایت mydomain.com (که در حقیقت قبلا dotregistrar.com بوده که چندیست زیرمجموعه mydoamin.com می باشد) اقدام کرده بودند، طبق روال اکثریت شرکتهای خدمات هاستینگ که خدمات ثبت دامنه نیز دارند امکان بدست گرفتن مجدد پسورد دامنه از سایت ارائه کننده خدمات را از طریق اثبات اثبات مالکیت معنوی دامنه داشتند.
(که این امر از طریق مشاهده لیست history مربوط به تنظیمات دامنه قابل اثبات هست) که این امر در بعدازظهر روز پنجشنبه 28 شهریور محقق گردید، (دلیل تاخیر مذکور (از ساعت 4 بامداد تا بعدازظهر حدود ساعت 4 نیز به علت انتظار جهت آمدن مسئولین سایت مذکور در تگزاس آمریکا (با توجه به اختلاف ساعت با کشور ما ) می باشد)
نکته خاصی که در مورد این تاخیر می توان اشاره کرد آن است که متاسفانه در ایران تاکنون هیچ شرکت و سایتی قابلیت ارائه مستقیم ثبت دامنه از سازمان جهانی ثبت مالکیتهای معنوی (accan ) را نداشته و تمامی سایتهای و شرکتهای ارائه خدمات هاستینگ در ایران از طریق واسطه هایی همچون : آنلاین نیک، دایرکت آی، گوددی، دات ریجستر، نیم چیپ و ... چرا که برای بدست آوردن چنین قابلیتی حداقل نیازمند ثبت ده هزار دامنه توسط پرووایدر (شرکت واسطه) هست که تاکنون چنین سابقه ای برای هیچ شرکتی در ایران فراهم نگردیده (که در این بین پارس دیتا با چیزی حدود 6 تا 7 هزار از بقیه دارا سابقه بیشتری در زمینه ثبت دامنه بوده)
والبته دامنه هایIR نیز مشکلات خاص خود را با توجه به بحث فشار تحریم ها که هر ازچند گاهی به صاحبان سرور وارد می شود را دارند.
و نهایت امر اینکه به هر حال نمی توان منکر این قضیه شد که همین تغییر dns ساده باعث ریداریکت شدن تمامی سایتهای موردنظر (مراجع، بزرگان و ...) در سرور آل البیت شد که حداقل تا حد زیادی باعث آبرو ریزی و سوء استفاده دشمنان از قضیه فوق گردید
حداقل این نکته باعث شد که مسئولین ما دقت عمل بیشتری داشته باشند تا زین پس با چنین اشتباهات کودکانه ای باعث ایجاد خساراتهای اینچنین نگردند.
و نکته آخر اینکه یک روز پس از واقعه حملاتی نیز توسط برخی از هکرهای ایرانی در تلافی این عمل انجام شده که حملات گروه آشیانه من جمله می باشند.
این گروه وهابی که ادعای از بین بردن تمامی سایتهای شیعیان (روافض) را دارند بر روی تقریبا تمامی سایتها (Domain ها) که از سرور موسسه آلالبیت استفاده می کنند با استفاده از اشعار و ادبیات و تصاویر موهن، به توهین و هتک حرمت مراجع پرداخته و با انتشار اشعاری به زبان عربی، به تشیع و شیعیان توهین کردهاند.
و همچنین در صفحه مذکور فایل ویدیویی از یوتیوب گذاشته شده که در آن مجری یک برنامه انگلیسی زبان در مورد یکی از فتوی های آیت الله سیستانی توضیحاتی همراه با شوخی ارائه میکند.
و اما بحث فنی این جریان اینچنین است که شخص هکر (بیشتر تاکید بر این نکته که بصورت فردی بوده نه گروهی و جهت بزرگنمایی از اسامی همچون groupxp استفاده شده ، چرا که تاکنون هیچ ردپایی از این گروه نبوده (جهت این موضوع به سایتهای منبعی همچون http://www.zone-h.org می توان مراجعه کرد) تنها با بدست آوردن پسورد ایمیل مسئول فنی سرور آل البیت (admin) و مشاهده اکانت مربوط به دامنه al-shia.net که در حقیقت دامنه اصلی سرور آل البیت (ns1.al-shia.neT) می باشد ، آن را تغییر داده (پسورد دامنه) و تنظیمات مربوط به DNS آن را از روی سرور آل البیت به روی سرور موردنظر خودش (NS1. alstrahost.COM) که باعث گردید تمامی دامنه ها تعریف شده بر روی سیستم های سرور آل البیت (که خود شامل سرور اختصاصی سایت http://www.al-shia.net که برای مؤسسه آل البیت نیز بود) بر روی سرور جدید ریدایرکت شود ، اما از آنجایی که این امر (تغییر dns مربوط به دامنه) معمولا بین یک تا چند روز (بستگی به نقطه مورد فراخوانی دامنه دارد) طول می کشد (البته نکته فنی آن به علت دیر آپدیت شدن Rotuer ها (مسیریابها) و Cash پرووایدرهای اینترنتی (ISPها ) یی است که در این شبکه بزرگ اینترنتی موجود هستند می باشد) در بسیاری از مناطق این دامنه ها (سایت ها) هنوز به صورت نرمال فعال بوده و حمله (هک) را متوجه نشده و در حقیقت این تغییر dns در منطقه آنها هنوز اعمال نشده بود.
(به طور نمونه سایت ولی عصر 1331 بازدیدکننده دیروز داشته (که 164 بازدید آن به قبل از تغییر dns (که شامل قبل ساعت 4 بامداد) می باشد) و بقیه بازدیدها به دلیل نکته فوق الذکر قادر به مشاهده سایت بودند) (نکته: جهت مشاهده اصل وضعیت بروز یک سایت می توانید از پروکسی استفاده نمایید)
و در حقیقت می توان این حمله را یک تغییر آدرس سرور به علت اهمال مسئول فنی مربوطه دانست نه بزرگنمایی که بسیاری از خبرگزارهای و سایتها متاسفانه به آن شاخ و برگ دادند. که من جمله به خبر سایت تابناک
http://www.tabnak.ir/pages/?cid=18660
می توان اشاره کرد که در آن ساعت حمله را به اشتباه 2:30 اعلام کردند که در حقیقت ساعت 4 بامداد بوده و یا بزرگنمایی بیش از حد در مورد تعداد نفرات (حدود 200 تا 250 نفر ) که به نظر بنده به سختی می توان قبول کرد که بیش از یک نفر بوده و یا هزینه 300 میلیون دلار که آن هم فکر کنم گزافه گویی بیش از حد بوده چرا که برای بدست آوردن پسورد یک ایمیل نیازی به هزینه ای نیست و سوء استفاده از سهل انگاری دیگری بوده است و ...
اثرات منفی اینگونه اطلاع رسانی های اشتباه را می توانید در لینک های ذیل مشاهده نمایید:
https://balatarin.com/topic/2008/9/18/1001880
http://balatarin.com/permlink/2008/9/18/1400701
http://balatarin.com/permlink/2008/9/18/1400394
http://balatarin.com/permlink/2008/9/18/1400459
و..
و البته لازم به ذکر است که در این حمله به هیچ عنوان به اصل خود سرور نفوذی صورت نگرفته و کلیه اطلاعات بر روی سرور موجود و بدون هیچ تغییری است و حتی دامنه های آن نیز مشکلی نداشته و تنها دامنه اصلی سرور تغییر یافته بود.
لینک خبر هک سایت آیت الله سیستانی در زئون:
http://www.zone-h.org/component/option,com_mirrorwrp/Itemid,160/id,7947763/
جهت مشاهده لیست دامنه های موجود بر روی سرورهای آل البیت می توان از لینک ذیل استفاده نمایید:
http://domainbyip.com/66.230.192.134/
وهمچنین سرور اختصاصی خود الشیعه :
http://domainbyip.com/66.230.195.118/
توضیحات مربوط به سرور alstrahost را که سایت های سرور آل البیت بر روی آن ریدایرکت شده بود را می توانید در لینک ذیل مشاهده نمایید:
http://whois.domaintools.com/alstrahost.com
لینک برخی از سایتهای موجود بر روی این سرور:
http://domainbyip.com/69.73.131.183/
و جهت رفع مشکل فوق نیز مسئولین فنی آل البیت از آنجایی که جهت خرید دامنه های خود از سایت mydomain.com (که در حقیقت قبلا dotregistrar.com بوده که چندیست زیرمجموعه mydoamin.com می باشد) اقدام کرده بودند، طبق روال اکثریت شرکتهای خدمات هاستینگ که خدمات ثبت دامنه نیز دارند امکان بدست گرفتن مجدد پسورد دامنه از سایت ارائه کننده خدمات را از طریق اثبات اثبات مالکیت معنوی دامنه داشتند.
(که این امر از طریق مشاهده لیست history مربوط به تنظیمات دامنه قابل اثبات هست) که این امر در بعدازظهر روز پنجشنبه 28 شهریور محقق گردید، (دلیل تاخیر مذکور (از ساعت 4 بامداد تا بعدازظهر حدود ساعت 4 نیز به علت انتظار جهت آمدن مسئولین سایت مذکور در تگزاس آمریکا (با توجه به اختلاف ساعت با کشور ما ) می باشد)
نکته خاصی که در مورد این تاخیر می توان اشاره کرد آن است که متاسفانه در ایران تاکنون هیچ شرکت و سایتی قابلیت ارائه مستقیم ثبت دامنه از سازمان جهانی ثبت مالکیتهای معنوی (accan ) را نداشته و تمامی سایتهای و شرکتهای ارائه خدمات هاستینگ در ایران از طریق واسطه هایی همچون : آنلاین نیک، دایرکت آی، گوددی، دات ریجستر، نیم چیپ و ... چرا که برای بدست آوردن چنین قابلیتی حداقل نیازمند ثبت ده هزار دامنه توسط پرووایدر (شرکت واسطه) هست که تاکنون چنین سابقه ای برای هیچ شرکتی در ایران فراهم نگردیده (که در این بین پارس دیتا با چیزی حدود 6 تا 7 هزار از بقیه دارا سابقه بیشتری در زمینه ثبت دامنه بوده)
والبته دامنه هایIR نیز مشکلات خاص خود را با توجه به بحث فشار تحریم ها که هر ازچند گاهی به صاحبان سرور وارد می شود را دارند.
و نهایت امر اینکه به هر حال نمی توان منکر این قضیه شد که همین تغییر dns ساده باعث ریداریکت شدن تمامی سایتهای موردنظر (مراجع، بزرگان و ...) در سرور آل البیت شد که حداقل تا حد زیادی باعث آبرو ریزی و سوء استفاده دشمنان از قضیه فوق گردید
حداقل این نکته باعث شد که مسئولین ما دقت عمل بیشتری داشته باشند تا زین پس با چنین اشتباهات کودکانه ای باعث ایجاد خساراتهای اینچنین نگردند.
و نکته آخر اینکه یک روز پس از واقعه حملاتی نیز توسط برخی از هکرهای ایرانی در تلافی این عمل انجام شده که حملات گروه آشیانه من جمله می باشند.
+ نوشته شده در ساعت توسط حسن سامی نسب
|
