۰

تحليل فني از جريان هک شدن سرور آل البيت

کد خبر: ۳۸۶۴
۰۰:۰۰ - ۰۱ مهر ۱۳۸۷

در شب گذشته (28 شهريور) حمله اي بي سابقه عليه بزرگترين سرور جهان تشيع (سرور آل البيت به آدرس ns1.al-shia.com , ns3.al-shia.com) که ميزباني سايتهاي بسياري از مراجع تقليد (حضرات آيت الله مکارم شيرازي، آيت الله تبريزي، آيت الله سيستاني ، آيت الله سبحاني، آيت الله گرامي و ...) شخصيت ها (همچون استاد انصاريان، محمد باقر الموسوي المهري، السيد علي الشهرستاني ، واعظ موسوي، و ....) مراکز مذهبي شيعي (مدرسه امام صادق (ع)، مرکز امام علي (ع) ، پيام کوثر، مؤسسه زائر، حرم حضرت معصومه (س)، دارالهلال، هيئت مهدويون قم ، بوستان کتاب ، قم سيتي و ...) را به عهده دارد توسط يک گروه عرب وهابي ظاهرا اماراتي (البته نه به صورت متقن بلکه بيشتر به دليل وجود لينک سايت http://www.alamuae.com در لوگ مربوطه) تحت نام GroupXp انجام شده و طي هک شدن اين سرور تمامي دامنه هاي تعريف شده بر روي اين سرور (حدود 600 سايت ) از دسترس خارج شده اند.

اين گروه وهابي که ادعاي از بين بردن تمامي سايتهاي شيعيان (روافض) را دارند بر روي تقريبا تمامي سايتها (Domain ها) که از سرور موسسه آل‌البيت استفاده مي کنند با استفاده از اشعار و ادبيات و تصاوير موهن، به توهين و هتک حرمت مراجع پرداخته و با انتشار اشعاري به زبان عربي، به تشيع و شيعيان توهين کرده‌اند.

و همچنين در صفحه مذکور فايل ويديويي از يوتيوب گذاشته شده که در آن مجري يک برنامه انگليسي زبان در مورد يکي از فتوي هاي آيت الله سيستاني توضيحاتي همراه با شوخي ارائه ميکند.

و اما بحث فني اين جريان اينچنين است که شخص هکر (بيشتر تاکيد بر اين نکته که بصورت فردي بوده نه گروهي و جهت بزرگنمايي از اسامي همچون groupxp استفاده شده ، چرا که تاکنون هيچ ردپايي از اين گروه نبوده (جهت اين موضوع به سايتهاي منبعي همچون http://www.zone-h.org مي توان مراجعه کرد) تنها با بدست آوردن پسورد ايميل مسئول فني سرور آل البيت (admin) و مشاهده اکانت مربوط به دامنه al-shia.net که در حقيقت دامنه اصلي سرور آل البيت (ns1.al-shia.neT) مي باشد ، آن را تغيير داده (پسورد دامنه) و تنظيمات مربوط به DNS آن را از روي سرور آل البيت به روي سرور موردنظر خودش (NS1. alstrahost.COM) که باعث گرديد تمامي دامنه ها تعريف شده بر روي سيستم هاي سرور آل البيت (که خود شامل سرور اختصاصي سايت www.al-shia.net که براي مؤسسه آل البيت نيز بود) بر روي سرور جديد ريدايرکت شود ، اما از آنجايي که اين امر (تغيير dns مربوط به دامنه) معمولا بين يک تا چند روز (بستگي به نقطه مورد فراخواني دامنه دارد) طول مي کشد (البته نکته فني آن به علت دير آپديت شدن Rotuer ها (مسيريابها) و Cash پرووايدرهاي اينترنتي (ISPها ) يي است که در اين شبکه بزرگ اينترنتي موجود هستند مي باشد) در بسياري از مناطق اين دامنه ها (سايت ها) هنوز به صورت نرمال فعال بوده و حمله (هک) را متوجه نشده و در حقيقت اين تغيير dns در منطقه آنها هنوز اعمال نشده بود.

(به طور نمونه سايت ولي عصر 1331 بازديدکننده ديروز داشته (که 164 بازديد آن به قبل از تغيير dns (که شامل قبل ساعت 4 بامداد) مي باشد) و بقيه بازديدها به دليل نکته فوق الذکر قادر به مشاهده سايت بودند) (نکته: جهت مشاهده اصل وضعيت بروز يک سايت مي توانيد از پروکسي استفاده نماييد)

و در حقيقت مي توان اين حمله را يک تغيير آدرس سرور به علت اهمال مسئول فني مربوطه دانست نه بزرگنمايي که بسياري از خبرگزارهاي و سايتها متاسفانه به آن شاخ و برگ دادند. که من جمله به خبر سايت تابناک
http://www.tabnak.ir/pages/?cid=18660
مي توان اشاره کرد که در آن ساعت حمله را به اشتباه 2:30 اعلام کردند که در حقيقت ساعت 4 بامداد بوده و يا بزرگنمايي بيش از حد در مورد تعداد نفرات (حدود 200 تا 250 نفر ) که به نظر بنده به سختي مي توان قبول کرد که بيش از يک نفر بوده و يا هزينه 300 ميليون دلار که آن هم فکر کنم گزافه گويي بيش از حد بوده چرا که براي بدست آوردن پسورد يک ايميل نيازي به هزينه اي نيست و سوء استفاده از سهل انگاري ديگري بوده است و ...

اثرات منفي اينگونه اطلاع رساني هاي اشتباه را مي توانيد در لينک هاي ذيل مشاهده نماييد:


https://balatarin.com/topic/2008/9/18/1001880

http://balatarin.com/permlink/2008/9/18/1400701

http://balatarin.com/permlink/2008/9/18/1400394

http://balatarin.com/permlink/2008/9/18/1400459

و...

و البته لازم به ذکر است که در اين حمله به هيچ عنوان به اصل خود سرور نفوذي صورت نگرفته و کليه اطلاعات بر روي سرور موجود و بدون هيچ تغييري است و حتي دامنه هاي آن نيز مشکلي نداشته و تنها دامنه اصلي سرور تغيير يافته بود.

لينک خبر هک سايت آيت الله سيستاني در زون:

http://www.zone-h.org/component/option,com_mirrorwrp/Itemid,160/id,7947763/
جهت مشاهده ليست دامنه هاي موجود بر روي سرورهاي آل البيت مي توان از لينک ذيل استفاده نماييد:

http://domainbyip.com/66.230.192.134/

وهمچنين سرور اختصاصي خود الشيعه :

http://domainbyip.com/66.230.195.118/
توضيحات مربوط به سرور alstrahost را که سايت هاي سرور آل البيت بر روي آن ريدايرکت شده بود را مي توانيد در لينک ذيل مشاهده نماييد:

http://whois.domaintools.com/alstrahost.com

لينک برخي از سايتهاي موجود بر روي اين سرور:

http://domainbyip.com/69.73.131.183/

و جهت رفع مشکل فوق نيز مسئولين فني آل البيت از آنجايي که جهت خريد دامنه هاي خود از سايت mydomain.com (که در حقيقت قبلا dotregistrar.com بوده که چنديست زيرمجموعه mydoamin.com مي باشد) اقدام کرده بودند، طبق روال اکثريت شرکتهاي خدمات هاستينگ که خدمات ثبت دامنه نيز دارند امکان بدست گرفتن مجدد پسورد دامنه از سايت ارائه کننده خدمات را از طريق اثبات اثبات مالکيت معنوي دامنه داشتند.

(که اين امر از طريق مشاهده ليست history مربوط به تنظيمات دامنه قابل اثبات هست) که اين امر در بعدازظهر روز پنجشنبه 28 شهريور محقق گرديد، (دليل تاخير مذکور (از ساعت 4 بامداد تا بعدازظهر حدود ساعت 4 نيز به علت انتظار جهت آمدن مسئولين سايت مذکور در تگزاس آمريکا (با توجه به اختلاف ساعت با کشور ما ) مي باشد)

نکته خاصي که در مورد اين تاخير مي توان اشاره کرد آن است که متاسفانه در ايران تاکنون هيچ شرکت و سايتي قابليت ارائه مستقيم ثبت دامنه از سازمان جهاني ثبت مالکيتهاي معنوي (accan ) را نداشته و تمامي سايتهاي و شرکتهاي ارائه خدمات هاستينگ در ايران از طريق واسطه هايي همچون : آنلاين نيک، دايرکت آي، گوددي، دات ريجستر، نيم چيپ و ... چرا که براي بدست آوردن چنين قابليتي حداقل نيازمند ثبت ده هزار دامنه توسط پرووايدر (شرکت واسطه) هست که تاکنون چنين سابقه اي براي هيچ شرکتي در ايران فراهم نگرديده (که در اين بين پارس ديتا با چيزي حدود 6 تا 7 هزار از بقيه دارا سابقه بيشتري در زمينه ثبت دامنه بوده)

والبته دامنه هايIR نيز مشکلات خاص خود را با توجه به بحث فشار تحريم ها که هر ازچند گاهي به صاحبان سرور وارد مي شود را دارند.

و نهايت امر اينکه به هر حال نمي توان منکر اين قضيه شد که همين تغيير dns ساده باعث ريداريکت شدن تمامي سايتهاي موردنظر (مراجع، بزرگان و ...) در سرور آل البيت شد که تا حد زيادي باعث آبرو ريزي و سوء استفاده دشمنان از قضيه فوق گرديد.

و نتيجه آنکه اين نکته باعث شد که مسئولين ما دقت عمل بيشتري داشته باشند تا زين پس با چنين اشتباهات کودکانه اي باعث ايجاد خساراتهاي اينچنيني نگردند.

و نکته آخر اينکه يک روز پس از اين واقعه ، حملاتي نيز توسط برخي از هکرهاي ايراني در تلافي اين عمل انجام شد. که حملات گروه آشيانه من جمله مي باشند.
http://alramsschools.ae/

http://www.ajman.ac.ae/austweb/default.asp
لينک فوق مربوط به دانشگاه عجمان امارات مي باشد و اين گزارش ثبت نفوذ در سايت زون:

http://www.zone-h.org/component/option,com_mirrorwrp/Itemid,0/id,7951157/

و البته الي ماشاءالله سايت ديگر که گروه آشيانه با نفوذ و گذاشتن ردپايي خود (صفحه آرم و لوگوي خود) اعتبار سرورها و هاستهاي مربوطه را زيرسؤال بردند.
و همچنين تاييديه سايت زون در نفوذ يکي ديگر از سايتهاي کشور امارات توسط گروه دلتا هکر:
http://www.zone-h.org/component/option,com_mirrorwrp/Itemid,160/id,7951333
و لينک خبر مربوط به عکس العمل هکران ايراني در سايت فارس نيوز:

http://www.farsnews.net/newstext.php?nn=8706290858

و همچنين بازتاب عکس العمل هکران ايراني در دنيا (به نقل از ياهونيوز)
http://news.yahoo.com/s/afp/20080919/tc_afp/iranreligioninternet;_ylt=ApBdE9j17PnLoGfX9C4pZw2DzdAF

ارسال نظرات
نظرات حاوی عبارات توهین آمیز منتشر نخواهد شد
نام:
ایمیل:
* نظر: