- إنضم
- 06/04/2026
- المشاركات
- 72
التحقيق الجنائي الرقمي: ماذا تفعل بعد وقوع الاختراق؟
دليل تتبع الأثر وكشف هوية المخترقين في شبكة كود نت
لحظة اكتشاف الاختراق هي اللحظة الأكثر توتراً لأي مدير موقع. لكن التصرف بعشوائية قد يؤدي لتدمير الأدلة الرقمية التي تدين المهاجم. التحقيق الجنائي الرقمي ليس مجرد إصلاح للموقع، بل هو عملية "تتبع الأثر" لمعرفة كيف دخل المهاجم، ماذا سرق، وكيف نمنعه من العودة.
خاتمة
التحقيق الجنائي هو الفرق بين "ترقيع" الموقع وبين تأمينه للأبد. كن هادئاً، دقيقاً، واترك الأدلة تتحدث.
إعداد: لجنة الأمن والدفاع - كود نت
دليل تتبع الأثر وكشف هوية المخترقين في شبكة كود نت
لحظة اكتشاف الاختراق هي اللحظة الأكثر توتراً لأي مدير موقع. لكن التصرف بعشوائية قد يؤدي لتدمير الأدلة الرقمية التي تدين المهاجم. التحقيق الجنائي الرقمي ليس مجرد إصلاح للموقع، بل هو عملية "تتبع الأثر" لمعرفة كيف دخل المهاجم، ماذا سرق، وكيف نمنعه من العودة.
1. القاعدة الذهبية: لا تلمس شيئاً (Preservation)
قبل البدء في الإصلاح، يجب الحفاظ على حالة السيرفر كما هي:- تجنب إعادة التشغيل (Reboot): إعادة تشغيل السيرفر قد تمسح الأدلة الموجودة في الذاكرة العشوائية (RAM) مثل العمليات الخبيثة النشطة.
- أخذ نسخة احتياطية فورية (Snapshot): قم بعمل نسخة كاملة للحالة الراهنة للسيرفر (Image) للتحقيق فيها دون التأثير على الموقع الحي.
- عزل السيرفر: إذا كان الهجوم مستمراً، اقطع الاتصال الخارجي أو فعل وضع الصيانة، لكن لا تحذف الملفات المشبوهة فوراً.
2. تحليل السجلات (Log Analysis)
السجلات هي "الصندوق الأسود" للسيرفر، ومنها نبدأ التحقيق:- سجلات الوصول (Access Logs): ابحث في سجلات Apache أو Nginx عن طلبات مشبوهة مثل استدعاء ملفات بأسماء غريبة (مثل
shell.phpأوcmd.aspx). - سجلات النظام (Auth Logs): افحص ملف
/var/log/auth.logلمعرفة محاولات الدخول عبر SSH والـ IP الذي نجح في الدخول. - سجلات قاعدة البيانات: ابحث عن استعلامات غير طبيعية قد تشير إلى عملية سحب لبيانات الأعضاء (SQL Dumping).
3. البحث عن "الأبواب الخلفية" (Backdoors)
المخترق دائماً ما يترك وسيلة للعودة. ابحث عن:- الملفات المعدلة حديثاً: استخدم أمر
findللبحث عن الملفات التي تغيرت في آخر 24 ساعة. - المهام المجدولة (Cron Jobs): افحص قائمة المهام المجدولة، فقد يضع المهاجم سكربت يعيد فتح الاختراق تلقائياً كل ساعة.
- حسابات المدير المجهولة: في XenForo، راجع قائمة المديرين وتأكد من عدم وجود حساب جديد بصلاحيات إدارية لم تمنحها أنت.
4. تتبع مصدر الهجوم (Source Tracking)
- التحقق من الـ IP: استخدم أدوات مثل Whois و IP-Lookup لمعرفة الدولة والشركة المزودة للإنترنت التي استخدمها المهاجم.
- تحليل البصمة (Fingerprinting): هل استخدم المهاجم أدوات آلية مثل Sqlmap؟ تظهر هذه الأدوات بصمة واضحة في سجلات السيرفر (User-Agent).
5. كتابة تقرير الحادثة والتعافي
بعد انتهاء التحقيق، يجب القيام بالآتي:- سد الثغرة: لا يكفي حذف ملفات المهاجم، بل يجب سد الثغرة البرمجية أو الأمنية التي دخل منها.
- تغيير كافة كلمات المرور: (قواعد البيانات، SSH، لوحة التحكم، وحسابات المديرين).
- إعلام الأعضاء (اختياري): بناءً على حجم البيانات المسربة، قد تضطر لإعلام الأعضاء بتغيير كلمات مرورهم حفاظاً على أمانهم.
خاتمة
التحقيق الجنائي هو الفرق بين "ترقيع" الموقع وبين تأمينه للأبد. كن هادئاً، دقيقاً، واترك الأدلة تتحدث.
إعداد: لجنة الأمن والدفاع - كود نت