iScanner للتخلص من فيروسات المواقع في سيرفرك

كتب بتاريخ: Feb 1st, 2010 | بواسطة: عبدالمهيمن

يسعدنا أن نعلن لكم عن اطلاق الاصدار التجريبي الأول 0.1 من أداة iScanner, تعتبر هذه الأداة أول المشاريع البرمجية التي يطلقها موقع iSecur1ty وهي موجّهة لمدراء السيرفرات وشركات الاستضافة لتساعدهم على التأكد من خلو المواقع الموجودة على السيرفر من بعض الملفات الضارة و فيروسات المواقع التي انتشرت بشكل كبير خلال الفترة السابقة.

منذ البدء ببرمجة هذه الأداة وضعنا عدّة أمور من الأولويات أهمها سهولة تركيب والاستخدام بالاضافة للمرونة وقابلية التطوير في المستقبل.. برمجة الأداة استغرق وقت وساعات عمل ليست بالقليلة وذلك لضمان عمل الأداة بطريقة آمنة ولتوفّر تحكم كامل لمدير السيرفر مع متابعتنا لاختبار أداء العمل بشكل مستمر لضمان عدم التسبب بضغط على السيرفر وليتم فحص الملفات الموجودة فيه بشكل سريع.

الأداة مبرمجة بلغة Ruby (برمجت من الصفر دون الاعتماد على أي أدوات أخرى وتتطلّب وجود مفسّر روبي على السيرفر فقط!) وهي مجانية ومفتوحة المصدر تحت رخصة GNU Affero General Public License وحقوقها محفوظة لموقع iSecur1ty يمكن لأي شخص الحصول على نسخة منها واستخدامها مجاناً, الاطلاع على لكود المصدري ودراسته وحتى المساهمة في تطويرها بشرط أن يبقى الملف المصدري متوفّراً, يمكن مراجعة رخصة AGPL لقراءة نص الرخصة كاملاً.

طريقة عمل الأداة بسيطة وليست معقدة فهي تعمل بشكل مشابه لبرامج مضادات الفايروسات لكن بطريقة مختلفة بعض الشيء, يأتي مع الأداة قاعدة بيانات صغيرة تحتوي على تواقيع أمنية (عبارة عن Regex) تمثّل بصمة للأكواد الضارة التي تستخدمها الفايروسات لنشر نفسها أو الهاكرز لنشر ملفات التجسس أو استغلال بعض الثغرات لاختراق أجهزة المستخدمين عن طريق المتصفح, لكل توقيع موجود في قاعدة البيانات كود خاص به و وصف بسيط بالاضافة لمعلومات أخرى تعتمد عليها الأداة لتحديد طريقة الفحص.

الميزات الحالية:

  • اكتشاف فايروسات iframe المخفية بالصفحات.
  • اكتشاف أكواد Javascript الضارة وثغرات ActiveX التي يستغلها الهاكرز لاختراق أجهزة المستخدمين (الصفحات الملغمة).
  • اكتشاف الأكواد المشفرة بتشفير base64 وأكواد vbscript (يتم استخدام أكواد vbscript لاستغلال بعض ثغرات IE).
  • فحص الملفات بالامتدادات htm , html , php , js , xml مع امكانية تحديد امتدادات مختلفة من خيارات الأداة عند التشغيل.
  • امكانية تحديث قاعدة البيانات من سيرفر خاص تم اعداده لأداة iScanner مع امكانية تحديث البرنامج كامل بشكل مباشر في حال توفّر اصدار أحدث.
  • القدرة على تعديل قاعدة البيانات بسهولة واضافة تواقيع خاصة بك في حال لم تكتشف الأداة احدى الأكواد الضارة.
  • تصدير ملف log يوضح الملفات المصابة, التوقيع المستخدم, وصف عن التوقيع الأمني والكود المصاب بالصفحة.
  • امكانية تشغيل الأداة بالوضع العادي لاظهار الملفات المصابة على الشاشة مباشرة أو بالوضع الصامت quiet mode.
  • قدرة الأداة على حذف الكود الضار من جميع الملفات المصابة الموجودة في ملف الـ log بشكل تلقائي.
  • امكانية تشغيل الأداة باستخدام الوضع Auto Clean لحذف الفايروسات من الصفحات مباشرة وبشكل أوتوماتيكي.

صور تظهر الأداة أثناء عملها:

iScanner 0.1

iScanner 0.1

iScanner 0.1 infected log

طبعاً ليس من الضروري أن تكون جميع التحذيرات الظاهرة هي فايروسات أو أكواد ضارة فمثلاً الأكواد المشفرة باستخدام base64 قد لا تكون ضارة لكن يجب اظهار تحذير عن ذلك لأن غالباً يتم استخدامها من قبل الهاكرز لتشفير الأكواد الضارة واخفاؤها كذلك الأمر بالنسبة لأكواد iframe المخفية, بعض السكريبتات تستخدمها لكنها بنفس الوقت مستخدمة من قبل فايروسات المواقع. بمعنى آخر الأداة تظهر جميع الأمور والتحذيرات التي قد تكون خطيرة وتترك حرية التصرف لمدير النظام.

بماذا يختلف iScanner عن مضادات الفايروسات الأخرى مثل ClamAV ؟

مضادات الفايروسات مثل ClamAV تعتمد على تحليل الملفات التنفيذية ومقارنتها مع تواقيع رقمية لكل ملف. أما iScanner فيعتمد على تحليل سورس كود الصفحات والملفات النصية الموجودة بالموقع ثم مقارنته مع توقيع أمني عبارة عن Regex يكون مخزن في قاعدة البيانات.

ميزات نعمل على إضافتها للاصدارات القادمة:

  • اضافة installer و uninstaller لتنصيب iScanner على النظام.
  • خاصية مضمنة بالأداة لارسال تقرير مفصّل على الايميل.
  • تصدير تقارير الملفات المصابة بصيغ مختلفة مثل html, xml.
  • عمل نسخة احتياطية للملف قبل حذف الكود الضار مع امكانية استرجاعه بسهولة.
  • توسيع قاعدة البيانات لاكتشافات الملفات الضارة (مثل php shell) وحذفها بشكل كامل من السيرفر (تتضمن الملفات المشفرة).
  • اضافة ميزة تمكن مدير السيرفر من ارسال ملف مصاب غير مكشوف من الأداة الى سيرفر iSecur1ty ليتم تحليله واصدار توقيع أمني له (الارسال سيكون من داخل الأداة).
  • انشاء خدمة لفحص رابط الصفحات عن بعد من سيرفر iSecur1ty بشكل مباشر.
  • برمجة API للخدمة السابقة تمكّن المبرمجين من استخدامها داخل مواقعهم وتطبيقاتهم.

وكما قلنا سابقاً تم برمجة الأداة من البداية بطريقة مرنة جداً تسمح لنا بتطويرها واضافة ميزات أخرى في المستقبل, ليس بالضروري أن تكون محصورة على اكتشاف الفايروسات الموجودة بالصفحات فقط! نذكّر أن الأداة مازالت بالاصدار التجريبي وفي حال وجود اقتراحات أو اكتشاف أي مشاكل بالأداة يرجى اعلامنا.

يمكن تحميل iScanner 0.1 من هذه الصفحة وإن شاء الله سيتم عمل شرح فيديو قريباً لنشره على موقع iSecur1ty يوضّح ميّزات الأداة وكيفية التعامل معها بالتفصيل.

- اقرأ الموضوع في مدونة iSecur1ty: برنامج iScanner للتخلص من فيروسات المواقع في سيرفرك

التصنيف: GNU/Linux, iSecur1ty.org | عدد المشاهدات 3,097 | عدد التعليقات 22

رابط التعقيبات التعليقات RSS
x

أرسل الى صديق





أرسل الموضوع
twitter del.icio.us digg reddit stumbleupon facebook technorati google yahoo

التعليقات
  1. 1- nadeem كتب بتاريخ: 01 Feb 2010 الساعة: 4:47 AM

    ما شاء الله بالتوفيق أخي الكريم

  2. 2- aajli كتب بتاريخ: 01 Feb 2010 الساعة: 5:00 AM

    بارك الله وما شاء اله عليكم عبدو
    دائما منورين

  3. 3- Hit-Man كتب بتاريخ: 01 Feb 2010 الساعة: 8:57 AM

    السلام عليكم
    و كعادته أخي عبدالمهيمن و طاقم الادارة دائما معكم الجديد و الله أداة جد قوية
    مبرووك عليكم أخي هدا النصر و انشاء الله نشوفكم دائما في الأعلى
    أخي كم باقي للتوزيعة الخاصة بكم أخي؟أقصد توزيعة اللينكس .
    و في انتضار الفيديو الدي سوف يشرح الأداة شرح كامل لك مني أجمل التحية
    و جزاك الله خير الجزاء أخي

  4. 4- Shehab Napster كتب بتاريخ: 01 Feb 2010 الساعة: 11:53 AM

    تسلم حبيبي
    موضوع جميل وقرأته في مدونة مصطفي البازي منذ دقيقتين والله اثناء جولتي الصباحية
    ———————————–
    منتظر مواضيع جديده يا اخي عبد المهيمن

  5. 5- mrloong كتب بتاريخ: 01 Feb 2010 الساعة: 1:07 PM

    مبروك عليكم البرنامج والله يوفقكم انشالله ونشوفة من ضمن أفضل برامج الحماية بأذن الله

  6. 6- saqeraljedian كتب بتاريخ: 01 Feb 2010 الساعة: 2:50 PM

    بسم الله الرحمن الرحيم

    السلام عليكم ورحمة الله وبركاته,,,
    لم اقم بتجربة هذه الاداة بعد ولكن يبدو انها رائعة من سردكم لتفاصيلها.عمل جميل اتمني لك ولمن ساهم معك في برمجة هذه الاداة كل التوفيق والسداد.
    اخوك
    صقرالجديان

  7. 7- the heat man كتب بتاريخ: 01 Feb 2010 الساعة: 3:26 PM

    السلام عليكم ورحمة الله

    بارك الله فيكم ان شاء الله ووفقكم الي ما تحبون ويرضاء ان شاء الله تعالي.

  8. 8- Geek كتب بتاريخ: 01 Feb 2010 الساعة: 4:47 PM

    السلام عليكم ورحمة الله وبركاته
    كيف الحال أخي عبدالمهيمن أتمنى أن تكون في تمام الصحة والعافية
    شكرا على هذه الجهود الكبيرة التي تبذلونها.
    سؤال أخي عبدالمهيمن هل توجد فيروسات مفتوحة المصدر لغرض دراستها فقط لا للتخريب؟

  9. 9- AYSIR كتب بتاريخ: 01 Feb 2010 الساعة: 5:12 PM

    الف مبروك خروج اول اداه باسم الموقع جهود تشكرون عليها واكيد كل هذا في ميزان عملكم

  10. 10- Security@H4x0r كتب بتاريخ: 01 Feb 2010 الساعة: 8:59 PM

    جزاك الله كل الخير على هذا المجهود .

    اداة مهمة لاصحاب المنظومات . واهم حاجة في ميزات الاداة عدام ارتفاع اللود .

    اتمنى لك كل التوفيق في مشاريعك

  11. 11- تركي كتب بتاريخ: 02 Feb 2010 الساعة: 1:08 AM

    الله يوفقكم ومنتظرين توزيعتكم على احر من الجمر

  12. 12- Amro Ahmed Essam كتب بتاريخ: 02 Feb 2010 الساعة: 3:23 PM

    ما شاء الله بالتوفيق أخي الكريم و اتمنى لك مزيد من التوفيق نقطة صغيرة عزيزي اتمنى ما يكون ياثر على موارد السرفر بصورة كبيرة وقتها باذن الله راح يكون مميز عن بقية الادوات

  13. 13- attacker كتب بتاريخ: 03 Feb 2010 الساعة: 1:30 AM

    سكريبت جيد
    لكن رأيت أنك عامل مقارنة مع مضادات الفيروسات المعروفة؟ clamav
    البرامج الأخرى تعتمد على فحص الملفات التنفيدية
    لكن السكريبت منحصر فقط على فحص سورس صفحات الويب
    و أكيد مش ممكن تعمل فحص لملف تنفيدي بقراءة السورس
    يعني أرى أنك تعمل مقارنة لشيئين مختلفين تماما
    (سكريبت بسيط مقارنة ببرنامج كبير)
    إضافة على دلك قاعدة البيانات محدودة جدا
    هل فكرتم في فحص php backdoors?
    أو
    jsp,asp,php shells
    و لا ننسى أيضا ملفات pdf الملغومة

    أتمنى تطور للسكريبت

  14. 14- عبدالمهيمن كتب بتاريخ: 03 Feb 2010 الساعة: 4:02 AM

    شكراً للجميع على التشجيع والكلمات الجميلة, أتمنى أن تكون الأداة مفيدة للبعض منكم وان شاء الله سيتم اصدار بعد التحديثات قريباً.

    @Hit-Man: بالنسبة لـ iExplo1t فنحن نعمل عليها لكن بشكل بطيئ, أعلم أنها تأخرت جداً لكن يوجد ظروف أدت الى ذلك, سيتم الاعلان عنها حالما ننتهي من الاصدار التجريبي الأول.

    @Geek: أجل يوجد الكثير من الفايروسات لكن عدد قليل جداً وقديم المفتوح المصدر < < هذا ان كنت تتكلم عن الفايروسات النفيذية أما بمثل حالة هذه الأداة فهي تقوم بتحليل سورس كود الصفحة وهذا يعني انك تستطيع الاطلاع على الكود الضار الذي غالبا يكون عبارة عن كود iframe لصفحة أخرى خارجية تحتوي على كود يستغل ثغرة في متصفح IE مثلاً.

    @Amro Ahmed Essam: لقد حاولنا قدر الامكان مراعاة هذه النقطة لكن تذكر انك تحتاج للقيام بالفحص مرة واحدة فالأداة ليست خدمة مثلا لتؤثر بشكل دائم على السيرفر.

    @attacker: أنا لم أقم بعمل مقارنة بل وضحت فكرة عمل الأداة للأشخاص الذين لا يعلمون الفرق ولكي لا يقارنها أحد مع ClamAV من الأساس..! لو قرأت الموضوع للاحظت أني ذكرت ما ذكرته أنت تماما! أما بالنسبة لمحدودية قاعدة البيانات فالتواقيع التي فيها عامة أكثر من أن تكون خاصة, أنا استخدمت regex لاكتشاف الكود الضار ولم اضع كود كل فايروس منتشر بسطر مثلاً! أما بالنسبة لـ php shells وهذه الامور فلقد وضحت بالموضوع ايضاً وجود خطط لتوسيع قاعدة البيانات لتشملها. شكراً لاقتراحاتك…

    تحياتي للجميع

  15. 15- ADMIRAL كتب بتاريخ: 26 Feb 2010 الساعة: 2:32 AM

    إلى الأمام يا قدوتنا الطموحة ..

  16. 16- شبكة مغربي كتب بتاريخ: 18 Mar 2010 الساعة: 3:30 PM

    شكرا لك أخي و إن شاء الله جاري التجريب

  17. 17- KILLER كتب بتاريخ: 25 Mar 2010 الساعة: 5:57 AM

    اولا جزاك الله كل خير ياغالي واعزك وزادك من علمه
    ثانيا لو سمحت عندي سؤال بخصوص لغة الروبي اي اصدار منها الافضل لان لها اصدارات عدة كما سمعت من بعض المبرمجين ولو سمحت اذا كان فيه مصادر ممكن اتعلم منها ممكن تدلني عليها وجزاك الله خير الجزاء

  18. 18- عبدالمهيمن كتب بتاريخ: 29 Mar 2010 الساعة: 4:17 PM

    @KILLER: عذراً للتأخر بالرد فالآن حتى انتبهت لتعليقك وللايميل الذي أرسلته, روبي حالياً تمر بمرحلة انتقالية.. آخر اصدار هو سلسلة 1.9 التي تختلف في بعض الأمور عن 1.8 والاصدار الجديد أسرع بكثير ويحتوي على تحسينات كثيرة. لكن حالياً أغلب السيرفرات مازالت تستخدم 1.8 لأنها تعتبر الاصدار الأثبت بينما 1.9 مازال يتطوّر.

    طبعا اللغة واحدة والأساسيات لن تختلف كثيراً لكن اذا أردت أن تبدء فابدء مباشرة مع 1.9 فخلال فترة قريبة (أتوقع حتى صدور Rails 3) سيبدء الجميع بالانتقال لروبي 1.9

    كمصادر يوجد الكثير من المقالات والكتب المجانية على الانترنت وتوثيق روبي هو الأشمل لكن بالعربي أنصحك بكتاب نشره وادي التقنية من تأليف أحمد يوسف:
    http://itwadi.com/introduction_to_ruby
    ويوجد لديك مجتمع لينوكس العربي و Programming-Fr34ks:
    http://programming-fr34ks.net/smf/ruby

    بالتوفيق…

  19. 19- KILLER كتب بتاريخ: 21 Apr 2010 الساعة: 4:00 PM

    جزاك الله كل خير ياغالي وزادك من علمه ووفقك وتقبل اعتذاري الشديد لتاخري في الرد عليك والله كان عندي امتحانات وماكنت بدخل النت خالص وجزالك الله الف الف خير ياغالي وانا حصلت علي نسختي كتاب pickaxe اللي هو توثيق الروبي علي ما اعتقد لكنه سمي بهذا الاسم للصورة علي غلافة وزادك الله علما ورفع مقدارك وشانك دنيا واخرة اخوك في الله احمد

  20. 20- سماح محمد احمد كتب بتاريخ: 05 May 2010 الساعة: 9:41 PM

    جزاكم الله خيرا

  21. 21- عاشق المعرفة كتب بتاريخ: 28 Jul 2010 الساعة: 1:20 AM

    أخي عبد المهيمن أنت مبدع المبدعين وسيد المعرفة
    أرجو أن تجيبني على هذا السؤال
    أنا أريد أنشاء موقع إلكتروني يشمل منتدى ومدونة عربية وجعلها من أفضل المدونات وأروع المنتديات بعيدا” عن النسخ واللصق كما هو حال المنتديات العربية
    ما هو الشيء الذي يجب أن أتعلمه أولا” فقط وجه لي نصائح من فضلك
    وما هي لغات البرمجة التي يجب عن أتقنها
    بالمناسبة شكرا” على مواضيعك الأكثر من رائعة
    مودتي لك يا مبدع

  22. 22- عبدالمهيمن كتب بتاريخ: 28 Jul 2010 الساعة: 8:02 PM

    عاشق المعرفة: شخصياً لا أحب المنتديات.. لو تستطيع إنشاء مدونة جماعية متخصصة بإحدى الأمور التي تتقنها وتحب الكتابة عنها فرصة نجاحها أكثر من المنتديات فالويب العربي لا يحتاج مزيد من المنتديات =)

    إذا كنت تقصد الدخول في مجال تطوير المواقع.. إبدء بتعلم أساسيات XHTML و CSS ثم PHP وطور خبرتك بهذه الأمور على موقعك. بالتوفيق…

المشاركة بتعليق

               


أعلى الصفحة