اگر مدیر سرور هستید، احتمالا یکی از ترسناک ترین ایمیل هایی که می توانید از دیتاسنتر (مثل هتزنر یا OVH) دریافت کنید، ایمیلی با موضوع “Abuse Report: NetScan” است. این ایمیل معمولا منجر به مسدود شدن بلافاصله سرور شما می شود.
اما نت اسکن چیست؟ چرا دیتاسنترها روی آن حساس هستند و چطور می توانیم جلوی آن را بگیریم؟ در این مقاله به زبان ساده این مشکل امنیتی را بررسی می کنیم.
نت اسکن (NetScan) دقیقا چیست؟
واژه NetScan مخفف Network Scanning به معنی «پویش شبکه» است.
بیایید یک مثال ساده بزنیم: فرض کنید یک دزد وارد یک آپارتمان بزرگ می شود و شروع می کند دستگیره تمام واحدها را امتحان می کند تا ببیند کدام در باز است. در دنیای شبکه، نت اسکن دقیقا همین کار را می کند.
نت اسکن فرآیندی است که در آن یک نرم افزار، هزاران آدرس آی پی (IP) را در اینترنت چک می کند تا ببیند: ۱. کدام سیستم ها روشن هستند؟ ۲. کدام پورت های آن ها (مثل پورت ریموت دسکتاپ یا SSH) باز است؟
چرا NetScan در سرور مجازی ممنوع است؟
شاید بپرسید: «خب چک کردن که جرم نیست!» اما در قوانین دیتاسنترها، نت اسکن مقدمه ای برای حمله است. وقتی سرور شما در حال نت اسکن است، یعنی دارد دنبال قربانی می گردد تا به آن حمله کند (مثلا حمله بروت فورس برای پیدا کردن پسورد).
به همین دلیل، دیتاسنترها به شدت روی این موضوع حساس هستند و به محض اینکه ببینند ترافیک مشکوکی از سرور شما خارج می شود که شبیه به اسکن کردن است: ۱. آی پی سرور شما را مسدود (Block) می کنند. ۲. یک گزارش تخلف (Abuse Report) برایتان می فرستند. ۳. از شما می خواهند مشکل را حل کنید، وگرنه سرویس شما برای همیشه حذف می شود.
چرا سرور من دچار مشکل NetScan شده است؟
اگر شما خودتان عمدا ابزارهای اسکن شبکه (مثل Nmap یا Masscan) را اجرا نکرده اید، پس چرا دیتاسنتر شما را جریمه کرده است؟ پاسخ ترسناک است: سرور شما هک شده است.
در ۹۹ درصد مواقع، دلیل ارسال ابیوز NetScan این است که یک بدافزار یا ویروس وارد سرور شما شده و بدون اطلاع شما، در حال استفاده از منابع سرور برای حمله به دیگران است.
دلایل اصلی آلودگی سرور:
رمز عبور ضعیف: استفاده از رمزهای ساده مثل 123456 برای یوزر root یا Administrator.
ویندوز یا لینوکس آپدیت نشده: وجود حفره های امنیتی در سیستم عامل.
استفاده از نرم افزارهای کرک شده: دانلود نرم افزار از منابع نامعتبر که حاوی تروجان هستند.
پورت های پیش فرض: باز گذاشتن پورت های مهم مثل 22 (SSH) یا 3389 (RDP) روی همه آی پی ها.
چطور بفهمیم سرور در حال نت اسکن است؟
اگر دیتاسنتر هنوز سرور را نبسته است و شما شک دارید، نشانه های زیر را بررسی کنید:
۱. کندی شدید سرور: سی پی یو (CPU) و رم به شدت درگیر هستند. ۲. مصرف پهنای باند بالا: ترافیک خروجی (Upload) سرور به طرز عجیبی زیاد شده است. ۳. لاگ های فایروال: اگر در فایروال ببینید که سرور شما در حال ارسال بسته های کوچک (Packet) به هزاران آی پی مختلف است، یعنی NetScan در جریان است.
راه حل: چگونه مشکل NetScan را برطرف کنیم؟
اگر ایمیل ابیوز دریافت کردید یا متوجه شدید سرور آلوده شده، باید سریعا مراحل زیر را انجام دهید.
قدم اول: قطع دسترسی اینترنت (در صورت امکان)
اگر به پنل مدیریتی (کنسول) دسترسی دارید، موقتا کارت شبکه را غیرفعال کنید تا حملات متوقف شود و دیتاسنتر سرور را کامل حذف نکند.
قدم دوم: بررسی پروسه های مشکوک
در لینوکس: دستور top یا htop را بزنید. اگر پروسه ای با نام عجیب دیدید که 100 درصد CPU را گرفته، آن را با دستور kill متوقف کنید.
در ویندوز: تسک منیجر (Task Manager) را باز کنید و دنبال برنامه های ناشناس بگردید.
قدم سوم: نصب آنتی ویروس و اسکن بدافزار
در لینوکس: می توانید از ابزارهایی مثل ClamAV یا Maldet برای پیدا کردن فایل های مخرب استفاده کنید.
در ویندوز: از آنتی ویروس های معتبر یا ابزار Malwarebytes استفاده کنید.
قدم چهارم (مهم ترین قدم): نصب مجدد سیستم عامل
متاسفانه وقتی یک سرور هک می شود و به عنوان «زامبی» برای NetScan استفاده می شود، پاکسازی آن بسیار سخت است. هکرها معمولا فایل های مخفی (Backdoor) در جای جای سیستم کار می گذارند. بهترین و مطمئن ترین راه حل، فرمت کردن کل سرور و نصب مجدد ویندوز یا لینوکس است.
چگونه از بروز مجدد مشکل جلوگیری کنیم؟
بعد از اینکه سرور را نجات دادید (یا دوباره نصب کردید)، حتما این موارد را رعایت کنید:
۱. تغییر پورت های پیش فرض: پورت ریموت دسکتاپ (3389) و اس اس اچ (22) را به یک عدد دیگر (مثلا 5432) تغییر دهید. این کار جلوی بسیاری از ربات های اسکنر را می گیرد.
۲. استفاده از فایروال: حتما فایروال را روشن کنید و پورت های غیرضروری را ببندید.
۳. رمز عبور پیچیده: رمز عبور باید شامل حروف بزرگ، کوچک، عدد و علامت باشد (مثلا: H&s9#kL2!).
۴. غیرفعال کردن پینگ (ICMP): بهتر است پاسخ دهی به پینگ را در سرور ببندید تا ربات ها نتوانند سرور شما را پیدا کنند.
سوالات متداول
آیا من واقعا به کسی حمله کرده ام؟ من که کاری نکردم!
خیر، در اکثر موارد شما شخصا حمله ای انجام نداده اید. این اتفاق نشان می دهد که امنیت سرور شما پایین بوده و هکرها توانسته اند کنترل سرور را به دست بگیرند. آن ها از سرور شما به عنوان یک ابزار (یا به اصطلاح زامبی) برای حمله به دیگران استفاده کرده اند، بدون اینکه شما متوجه شوید.
اگر ایمیل ابیوز (Abuse) را نادیده بگیرم چه می شود؟
این بدترین کاری است که می توانید انجام دهید. دیتاسنترها معمولا بین 12 تا 24 ساعت به شما فرصت پاسخگویی می دهند. اگر در این مدت پاسخی ندهید و مشکل را حل نکنید، سرویس شما به طور کامل و برای همیشه حذف (Terminate) خواهد شد و تمام اطلاعاتتان از بین می رود.
سرور من مسدود شده است، چطور اطلاعاتم را بردارم؟
وقتی سرور به خاطر نت اسکن مسدود می شود، دسترسی عادی قطع می شود. اما اکثر دیتاسنترها (مثل هتزنر) قابلیتی به نام Rescue Mode (حالت نجات) دارند. باید به پشتیبانی تیکت بزنید و درخواست کنید سرور را در حالت نجات قرار دهند تا بتوانید وارد شوید، اطلاعات مهم را بردارید و یا مشکل را حل کنید.
نتیجه گیری
مشکل NetScan شوخی بردار نیست. این مشکل نه تنها باعث مسدود شدن سرور شما می شود، بلکه اعتبار شما را هم زیر سوال می برد. در واقع سرور شما تبدیل به سلاحی شده که به دیگران حمله می کند. با رعایت اصول امنیتی اولیه و استفاده از فایروال های سخت افزاری یا نرم افزاری (مثل میکروتیک در جلوی سرور)، می توانید با خیال راحت از شر این مشکل خلاص شوید.
