اگر مدیر سرور هستید، احتمالا یکی از ترسناک ترین ایمیل هایی که می توانید از دیتاسنتر (مثل هتزنر یا OVH) دریافت کنید، ایمیلی با موضوع “Abuse Report: NetScan” است. این ایمیل معمولا منجر به مسدود شدن بلافاصله سرور شما می شود.
اما نت اسکن چیست؟ چرا دیتاسنترها روی آن حساس هستند و چطور می توانیم جلوی آن را بگیریم؟ در این مقاله به زبان ساده این مشکل امنیتی را بررسی می کنیم.
واژه NetScan مخفف Network Scanning به معنی «پویش شبکه» است.
بیایید یک مثال ساده بزنیم: فرض کنید یک دزد وارد یک آپارتمان بزرگ می شود و شروع می کند دستگیره تمام واحدها را امتحان می کند تا ببیند کدام در باز است. در دنیای شبکه، نت اسکن دقیقا همین کار را می کند.
نت اسکن فرآیندی است که در آن یک نرم افزار، هزاران آدرس آی پی (IP) را در اینترنت چک می کند تا ببیند: ۱. کدام سیستم ها روشن هستند؟ ۲. کدام پورت های آن ها (مثل پورت ریموت دسکتاپ یا SSH) باز است؟
شاید بپرسید: «خب چک کردن که جرم نیست!» اما در قوانین دیتاسنترها، نت اسکن مقدمه ای برای حمله است. وقتی سرور شما در حال نت اسکن است، یعنی دارد دنبال قربانی می گردد تا به آن حمله کند (مثلا حمله بروت فورس برای پیدا کردن پسورد).
به همین دلیل، دیتاسنترها به شدت روی این موضوع حساس هستند و به محض اینکه ببینند ترافیک مشکوکی از سرور شما خارج می شود که شبیه به اسکن کردن است: ۱. آی پی سرور شما را مسدود (Block) می کنند. ۲. یک گزارش تخلف (Abuse Report) برایتان می فرستند. ۳. از شما می خواهند مشکل را حل کنید، وگرنه سرویس شما برای همیشه حذف می شود.
اگر شما خودتان عمدا ابزارهای اسکن شبکه (مثل Nmap یا Masscan) را اجرا نکرده اید، پس چرا دیتاسنتر شما را جریمه کرده است؟ پاسخ ترسناک است: سرور شما هک شده است.
در ۹۹ درصد مواقع، دلیل ارسال ابیوز NetScan این است که یک بدافزار یا ویروس وارد سرور شما شده و بدون اطلاع شما، در حال استفاده از منابع سرور برای حمله به دیگران است.
رمز عبور ضعیف: استفاده از رمزهای ساده مثل 123456 برای یوزر root یا Administrator.
ویندوز یا لینوکس آپدیت نشده: وجود حفره های امنیتی در سیستم عامل.
استفاده از نرم افزارهای کرک شده: دانلود نرم افزار از منابع نامعتبر که حاوی تروجان هستند.
پورت های پیش فرض: باز گذاشتن پورت های مهم مثل 22 (SSH) یا 3389 (RDP) روی همه آی پی ها.
اگر دیتاسنتر هنوز سرور را نبسته است و شما شک دارید، نشانه های زیر را بررسی کنید:
۱. کندی شدید سرور: سی پی یو (CPU) و رم به شدت درگیر هستند. ۲. مصرف پهنای باند بالا: ترافیک خروجی (Upload) سرور به طرز عجیبی زیاد شده است. ۳. لاگ های فایروال: اگر در فایروال ببینید که سرور شما در حال ارسال بسته های کوچک (Packet) به هزاران آی پی مختلف است، یعنی NetScan در جریان است.
اگر ایمیل ابیوز دریافت کردید یا متوجه شدید سرور آلوده شده، باید سریعا مراحل زیر را انجام دهید.
اگر به پنل مدیریتی (کنسول) دسترسی دارید، موقتا کارت شبکه را غیرفعال کنید تا حملات متوقف شود و دیتاسنتر سرور را کامل حذف نکند.
در لینوکس: دستور top یا htop را بزنید. اگر پروسه ای با نام عجیب دیدید که 100 درصد CPU را گرفته، آن را با دستور kill متوقف کنید.
در ویندوز: تسک منیجر (Task Manager) را باز کنید و دنبال برنامه های ناشناس بگردید.
در لینوکس: می توانید از ابزارهایی مثل ClamAV یا Maldet برای پیدا کردن فایل های مخرب استفاده کنید.
در ویندوز: از آنتی ویروس های معتبر یا ابزار Malwarebytes استفاده کنید.
متاسفانه وقتی یک سرور هک می شود و به عنوان «زامبی» برای NetScan استفاده می شود، پاکسازی آن بسیار سخت است. هکرها معمولا فایل های مخفی (Backdoor) در جای جای سیستم کار می گذارند. بهترین و مطمئن ترین راه حل، فرمت کردن کل سرور و نصب مجدد ویندوز یا لینوکس است.
بعد از اینکه سرور را نجات دادید (یا دوباره نصب کردید)، حتما این موارد را رعایت کنید:
۱. تغییر پورت های پیش فرض: پورت ریموت دسکتاپ (3389) و اس اس اچ (22) را به یک عدد دیگر (مثلا 5432) تغییر دهید. این کار جلوی بسیاری از ربات های اسکنر را می گیرد.
۲. استفاده از فایروال: حتما فایروال را روشن کنید و پورت های غیرضروری را ببندید.
۳. رمز عبور پیچیده: رمز عبور باید شامل حروف بزرگ، کوچک، عدد و علامت باشد (مثلا: H&s9#kL2!).
۴. غیرفعال کردن پینگ (ICMP): بهتر است پاسخ دهی به پینگ را در سرور ببندید تا ربات ها نتوانند سرور شما را پیدا کنند.
خیر، در اکثر موارد شما شخصا حمله ای انجام نداده اید. این اتفاق نشان می دهد که امنیت سرور شما پایین بوده و هکرها توانسته اند کنترل سرور را به دست بگیرند. آن ها از سرور شما به عنوان یک ابزار (یا به اصطلاح زامبی) برای حمله به دیگران استفاده کرده اند، بدون اینکه شما متوجه شوید.
این بدترین کاری است که می توانید انجام دهید. دیتاسنترها معمولا بین 12 تا 24 ساعت به شما فرصت پاسخگویی می دهند. اگر در این مدت پاسخی ندهید و مشکل را حل نکنید، سرویس شما به طور کامل و برای همیشه حذف (Terminate) خواهد شد و تمام اطلاعاتتان از بین می رود.
وقتی سرور به خاطر نت اسکن مسدود می شود، دسترسی عادی قطع می شود. اما اکثر دیتاسنترها (مثل هتزنر) قابلیتی به نام Rescue Mode (حالت نجات) دارند. باید به پشتیبانی تیکت بزنید و درخواست کنید سرور را در حالت نجات قرار دهند تا بتوانید وارد شوید، اطلاعات مهم را بردارید و یا مشکل را حل کنید.
مشکل NetScan شوخی بردار نیست. این مشکل نه تنها باعث مسدود شدن سرور شما می شود، بلکه اعتبار شما را هم زیر سوال می برد. در واقع سرور شما تبدیل به سلاحی شده که به دیگران حمله می کند. با رعایت اصول امنیتی اولیه و استفاده از فایروال های سخت افزاری یا نرم افزاری (مثل میکروتیک در جلوی سرور)، می توانید با خیال راحت از شر این مشکل خلاص شوید.
اگر به سئو سایت وردپرسی خود اهمیت می دهید، مطمئناً معیارهای مهمی مثل سرعت و…
در عصر حاضر، فناوری اطلاعات و هوش مصنوعی (AI) به سرعت در حال دگرگونسازی جنبههای…
دنیای تکنولوژی همیشه در حال تغییر است و هر روز یک فناوری تازه جایگزین روشهای…
آموزش جامع نصب Django روی اوبونتو مقدمه اگر به دنبال ساخت یک وبسایت یا اپلیکیشن…
آموزش گامبهگام حذف محدودیت Grace Period در Remote Desktop Services یکی از مشکلات رایج در…
پروتکل Remote Desktop Protocol (RDP) یکی از متداولترین روشها برای مدیریت سرورهای ویندوزی از راه…