وبما ان كل هذه الامور اصبحت ضرورية اصبح هناك الكثير من التقنيات لاجراء النسخ الاحتياطي منها SCP,RSYC , FTP, SFTP … الخ بل واصبح هناك برمجيات متخصصة في النسخ الاحتياطي، ومنها ما يتم بشكل يدوي ومنها ما يتم بشكل تلقائي. وانا هنا اتحدث اليوم عن تلك التقنيات التي تتم بشكل تلقائي باختلاف البروتوكول الذي يتم استخدامه.

ان من احد اشهر طرق النسخ الاحتياطي الخارجي التلقائي هو استخدام نظام المفاتيح (Keys) للربط بين السيرفر المنوي النقل منه والسيرفر المنوي النقل اليه ، بحيث يتم توليد مفتاح دخول ويتم الربط بين السيرفرين بحيث يتم السماح فيها بعد اجراء الربط للسيرفرين بتبادل البيانات دون الحاجة لادخال كلمات المرور في كل مرة.

ومثلا المتتبع للمثال الموجود على هذا الرابط:

http://www.howtoforge.com/linux_rdiff_backup

يلاحظ انه تم اجراء الربط بين السيرفر الاول السيرفر الذي سوف يتم نقل النسخ الاحتياطي الخارجي اليه ، وبعدها يمكننا مثلا استخدام الامر rsync وتزويده بمفتاح الدخول ليتم بعدها نقل الملفات بشكل الي.

فيمكن مثلا ان يتم وضع امر في ال crontab عند الساعة السادسة صباحا من كل يوم خمس بحيث يتم اجراء نقل الملفات الموجودة على السيرفر الى وحدة النسخ الاحتياطي الخارجي وبالتالي نكون ضمنا انه لدينا نسخ احتياطي خارجي للسيرفر لو حدث اي مكروه للسيرفر. ومنطقيا للوهله الاولى هذا امر ممتاز جدا فنحن بهذا نكون قد وفرنا نسخ احتياطي خارجي دون الحاجة لتدخل البشر وبشكل الي مجدول مسبقا.

ولكن دعنا فقط نستعرض السيناريو التالي: دخل احد المتسللين الى السيرفر وقام على حذف الملفات في السيرفر وانتبه لوجود عملية ربط بين السيرفر وبين وحدة النسخ الاحتياطي الخارجي فاستخدم المفتاح للوصول الى وحدة النسخ الاحتياطي الخارجي وقام على الدخول الى الوحدة وكذلك حذف جميع الملفات الموجودة عليها. انها كارثة الا توافقني الراي . ففضلا عن انه تسبب بفقدان البيانات من على السيرفر ايضا قد ازال البيانات من على وحدة النسخ الاحتياطي الخارجي كونه استطاع الحصول على المفتاح الذي يربط بينهما.

ان اي عملية نسخ احتياطي خارجي تلقائي لا يمكن ان تتم بهذا الشكل الا عن طريق نظام المفاتيح. لهذا فانه لا يمكن حماية المفتاح بكلمة مرور وحتى وان تم ذلك فلا يمكن جدولة عملية النسخ الاحتياطي الخارجي ان تتم بشكل تلقائي. اذا ما الحل؟

الحل هو: توقف عن استخدام النسخ الاحتياطي الخارجي التلقائي فورا ، ولا تربط بين سيرفراتك ووحدة النسخ الاحتياطي الخارجي نهائيا واجعلها معزولة دوما عنها ، فلو لا قدر الله حصل اختراق لاحد السيرفرات فلن يتم اختراق المساحة ايضا.

اذا كيف اقوم على اجراء النسخ الاحتياطي الخارجي؟

الطريقة الامثل والامن هي اجراء نقل للنسخ الاحتياطي باستخدام الطرق التقليدية ، فلو خصصت 30 دقيقة في الاسبوع لنقل النسخ الاحتياطي من السيرفر الى وحدة النسخ الاحتياطي فانك قد تكتشف فيما بعد انها كانت افضل 30 دقيقة في مشوار حياتك العملية.

لان عملية الربط بين السيرفرات وبين وحدات النسخ الاحتياطي قد تؤدي الى اختراق وحدة النسخ الاحتياطي في حال تم اختراق السيرفر ، ونحن هدفنا ان نقوم بتامين البيانات في حال حدثت اي عملية اختراق. فلو كانت عملية النقل تتم بشكل يدوي فلن يكون هناك اي عملية ربط بين الوحدة والسيرفر وبالتالي لا يمكن للمخترق الوصول الى وحدة النسخ الاحتياطي الخارجي في حال سيطر على السيرفر ونكون بهذا ضمنا على الاقل الخسارة الجزئية وليست الكلية.

حالة عملية لعدد كبيرة من السيرفرات
اثناء النقاش مع بعض الزملاء حول هذا الموضوع طرحت مجموعة من الاسئلة كان من اهمها انه في حالة وجود 100 سيرفر فان عملية النسخ الاحتياطي اليدوي سوف تكون شاقة جدا وخصوصا اذا كانت عملية النقل لا تتم لملفات مظغوطه بل تتم لملفات الحسابات دون ظغط. واثناء النقاش طرح حل بسيط في هذه الحالة ، وهو ان يتم نقل جميع نسخ السيرفرات الى السيرفر (أ) مثلا بشكل تلقائي كالمعتاد ، وبعد ذلك يتم نقل جميع ملفات النسخ الاحتياطي لجميع السيرفرات من السيرفر (أ) الى وحدة النسخ الاحتياطي بشكل يدوي. وبهذا نكون قد ضمنا نسخا تلقائيا للسيرفرات ، وضمنا حصولنا على نسخة منقولة بشكل يدوي على وحدة النسخ الاحتياطي من جميع السيرفرات وهي بهذه الحالة معزولة عن باقي السيرفرات ولا يوجد اي عملية ربط بينها وبين السيرفرات. (اشكر اعضاء مطوّر لطرح هذا الحل).

ان هذه الفكرة هي نتيجة خبرة وممارسه هذا والله تعالى اعلم.

كل ما عليك هو انشاء ملف باسم .htaccess بداخل المجلد الذي تود منع تنفيذ ملفات البي اتش بي بداخله ووضع الكود التالي بداخله

ومن ثم حفظ الملف.

بعد حفظ الملف جرب رفع ملف بي اتش بي بداخل هذا المجلد عن طريق الاف تي بي ومن ثم زيارته عن طريق المتصفح ومن المفرض ان تظهر عبارة Internel Server Error 500 بدلا من تنفيذ ما بداخل محتويات هذا الملف.

ان الهدف من هذه التقنية هو منع تنفيذ ملفات البي اتش بي بداخل هذا المجلد الذي ربما يكون يحمل الصلاحيات 777 مثلا والذي قد تكون عملية التحميل متاحه اليه من قبل برنامج اخر كمركز تحميل مثلا ، وفي حال ظهرت ثغرة معينة في مركز التحميل تسمح برفع ملفات تنفيذية فان هذه التقنية سوف تمنع الملف الذي تم رفعه من التنفيذ. وهي مفيدة جدا في هذا الامر وقد استفدت منها شخصيا وانصحك باستخدامها.

وتم تجربة هذا المقال على ليونكس توزيعة Centos.

في هذا المقال سوف احاول قدر الامكان ان احمي السيرفر من فيروسات المواقع التي انتشرت في الفترة الاخيرة والتي يتم رفعها عن طريق الاف تي بي ، سوف اجعل السيرفر يتعرف على الفيروسات ومن ثم ينقل ملفات الفيروسات الي مجلد داخلي على السيرفر وحذف الملف المصاب بالفيروس ومن ثم يقوم بحذف الملف الاصلي واضافة تلك العميلة في ملف لوج من اجل التتبع من قبل مدير النظام.

انا لا اريد ان اخوض في كيفية رفع الفيروسات على الموقع بشكل مفصل ولكن من المفيد ان نعرف ان الفيروس يتم رفعه عن طريق الاف تي بي بعد ان تتسرب كلمة مرور الاف تي بي وتقع في يد المسؤول عن تلك الفيروسات فيتم تخزين كلمة المرور ، فحتى لو تم تنظيف الموقع وعدم تغيير كلمة مرور الاف تي بي فانه سوف يتم اعادة رفع الفيروس مرة اخرى وذلك لان كلمة مرور الاف تي بي معروفة من قبل المسؤول عن الفيروس وسوف يحاول الفيروس رفع نفسة مرة اخرى خلال ساعات قليلة.

متطلبات العمل:

• سيرفر ليونكس يعمل بلوحة تحكم WHM/Cpanel.
• حساب root على الخادم (السيرفر).
• ان يكون سيرفر الاف تي بي هو pure-ftpd.
• سوف نقوم بتركيب ClamAV وهو برنامج مجاني للكشف عن الفيروسات في حال لم يكن موجودا على السيرفر.

بداية العمل : التاكد من وجود ClamAV على السيرفر

بعد ذلك يجب علينا ان ندخل الى السيرفر عن طريق الشل SSH كمستخدم روت ، وبعد الدخول الى السيرفر قم على كتابة الامر التالي

 # freshclam

وعندها من المفروض ان يتم تحديث ال ClamAV كما هو واضح في الصورة ادناه

وهذا يدل ان ال ClamAV موجود على السيرفر وتم تحديث ملفات التعرف على الفيروسات الى اخر اصدار متوفر.

بعد ان تاكدنا من ان ال ClamAV يعمل على السيرفر يجب علينا الان ان نبدا بربط سيرفر الاف تي بي pure-ftpd بال ClamVB بحيث يتم عمل سكان (فحص) لاي ملف يتم رفعه عن طريق الاف تي بي للتاكد من انه لا يحتوي على فيروس من الفيروسات المعروفة من قبل ClamAV على انه فيروس.

في بداية الامر يجب ان نقوم على تحرير الملف /etc/pure-ftpd.conf ومن ثم البحث عن عبارة CallUploadScript وجعلها CallUploadScript yes.
ومن ثم حفظ الملف ، وهذا الامر سوف يعطي السماحية لسيرفر ال pure-ftpd بتنفيذ امر معين عند رفع كل ملف عن طريق الاف تي بي. وذلك عن طريق الامر التالي:

# pico /etc/pure-ftpd.conf

وسوف نبحث عن العبارة CallUploadScript وجعل قيمتها yes ومن ثم حفظ الملف كما في الصور ادناه. (لاحظ انه للبحث عن نص في المحرر pico فاننا نستخدم CTRL+W ثم نضع النص الذي نود  البحث عنه).  لاحظ انه قد تجد اشارة # قبل العبارة CallUploadScript والتي تعني الغاء مفعول العبارة لهذا احذف اشارة # كما يظهر في الصور ادناه:

لحفظ الملف في الامر pico نقوم على الظغط على CTRL+x  ومن ثم نختار y لحفظ الملف ومن ثم نبقي اسم الملف كما هو ونقوم بالظغط على مفتاح الادخال ENTER.

تحمل الملف الذي سوف يقوم بعملية الفحص

الان سوف نقوم بتحميل الملف الذي قمت على اعداده مسبقا والذي يقوم بعملية فحص الملفات التي يتم تحميلها عن طريق الاف تي بي للتاكد من خلوها من الفيروسات، لهذا سوف نقوم بتنفير الاوامر التالية:

# cd /usr/local/
# mkdir pure-ftpd-scan
# cd pure-ftpd-scan
# wget http://tech.di.net.sa/layer3/pure-ftpd/clamscan.sh
# chmod 755 clamscan.sh

هذه الاوامر تقوم على انشاء مجلد في /usr/local باسم pure-ftpd-scan وسوف يتم تحميل الملف الذي سيقوم بعملية الفحص وذلك عن طريق اخر امر wget وسوف تظهر عملية تحميل الملف بطريقة مشابهه لما بالصورة ادناه:

والامر الاخير يقوم باعطاء الملف clamscan.sh الصلاحية 755 والتي تسمح بان يكون ملف تنفيذي كما هو بالصورة ادناه.

** عند اكتشاف فيروس تم رفعه عن طريق الاف تي بي فانه سوف يتم نقل الملف المصاب بالفيروس الى مجلد داخلي وذلك للمراجعة من قبل المشرف وكذلك اضافة اسم الملف والفيروس الى ملف لوج لهذا الان سوف اقوم على انشاء هذا المجلد عن طريق تنفيذ الاوامر التالية:

# mkdir /home/VIRUS-Q/
# touch /home/VIRUS-Q/log.log

كما هو بالصورة ادناه :

الان سوف نبدا بعملية حقن ملفات خادم الاف تي بي بالاومر التي سوف تجعل خادم الاف تي بي يقوم بتشغيل الملف /usr/local/pure-ftpd-scan/clamscan.sh بعد رفع اي ملف عن طريق الاف تي بي.

في البداية سوف نقوم بتحرير الملف /etc/init.d/pure-ftpd والبحث عن السطر “$DAEMONIZE $fullpath /etc/pure-ftpd.conf -O clf:/var/log/xferlog $OPTIONS –daemonize” واضافة الامر الذي يقوم بمناداة الملف /usr/local/pure-ftpd-scan/clamscan.sh. لهذا سوف نبدا بالبداية بامر تحرير الملف /etc/init.d/pure-ftpd عن طريق الامر:

# cp /etc/init.d/pure-ftpd /usr/local/pure-ftpd-scan/pure-ftpd.bak
# pico /etc/init.d/pure-ftpd

وبعدها سوف نقوم بالبحث عن العبارة “$DAEMONIZE $fullpath /etc/pure-ftpd.conf -O clf:/var/log/xferlog $OPTIONS –daemonize” وبعدها سوف نظيف سطر جديد اسفله وندخل فيه الامر $DAEMONIZE /usr/sbin/pure-uploadscript -B -r  /usr/local/pure-ftpd-scan/clamscan.sh

$DAEMONIZE /usr/sbin/pure-uploadscript -B -r  /usr/local/pure-ftpd-scan/clamscan.sh

ووضع سطر جديد بعده وحقن الامر التالي فيه

$DAEMONIZE /usr/sbin/pure-uploadscript -B -r  /usr/local/pure-ftpd-scan/clamscan.sh

ومن ثم حفظ الملف بالطريقة المتعارف عليها كما هو واضح في الصور بالتسلسل ادناه:

بعد اجراء الاوامر والعمليات السابقة نكون قد عدلنا على محتويات الملف /etc/init.d/pure-ftpd واضفنا الامر الذي سوف يتم تنفيذه عن كل عملية تحميل لملف عن طريق الاف تي بي.

لاحظ ان الامر cp اعلاه يقوم باخذ نسخة احتياطية من الملف pure-ftpd ويضعها في /usr/local/pure-ftpd-scan/ باسم pure-ftpd.bak وذلك في حال انه حدث خطا في التعديل على الملف اثناء حقن الامر بداخله يمكننا عندها استرجاع الملف الاصلي قبل اجراء التعديل.

الان قم على تحرير الملف /etc/init.d/pure-ftpd مرة اخرى عن طريق الامر:

pico /etc/init.d/pure-ftpd

وابحث عن السطر

kill $(cat /var/run/pure-ftpd.pid)

واضف سطر جديد تحته واضف (احقن) في السطر الجديد الامر التالي

kill $(cat /var/run/pure-ftpd/pure-uploadscript.pid)

بنفس الطريقة التي قمنا بها اعلاه وقم على  حفظ الملف.

بعد قيامنا بهذا الامور الان يجب علينا ان نقوم بعمل اعادة تشغيل لخادم الاف تي بي pure-ftp وذلك عن طريق تنفيذ الامر التالي:

# /etc/init.d/pure-ftpd restart

تجربة نجاح العملية

الان بعد تنفيذ الاوامر والعملية السابقة من المفترض ان يتم الكشف عن اي فيروس معروف من قبل ClamAV يتم رفعه عن طريق الاف تي بي وفي حال كان الملف يحمل فيروسا فانه يتم نقل الملف مباشرة الى مجلد /home/VIRUS-Q وكذلك اضافة اسم الملف واسم الفيروس الذي تم اكتشافه في الملف /home/VIRUS-Q/log.log وبالتالي حتى نضمن انه تم تنفيذ العملية السابقة بنجاح فانه يجب علينا ان نحاول تحميل فيروس عن طريق الاف تي بي وملاحظة انه تم نقل الملف الذي تم نقله الى مجلد VIRUS-Q او لا وهل تم اضافة اسمه واسم الفيروس الذي يحمله في ملف log.log.

وبما اننا لا نود استخدام فيروس حقيقي لانه قد يضر بجهازنا فاننا نود ان نستخدم فيروس وهمي بناء على توصيات eicar.org لهذا فلقد قمت على اعداد فيروس وهمي ويمكنك تحميله على جهاز الكمبيوتر الخاص بك ، الفيروس موجود على الرابط http://tech.di.net.sa/layer3/viruses/virus_example.php ، انه فيروس وهمي وهو تحت اسم “EICAR Test-NOT virus!!!”.

او يمكنك انشاء الفيروس الخاص بك وذلك باضافة الكود التالي الى ملف جديد من ومن ثم حفظ الملف:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

قم على تحميل هذا الملف على جهاز الكمبيوتر الخاص بك وقم بالاتصال بالسيرفر عن طريق الاف تي بي باي موقع مستضاف على السيرفر بالطريقة العادية ورفع الملف الى الموقع ومن ثم حاول معرفة هل تم بالفعل اكتشاف الملف على انه فيروس وهل تم فعلا نقل الملف المصاب الى /home/VIRUS-Q وهل تم اضافة هذا الحدث الى الملف log.log الموجود في المجلد /home/VIRUS-Q.

وذلك كما هو معروض ادناه بالصور:

بعد رفع الملف الذي يحتوي على فيروس سوف يقوم برنامج الاف تي بي برفع الملف ، ومنطقيا في هذه اللحظات سوف يقوم سيرفر الاف تي بي pure-ftpd بفحص الملف لرؤية مدى احتوائه على فيروسات او لا. وبما ان هذا الملف يحتوي على فيروس فانه سوف يقوم بنقل الملف واضافة ذلك في ملف اللوج. ولكن عند رفع الملف وتحديث قائمة الملفات سوف يظهر ملف الفيروس انه تم رفعه كما في الصورة ادناه:

ولكن في حال قمت على تحديث قائمة الملفات الموجودة على الخادم سوف تلاحظ ان الملف الذي تم رفعه موخرا قد اختفى ، كما يظهر بالصورة ادناه:

والان للتاكد من ذلك نقوم بالدخول الى السيرفر عن طريق الشل وادخال الاوامر التالية

# cd /home/VIRUS-Q/
# ls -lh
# cat log.log

وسوف تلاحظ ان نتيجة تنفيذ الاوامر هي شبييه بما في الصورة ادناه:

وهذا يعني ان العميلة نجحت وانه من هذه اللحظة في حال تم رفع اي ملف يحتوي على فيروس معروف من قبل ClamAV عن طريق الاف تي بي فانه سوف يتم نقله الى مجلد /home/VIRUS-Q ووسوف يتم ايضا كتابة اسم الملف المصاب واسم الفيروس الموجود في الملف كما هو موضح بالصورة اعلاه.

اننا بتطبيق هذة الالية نكون قد وفرنا الحماية من تحميل فيروسات المواقع المنتشرة عن طريق الاف تبي بي. ولكن يرجى العلم ان:

• هذه الالية لا تعمل مع الملفات التي يتم تحميلها عن طريق مراكز التحميل او عن طريق السي بنل Cpanel او عن طريق اي بروتوكولات اخرى غير البروتوكول FTP.
• ان عملية نقل الملف تعني ان الملف الاصلي لن يكون موجودا في الموقع الاصلي بمعنى انه لم تم رفع الملف index.php الخاصة بالمنتدى عن طريق الاف تي بي وكانت تحتوي على فيروس فانه سوف يتم نقل الملف وبالتالي فان الملف الاصلي لن يكون موجودا وهذا يعني ان الملفات سوف يتم ازالتها من الموقع ، وبالتالي في حال تم رفع اكثر من ملف مصاب فان الموقع قد يفقد الكثير من ملفاته.
• ان الهدف من هذه الالية في هذه الفترة هو الحماية من الفيروسات فقط، انا في هذه المرحلة لا اعطي اي انتباه كون الملفات الاصلية تم حذفها. في المستقبل سوف اعمل على تحديث هذه الالية ليتم منع تحميل اكثر من ملف واحد مصاب بالفيروس. لهذا احرص على زيارة هذه الصفحة باستمرار للمعرفة مدى وجود اي تحديثات لهذه الالية. او قم على الاشتراك في التحديث من خلال النقر هنا وسوف يردك على بريدك اي تحديثات.
• مع مرور الوقت فان حجم الملف log.log يزيد ولهذا انصح بين الحين والاخر بحذف الملف واعادة انشاءه من جديد.

ملاحظة: يسمح بنقل جزء او كل المقال والتصرف فيه بصورة شخصية او بصورة تجارية بشرط الاشارة الى الرابط الاصلي للمقال وهو http://irbidnet.com/index.php/2009/12/26/حماية-السيرفر-من-فيروسات-الاف-تي-بي/