16339 گزارش مرکز ماهراز: حمله سایبری به وب سایت ها و پورتال های خبری در پی وقوع حملات سایبری به تعدادی از سایت های خبری، مرکز امداد و هماهنگی عملیات رخدادهای رایانه ای موسوم به مرکز ماهر وزارت ارتباطات و فناوری اطلاعات گزارش فنی خود را در رابطه اقدامات انجام شده و چگونگی وقوع این حملات منتشر کرد. <p><span style="color: #339966"><strong><span style="font-size: 12px">وایمکس نیوز-</span></strong></span><span style="font-size: 12px"> در آستانه برگزاری راهپیمایی باشکوه 22 بهمن&zwnj;ماه و در روز شنبه 21 بهمن&zwnj;ماه حدود ساعت 20 تا 22 اخباری در خصوص حمله به تعدادی از پورتال&zwnj;ها و وب&zwnj;سایت&zwnj;های خبری منتشر و باعث ایجاد نگرانی&zwnj;هایی در سطح جامعه شد. <br />در پی آن مرکز ماهر وزارت ارتباطات و فناوری اطلاعات موضوع را سریعا مورد بررسی قرار داده و اقدامات فنی لازم را در این خصوص بعمل آورد که در گزارش آن آمده است:<br />&nbsp;</span></p><p><span style="font-size: 12px">وب سایت های خبری که مورد حمله قرار گرفته اند شامل: روزنامه های قانون، آرمان، ستاره صبح بوده که در مرکز داده تبیان و مرکز داده شرکت پیشتاز میزبانی شده اند. <br />گروه فنی مرکز ماهر اقدام به شناسایی نقاط اشتراک سیستم های هدف کرده و در این فرایند مشخص شد که تمامی این سامانه ها توسط یک شرکت و در بستر سیستم عامل ویندوز با سرویس دهنده وب IIS و زبان برنامه نویسی ASP.Net توسعه داده شده اند. <br />پس از دریافت فایل های ثبت وقایع از حملات انجام شده از سرویس دهنده ها با تحلیل و بررسی تاریخچه حملات و آسیب پذیری ها، حجم بالایی از فایلها مورد تحلیل و آنالیز قرار گرفت و IP مبدا حملات استخراج شد که شامل پنج IP از کشورهای انگلستان و آمریکا بوده است.<br />شواهد موجود در فایلهای ثبت وقایع نشان می دهد که مهاجمان از دو روز قبل یعنی از تاریخ 8 تا 10 فوریه 2018 پس از کشف آسیب پذیری های از قبیل Injection در تلاش جهت نفوذ با ابزارهای خودکار و نیمه خودکار جهت استخراج اطلاعات نظیر نام کاربری و کلمات عبور در پایگاه داده سامانه ها بوده اند.<br />در این بین قابل توجه است که تمامی سایت های خبری مورد حمله دارای نام کاربری و کلمه عبور پیش فرض و یکسان توسط شرکت پشتیبان بوده است. <br />ضمنا در بررسی ها مشخص شد که متاسفانه آدرس پست الکترونیکی راهبر ارشد سامانه با سطح دسترسی بالا برابر </span><a href="mailto:*****@gmail.com"><span style="font-size: 12px">*****@gmail.com</span></a><span style="font-size: 12px"> مطابق نام کاربری و کلمه عبور استفاده شده در سایت های مذکور است که نشان می دهد متاسفانه حداقل موارد امنیتی رعایت نشده است.<br />بر اساس این گزارش اقدامات فنی اولیه مرکز ماهر بدین شرح بوده است:<br />&nbsp;</span></p><p><span style="font-size: 12px">شناسایی دارایی های مرتبط با سامانه ها جهت تحلیل دقیق<br />از دسترس خارج کردن سامانه های که مورد حمله قرار گرفته اند، جهت بازیابی و حذف تغییرات در محتوی پیامها<br />تغییر و یا غیرفعال سازی نام کاربری اشتراکی و پیشفرض در تمامی سامانه ها<br />ایجاد یک Snapshot و همچنین یک کپی سالم و دست نخورده از سرویس دهنده های مجازی که مورد حمله قرار گرفته اند<br />کپی کامل از تمامی فایلهای ثبت وقایع بر روی سرویسدهنده های هدف<br />&nbsp;<br />گزارش کامل رسیدگی و پاسخگویی حمله سایبری به وبسایت ها و پورتال های خبری توسط مرکز ماهر را اینجا می توانید بخوانید.</span></p>