الاثنين 06 يوليو 2026 16:43:32 GMT+02:00

Netcrook

الرئيسيةالبيان
الأخبار
Techcrook
Geocrook
WikicrookالفريقAppاتصال
ArabicEnglishItaliano

البرمجيات الخبيثة وشبكات الروبوتات

أصبح مسار تسجيل الدخول هو الفخ: لماذا تُعد حزمة SSH المزودة بباب خلفي شديدة الخطورة

عندما يعبث المهاجمون بالبرمجيات التي تُصادق على حسابات المسؤولين، قد يبقى الاختراق داخل حدود الثقة نفسها.

من المفترض أن يكون الوصول عن بُعد الجزء الأكثر تدقيقًا في الخادم. ولهذا السبب تحديدًا يعد وجود اختراق داخل OpenSSH أو PAM أمرًا مقلقًا للغاية. في هذه الحالة، تشير النمطية التقنية إلى مكونات مصادقة معدلة يمكنها أن تقف بين المستخدم وواجهة الأوامر، ما يتيح للمشغل رؤية ما هو أكثر مما ينبغي أن يكشفه تسجيل الدخول العادي، وفي بعض الإعدادات قد تظل صعبة الملاحظة لفترة طويلة.

حقائق سريعة

  • تم ربط ثنائيات OpenSSH المعدلة ووحدات PAM المتلاعب بها بحملة خفية نُسبت إلى Velvet Ant.
  • تقع المكونات المتأثرة داخل مسار المصادقة، قبل بدء الجلسة العادية بالكامل.
  • يمكن استخدام مثل هذه التغييرات لاعتراض بيانات الاعتماد، ومراقبة نشاط الأوامر، وإخفاء مؤشرات التسلل.
  • PAM هو إطار مصادقة مشترك على كثير من الأنظمة الشبيهة بيونكس، لذا فإن وحدة واحدة معدلة قد تؤثر فيما هو أبعد من SSH وحده.
  • تعد عمليات فحص السلامة وخطوط الأساس الموثوقة ضرورية عندما يبدأ الاعتماد عند حدود تسجيل الدخول.

لماذا يهم هذا تقنيًا

خادم sshd في OpenSSH ليس مجرد خدمة أخرى. إنه الحارس الذي يصادق على الاتصال، ويهيئ الجلسة، ثم يشغل واجهة الأوامر الخاصة بالمستخدم أو الأمر المطلوب. يضيف PAM طبقة أخرى أسفل هذا التدفق، وغالبًا ما يتولى المصادقة، وسياسة الحساب، وإعداد الجلسة، ومنطق كلمات المرور عبر وحدات قابلة للتكديس. هذه البنية مرنة، لكنها تخلق أيضًا هدفًا عالي القيمة: إذا تمكن المهاجم من تعديل تلك المكونات، فإن الاختراق يحدث قبل أن تبدأ تجربة المستخدم العادية.

من منظور دفاعي، لا يقتصر الخطر على سرقة كلمات المرور فقط. فالتغيير الخبيث في مسار تسجيل الدخول قد يراقب بيانات الاعتماد، ويسجل ما يحدث أثناء بدء الجلسة، ويتلاعب بقدرة الرؤية بطرق تجعل الفرز الروتيني أقل موثوقية. وعلى الأنظمة الممكّنة لـ PAM، قد يمتد الأثر إلى خدمات أخرى تعيد استخدام مكدس المصادقة نفسه، وفقًا للإعدادات.

ولهذا السبب، فإن هذا النمط أكثر خطورة من حمولة مستقلة تُزرع في مساحة المستخدم. فالباب الخلفي المدمج في كود تسجيل الدخول الموثوق قد يبدو وكأنه جزء من النظام نفسه. قد يرى المسؤولون قائمة عمليات نظيفة، ومع ذلك يفوتهم أن مرساة الثقة نفسها قد تم تغييرها.

ما الذي ينبغي للمدافعين البحث عنه

تتمثل علامة التحذير العملية في الانحرافات في الأماكن التي نادرًا ما ينبغي أن تتغير: ثنائي OpenSSH، ومسارات وحدات PAM، و/etc/pam.conf، والملفات الخاصة بكل خدمة تحت /etc/pam.d. وأي عدم تطابق غير متوقع في الحزم، أو تجزئة معدلة، أو مسار تحميل وحدة غير مفسر يستحق الانتباه. وفي البيئات التي تعتمد على المصادقة بكلمة مرور أو التفاعل عبر لوحة المفاتيح، ينبغي أن يشمل التشديد أيضًا تقليل هذه الأساليب حيثما أمكن عمليًا، والتحقق من أن سلوك الجلسة يطابق خط أساس موثوقًا به.

بالنسبة إلى مستجيبي الحوادث، فإن هذا النوع من الاختراق يتطلب عادةً إعادة بناء من حزم موثوقة بدلًا من التنظيف السطحي. عندما تكون حزمة تسجيل الدخول نفسها موضع شك، فإن أي تنظيف يُجرى فوق مسار ثقة مخترق قد يترك المهاجم في مكانه، أو يسمح بكشف بيانات الاعتماد مجددًا أثناء المعالجة.

الخلاصة

الدرس الأكبر بسيط: أخطر عمليات التسلل ليست دائمًا صاخبة. فإذا تمكن المهاجمون من تعديل البرنامج الذي يقرر من يُسمح له بالدخول، فلن يحتاجوا إلى كسر الباب بعد فتحه. يمكنهم أن يصبحوا جزءًا من المدخل نفسه. ولهذا تستحق سلامة المصادقة نفس القدر من الاهتمام الذي يُمنح للتحديثات، والتسجيل، والتحكم في الوصول - لأنه عندما يُعاد كتابة الحارس، فإن كل ما وراءه يرث الخطر.

TECHCROOK

مفتاح أمني عتادي: يُعد المفتاح الأمني العتادي إضافة عملية لحسابات المسؤولين وسير عمل SSH الذي يدعمه. فهو يساعد على تقليل الاعتماد على كلمات المرور ويضيف عاملًا منفصلًا لتسجيل الدخول، لكنه ينبغي أن يُستخدم جنبًا إلى جنب مع عمليات فحص سلامة الثنائيات وإعادة البناء الموثوقة.

ورقة Techcrook: مفتاح أمني عتادي

WIKICROOK

  • OpenSSH: حزمة مستخدمة على نطاق واسع لتسجيل الدخول البعيد الآمن والوصول المشفر إلى الشبكة على الأنظمة الشبيهة بيونكس.
  • sshd: عملية خادم OpenSSH التي تتعامل مع اتصالات SSH الواردة، والمصادقة، وبدء الجلسة.
  • PAM: وحدات المصادقة القابلة للإضافة، وهو إطار يتيح للأنظمة الشبيهة بيونكس تكديس قواعد المصادقة والجلسة.
  • مكدس المصادقة: سلسلة مكونات البرمجيات التي تتحقق من الهوية وتبدأ جلسة المستخدم.
  • إرساء خط أساس للسلامة: مقارنة البرمجيات والإعدادات مع مرجع موثوق لاكتشاف أي تغيير غير مصرح به.