اختراق مؤكد بخادم الإنتاج مع باب خلفي دائم بصلاحيات الجذر
تم رصد زرعة خبيثة تعمل بصلاحيات مرتفعة عبر خدمة نظام مخفية تحاول إنشاء قناة تحكم خارجية، مما يستدعي عزل الخادم وإعادة بنائه بالكامل لضمان استعادة سلامة البنية ا...
تقرير شامل عن حادثة أمنية
اختراق مؤكد بصلاحيات الجذر مع باب خلفي دائم (خدمة Systemd) ومحاولات اتصال C2 خارجية
إصدار التقرير: 1.0 (المسودة الشاملة الأولية)
تاريخ الإعداد: 05 فبراير 2026 (توقيت إفريقيا/القاهرة)
مُعد لصالح: الإدارة التنفيذية / عمليات الأمن / مزود الاستضافة / المراجعة القانونية
التصنيف: سري – توثيق حادثة أمنية
────────────────────────────────────────
1. الملخص التنفيذي
في 04 فبراير 2026، أظهر خادم إنتاج يعمل بنظام Linux (srv1116842.hstgr.cloud) مؤشرات واضحة على وجود قدرة وصول غير مصرح بها ذات طبيعة دائمة. تؤكد سجلات النظام تنفيذ سكربت باسم reverse_shell.sh عبر خدمة systemd تدعى backconnect.service كانت متخفية تحت اسم “Network Connectivity Service”.
كانت الخدمة تحاول بشكل متكرر إنشاء اتصال صادر إلى العنوان 104.21.39.111 على المنفذ TCP/443 مع إعادة محاولة تلقائية كل 10 ثوانٍ.
يمثل هذا النمط اختراقًا مؤكدًا للخادم مع آلية بقاء (Persistence) وتنفيذ بصلاحيات الجذر. بغض النظر عما إذا كان الاتصال قد نجح أثناء المراقبة، فإن وجود زرعة خبيثة وآلية استمرارية يعني فقدانًا كاملاً لسلامة النظام.
يجب التعامل مع الخادم على أنه غير موثوق بالكامل واعتباره حادثة اختراق كاملة.
درجة الخطورة: حرجة
مستوى الثقة: مرتفع (استنادًا إلى أدلة مباشرة من السجلات)
الإجراء المطلوب: عزل فوري، حفظ الأدلة الجنائية، تدوير كلمات المرور والمفاتيح، وإعادة بناء كاملة من صورة نظيفة.
────────────────────────────────────────
2. نطاق الحادثة والأصول المتأثرة
2.1 الأصل الأساسي المتأثر
اسم الخادم: srv1116842.hstgr.cloud
البيئة: إنتاج
نظام التشغيل: Linux (يعتمد على systemd)
المكونات الخبيثة الملحوظة:
-
backconnect.service (وحدة systemd)
-
reverse_shell.sh (الحمولة التنفيذية)
2.2 الأصول المحتمل تأثرها (بحكم الثقة)
نظرًا لتأكيد الاختراق بصلاحيات الجذر، يجب اعتبار جميع الأنظمة المرتبطة بالخادم في حالة خطر مرتفع حتى يتم التحقق منها، بما في ذلك:
-
الخوادم التي يمكن الوصول إليها عبر مفاتيح SSH المخزنة على هذا الخادم
-
قواعد البيانات التي تستخدم بيانات اعتماد مخزنة عليه
-
أنظمة CI/CD ومفاتيح النشر وواجهات API
-
لوحات التحكم الإدارية القابلة للوصول من خلاله
────────────────────────────────────────
3. الاكتشاف ومصادر الأدلة
3.1 طريقة الاكتشاف
تم اكتشاف النشاط من خلال مراجعة سجلات النظام باستخدام الأمر:
sudo journalctl -u backconnect.service -f
3.2 نوع الأدلة
الدليل الأساسي: سجلات systemd (journalctl) المؤرخة والمحددة بالخادم
الدليل الثانوي: سلوك إعادة تشغيل الخدمة وتنفيذ السكربت المشبوه
السياق الشبكي: عنوان IP الوجهة ضمن بنية Cloudflare
────────────────────────────────────────
4. التسلسل الزمني للحادثة (وفق السجلات)
04 فبراير 21:16:55
تم إيقاف الخدمة وإعادة تشغيلها. استهلاك موارد: 4.933 ثانية CPU و8.3 ميجابايت ذروة ذاكرة.
04 فبراير 21:19:26
إيقاف الخدمة ثم إعادة تشغيلها فورًا.
من 21:19:26 فصاعدًا
محاولات اتصال متكررة إلى 104.21.39.111:443
فشل الاتصال ثم إعادة المحاولة كل 10 ثوانٍ بشكل مستمر، مما يشير إلى سلوك Beaconing (إرسال نبضات اتصال دورية).
────────────────────────────────────────
5. النتائج الفنية
5.1 نتائج على مستوى الخادم
النتيجة الأولى: وجود خدمة systemd غير مصرح بها.
اسم الخدمة: backconnect.service
الاسم الظاهري: “Network Connectivity Service” (تسمية مضللة).
النتيجة الثانية: تنفيذ سكربت عكسي (Reverse Shell).
السلوك: محاولات اتصال صادر إلى عنوان ثابت.
النتيجة الثالثة: تأكيد آلية بقاء (Persistence).
الخدمة تعيد تشغيل نفسها تلقائيًا بعد الإيقاف.
النتيجة الرابعة: تنفيذ بصلاحيات الجذر.
تشغيل الخدمة تحت systemd يمنحها صلاحيات مرتفعة مكافئة لصلاحيات root.
5.2 النتائج الشبكية
الوجهة: 104.21.39.111
المنفذ: 443/TCP
النمط: إعادة محاولة كل 10 ثوانٍ
المنفذ 443 يُستخدم عادة للتمويه ضمن حركة HTTPS الطبيعية.
5.3 سياق Cloudflare
ينتمي عنوان IP إلى نطاق Cloudflare، والتي تعمل كطبقة عكسية (Reverse Proxy).
لا يمكن اعتبار عنوان IP دليلًا قاطعًا على هوية المهاجم.
────────────────────────────────────────
6. مؤشرات الاختراق (IOCs)
على مستوى الخادم:
-
backconnect.service
-
reverse_shell.sh
-
الاسم المضلل “Network Connectivity Service”
على مستوى الشبكة:
-
104.21.39.111:443
-
نمط اتصال كل 10 ثوانٍ
سلوكيًا:
-
اتصال صادر دوري
-
استمرارية عبر خدمة نظام
-
تمويه في التسمية
────────────────────────────────────────
7. توصيف التهديد
نوع الهجوم:
-
زرعة باب خلفي (Backdoor)
-
قناة تحكم وسيطرة (C2)
-
آلية استمرارية بعد إعادة التشغيل
الخطورة: حرجة للغاية
يسمح ذلك للمهاجم بإعادة الدخول، تثبيت أدوات إضافية، سرقة بيانات اعتماد، والتحرك جانبيًا داخل البنية التحتية.
────────────────────────────────────────
8. تقييم التأثير
سلامة النظام: غير موثوق
سرية البيانات: تعرض محتمل
بيانات الاعتماد: يجب اعتبارها مخترقة
يشمل ذلك:
-
مفاتيح SSH
-
رموز API
-
بيانات قواعد البيانات
-
متغيرات البيئة
-
كلمات المرور
المخاطر التشغيلية:
-
إعادة الاختراق
-
التحرك الجانبي
-
إدراج الخادم في القوائم السوداء
-
مخاطر قانونية أو تنظيمية
────────────────────────────────────────
9. فرضيات سبب الاختراق (غير مؤكدة)
-
ثغرة تنفيذ أوامر عن بعد في تطبيق ويب
-
بيانات SSH مسروقة أو ضعيفة
-
لوحة تحكم مكشوفة
-
رفع ملف خبيث
-
اختراق عبر طرف ثالث
يتطلب التأكيد تحليلًا جنائيًا أوسع.
────────────────────────────────────────
10. إجراءات الاحتواء الفورية
-
عزل الخادم فورًا
-
حظر الاتصالات الصادرة خاصة المنفذ 443
-
حفظ الأدلة قبل أي تعديل
-
توثيق ملفات الخدمة والسكربت
-
تدوير كلمات المرور من جهاز آمن
────────────────────────────────────────
11. الاستئصال والاستعادة
لا يُوصى بتنظيف الخادم في مكانه.
الإجراء الصحيح:
-
إيقاف الخادم نهائيًا
-
إنشاء خادم جديد من صورة نظيفة
-
تحديث النظام وتقويته
-
استعادة بيانات موثوقة فقط
-
تدوير جميع بيانات الاعتماد
-
تفعيل مراقبة مركزية
────────────────────────────────────────
12. حفظ الأدلة وسلسلة الحيازة
يجب توثيق:
-
من جمع الأدلة
-
متى تم جمعها
-
كيف تم جمعها
-
مكان تخزينها
يجب حفظ:
-
سجلات journalctl كاملة
-
محتوى backconnect.service
-
محتوى reverse_shell.sh
-
حالة العمليات والاتصالات
────────────────────────────────────────
13. نطاق evyx.net (للسياق فقط)
النطاق يستخدم Cloudflare.
وجود تشابه في البنية التحتية لا يعني إثبات ملكية أو تحكم بالمهاجم.
لا يجوز تقديم النطاق كجهة مهاجمة دون أدلة إضافية.
────────────────────────────────────────
14. البيان التنفيذي النهائي
تم تأكيد وجود زرعة وصول عن بعد دائمة على خادم إنتاج.
يجب اعتباره مخترقًا بالكامل.
المخاطر تشمل:
-
إعادة دخول غير منضبط
-
تسريب بيانات
-
توسع الاختراق
-
مخاطر قانونية
الإجراء الصحيح:
عزل، حفظ أدلة، تدوير مفاتيح، إعادة بناء نظيفة.
────────────────────────────────────────
التصنيف النهائي: حرج
مستوى الاختراق: Root / دائم
الإجراء الإلزامي: إعادة بناء كاملة + تدوير بيانات اعتماد
التحدي
تم اكتشاف اختراق مؤكد على خادم الإنتاج مع وجود باب خلفي دائم يعمل بصلاحيات root عبر خدمة systemd مخفية، تقوم بمحاولات اتصال خارجية متكررة لإنشاء قناة تحكم وسيطرة. هذا يعني فقدان كامل لسلامة النظام وعدم إمكانية الوثوق به.
الحل
عزل الخادم فورًا، حفظ الأدلة، تدوير جميع كلمات المرور والمفاتيح من جهاز آمن، ثم إيقاف الخادم نهائيًا وإعادة بنائه بالكامل من صورة نظيفة مع تطبيق تحديثات وتقوية أمنية ومراقبة مستمرة.