همین حالا دنبال کن:

کسب‌وکار آنلاین

وقتی سرور جدیدتان آنلاین می‌شود: راهنمای بقا در برابر هکرها طی ۲۴ ساعت نخست

تهدید خاموش در اولین روز راه‌اندازی وب‌سایت و سرور
یک ساعت شنی که ماسه‌های آن هنگام ریختن به نیمه پایینی به اشکال تیره و خاردار تبدیل می‌شوند، نمادی از محدودیت زمان و گسترش سریع تهدیدات در ساعات اولیه حمله سایبری است.
هوشیار ذوالفقارنسب
زمان مطالعه ۱۱ دقیقه
بازبینی: شایان ضیایی
صحت سنجی شده

فهرست:

تصور کنید ماه‌ها تلاش کرده‌اید، شب‌بیداری کشیده‌اید و بالاخره کدنویسی وب‌سایت یا اپلیکیشن استارتاپ‌تان تمام شده است. با هزاران امید و آرزو، سرور جدید را می‌خرید، دامنه را متصل می‌کنید و سیستم با دریافت یک آدرس اینترنتی (IP) عمومی، بالاخره آنلاین می‌شود. نفس راحتی می‌کشید و با خودتان می‌گویید: «خب، فردا صبح بازاریابی را شروع می‌کنم.»

اما راستش را بخواهید، در همان لحظه‌ای که سیستم را رها می‌کنید تا کمی نفس بکشید، یک ساعت شنی بی‌رحم، خاموش و کاملاً خودکار در تاریکی وب به کار می‌افتد. فاصله‌ی میانِ «سیستم ما الان وصل شد!» تا «سیستم ما داره توسط هکرها آنالیز میشه!»، دیگر به روز و هفته نمی‌کشد؛ این فرایند حالا ظرف تنها چند دقیقه پیش می‌رود.

راه‌اندازی سرویسی جدید در میان انواع محدودیت‌های زیرساختی ایران بسیار طاقت‌فرساست. قطعی‌های مکرر، نیاز به استفاده از فیلترشکن‌ها و تحریم‌های فناوری، همگی باعث می‌شوند مدیران کسب‌وکارها و کاربران معمولاً فقط به دنبال «وصل شدن» باشند و امنیت را به زمان دیگری موکول کنند. اما هکرها دقیقاً روی همین خستگی و به تعویق انداختن کارها حساب باز کرده‌اند.

در این مقاله با زبانی ساده و به دور از اصطلاحات خشک مهندسی، به کالبدشکافی دقیق این موضوع می‌پردازیم که در ۲۴ ساعت اولِ آنلاین شدن دارایی دیجیتال شما (مثل یک وب‌سایت) چه می‌گذرد. می‌خواهیم ببینیم چرا بات‌های هوش مصنوعی قواعد بازی را عوض کرده‌اند، با چه تهدیدهایی روبرو هستیم و مهم‌تر از همه، چطور می‌توانیم از اطلاعات ارزشمندمان محافظت کنیم.

در ۲۴ ساعت اول اتصال دقیقاً چه اتفاقی می‌افتد؟

گزارش‌های مستند از «شبکه‌های تله» یا به اصطلاح «هانی‌پات» (سیستم‌های طعمه‌ای که محققان امنیتی برای فریب هکرها در اینترنت رها می‌کنند) و کالبدشکافی‌های مرجع امنیتیِ BleepingComputer نشان می‌دهد که فرآیند شکار به شکل کاملاً مکانیزه و در سه فاز مشخص پیش می‌رود.

محققان این روند را در نقطه‌ای به‌نام «ساعت صفر» (T+0) بررسی می‌کنند. تصور کنید برنامه‌نویسی در تیم شما به تازگی یک سرور ابری جدید بالا می‌آورد و سپس یا با یک اشتباه کوچک در تنظیمات فایروال باعث باز شدن یک پورت ناخواسته می‌شود، یا یک پنل کاربری روی زیردامنه‌ای قرار می‌گیرد که هیچ‌کس حواسش به آن نیست. در دنیای واقعی، اگر درِ حیاط خانه شما قفل‌نشده بماند، ممکن است تا روزها کسی متوجه‌اش نشود؛ اما در فضای اینترنت وقتی چنین اتفاقی می‌افتد، شما و تیم امنیتی هیچ هشداری دریافت نمی‌کنید؛ در حالی که رادارهای هکرها بلافاصله آژیر می‌کشند!

برای درک بهتر این فازها، بیایید فرض کنیم یک خانه نوساز در محله‌ای شلوغ خریده‌اید.

فاز اول (۵ دقیقه تا ۶ ساعت اول): نگاه کردن از پشت شیشه

در بازه‌ی طلاییِ ۵ تا ۶۰ دقیقه ابتدایی (T+5 to T+60 minutes)، موتورهای جستجویِ مخصوصِ دارایی‌هایِ متصل به اینترنت (مثل Shodan و Censys) و اسکنرهای خودکار هکرها، خانه شما را پیدا می‌کنند. این بات‌ها مثل بازرسانی نامرئی اما بسیار سریع، از دور داخل خانه را برانداز و پورت‌های باز را فهرست می‌کنند. آن‌ها به دنبال پورت‌های مدیریتی باز می‌گردند (مثل پورت ۳۳۸۹ برای ویندوز یا ۲۲ برای لینوکس) و اطلاعات سربرگ‌ها (Banner Info) مانند نسخه وب‌سرور، گواهینامه TLS و حتی اثر انگشت پروتکل SSH را می‌قاپند.

بات‌ها سپس در کسری از ثانیه این اطلاعات را با پایگاه‌های داده آسیب‌پذیری‌های شناخته‌شده (CVE) تطبیق می‌دهند تا نقطه ضعف شما را پیدا کنند. علاوه بر این، اگر وب‌سایت گواهینامه امنیتی (TLS) داشته باشد، هکرها می‌توانند بدون حتی لمس سایت شما، اطلاعات زیادی درباره سایر دامنه‌ها و زیرساخت‌های مرتبط به دست بیاورند.

فاز دوم (ساعت ۶ تا ۱۲): چرخاندن دستگیره درها و لمس فعال

پس از گذشت شش ساعت، داستان ترسناک‌تر می‌شود. شناسایی خاموش جای خود را به «لمس فعال» می‌دهد. همان‌طور که داده‌های پایشگرهایی مثل GreyNoise نشان می‌دهد، فعالیت اسکنرها به شکل چشمگیری در این پنجره زمانی به اوج خود می‌رسد. دزدها حالا به حیاط آمده‌اند و دستگیره تمام درها و پنجره‌ها را می‌چرخانند.

در این مرحله تکنیکی به‌نام «پر کردن اعتبارنامه» (Credential Stuffing) روی پورت‌های مدیریتی آغاز می‌شود. سیستم‌های خودکار شروع می‌کنند به امتحان کردنِ میلیون‌ها نام کاربری و رمز عبوری که قبلا از سایت‌های دیگر لو رفته است. 

بات‌ها حتی پایگاه‌های داده‌ای مثل اِلَستیک‌سرچ (ElasticSearch) و رِدیس (Redis) را برای یافتن دسترسی‌های بدون رمز عبور جستجو می‌کنند و فریم‌ورک‌های نرم‌افزاری شما با کدهای مخرب بمباران می‌شوند. هیچ انسانی در این فرایند دخیل نیست؛ شبکه‌های رباتی (یا به اصطلاح بات‌نت‌ها) این کار را در مقیاس وسیع و به صورت شبانه‌روزی انجام می‌دهند.

فاز سوم (ساعت ۱۲ تا ۲۴): ورود و تسخیر کامل

اگر یکی از قفل‌ها باز باشد یا از رمزهای پیش‌فرض و ساده (مثل admin/1234) استفاده کرده باشید، کار تمام است. محققان موسسه امنیتی Unit 42 که ۳۲۰ سیستم طعمه را در فضای ابری رها کرده بودند، به چشم دیدند که ۸۰ درصد از این سیستم‌ها در کمتر از ۲۴ ساعت هک و تسخیر شدند و وضعیت سیستم از حالت «همین الان وصل شد!» به حالت «اکنون در کنترل هکرهاست!» تغییر یافت.

چرا هکرها این‌قدر سریع شده‌اند؟ (نقش ترسناک هوش مصنوعی)

شاید بپرسید: «مگر چند هکر در دنیا وجود دارد که بتوانند در عرض چند ساعت سرور کوچک من را در ایران پیدا کنند؟» جواب یک کلمه است: اتوماسیون (Automation).

پارادوکس جنگ‌های سایبری مدرن این است که انسان‌ها دیگر در خط مقدم نیستند. مهاجمان از ماشین‌هایی استفاده می‌کنند که با سرعت نور کار می‌کنند، در حالی که ما انسان‌ها هنوز با سرعت تایپ کردنِ روی کیبورد در حال دفاع هستیم. در این نبرد نابرابرِ، انسان هنوز ضعیف‌ترین حلقه اتصال است.

گزارش‌های تازه از تیم‌های تحقیقاتی مانند گوگل و Unit 42 پرده از یک حقیقت تلخ برمی‌دارند: فاصله‌ی زمانی بین افشای یک آسیب‌پذیری در دنیای وب و سوءاستفاده انبوه از آن، از چند هفته، به چند روز و حتی چند ساعت سقوط کرده است.

ربات‌هایی که با هم حرف می‌زنند و فاجعه می‌آفرینند

هوش مصنوعی (AI) به یک نیروی پیشرانه عظیم برای هکرها تبدیل شده که می‌تواند سرعت حمله را تا ۱۰۰ برابر افزایش دهد.

وقتی نرم‌افزارهای خودکار و متکی بر هوش مصنوعیِ عامل‌محور با یکدیگر تعامل می‌کنند، خطرات عجیبی خلق می‌شود. محققان دانشگاه‌های استنفورد و هاروارد در بررسی‌های خود دریافتند که تعامل این بات‌ها با یکدیگر می‌تواند خطاهای کوچک را روی هم تلنبار کند و به فجایع سیستمی بی‌سابقه‌ای مانند از کار افتادن کامل سرورها و حملات DoS منجر شود.

این موضوع شبیه آن است که دو کودک بازیگوش را در یک اتاق پر از ظروف شیشه‌ای تنها بگذارید؛ ترکیب شیطنت آن‌ها قطعاً منجر به یک فاجعه بزرگ‌تر از شیطنت فردی‌شان خواهد شد!

سرعت سرقت داده‌ها چقدر است؟

زمان خروج داده‌ها (Exfiltration) نیز به شدت کاهش یافته است. زمان دست‌به‌دست شدن هدف بین هکرها که در سال ۲۰۲۲ بیش از ۸ ساعت بود، در سال ۲۰۲۵ به میانگین ترسناک ۲۲ ثانیه سقوط کرده است! مهاجمان امروزی تنها ۱۵ دقیقه پس از انتشار عمومی یک آسیب‌پذیری، کل اینترنت را اسکن می‌کنند.

همچنین در یک‌چهارم حملات، سرقت داده‌های حیاتی تنها در ۷۲ دقیقه اتفاق می‌افتد و هکرها به طور میانگین فقط ۷ روز به صورت پنهان در شبکه باقی می‌مانند (که نسبت به گذشته کاهش چشمگیری داشته است). بنابراین، شرکت‌های کوچک و استارتاپ‌هایی که تیم امنیتی شبانه‌روزی ندارند، نمی‌توانند منتظر وقوع حادثه بمانند؛ زیرا در لحظه‌ای متوجه حمله می‌شوند که داده‌ها ساعت‌ها پیش‌تر از آن به سرقت رفته‌اند!

ما در ایران با چه چالش‌هایی دست‌وپنجه نرم می‌کنیم؟

بیایید واقع‌بین باشیم. وقتی از امنیت سایبری صحبت می‌کنیم، وضعیت ما در ایران متفاوت از بقیه دنیاست. ما در تقاطعِ تحریم‌های فناوری و محدودیت‌های دسترسی داخلی قرار داریم.

بسیاری از ما برای دسترسی به سرویس‌های ضروری و مدیریت سرورها، ناچاریم از انواع فیلترشکن‌ها استفاده کنیم. استفاده از فیلترشکن‌های نامعتبر، شبیه این است که برای فرار از ترافیک خیابان، میان‌بری بزنیم که مستقیما از وسط لانه‌ی گرگ‌ها رد می‌شود. این ابزارها عملاً دیوارهای محافظتی شبکه‌های ما را دور می‌زنند و بدافزارها را با دست خودمان به داخل سیستم هدایت می‌کنند.

نشت‌های اطلاعاتی و داستان‌های تلخ بومی

اگر اخبار را دنبال کرده باشید، می‌دانید که ماجرای نشت داده در ایران چقدر جدی است. یکی از نمونه‌های بارز آن، افشای اطلاعات ۴۲ میلیون کاربر ایرانی تلگرام بود که در یک پایگاه‌داده (الستیک‌سرچ) بدون هیچ لایه محافظتی در اینترنت رها شده بود و شکارچیان سایبری به راحتی منتشرش کردند. به فاصله کوتاهی، اطلاعات فروشگاه «سیب‌اپ» و حتی سایت مرکز آمار ایران نیز دچار اختلال و هک شدند.

علاوه بر این موارد، اکوسیستم استارتاپی نیز به‌دلیل فدا کردن امنیت به پای سرعت توسعه، بارها طعمه هکرها شده است. این وقایع به‌وضوح نشان می‌دهد که در فضای سایبری امروزی، حتی بزرگ‌ترین بازیگران اکوسیستم نیز اگر کنترل‌های امنیتی را از همان لحظات نخست لحاظ نکنند، به سرعت ضربه خواهند خورد.

واقعیت این است که در سطح کسب‌وکارهای کوچک و کاربران عادی، باید مصداق این ضرب‌المثل شیرین فارسی باشیم و باید «گلیم خود را از آب بیرون بکشیم». در دنیای دیجیتال، دل هیچکس بیشتر از خودمان برای داده‌هایمان نمی‌سوزد.

مجرمان سایبری دقیقاً چطور به سایت‌های حمله می‌کنند؟

برای اینکه بتوانیم از خودمان دفاع کنیم، باید تکنیک‌های حریف را بشناسیم. در فضای وب فارسی، حملات سایبری عموماً در چند دسته مشخص طبقه‌بندی می‌شوند:

  • بدافزارها و تروجان‌ها (Malware): بدافزارهایی مثل باج‌افزارها (WannaCry یا Ryuk) و تروجان‌های بانکی (مثل Zeus)، در قالب فایل‌های بی‌ضرر پنهان می‌شوند و پس از نفوذ، یا اطلاعات مالی را می‌دزدند یا فایل‌ها را قفل می‌کنند و از شما باج می‌خواهند. 
  • بات‌نت‌های استخراج رمز ارز (Cryptojacking): به تازگی محققان کشف کرده‌اند که هکرها با سوءاستفاده از تنظیمات اشتباه در سرورهای محبوبی مثل Apache Tomcat (که در ایران هم بسیار رایج است)، بدافزار بات‌نت Mirai را روی سرور نصب می‌کنند. این بدافزار بدون اینکه سایت شما را از کار بیندازد، در پس‌زمینه از پردازنده‌ی سرور شما برای استخراج ارز دیجیتال استفاده می‌کند! آمارها نشان‌دهنده رشد ۳۹۹ درصدی این نوع دزدی خاموش است. 
  • تزریق کد و ضعف‌های برنامه‌نویسی (SQL Injection & XSS): مهاجمان از طریق فرم‌های ورود یا نظراتِ وب‌سایت شما، کدهای مخرب را به پایگاه داده تزریق و اطلاعات مشتریان را سرقت می‌کنند. 
  • حملات فیشینگ (Phishing): این شاید آشناترین روش برای کاربران ایرانی باشد؛ پیامک‌هایی با عناوینی مثل «شکایت سامانه ثنا» یا «قطع سهمیه بنزین» که شما را به یک درگاه پرداخت جعلی هدایت می‌کنند. هکرها در این روش با مهندسی اجتماعی، دقیقاً «گنجشک را رنگ می‌کنند و جای قناری می‌فروشند». گزارش‌ها نشان می‌دهد نزدیک به نیمی از وقایع امنیتی (۴۴ درصد) مستقیماً از طریق مرورگرهای وب و فریب دادن کاربران (نه هک کردن سیستم‌ها) آغاز می‌شوند.

چطور از خودمان مراقبت کنیم؟

برای درک بهتر اهمیت پیکربندی اولیه، بهترین تمثیل همان ضرب‌المثل حکمت‌آمیز ایرانی است: «خشت اول گر نهد معمار کج، تا ثریا می‌رود دیوار کج».

در دنیای دیجیتال، سرور جدید شما دقیقاً همان خشت اولِ کسب‌وکارتان است. اگر این پایه را سست بنا کنید (مثلاً از یک سرور ارزان با تنظیمات پیش‌فرض و بدون آپدیت استفاده کنید)، هرچقدر هم که در آینده لایه‌های نرم‌افزاری بیشتری بچینید، کل ساختار با یک حمله ساده از هم می‌پاشد. اما اگر این خشت را از ابتدا تراز و مستحکم بگذارید (با فایروال‌های قدرتمند، رمزنگاری و مدیریت دسترسی‌ها)، دیواری نفوذناپذیر در برابر مهاجمان خواهید داشت.

اگر می‌خواهید خشت اولِ خانه خود را در فضای دیجیتال درست بگذارید، باید اقدامات زیر را بلافاصله پس از خرید سرور و پیش از اتصال عمومی آن انجام دهید.

بهداشت پایه سرور (Server Hygiene)

  1. بستن درهای اضافه: نصب برنامه‌ها و افزونه‌های غیرضروری روی سرور، مثل باز گذاشتن درهای اضافه برای خانه است. فقط سرویس‌هایی را فعال کنید که واقعا به آن‌ها نیاز دارید.
  2. به‌روزرسانی بی‌وقفه: نصب آپدیت‌ها و وصله‌های امنیتی حیاتی‌ترین کار است. هکرها عاشق سرورهایی هستند که مدیرانشان آپدیت کردن را فراموش کرده‌اند (و البته در وضعیت قطعی اینترنت، خودش تبدیل به یک کابوس شده).
  3. رمزنگاری اطلاعات (گواهینامه TLS/SSL): حتما مطمئن شوید که سایت از HTTPS پشتیبانی می‌کند تا ترافیک کاربران در مسیر شنود نشود.
  4. استفاده از شبکه خصوصی مجازی (VPN) برای مدیران: هیچ‌گاه نباید صفحات ورود به پنل مدیریت سایت، از طریق اینترنت عمومی و برای همه افراد باز باشد. دسترسی به این پنل‌ها را به آدرس‌های IP خاص یا VPN داخلی شرکت خود محدود کنید.
  5. نظارت بر منابع: اگر ناگهان مصرف پردازنده (CPU) یا ترافیک شبکه سرور به شکل غیرعادی بالا رفت، شک نکنید که مهمان ناخوانده‌ای در حال استخراج ارز دیجیتال یا دانلود اطلاعات شماست.

ممیزی و تست مداوم با اسکنرهای آنلاین

مدیر سایت هرگز نباید منتظر بماند تا کاربران به او گزارش خرابی بدهند. ابزارهای رایگان و قدرتمندی وجود دارند که می‌توان با وارد کردن آدرس در آن‌ها، سلامت کلی سایت را بررسی کرد:

نام ابزار اسکنرتمرکز اصلی در بررسی امنیتمناسب برای
Qualys SSL Labsبررسی عمیق وضعیت گواهینامه SSL، رمزنگاری و پروتکل‌های TLSبررسی امنیت انتقال داده بین سرور و کاربر
Acunetixشناسایی حفره‌های خطرناک برنامه‌نویسی مثل تزریق کد (SQLi) و XSSتوسعه‌دهندگان وب و مدیران سرور
Sucuri SiteCheckیافتن بدافزارهای مخفی در کدها و بررسی قرارگیری سایت در لیست سیاه موتورهای جستجووب‌مسترها و سایت‌های وردپرسی
Detectify / Netsparkerممیزی کامل برنامه‌های تحت وب و اسکن آسیب‌پذیری‌های پیچیدهتیم‌های امنیت شبکه (DevSecOps)

در آخر؛ امنیت مقصد نیست، مسیر است!

اقتصاد جرایم سایبری به چنان ابعاد وحشتناکی رسیده است که هزینه آن در سال ۲۰۲۳ حدود ۸ تریلیون دلار برآورد می‌شود. پیش‌بینی‌ها از این حکایت دارند که هزینه‌های این جرایم تا سال ۲۰۲۷ به ۲۴ تریلیون دلار خواهد رسید! این به معنای بزرگ‌ترین انتقال ثروت غیرقانونی در تاریخ بشر است.

این راهنمای نوشدارو را برای تیم فنی، مدیران سرور یا دوستان برنامه‌نویس خود بفرستید تا خشت اول را محکم‌تر و امن‌تر قرار دهند. تصمیم امنِ امروز، ناجی اعتبار فردای شماست.

بازبینی: شایان ضیایی

پست‌های مرتبط

نوشدارو را دنبال کنید

اینستاگرام

تلگرام

واتساپ

مطالب پرنگاه

نوشدارو NooshDaroo
نوشدارو NooshDaroo
نوشدارو NooshDaroo
نوشدارو NooshDaroo
نوشدارو NooshDaroo

ویدیوهای نوشدارو

ویدیو های بیشتر

حکایت‌های کوتاه، حقیقت‌های بزرگ

در این بخش، به بررسی دقیق و جامع نشانه‌ها و رفتارهایی می‌پردازیم که ممکن است به کلاهبرداری آنلاین مرتبط باشند. شناخت این موارد می‌تواند به شما کمک کند.

ویدیو های بیشتر
ویدیو های بیشتر
بازگشت به بالای صفحه
×

منابع

  1. Bleeping Computer
    https://www.bleepingcomputer.com/news/security/what-happens-in-the-first-24-hours-after-a-new-asset-goes-live
  2. PaloAltoNetworks
    https://www.paloaltonetworks.com/resources/research/unit-42-incident-response-report
  3. Wikipedia
    https://fa.wikipedia.org/wiki/%D9%81%D9%87%D8%B1%D8%B3%D8%AA_%D9%86%D9%82%D8%B6_%D8%AF%D8%A7%D8%AF%D9%87%E2%80%8C%D9%87%D8%A7%DB%8C_%DA%A9%D8%A7%D8%B1%D8%A8%D8%B1%D8%A7%D9%86_%D8%A7%DB%8C%D8%B1%D8%A7%D9%86%DB%8C
  4. IranHost
    https://iranhost.com/blog/%D8%A7%D8%A8%D8%B2%D8%A7%D8%B1-%D8%A2%D9%86%D9%84%D8%A7%DB%8C%D9%86-%D8%B1%D8%A7%DB%8C%DA%AF%D8%A7%D9%86-%D8%A8%D8%B1%D8%A7%DB%8C-%D8%A7%D8%B3%DA%A9%D9%86-%D9%88%D8%A8-%D8%B3%D8%A7%DB%8C%D8%AA