بعد از هک شدن سرور چه کار می کنید؟ می گردید و فایل های آلوده رو پیدا می کنید؟ تاریخچه تغییرات فایل ها رو چک می کنید و فایل هایی که پس از هک تغییر کردند رو با نسخه مطمئن جایگزین می کنید؟ بک آپ آخرین تاریخ مطمئن رو برمی گردونید؟ یا اصلا بی خیال سیستم عامل می شید و از اول نصبش می کنید و سرور رو دوباره کانفیگ می کنید؟

باید بگم که همه کارهای ممکن رو انجام دادید ولی خیالتون راحت نباشه. یک هکر (SpritesMods) که متخصص هک سخت افزاریه نشون داده که حتی با تغییر سیستم عامل هم می تونه سرور رو دوباره هک کنه.

احتمالا تا الان فکر می کردید (مثل من) که هارد درایو یه محل ذخیره سازی دیتاست که سیستم عامل کنترلش می کنه و یه کابل داره و یه سری بلاک روش وجود داره که دیتا روی اونها ذخیره و بعد خونده می شه. ولی همه هارد درایو این نیست. اگه یه هارد رو باز کنید یه کنترل کننده موتور می بیند، یه رم و یه تراشه. این تراشه نکته اصلیه که شامل یک پردازنده است و پردازنده هم یعنی امکان هک. هارد دیسک ها Firmware دارند. یک هکر پس از نفوذ به سرور و گرفتن دسترسی روت (بالاترین دسترسی. ویندوزی ها بهش ادمین می گن) می تونه این firmware رو بخونه، تغییر بده و بازنویسی کنه.

از این به بعد حتی اگر سیستم عامل هم تغییر کنه و همه ضعف های امنیتی برطرف بشه، باز هم هکر می تونه کنترل اون سرور رو به دست بگیره. فرض کنید هکر Firmware رو جوری تغییر داده که در صورت قرار گرفتن یک رشته حروف خاص روی هارد، یک کد خاص اجرا بشه.

فرض کنیم یک وب سرور لینوکسی داریم. هکر یک url خاص که شامل اون رشته باشه رو به سرور درخواست می ده. اون url صفحه خاصی رو باز نمی کنه و در error log سرور هم اون url ثبت می شه. کافیه که هکر پیش از این و در تغییرات firmware مشخص کرده باشه که با ذخیره شدن این رشته بر روی هارد، فایل etc/shadow به مقادیر مشخص شده از طرف هکر بازنویسی بشه. این یعنی تغییر پسورد روت و دسترسی مجدد هکر.

از اینجا به بعد دیگه برمی گرده به توانایی های هکر. ما هم می تونیم مثل هکر ها فکر کنیم و ببینیم با این توانایی چه کارهای دیگه ای می تونیم انجام بدیم.

منبع