حقيقة ملف passwords.txt وخطورته على السيرفر !

فيه حد عمل penetration test لموقع ولقي ملف اسمه passwords.txt فيه حسابات وباسوردات جاهزة. الموضوع ده منتشر وفيه نقطتين مهمين هنكلم عنهم:

1. الهجمات العشوائية اللي بتدور على ملفات جاهزة.
2. "الشماعة" الجديدة: تحميل المسؤولية على AI غلط.

لو شغلك ليه علاقة بالسيرفرات، Apache/Nginx، أو APIs - البوست ده هيخلّيك تشوف الحكاية من زاوية عملية وتعرف تحمي نفسك.

ليه بيلاقوا ملفات زي passwords.txt؟ ​

في الحقيقة في سببين رئيسيين:

1. ملفات مخترقين سابقة متسابَة على السيرفر​

يا دوب لو حد اخترق في مرة قبل كده وساب ملفات، الهاكر الجاي ممكن يلاقيها وياخد عليها على الجاهز. الملفات دي ممكن تبقى اسامي مستخدمين، كلمات سر، أو سكربتات جاهزة.

2. مطورين/مهندسين شغالين "بلدي" - بياخدوا Backup على السيرفر​

لو واحد عمل Backups على السيرفر باسم app.zip أو backup.tar.gz من غير ما يحط نسخه في Git أو repo آمن، فانت كده بتدي للهاكر نسخة من كود المشروع ببلاش. بعض المواقع أصلاً لسه محتاجة Landing page والدومين جديد - وده معناه إن النظام موبنظم من البداية.

أمثلة على الملفات اللي بتظهر في الـ access_log وتعتبر خطيرة ​

• .env ، .env.dev
• .git/ أو ملفات config اللي مسموح وصولها
• upload.php, alpha.php, cgi/alpha.cgi
• passwords.txt اللي فيها قوائم حسابات جاهزة

لو واحد دخل وحصل على أيا من الملفات دي، سريعًا يخش على بيانات أو يكمل عملية استغلال تانية.

الهجمات دي عادةً عشوائية - يعني إيه؟ ​

العديد من البوتات والماسحات بتدور على مسارات ومعروفة:

• بتحاول تزور admin, /wp-login.php, /.env
• بتبحث على ملفات احتياطيه مثل backup.zip
• لو لقت أي ملف حساس بتستغله فورًا أو بتنزله للفاترة الجاية

وده معناه إن تأمين المسارات والملفات دي ضروري جدًا حتى لو مش متوقع إن حد يخترقك.

لا تلصقوا الفشل على الـ AI - ده ظلم! ​

فيه ناس بتقول: "AI عمل الملف ده" أو "الموديل انتج الكلام ده" - الكلام ده في الغالب مش صح. نموذج ذكاء اصطناعي مش هينتج ملف بأسماء حسابات حقيقية غلط كده لو مش مدخوله بياناتها. اللي حصل فعلاً هو إن في إهمال بشري أو ثغرة/تحميل ملفات قديمة على السيرفر.

خلاصة سريعة:​

• AI بريء من أخطاء زي وجود passwords.txt على السيرفر.
• الخلل غالبًا بشري أو نتيجة إهمال في الـ DevOps / Deployment.

ازاي تكشف الحاجات دي في الـ logs؟ ​

لو بتتابع الـ access_log على Apache أو Nginx هتلاقي محاولات على مسارات مش موجودة أو طلبات لتحميل ملفات غريبة. مثال بسيط للـ access_log entry:

192.0.2.10 - - [04/Nov/2025:12:34:56 +0200] "GET /.env HTTP/1.1" 200 612 "-" "Mozilla/5.0"

لو لقيت طلبات كتير لـ .env أو passwords.txt يبقى عندك مشكلة محتاجة فحص فوري.

خطوات عملية تمنع المشكلة من الأساس ​

1. أبداً ما تخلي ملفات حساسة قابلة للتحميل: امنع الوصول للـ .env وملفات الـ config من خلال إعدادات الخادم.

# مثال Nginx - منع وصول .env
location ~ /\.env {
    deny all;
    return 404;
}

1. خلي الـ Backups برا السيرفر: استخدم Repo آمن (Git + private repo) أو service للسحابة، واحتفظ بالتواريخ والهستوري بتاع التغييرات.
2. افحص السيرفر بانتظام: شغّل SCA/IDS وماسحات دورية بتكشف ملفات مش من المفروض تكون موجودة.
3. سجّل كل حاجة (Logging + Monitoring): لو في أي تحميل لملف حساس، يترسل لك Alert فورًا.
4. Access Controls وPermissions مظبوطة: الملفات الحساسة لها Owner ومجموعات محددة وصلاحيات محدودة.
5. Use .gitignore وركز في CI/CD: ما ترفعش ملفات حساسة على الريبو حتى عن طريق الخطأ.

لو لقيت passwords.txt - تعمل إيه فورًا؟ ​

1. عزل السيرفر (isolate) أو فصل الخدمة لو الشك كبير.
2. خليك منسق مع الـ Incident Response: خذ snapshot من الـ disk واحتفظ بالـ logs.
3. غير كل كلمات السر المشتبه فيها فورًا.
4. افحص إذا فيه ملفات إضافية أو backdoors.
5. راجع نقاط الضعف اللي سببت وجود الملف (permission, backups, deploy process).
6. لو محتاج، بلّغ الجهات المسؤولة أو الـ SOC.

مثال عملي: سكربت بسيط يفحص وجود ملفات حساسة ​

ده مثال بلغة Bash يفحص لو ملفات زي .env أو passwords.txt موجودين في الـ webroot:

#!/bin/bash
WEBROOT="/var/www/html"
FILES=(".env" "passwords.txt" "backup.zip" ".git")
for f in "${FILES[@]}"; do
  if [ -e "$WEBROOT/$f" ]; then
    echo "WARNING: $f exists in $WEBROOT"
  fi
done

شغّل السكربت ده دوريًا أو ضيفه في Cron وابعته notifications.

نصيحة أخيرة للمطورين وAdmins ​

• نظم الـ Deployment وادخل الـ Secrets في Vault (مثل HashiCorp Vault أو AWS Secrets Manager).
• ماتعملش Backups على نفس السيرفر.
• اتعلم تعمل git صح وما ترفعش ملفات حساسة على الريبو.
• وافتكر: لو حصلت مشكلة، الحل مش لوم الـAI - الحل تحليل السبب الجذري وإصلاح العملية.

الخلاصة - الكلام في سطر واحد ​

وجود ملف زي passwords.txt على السيرفر نتيجة إهمال أو اختراق سابق، وده مشكلة إدارية/تقنية مش خطأ من الـ AI. نظم الـ deployment، استخدم أدوات إدارة الأسرار، واعمل فحص دوري للـ logs والملفات - وده هيقلّلك مشاكل كتير قدام.