PDA

توجه ! این یک نسخه آرشیو شده میباشد و در این حالت شما عکسی را مشاهده نمیکنید برای مشاهده کامل متن و عکسها بر روی لینک مقابل کلیک کنید : هک شدن config.php کمک فوری



dollar
July 9th, 2012, 11:00
با سلام
یه سایت دارم که برنامه ای داره پرداخت انلاین لیبرتی هست که بعد از پرداخت اتومات برای مشتری یوزرنیم و پسوورد میفرسته .
جدیدا هکری فایل کانفیگ config.php را میتونه تغییر بده و شماره حساب را موقتا تغییر بده و مشتری خرید میکنه همه چیز اوکی هست ولی پول به یه حساب دیگه میره .
در حال که من تمام پسووردها را تغییر دادم و15 رقمی بسیار پیچیده است . ولی نیمدونم چطوری بازم میتونه این کار را بکنه . از هک و امنیت هم چیز خاصی نمیدونم.
این سیستم را من 2 سال دارم و اخیرا این مشکل را داره.
از دوستان خواستم راهنمایی بخوام چیکار باید کنم ؟ و مشکل از کجاست....
ممنون بخاطر راهنمایی شما دوستان

Ashkankamangar.ir
July 9th, 2012, 11:48
سیستم باگ داره
سطح دسترسی کانفیگ رو ببرید رو 444
اگه میتونید به من دسترسی بدید برای بررسی

Abo
July 9th, 2012, 11:59
سطح دسترسی چی بوده ؟

Ahmad110
July 9th, 2012, 12:42
با سلام
یه سایت دارم که برنامه ای داره پرداخت انلاین لیبرتی هست که بعد از پرداخت اتومات برای مشتری یوزرنیم و پسوورد میفرسته .
جدیدا هکری فایل کانفیگ config.php را میتونه تغییر بده و شماره حساب را موقتا تغییر بده و مشتری خرید میکنه همه چیز اوکی هست ولی پول به یه حساب دیگه میره .
در حال که من تمام پسووردها را تغییر دادم و15 رقمی بسیار پیچیده است . ولی نیمدونم چطوری بازم میتونه این کار را بکنه . از هک و امنیت هم چیز خاصی نمیدونم.
این سیستم را من 2 سال دارم و اخیرا این مشکل را داره.
از دوستان خواستم راهنمایی بخوام چیکار باید کنم ؟ و مشکل از کجاست....
ممنون بخاطر راهنمایی شما دوستان
فایل کانفیگ رو کد کن .
پ. ن : احتمالا شلر آپلود کرده که به راحتی دسترسی میگیره .

Mihan-VPS
July 9th, 2012, 12:44
بهترین را اینه فایل کانفیگ رو کد کنی تا نتونه چیزی بخونه

dollar
July 9th, 2012, 13:19
ممنون از همه دوستان
در مورد اون دوستمون که گفتن شلر شاید باشه . چطوری میتونم بفهمم و چگونه می شود حذفش کرد؟
میشه بگین چطوری اینکار را کنم؟ یعنی چطوری کدش کنم؟

dollar
July 9th, 2012, 13:38
سیستم باگ داره
سطح دسترسی کانفیگ رو ببرید رو 444
اگه میتونید به من دسترسی بدید برای بررسی
این کار را کردم ولی هربار که 444 میکنم بعد دوباره 644 میشه . چند بار این کار را با کیوت اف تی پی کردم ولی باز خود به خود بر میگرده به 644.

Ashkankamangar.ir
July 9th, 2012, 13:57
بهتره اول هاستتون رو عوض کنید
دوم امنیتی اسکریپتتون رو

amirlord
July 9th, 2012, 13:59
سلام
وقتی میگید فایل رو تغییر میده شما هرکاری بکنید اون هم کار خودشو میکنه !! حالا واقعا نمیدونم دوستان چرا روش کد کردن فایل کانفیگ رو پیشنهاد دادن ؟!!
بحث سر خوندن فایل نیست که اونو کد کنید ، بحث سر دسترسی به write روی اون هست . شما باید راه های دسترسی رو ببندید نه این که انگیزه بیشتری به طرف بدید :)
تمام فایل هارو بدید به یه برنامه نویس تا باگ هاشو براتون چک کنه . برای این مورد هک اگر هکر شل آپ کرده باشه مطمئنا سنش زیر 14 هست :دی

dollar
July 9th, 2012, 14:00
بهتره اول هاستتون رو عوض کنید
دوم امنیتی اسکریپتتون رو
از هاست مانستر سرور دارم ...

dollar
July 9th, 2012, 14:01
سلام
وقتی میگید فایل رو تغییر میده شما هرکاری بکنید اون هم کار خودشو میکنه !! حالا واقعا نمیدونم دوستان چرا روش کد کردن فایل کانفیگ رو پیشنهاد دادن ؟!!
بحث سر خوندن فایل نیست که اونو کد کنید ، بحث سر دسترسی به write روی اون هست . شما باید راه های دسترسی رو ببندید نه این که انگیزه بیشتری به طرف بدید :)
تمام فایل هارو بدید به یه برنامه نویس تا باگ هاشو براتون چک کنه . برای این مورد هک اگر هکر شل آپ کرده باشه مطمئنا سنش زیر 14 هست :دی
شما شخص مطمئنی میشناسین ؟ برنامه نویس سراغ ندارم....

amirlord
July 9th, 2012, 14:14
شما شخص مطمئنی میشناسین ؟ برنامه نویس سراغ ندارم....
سلام
با آقای پاکرو در ارتباط باشید . ایمیلشون رو براتون پخ کردم .

dollar
July 9th, 2012, 14:25
سلام
با آقای پاکرو در ارتباط باشید . ایمیلشون رو براتون پخ کردم .
مرسی داداش
بعد یه سوال هم داشتم . ن میخوام یه سایت دیگه هم بزنم و این برنامه ای که توش دارم را توی اون هم بریزم که دیگه الکی پول اسکریپت ندم . چطوری میتونم این کار را کنم؟ از دیتابیس چطوری میشه کپی بگیرم و یه دیتابیس بسازم و در ان بریزم؟ اطلاعی دارید؟ چگونه میشه این کار را کرد؟
با تشکر

parsspace
July 9th, 2012, 14:32
احتمالا php رو سرور شما به حالت cli نصب شده که اجازه تغییر پرمیشن هارو میده. شما یهبار همه چیز رو تنظیم کن بعد از مدیر سرور بخواه که با استفاده از دستور chattr کلا فایل های شمارو فیریز کنه اونموقع خود شما هم دیگه نمیتونید چیزی رو تغییر بدین چه برسه به اون هکر بیچاره

parsspace
July 9th, 2012, 14:33
خواستی بهم پی ام بده مشکلت رو حل کنم hostwz

sardarn
July 9th, 2012, 14:43
مرسی داداش
بعد یه سوال هم داشتم . ن میخوام یه سایت دیگه هم بزنم و این برنامه ای که توش دارم را توی اون هم بریزم که دیگه الکی پول اسکریپت ندم . چطوری میتونم این کار را کنم؟ از دیتابیس چطوری میشه کپی بگیرم و یه دیتابیس بسازم و در ان بریزم؟ اطلاعی دارید؟ چگونه میشه این کار را کرد؟
با تشکر

شما توی phpmyadmin از دیتابیس تون یک ایمپورت بگیرید و قتی سایت دوم رو ساختید دیتابیس رو توی اون ایمپورت کنید.البته ممکنه بعضی از لینک ها رو توی دیتابیس و اسکریپت باید تغییر بدید.

dollar
July 9th, 2012, 15:08
برای همه دوستان تشکر زدم . ممنون از راهنماییتون
البته هنوز حل نشده و دارم راهکار دوستان را انجام میدم....

dollar
July 9th, 2012, 22:21
فعلا از طریق کنترا پنل تونستم سطح دسترسی را 444 کنم .
بعد این هم پیدا کردم و انجامش دادم ولی نمیدونم تاثیری داره یا نه؟ از گوگل پیدا کردم
آموزش غیر فعال کردن سیستم هک و پلاگین با Config.php (http://www.parsvbulletin.com/showthread.php/864-%D8%A2%D9%85%D9%88%D8%B2%D8%B4-%D8%BA%DB%8C%D8%B1-%D9%81%D8%B9%D8%A7%D9%84-%DA%A9%D8%B1%D8%AF%D9%86-%D8%B3%DB%8C%D8%B3%D8%AA%D9%85-%D9%87%DA%A9-%D9%88-%D9%BE%D9%84%D8%A7%DA%AF%DB%8C%D9%86-%D8%A8%D8%A7-Config-php)
نظر شما چیست؟

sardarn
July 9th, 2012, 22:59
فعلا از طریق کنترا پنل تونستم سطح دسترسی را 444 کنم .
بعد این هم پیدا کردم و انجامش دادم ولی نمیدونم تاثیری داره یا نه؟ از گوگل پیدا کردم
آموزش غیر فعال کردن سیستم هک و پلاگین با Config.php (http://www.parsvbulletin.com/showthread.php/864-%D8%A2%D9%85%D9%88%D8%B2%D8%B4-%D8%BA%DB%8C%D8%B1-%D9%81%D8%B9%D8%A7%D9%84-%DA%A9%D8%B1%D8%AF%D9%86-%D8%B3%DB%8C%D8%B3%D8%AA%D9%85-%D9%87%DA%A9-%D9%88-%D9%BE%D9%84%D8%A7%DA%AF%DB%8C%D9%86-%D8%A8%D8%A7-Config-php)
نظر شما چیست؟

سلام
اولا این کار برای vb هست نه اسکریپت شما
دوما هک که کفته منظورش برای هک نشدن نیست منظورش یه چیزی حدود پلاگین برای سیستم هست پس این کار فایده ای برای شما نداره

dollar
July 9th, 2012, 23:02
سلام
اولا این کار برای vb هست نه اسکریپت شما
دوما هک که کفته منظورش برای هک نشدن نیست منظورش یه چیزی حدود پلاگین برای سیستم هست پس این کار فایده ای برای شما نداره
درست ....
بعد من سطح دسترسی را تونستم تغییر بدم . بنظرت اونهم میتونه تغییرش بده و دوباره به حالت اول برگردونه؟ یا برای تغیر سطح دسترسی نیاز به یوزرنیم و پسوورد هست که باید باشه؟

sardarn
July 10th, 2012, 09:08
درست ....
بعد من سطح دسترسی را تونستم تغییر بدم . بنظرت اونهم میتونه تغییرش بده و دوباره به حالت اول برگردونه؟ یا برای تغیر سطح دسترسی نیاز به یوزرنیم و پسوورد هست که باید باشه؟

من نمی دونم چه قدر به هاست شما دسترسی داره اما فکر کنم بتونه

sardarn
July 10th, 2012, 09:13
راستی می تونید به مدیر سرور بگید هاستتون رو فریز کنه دیگه نه خودتون نه هیچ کس دیگه نمی تونه دسترسی رو تغییر بده

dollar
July 10th, 2012, 10:00
راستی می تونید به مدیر سرور بگید هاستتون رو فریز کنه دیگه نه خودتون نه هیچ کس دیگه نمی تونه دسترسی رو تغییر بده
فریز بخوام به انگلیسی بگم همون فریز باید بگم یا کلمه دیگه ای میشه از نظر تخصصی که این معنی را برسونه؟
بعد یکی از دوستام این را فرستاد :
براي اينكه به هيچ عنوان كسي از طريق سايت به كانفيگ دسترسي نداشته باشه ،‌ مي توني يه فايل .htaccess بسازي و اين چند خط رو توش بذاري :

<FilesMatch "config.php">
Order deny,allow
Deny from all
</FilesMatch>

فک کنم منظورش اینه که اینطوری فقط از طریق یوزروپسوورد میتونی تغییر بدی و از طریق دیگه ای اجازه نده . درسته یا نه؟

sardarn
July 10th, 2012, 10:10
فریز بخوام به انگلیسی بگم همون فریز باید بگم یا کلمه دیگه ای میشه از نظر تخصصی که این معنی را برسونه؟
بعد یکی از دوستام این را فرستاد :
براي اينكه به هيچ عنوان كسي از طريق سايت به كانفيگ دسترسي نداشته باشه ،‌ مي توني يه فايل .htaccess بسازي و اين چند خط رو توش بذاري :

<FilesMatch "config.php">
Order deny,allow
Deny from all
</FilesMatch>

فک کنم منظورش اینه که اینطوری فقط از طریق یوزروپسوورد میتونی تغییر بدی و از طریق دیگه ای اجازه نده . درسته یا نه؟

فریز خودش انگلیسیه
این کار شاید جواب بده

dollar
July 11th, 2012, 13:23
بچه ها از قرار معلوم خیلی دسترسی داره . بغیر از اون فایل یه فایل html هم تغییر داده و شماره خودش را نوشته... منم دیگه خیلی خسته شدم کلا فولدر سایتم را پاک کردم تا ببینم چیکار میتونم کنم.
یه فولدری توش پیدا کردم که دقت نکرده بودم و اسمش ساپورت بود و توش یه سری فایل های php(script نوشته شده بود من هم بعضی هاش را دانلود کردم ببینم چیه و کلا حذفش کردم
فایده ای داره یا این نصب شده روی هاستم؟ چیکار باید کنم؟ اگه مثلا خودش را نصب کرده باشه با حذف فایل از کارایی میفته یا نه ؟

dollar
July 13th, 2012, 10:02
من فایل کانفیگ را کلا حذف کردم و یوزرنیم دیتابیس هم حذف کردم
گویا مشکل حل شده و احتمالا بخاطر خود اسکریپت بوده که میتونسته وارد سیستم بشه. البته مشتری دیگه فقط میتونه پرداخت کنه و براش یوزرنیم و پسوورد فرستاده نمیشه. حالا دنبال یکی هستم یا این اسکریپت را درست کنه یا دنبال یه اسکریپت دیگه باشم ....
نظرتون راجع به این سیستم پرداخت چیه؟ نسخه رایگان هم داره . بنظرتون خوب هست؟
BoxBilling is a free billing, invoicing and client management software (http://www.boxbilling.com/)

makh000f
July 13th, 2012, 10:29
با آیدی بنده در تماس باشید :
s.acehost

این جور چیزا بایپسش مشکلی نداره !! میاد بایپس میکنه یا دسترسی میگیره یا دیفیس میکنه !

با آیدی بنده تماس بگیرید راهنمایی کنم

smail_f
December 5th, 2012, 00:16
جالبه اینجا چیزای جالبی هست من هی میگردم هی مشکلاتم رو میبینم و حل میشه
اینشالا مشکلات شماهم حل بشه

VPS
December 5th, 2012, 00:31
سلام
مشکل مشابه ای داشتیم که برای حلش به کاربر Secure_host (http://www.webhostingtalk.ir/member/165/) مراجعه کردم و ایشون هم ابتدا سایت را موقتا به سرور خودشون منتقل کردن و بعد از یکی 2 روز نحوه نفوذ را به طور کامل برام شرح دادن و سپس مشکل را هم برام برطرف نمودند و توصیه های امنیتی نیز به جهت امنیت بیشتر گفتند که بعد از اعمال اون تنظیمات تا الان مشکل نداشتم و خیالم از بابت امنیت راحت شده .
به نظرم به ایشون مراجعه کنید تا سریعتر دچار ضرر نشوید و مشکل را سریعتر برطرف نمایند.
دیگه فکر کنم بعد از اون قضیه 5 شدن در مسابقات جهانی هکینگ (http://www.webhostingtalk.ir/f41/59403/) ایشون همه بچه های فروم ایشون را بشناسند و همه تخصص ایشون را در حیطه هک و امنیت تایید کنند .

OnlineServer
December 5th, 2012, 10:29
سلام
پرمیشن فایل های config.php را میتونید ۴۰۰ بگذاری چون این فایل ها پس از اینکه اطلاعات داخلش Write شد یک فایل فقط خواندنی هست و به غیر از شما کسی بهش نیاز نداره
به همین جهت با این کار , از خواندن این فایل بوسیله Symlink از هاست های دیگه میتونید جلوگیری کنید