هک شدن سایت توسط گروه xx-alibala-xx

[eramserver]

با سلام
ممکنه وبسایت شما هیچ باگی نداشته باشه و این نفوذ از سمت سرور هاستینگ شما صورت گرفته باشه .

[iHSG]

سلام
به نظر من دو احتمال هست:
1.یکی از افزونه ها که از جای نامطمئن گرفته شده این کار رو انجام میده (حتی از سایت های اسکریپت ایرانی هم نباید افزونه وردپرس دانلود کنید افزونه وردپرس فقط از wordpress.org باید دانلود بشه.).
2.یکی از افزونه ها یا حتی قالبتون باگ SQL Injection داره که به هکر اجازه میده دستور SQL دلخواهش رو به دیتابیس تزریق کنه.در این زمینه اگر پیشوند جداول دیتابیستون به جای wp چیز دیگه ای بود درصد این کار کاهش میافت.

[IrIsT]

سلام و درود
یک سوال بسیار خوب برای مدیران سرور.که بتونن حمله هارو بشناسن و تشخیص بدن.از متن بسیار ساده میشه فهمید
عزیز،گفتی فایل دیتابیست یک کد گذاشته
خوب،پسوورد فایل کانفیگتو عوض کن.سیم لینک خوردی عزیز.فایل کانفیگت سیم زده شده
پسووردشو عوض کن و سرورتو تغییر بده.
تمام
یک حالت خیلی قوی هستش تو این موارد،سیم لینک.فایل کانفیگ.میتونسته یوزرتو بزنه.اما پسوورد های وردپرس کرکش سخته.واسه همین کد زده
Sqli 1% امکان داره.اگه اس کیو ال بزنه،یعنی مرد میخواد که بتونه تیبل رو دست کاری کنه و کد بذاره.همه میرن سروقت یوزر.اگه بخواد با اس کیو ال هک کنه و اسکریپت بذاره
چرا نیاد پسووردتو عوض کنه و لاگین کنه؟بعد رو سرورت شل بریزه؟
پس سیم لینک خوردی.به همین سادگی
یوزر و پس کانفیگ رو زده.با شل وصل شده.تیبل و ادیت کرده.راحت
حالا دو کدوم سرور بودی؟

- - - Updated - - -

اینجور که میگین هک شدن توسط اسکریپتتون یا بهتر بگم نفوذ به سیستم مدیریتی اسکریپتتون بوده حالا یا باگ داشته یا کی لاگر رو پی سی دارید یا پسوورد ضعیف
پ.ن:البته تا ندونم اسکریپت چی بوده و آیا با اون میشده یک تک در دیتا بیس گذاشت یا نه.
نمیشه با اطمینان گفت. ولی با توجه به اینکه میگید پسسورد عوض شده و فایلها هستند و فقط صفحه ایندکس اونم با ایمپورت کدی در دیتا بیس هک شده احتمال مورد فوق بیشتره
برای محکم کاری روی پوشه/فایل ادمین از طریق کنترل پنل هاستینگ یک پسوورد هم ست کنید و یا آدرس مدیریت رو تغییر بدین

- - - Updated - - -

احیانا یکی از سایتهای زیر نیستید؟
فایل پیوست 31207

درود
با اجازتون یک پسر 15 ساله یک دو کلام بگه.کیلاگید و این چیزا اگه بذاره که اصلا در کار نبوده،خوب پسوورد ورد به کنترل پنل و میزنه.چه کاریه پسوورد wp admin رو بزنه
دوم اینکه کیلاگر و اینا قدیمی شده.کمتر استفاده میشه.ببینید چی نوشته دیتابیس تغییر داده شده.

توی مطالب تغییر پسوورد نبود.یک تیبل عوض شده
Sqli روی سرور سعی میکنن بزنن که باگ زدن و اینکه پسوورد کرک کردن سخته.به دردسر نمی ارزه
گزینه هیچ کدام از موارد بالای شما صحیح هست
سیم لینک.فایل کانفیگ خونده شده.بهترین و ساده ترین راه واسه تشخیص هم همین که یک فیلد بجر یوزر و پس ادیت شده هستش
سوال هوشه.
99% سیملینک
یعنی 1% که باید بگم یک هزارم درصد sqli باگ روی پورتال.اما واسه یک هکر وقت مهم.مگه اینکه سایت مهمهی باشه.

نکته: یک پسر 15 ساله میگه شاید استارتر نمیخواد سایتشو کسی بفهمه.شما عکس میذارید؟کار صحیحی نیست.
موفق باشید

[vahidjabz]

افزونه ی خاصی نیست مثل فرم تماس 7 ، رولیشن اسلایدر ، All In One WP Security , آمار وردپرس

[IrIsT]

راستی،میدونیوما اینجاییم چرا؟
چون جلوی آماتورهایی که از vip به حساب سایت ها چندتا چیز بر میداری
بعد اصلا نمیدونی وردپرس و سی ام اس ایشون چیه.بعد میگی چیزی نمیدونی
عزیزم.تشخیص راهتو خیلی از نفراتی که اینجان،و کوچکشون که منم،میشه فهمید.کار سختی نیست
دنبال مول میگردی؟لوکس بلاگ نه.رز بلاگم نه.باگ هاشون پخشه
سایت منو بی زحمت بزن iedb.ir
وردمرسوهم خواستی بگو چیا بریزم و چه پلاگینی
استارتر اجازه بدن،راهشو با کمک سرورشون پیدا میکنم و میذارم.البته میگم سرورشون،چون لاگ هاشو میخوام
بعدش همین سایت رو کهوبهوحساب دسترسی داری و پر باگه،روی یک هاست دیگه میبرم.اون موقع پتچ کن.
یا خودم میگم وردپرس مینصبم
ایمیل بده و بگو چیا نصب کنم واست.
در ضمنکشخصیتتو با فحش نشون نده.حرف حق تلخه.اما جوابش فحش نیست
ایمیل بده هرچی میخوای مینصبماگر زدی،چندتا سایت وردپرس دارم و cma اختصاصی،هرکدومو برای امنیتی 200 هطار بهت میدم
مشتری هم واست جور میکنم
با پلاگین زن های وردپرس خیلی رفیقم.کسایی که تو آرزوشو دارس.اما اونا واقعا پلاگین زننگاما زدن ملاگسنشون مثل تو سیم لینک نیست.سایت رو پر شل میکنن.
نیازیوبه دیتابیس هم ندارن.
موفق باشید.
استارتر در تماس باش.

[hegza]

سلام و درود
یک سوال بسیار خوب برای مدیران سرور.که بتونن حمله هارو بشناسن و تشخیص بدن.از متن بسیار ساده میشه فهمید
عزیز،گفتی فایل دیتابیست یک کد گذاشته
خوب،پسوورد فایل کانفیگتو عوض کن.سیم لینک خوردی عزیز.فایل کانفیگت سیم زده شده
پسووردشو عوض کن و سرورتو تغییر بده.
تمام
یک حالت خیلی قوی هستش تو این موارد،سیم لینک.فایل کانفیگ.میتونسته یوزرتو بزنه.اما پسوورد های وردپرس کرکش سخته.واسه همین کد زده
Sqli 1% امکان داره.اگه اس کیو ال بزنه،یعنی مرد میخواد که بتونه تیبل رو دست کاری کنه و کد بذاره.همه میرن سروقت یوزر.اگه بخواد با اس کیو ال هک کنه و اسکریپت بذاره
چرا نیاد پسووردتو عوض کنه و لاگین کنه؟بعد رو سرورت شل بریزه؟
پس سیم لینک خوردی.به همین سادگی
یوزر و پس کانفیگ رو زده.با شل وصل شده.تیبل و ادیت کرده.راحت
حالا دو کدوم سرور بودی؟

- - - Updated - - -



درود
با اجازتون یک پسر 15 ساله یک دو کلام بگه.کیلاگید و این چیزا اگه بذاره که اصلا در کار نبوده،خوب پسوورد ورد به کنترل پنل و میزنه.چه کاریه پسوورد wp admin رو بزنه
دوم اینکه کیلاگر و اینا قدیمی شده.کمتر استفاده میشه.ببینید چی نوشته دیتابیس تغییر داده شده.

توی مطالب تغییر پسوورد نبود.یک تیبل عوض شده
Sqli روی سرور سعی میکنن بزنن که باگ زدن و اینکه پسوورد کرک کردن سخته.به دردسر نمی ارزه
گزینه هیچ کدام از موارد بالای شما صحیح هست
سیم لینک.فایل کانفیگ خونده شده.بهترین و ساده ترین راه واسه تشخیص هم همین که یک فیلد بجر یوزر و پس ادیت شده هستش
سوال هوشه.
99% سیملینک
یعنی 1% که باید بگم یک هزارم درصد sqli باگ روی پورتال.اما واسه یک هکر وقت مهم.مگه اینکه سایت مهمهی باشه.

نکته: یک پسر 15 ساله میگه شاید استارتر نمیخواد سایتشو کسی بفهمه.شما عکس میذارید؟کار صحیحی نیست.
موفق باشید

درود
حالا زیاد دلگیر نباش آقا شما 50 ساله ما مخلصیم
در مورد کی لاگر کنترل پنلها از ssl بعضا استفاده میکنن و درست نمیشه کی لاگ کرد + این دوستمون هزار تا مورد میتونه باشه تا بررسی نشه نمیشه گفت. اما متداول ها رگفتیم + مثلا ممکنه از گوشی یا تبلت وارد مدیریت بشه اما طبیعتا کم پیش میاد از گوشی وارد هاستینگ بشن. پس این کی لاگر گرفتن دلیلی نیست که حتما چون پس ادمین رو داشته باید کنترل پنلم دستش باشه.
بنده این مورد رو قبل از اینکه بدونم پسوورد مدیریت عوض نشده گفتم وگرنه اینو میدونستم قضیه کی لاگر منتفی بود و چون وردپرس بوده و با رفتن به مدیریت میشه راحت تمپلت رو ادیت کرد. و چون هکر از دیتا بیس محتوای صفحه رو عوض کرده پس طبیعتا به فایل ها دسترسی نداشته حالا یک باگ در تمپلت و یا پلاگین ها میتونسته این دسترسی به قسمتی خاص از دیتا بیس ها رو بهش بده
پ.ن:تو ایران بخاطر نبودن قوانین کپی رایت بعضا طراحان برای جلوگیری از استفاده بدون اجازه آثارشون باگهایی در قسمتهای خاصی میزارن و این باگ ممکنه توسط هر برنامه نویسی که اجمالا بررسیش کنه هویدا بشه
+ جالب اینه این هکر اکثرا سایتهای موزیک رو هک کرده پس این نکته مشترک میتونه اشاره به یک باگ مشترک داشته باشه
یا حق

[T.Toosi]

باسلام، بنده اطلاع ندارم سرور دست خودتون هست یا از هاست میزبانی استفاده میکند، اما اگر دست خودتون هست به طور مثال برای سی پنل لاگ های get تمامی در مسیر /usr/local/cpanel/logs/access_log قرار میگیرند و اگر در تاریخ و ساعت مشخصی جستجوی بکنید تمامی فعالیت های انجام شده بروی سایت شما قابل مشاهده است و خیلی راحت میتوانید تمامی فعالیت های هکر را مشاهده کنید، اگر هم هاست میزبانی دارید یک تیکت بزنید شاید با یک هزینه ای لاگ های سایت شما را در اختیارتان قرار دهند.

[IrIsT]

درود
حالا زیاد دلگیر نباش آقا شما 50 ساله ما مخلصیم
در مورد کی لاگر کنترل پنلها از ssl بعضا استفاده میکنن و درست نمیشه کی لاگ کرد + این دوستمون هزار تا مورد میتونه باشه تا بررسی نشه نمیشه گفت. اما متداول ها رگفتیم + مثلا ممکنه از گوشی یا تبلت وارد مدیریت بشه اما طبیعتا کم پیش میاد از گوشی وارد هاستینگ بشن. پس این کی لاگر گرفتن دلیلی نیست که حتما چون پس ادمین رو داشته باید کنترل پنلم دستش باشه.
بنده این مورد رو قبل از اینکه بدونم پسوورد مدیریت عوض نشده گفتم وگرنه اینو میدونستم قضیه کی لاگر منتفی بود و چون وردپرس بوده و با رفتن به مدیریت میشه راحت تمپلت رو ادیت کرد. و چون هکر از دیتا بیس محتوای صفحه رو عوض کرده پس طبیعتا به فایل ها دسترسی نداشته حالا یک باگ در تمپلت و یا پلاگین ها میتونسته این دسترسی به قسمتی خاص از دیتا بیس ها رو بهش بده
پ.ن:تو ایران بخاطر نبودن قوانین کپی رایت بعضا طراحان برای جلوگیری از استفاده بدون اجازه آثارشون باگهایی در قسمتهای خاصی میزارن و این باگ ممکنه توسط هر برنامه نویسی که اجمالا بررسیش کنه هویدا بشه
+ جالب اینه این هکر اکثرا سایتهای موزیک رو هک کرده پس این نکته مشترک میتونه اشاره به یک باگ مشترک داشته باشه
یا حق

سلام دادا.من همون 28 هستم.اما میبینی چه طنعی داره؟چیزی که عوض داره گلایه نداره.هههه.اما مخلصتم
نکاه کنید،کوچکترین باگ که داشته باشه،که بتونه نفوذ کنه،میتونی سطح دسترسیشو ببره بالا
وقتیومیتونه index بسازه،ایا از دیتابیس میره؟
من گفتم،اول اینکه من اصلا ایشون و نمیناسم.اما میتونم بشناسم.ولی لازمش ندارم
دوم اینکه،سایت های موزیک رو کدوم سرور بودن؟سرورشون یکی بوده؟
سوم اینکه،روش هک کردن اونجا هم همینطوری بوده؟
این سوالات پاسخ اگه این باشه که یک سرور بودن،مطمئنن از سرور یک دسترسی دارن و سایتوهای موزیکو میزنن
نکنه دوم یک احتمال میشه داد،پوشه wp content و پوشه پلاگین و theme
اگر سرور جدا بوده،باید چک بشه که ایا قالب هاشون یکی بوده.احتمال قالب هست
بعدش من بهشون گفتم،ایشون فرق گفتن سی ام اس خیلی خرابه.اصلا نمیدونه وردپرس روشه و اینکه اصلا نمیدونن چقدر گستردگی داره و کار نکردن
این روش هک رو میشه پیدا کرد
اگه تمایل داشته باشین،دو نمونه از هک کردناش،صاحباشون بگن.مخصوصا استارتر عزیز که راهش رو بفهمن
من و شما hegza عزیز،راهشو پیدا میکنیم.یعنی فقط چیزایی که میگم روی سایت اولی پیدا کن.سایت دومی هم من
راه حلشو نصف روزه توی سایت میذاریم.
پس یا سرور دسترسی دارن که باید دید یک سرور بوده
یا قالب یکی بوده که قالب مشکل داره
بقیه چیزا نوع حرف زدنشون که گفتن دسترسی دارم و سی ام اس خیلی خرابه و .... نمیدونن سی ام اس وردپرس یعنی چی
اینو مطمئنم هیچ باگ خصوصی نبوده.
اما میتونم چک کنم.شمام یا اگه کس دیگهوایمیخواد و هدف قرار گرقته شده،بهم پیام بدن
راهشو همینجا میذارم
هیچوقت یک هکر راهشو نمیگه.سعی میگه بپیچونه.
من با پلاگین زن های بزرگتر از این دوستم ه تا الان هرچی رو خواستن زدن.اما واقعا وردپرس کارن و حرفه ای
اما ایشون از طرز برخورد،و حرفشون،مشخص بود یک چیزی به دستش رسیده
اماده کمک هستیم.رایگان.واسه اینکه مشکلتون و مشکل چند نفر دیگه حل شه
هرکی پایه بود میام بده.بریم جلو.
فقط راه حل رو میدا کنیم که 99 درصد میدونم.اما واسه اطمینان میگم

این کار،یک تست خبلی خوب واسه شما کاربران،همتون،هستش که بتونید تو کمترین زمان جلوشو بگیرید
شاید یک روز واسه شما اتفاقوبیفته
اما از وردپرس نبوده.چون گفتم حاضدم روی سرورم نصب کنم.یا همین سایت ووببرم رو سرورم.اون موقع بزنه
اگه استارتر میخواد و دوستانکپایه،بسم الله

- - - Updated - - -

باسلام، بنده اطلاع ندارم سرور دست خودتون هست یا از هاست میزبانی استفاده میکند، اما اگر دست خودتون هست به طور مثال برای سی پنل لاگ های get تمامی در مسیر /usr/local/cpanel/logs/access_log قرار میگیرند و اگر در تاریخ و ساعت مشخصی جستجوی بکنید تمامی فعالیت های انجام شده بروی سایت شما قابل مشاهده است و خیلی راحت میتوانید تمامی فعالیت های هکر را مشاهده کنید، اگر هم هاست میزبانی دارید یک تیکت بزنید شاید با یک هزینه ای لاگ های سایت شما را در اختیارتان قرار دهند.

سلام داداشی.
با حرفت نوافقم.مدیر سرور رایگانم که شده واسه اطمینان مشتری،رایگان کمک کنه
فقط من نمیدونم میزبانی کجا بودن؟
از حرف هایواستارتر مشخصه میهمان یک هاستینگ هستند.

[hegza]

نکاه کنید،کوچکترین باگ که داشته باشه،که بتونه نفوذ کنه،میتونی سطح دسترسیشو ببره بالا
وقتیومیتونه index بسازه،ایا از دیتابیس میره؟
.

پست اول استارتر رو ببینید اون طرف فقط تونسته تو یک فیلد یک مقدار کد html بزاره(که این خودش باگ وردپرس بحساب میاد قبول متغییرهای غیره استاندارد) پس حک سایت فقط از طریق قرار دادن اطلاعات در یک فیلد دیتابیس بوده و دسترسی به فایلها نداشته

با سلام به همه
دوستان چند روز پیش سایت وردپرسی من توسط گروه xX-AlibalA-Xx هک شد .

سایتم رو باز کردم که یهو سایت کاملا سیاه بود و اسم این گروه به همراه موزیک نشون داده شد .
هر چقدر بررسی کردم هیچ فایلی اضافه و یا کم نشده بود . به مدیریت هم نمیشد وارد شد .
بالخره وقتی که به دیتابیس سایت رفتم متوجه شدم که در فیلد آدرس سایت (site url) به جای این که آدرس سایتم باشه ، کدهای اچ تی ام الی (مثلا کل پس زمینه رو سیاه کرده بود و یه عکس لود کرده بوده و نوشته بود که توسط گروه علی بلا هک شده به انگلیسی) بود که هکر گذاشته بود .
خوب من این قسمت رو پاک کردم و ادرس سایت رو نوشتم مشکل کاملا رفع شد و سایت به حالت قبلی برگشت . اما
الان مشکلی دردناکی که حتی باعث میشه شب خوب نخوابم !! اینه که این هکر چطوری تونسته این کار رو بکونه و فیلدی از دیتابیس رو عوض کنه با این که تمام موارد امنیتی رو رعایت کرده بودم .
مشکلم اینه که بفهم چطوری این کار رو کرده ؟
لطفا اگر کسی میتونه کمک کنه .
چون میترسم بازم هکر از باگی که استفاده کرده بود دوباره بیاد و هک کنه .
لطفا کمک کنید .

[IrIsT]

سلام دوباره
حدسی که زدم درست بود
سیم لینک زده
http://www.zone-h.org/archive
بگردین توی onhold
سرور میهن وب هاست بوده
همشو نتونسته بزنه
فقط سیم لینک زده..کامل نتونسته بزنه.چون چندتا سایت روش به یک مدت زمان خاصی ثبت بود.مثلا بک وقفه دلشته.
اگه مس دیفیس بود همرو زده بود
این تک تک اونایی که تونسته کانفیگ هارو زده
بعد به sql وصل شده.دیگه مطمئن شدم.
استارتر عزیز،سیم لینک خوردی.
یوزر و پس ادمین و عوض کن
بعدش پسوورد دیتابیس رو عوض کن
با اینکه شل هنوز ران شده و هنوز هست.کانفیگتو 444 کن فعلا
اره دیگه دادا.کسی نخوند که نوشته توی دیتابیس کد زده.همه گفتن وردپرس باگ داره و از پلاگین بوده و ....
خدایی مدیران سایت ها باید خطایابی و حل مشکلاتشون بهتر از ماها باشه.
سیم لینک زده
سایت ir tci شل داشته.اونو داشتم.شاید از اون نفوذ شده
به مدیر سرور بگید که داره دیفیس میکنه و بگرده
سیم لینک توپول داره میزنه.مدیران حواسشون باشه.
دیگه تمام.اینم کمک کوچیک از سمت ما به شما
موفق باشید

هرکی مدیر میهن وب هاست رو میشناسه فوری بره بگه که روی سرورش دارن نفوذ میکنن
یعنی نفوذ کردن.چندتا سایتم سیم لینک خورده
بهشون خبر بدین تا بیشتر نشده.نمونه هاشم هست توی زون اچ
زود خبر بدین بهش