با سلام دوستان عزیز
متاسفانه سایتم امروز هک شد ، دوستان راهنمایی کنن باید چیکار کنم ؟

شما باید دیتابیست رو برداری
و سیستم مدیریت محتوات رو دوباره نص ب کنی
پلاگین ها رو هم از کار بندازی و رمزهای قبلی خودت رو هم عوض کنی
خلاصش اینه

به سرویس دهنده خود درخواست بدهید تا log های سایت شمارو در اختیارتون بزارن تا دلیل و شیوه هک شدن سایت خود را بفهمید و bug موجود در سایت خود را fix کنید

خوب لاگ ها رو دراختیارگذاشتن اما مفهمومی ندارن
الان اپلودش میکنم اگهمیتونید خواهشا کمک کنید

خوب لاگ ها رو دراختیارگذاشتن اما مفهمومی ندارن
الان اپلودش میکنم اگهمیتونید خواهشا کمک کنید

سیستم مدیریت محتوای سایتتون؟

بهتر است بگید بک آپ شب قبل رو هاستینگتون براتون ریستور کنه.

اولا که از هاستینگتون مطمئن بشید که سرور کاملا امن می باشد(99درصد)

دوما از سیستمی که استفاده میکنید و برای ایمنیش چه کار هایی کردید.

سوما به هاستینگ خودتون بگید که با آنتی شلر ها یا آنتی ویروس هایی مانند CXS , lmd , Clamv سایت شما و اطلاعات شمارو اسکن کنند که از وجود شل و فایل مخرب اطمینان حاصل کنید.

چهارما برای اطمینان بیشتر از اول اطلاعات خودتون رو آپلود و مجددا نصب کنید(بک آپ گیری فراموش نشود)

موفق باشید.

شما وقت خودت رو عزیز اینجا نگیر
1: به پشتیبانی هاست بگید بک اب رسیتور کنند 1روز قبل و بعد اسکن فول کنند.
2: اگر لاگ رو گرفتید از سمت شما مورد داره که هک شدید بهتره به Team Security Hacking Iranhack Admiin XPR بسپارید iranhack.org
3: اگر از سمت سرور هک شدید خوب مشخص هست سرور کانفیگ امنیتی و غیره مورد داره که هاست عوض کنید .
4: با پسورد عوض کردن که دوستمون گفتند با قفل و اینا کارتون حل نمیشه اول اسکریپت نغص باگ حل کنید بعد دسترسی ها و 2پسورده کردنو عوض کردن پسورد در اخر قرار داره .
5: ( تا وقتی وزیر داری با سرباز کیش نده ) :X انشالاه نفوذ شما حل بشه...

با سلام دوستان عزیز
متاسفانه سایتم امروز هک شد ، دوستان راهنمایی کنن باید چیکار کنم ؟

طبق گفته دوستان , به مدیر سرور خود بگویید فایل هایتان برایتان ریستور کنن سپس سایت خود را غیر فعال کنید و باگ گیری کنید

نرم افزار Acunetix Web Vulnerability Scanner را برای اسکن باگ های سایت پیشنهاد میکنم استفاده کنید ! 100% از پلاگین هایی که استفاده میکنید اطمینان داشته باشید که امنیت بالایی برخوردار هستند

موفق باشید

بک آپ قبلی رو ریستور کنید
از طریق log باگ رو پیدا کنید
و باگ گیری کنید

اینجا همه دوستان کلی نظر دادن اما یکی از دوستان از شما نخواست آدرس سایتتون رو ببینه و به صورت حداقل دقیقتری نظر بده . هر کی یه چیزی گفتهه اما تا کسی نبینه بررسی نکنه و برای اطمینان 100% لاگ و بکاپ چند روز پیشتون رو نبینه اصلا نمیتونه نظر دقیق و درستی در رابطه با هک شدن سایتتون بده. برای بررسی دقیق تئسط دوستان متخصص لطفا آدرس سایتتون رو درج کنید دوست عزیز. سیستمی که استفاده میکردید. مکان هاست و اطلاعات دقیقیاز سایتتون رو اعلام کنید.

خوب لاگ ها رو دراختیارگذاشتن اما مفهمومی ندارن
الان اپلودش میکنم اگهمیتونید خواهشا کمک کنید


شما باید دانش بررسی log ها را داشته باشید البته ساده است .

جهت بررسی دقیق شما میتوانید به کسیانی که در بخش امنیت فعالیت دارند مراجعه کنید .


در صورت داشتن درخواست میتوانید پ.خ ارسال کتید .

با سلام مجدد دوستان
ببینید ارور لاگ مشکوک همینه :
[Wed Feb 26 09:47:29 2014] [error] [client 188.158.38.198] PHP Warning: PHP Startup: Unable to load dynamic library
'/usr/local/php5/lib/php/extensions/no-debug-non-zts-20090626/ixed.5.3.lin'
- /usr/local/php5/lib/php/extensions/no-debug-non-zts-20090626/ixed.5.3.lin
: cannot open shared object file: No such file or directory in Unknown on line 0,
referer: http://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=7&ved=0CFgQFjAG&url=http%3A%2F%2Fwww.ussb.ir%2F&ei=u7cNU8gFyMOsB6yZgfAF&usg=AFQjCNF2WgLLFDYoXjrm-NMNHNBQGZ-c3Q&bvm=bv.61965928,d.bmk
سیسنم مدیریت محتوا سایت خم جوملاست این ارور رو هم میده :
Fatal error: require_once(): Failed opening required '/home/ussb/domains/ussb.ir/public_html/configuration.php' (include_path='.:/usr/local/lib/php') in /home/ussb/domains/ussb.ir/public_html/includes/framework.php on line 52

ادرس سایت هم ussb.ir هست

دوست عزیز هاست از سرویس های ابری پارس پک هست و مکانش اروپاست
سیستم مدیریت محتوا سایت جوملاست
و اینکه صفحه اول سایت پیام هکر اومده بود که ظاهرا حامد صالحی این سایت رو هک کرده که بک اپ رو ریستور کردم

با سلام مجدد دوستان
ببینید ارور لاگ مشکوک همینه :
[Wed Feb 26 09:47:29 2014] [error] [client 188.158.38.198] PHP Warning: PHP Startup: Unable to load dynamic library
'/usr/local/php5/lib/php/extensions/no-debug-non-zts-20090626/ixed.5.3.lin'
- /usr/local/php5/lib/php/extensions/no-debug-non-zts-20090626/ixed.5.3.lin
: cannot open shared object file: No such file or directory in Unknown on line 0,
referer: http://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=7&ved=0CFgQFjAG&url=http%3A%2F%2Fwww.ussb.ir%2F&ei=u7cNU8gFyMOsB6yZgfAF&usg=AFQjCNF2WgLLFDYoXjrm-NMNHNBQGZ-c3Q&bvm=bv.61965928,d.bmk
سیسنم مدیریت محتوا سایت خم جوملاست این ارور رو هم میده :
Fatal error: require_once(): Failed opening required '/home/ussb/domains/ussb.ir/public_html/configuration.php' (include_path='.:/usr/local/lib/php') in /home/ussb/domains/ussb.ir/public_html/includes/framework.php on line 52

ادرس سایت هم ussb.ir هست



ussb.ir hacked. Notified by siyahi (http://www.zone-h.org/mirror/id/21852595)

لینک بالا رو ببینید. بعد از هک سایت شما مثل آدرس بالا شده بود؟

بله این لینک بالا ادرس سات منه خوب
همین شکل بود

بله این لینک بالا ادرس سات منه خوب
همین شکل بود

ااکی. 90% احتمال هست که هک شدن سایت شما به دلیل تنظیم نبودن صحیح permisionپوشه ها و فایل های اصلی سایتتون بوده. لطفا permision های تمامی پوشه ها و فایل هاتون رو به درستی و بر اساس امنیت وب تنظیم کنید.

بررسی دیگه ای هم که انجام دادم این هست که حدود 12 سایت روی سروری که شما هستید مورد حمله قرار گرفته و هک شدند. پس ایراد از هاستینگ شما هم بوده. به دلیل تامین نکردن امنیت سرویسشون

پوشه ها و اطلاعات رو چک کردم همشون درست بود
فقط یکی از فایل هاسی کانفیگ مربوط به سایت اشتباها روی 644 بود که 400 قرار دارم
نرم افزاری وجود داره که باگ های سایت رو اسکن کنم

لطف میکنید ادرس سایت ها رو بدید که به هاستینگ بگم اینا میگن مشکل از برنامست :)

لیست شایت های هک شده.
هدهد (http://webhod.ir/)
webideas.ir
actpic.us
nerkhnews.com
kashantth.ir
negin-rayaneh.ir
tjfars.ir
cajal.ir.


دوست عزیز یک فایل هم برای هکر کافیه- حتی فایل بی ارزش.



بهترین نرم افزار نسخه کامل acunetix هست. اما به متخصص امنیت بسپارید مشکلتون رو حل کنه خیلی بهتره و اینکه هاستتون رو سسریعا انتقال بدید. چون ایمنی هاستتون بسیار پایین هست

با تشکر از شما دوست عزیز متخصص امنیت شما کسی رو معرفی میکنید ؟
از نظر شما چه سرویس دهنده ای مناسب است ؟

با تشکر از شما دوست عزیز متخصص امنیت شما کسی رو معرفی میکنید ؟
از نظر شما چه سرویس دهنده ای مناسب است ؟

برای تامین امنیت تیم ایران هک خوب هست آشیانه هم بد نیست. هاست هم کاملا نظر شخصی خودتون هست.اما میتونید از سایت آفاق تهیه کنیدو از سرویس های ایرانشون. کلا همه چیزشون خوب هست و بسیار با سابقه هم هستند. www.afagh.info اما باز هم میگم کاملا نظر خودتون هست. تحقیق کنید بپرسید بعد انتخاب کنید.

intoDNS: ussb.ir - check DNS server and mail server health (http://intodns.com/ussb.ir)


ns1.parspack.co. ['178.162.203.22', '46.165.242.220'] (NO GLUE) [TTL=1440]
ns2.parspack.co. ['178.162.203.22'] (NO GLUE) [TTL=1440]
ns3.parspack.co. ['130.185.72.100'] (NO GLUE) [TTL=1440]
ns4.parspack.co. ['199.217.114.125'] (NO GLUE) [TTL=1440]


اینجوری که یوزر facenama میگوید یعنی پارس پک سرور هاش mass deface یا symlink میخورد؟!!

فکر نمیکنم اینجوری که شما میگید باشه دوست عزیز.

intoDNS: ussb.ir - check DNS server and mail server health (http://intodns.com/ussb.ir)


ns1.parspack.co. ['178.162.203.22resource://skype_ff_extension-at-jetpack/skype_ff_extension/data/call_skype_logo.png178.162.203.22resource://skype_ff_extension-at-jetpack/skype_ff_extension/data/call_skype_logo.png178.162.203.22resource://skype_ff_extension-at-jetpack/skype_ff_extension/data/call_skype_logo.png178.162.203.22', '46.165.242.220'] (NO GLUE) [TTL=1440]
ns2.parspack.co. ['178.162.203.22resource://skype_ff_extension-at-jetpack/skype_ff_extension/data/call_skype_logo.png178.162.203.22'] (NO GLUE) [TTL=1440]
ns3.parspack.co. ['130.185.72.100resource://skype_ff_extension-at-jetpack/skype_ff_extension/data/call_skype_logo.png130.185.72.100resource://skype_ff_extension-at-jetpack/skype_ff_extension/data/call_skype_logo.png130.185.72.100'] (NO GLUE) [TTL=1440]
ns4.parspack.co. ['199.217.114.125'] (NO GLUE) [TTL=1440]


اینجوری که یوزر facenama میگوید یعنی پارس پک سرور هاش mass deface یا symlink میخورد؟!!

فکر نمیکنم اینجوری که شما میگید باشه دوست عزیز.

پس لطف کنید دلیل deface شدن همزمان 12 سایت که متعلق به پارس پک هست رو بفرمایید؟ شاید بنده کاملا اشتباه میکنم و از شما چیزی رو یاد گرفتم.
Call
Send SMS
Add to Skype
You'll need Skype CreditFree via Skype

لینک زیر هم هویز دامنه ای که هک شده هست. دامنه روی آی پی :




91.109.16.76 (http://who.is/whois-ip/ip-address/91.109.16.76)


هست و 12 دامنه از این آی پی هک شدند.ممنون میشم توضیحات کامل تری به من بدید
Ussb.ir Whois Lookup - Who.is - Who.is (http://who.is/whois/ussb.ir)

لینک زیر هم هویز دامنه ای که هک شده هست. دامنه روی آی پی :



91.109.16.76 (http://who.is/whois-ip/ip-address/91.109.16.76)


هست و 12 دامنه از این آی پی هک شدند.ممنون میشم توضیحات کامل تری به من بدید
Ussb.ir Whois Lookup - Who.is - Who.is (http://who.is/whois/ussb.ir)

درسته دوست عزیز

این هکر پیمان سیاهی سرور خیلی از دوستان بنده و خود بنده رو نیز تحت نفوذ قرار داده بود......

روشش رو بررسی کردم روی سرور هایی که از لایت اسپید نال استفاده شده بود از طریق php ورژن 4.9.9 و زدن symlink هک میکرد.

ولی شاید پارس پک نمایندگی ارائه داده و تمام این اکانت ها بر روی یک نمایندگی هستند.

هنوز برای بنده این باور که سرور پارس پک اینجور قابل هک هست سخت می باشد.

درسته دوست عزیز

این هکر پیمان سیاهی سرور خیلی از دوستان بنده و خود بنده رو نیز تحت نفوذ قرار داده بود......

روشش رو بررسی کردم روی سرور هایی که از لایت اسپید نال استفاده شده بود از طریق php ورژن 4.9.9 و زدن symlink هک میکرد.

ولی شاید پارس پک نمایندگی ارائه داده و تمام این اکانت ها بر روی یک نمایندگی هستند.

هنوز برای بنده این باور که سرور پارس پک اینجور قابل هک هست سخت می باشد.

بالاخره هر شرکتی هر اندازه هم بزرگ و معتبر باشه ایراد ها و اشکالاتی داره. همگان همه چیز دانند و یک نفر هیچ

چرا همه گیر دادن به هویز؟
دوست عزیز کسی که سایت شما رو هک میکنه حتما دلیلش این نیست که سایت شما باگ داره!
طرف میتونه دسترسی به روت بگیره ، میتونه سیملینک بزنه!
جوملا معمولا باگ پابلیک شده کم داره اکثر باگهایی که در جوملا مورد استفاده هکرها هست Priv8 بوده و پولی هستن.
من احتمال میدم سایت شما سیملینک خورده!
با توجه به اینکه حتما شما فایل کانفیگ رو پیشفرض قرار دادید و هکر به راحتی میتونه فایل کانفیگ شما رو با سیملینک زدن بدست بیاره.
اگر میخواید امنیت سایتتنون بره بالا یکم هزینه کنید
موفق باشید

چرا همه گیر دادن به هویز؟
دوست عزیز کسی که سایت شما رو هک میکنه حتما دلیلش این نیست که سایت شما باگ داره!
طرف میتونه دسترسی به روت بگیره ، میتونه سیملینک بزنه!
جوملا معمولا باگ پابلیک شده کم داره اکثر باگهایی که در جوملا مورد استفاده هکرها هست Priv8 بوده و پولی هستن.
من احتمال میدم سایت شما سیملینک خورده!
با توجه به اینکه حتما شما فایل کانفیگ رو پیشفرض قرار دادید و هکر به راحتی میتونه فایل کانفیگ شما رو با سیملینک زدن بدست بیاره.
اگر میخواید امنیت سایتتنون بره بالا یکم هزینه کنید
موفق باشید

در پست های قبلی به همه نکات اشاره شد دوست عزیز. سرورشون هم بنا به گفته دوستان از طریق litespeed نال شده هک شده. و اینکه هویز هم برای نشون دادن آی پی بود و اینکه روی آی پی این سایت که در هاست اشتراکی قرار داره سایت دیگه هم هک شده . استفاده از whois و intodns به این دلیل بوده. لطفا قبل از ارسال پست خودتون پست های باقی دوستان رو به طور کامل مرور کنید. با تشکر از شما

در پست های قبلی به همه نکات اشاره شد دوست عزیز. سرورشون هم بنا به گفته دوستان از طریق litespeed نال شده هک شده. و اینکه هویز هم برای نشون دادن آی پی بود و اینکه روی آی پی این سایت که در هاست اشتراکی قرار داره سایت دیگه هم هک شده . استفاده از whois و intodns به این دلیل بوده. لطفا قبل از ارسال پست خودتون پست های باقی دوستان رو به طور کامل مرور کنید. با تشکر از شما

حرف ایشون 100درصد تایید میشود.

بنده توسط یکی از دوستان که از پارس پک و این شرکت هاست داشته اند یک اکانت گرفتم و پس از دریافت اکانت دیدم دیفیس زده شده است(حتی صاحب سایت هم هنوز خبر نداشت...)

وب سرورشون که آپاچی بود از نظر امنیت هم من به خوبی دیدم مشکلی نداره و امکان زدن sym وجود نداشت(مگر به شرایطی که بنده اطلاع ندارم).

کنترل پنلشون هم دایرکت ادمین می باشد.

موفق باشید.