PDA

توجه ! این یک نسخه آرشیو شده میباشد و در این حالت شما عکسی را مشاهده نمیکنید برای مشاهده کامل متن و عکسها بر روی لینک مقابل کلیک کنید : یک هکر عربستانی


alimosavi
March 22nd, 2015, 19:37
ended ...
afshinh
March 22nd, 2015, 19:47
با ایشون در تماس باشید
http://www.webhostingtalk.ir/member/165/
djmojtaba
March 22nd, 2015, 19:47
سلام
به احتمال 90درصد بک دور داره روی سرور و دوباره نفوذ می کنه
jahromweb
March 22nd, 2015, 19:49
با جناب سنجری هم صحبت کنید کمک میکنند
موفق باشید
alimosavi
March 22nd, 2015, 20:23
لا مصب یک فایل .pl تعریف کرده که توی لوپ هر چی فایل حساس هست رو توی مرورگر نشون می ده ..

لیست فایل ها



symlink('/home/'.$user.'/public_html/vb/includes/config.php',$kola.'.txt');
symlink('/home/'.$user.'/public_html/includes/config.php',$kola.'1.txt');
symlink('/home/'.$user.'/public_html/config.php',$kola.'2.txt');
symlink('/home/'.$user.'/public_html/forum/includes/config.php',$kola.'3.txt');
symlink('/home/'.$user.'/public_html/admin/conf.php',$kola.'5.txt');
symlink('/home/'.$user.'/public_html/admin/config.php',$kola.'4.txt');
symlink('/home/'.$user.'/public_html/wp-config.php',$kola.'13.txt');
symlink('/home/'.$user.'/public_html/blog/wp-config.php',$kola.'14.txt');
symlink('/home/'.$user.'/public_html/conf_global.php',$kola.'6.txt');
symlink('/home/'.$user.'/public_html/include/db.php',$kola.'7.txt');
symlink('/home/'.$user.'/public_html/connect.php',$kola.'8.txt');
symlink('/home/'.$user.'/public_html/mk_conf.php',$kola.'9.txt');
symlink('/home/'.$user.'/public_html/configuration.php',$kola.'10.txt');
symlink('/home/'.$user.'/public_html/include/config.php',$kola.'12.txt');
symlink('/home/'.$user.'/public_html/joomla/configuration.php',$kola.'11.txt');
symlink('/home/'.$user.'/public_html/whm/configuration.php',$kola.'15.txt');
symlink('/home/'.$user.'/public_html/whmc/configuration.php',$kola.'16.txt');
symlink('/home/'.$user.'/public_html/support/configuration.php',$kola.'17.txt');
taha_2011
March 22nd, 2015, 20:49
سلام

با جناب سنجری و یا جناب مسافر در ارتباط باشید.

حتما کمکتون می کنند.

ارادت
asrhosting
March 22nd, 2015, 21:04
سلام .
آنتی شلر و فایروال رو سرور نصب نیست ؟
jahromweb
March 22nd, 2015, 21:06
دوست عزیز یک اسکریپت پرل پابلیک شده است : http://ashiyane.org/forums/showthread.php?123945-تاپیک-ابزار-های-سیملینک&p=725151&viewfull=1#post725151
از یکی از دوستان بخواهید پرل را ببندد
سی پنل استفاده میکنید؟
alimosavi
March 22nd, 2015, 23:26
ممنون دوستان . ببینم نتیجه کارها چی می شه .
007
March 22nd, 2015, 23:39
ممنون دوستان . ببینم نتیجه کارها چی می شه .

سلام سید اگر مشکل شناسایی و رفع عیبشو داری من می تونم بررسی و رفع عیب کنم برات ارادت
hasanazizi
March 23rd, 2015, 00:02
با سلام و عرض خسته نباشید
دوست عزیز با هزینه تمام باگ ها برای شما رفع و پچ خواهیم کرد
موارد ارتباطی در امضا و نیز پ خ در خدمتم
با تشکر
alimosavi
March 23rd, 2015, 00:22
اولا که هکر با AddHandler در .htaccess اجازه اجرای فایل پرل رو به خودش می داد ..

برای جلوگیری mod_ruid2 رو نصب کردم و chmod 0700 /usr/bin/perl اجرای پرل رو فقط برای روت باز گزاشتم ..

دوستان اگر توصیه دیگه ای دارند ممنون می شم بگند ..
Kian
March 23rd, 2015, 00:59
1 -نصب کلاد لینوکس + CageFS
2- و همینطور نصب و کانفیگ صحیح CXS
shahab-f
March 23rd, 2015, 13:52
با سلام

فقط امنیت سرور شما مهم نیست باید ببنید سی ام اس های شما از کجا و به چه شکل اجازه import داخل سرور را می دهند یعنی هکر به چه شکل و از چه باگی توانسته است فایل های مخرب خود را بر روی سرور آپلود کند.

اگر هکر مورد نظر از symlink استفاده کرده اند و این قابلیت در سرور شما آزاد بوده است با آموزش زیر دایرکتوری هایی که با symlink در سرور ایجاد شده است را می توانید پیدا کنید.

http://forum.mihanmizban.com/Thread-%D8%A2%D9%85%D9%88%D8%B2%D8%B4-%D9%BE%DB%8C%D8%AF%D8%A7-%DA%A9%D8%B1%D8%AF%D9%86-%D8%B3%DB%8C%D9%85%D9%84%DB%8C%D9%86%DA%A9-symlink-%D8%AF%D8%B1-%D8%AF%D8%A7%DB%8C%D8%B1%DA%A9%D8%AA-%D8%A7%D8%AF%D9%85%DB%8C%D9%86-%D9%88-%D8%B3%DB%8C-%D9%BE%D9%86%D9%84

مهمترین مسئله بعد از هک شدن حذف بک دور هایی است که هکر امکان دارد ایجاد کرده باشد زیرا شما هر بار که مشکل را رفع کنید هکر ممکن است با دسترسی ای که در دایرکتوری نامعلوم که برای خود ایجاد کرده است مجدد به شما آسیب بزند پس last modify روز های گذشته را بگیرید و کلیه فایل هایی که در این بازه تغییر داشتند و یا اضافه شده اند را با دقت بررسی کنید.
alimosavi
March 24th, 2015, 11:14
داره از ضعف سیستم وردپرز و بعضی پلاگیناش استفاده می کنه . باید برای مغابله باهاش چکار کرد ؟


119.81.109.56 - - [23/Mar/2015:18:30:44 -0400] "GET /wp-content/plugins/formcraft/file-upload/server/content/files/sym/root/home/hedocom/public_html/wp-admin/setup-config.php HTTP/1.1" 200 13119 "http://site.ir/wp-content/plugins/formcraft/file-upload/server/content/files/sym/root/home/hedocom/public_html/wp-admin/" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.101 Safari/537.36"
shahab-f
March 24th, 2015, 11:27
داره از ضعف سیستم وردپرز و بعضی پلاگیناش استفاده می کنه . باید برای مغابله باهاش چکار کرد ؟


119.81.109.56 - - [23/Mar/2015:18:30:44 -0400] "GET /wp-content/plugins/formcraft/file-upload/server/content/files/sym/root/home/hedocom/public_html/wp-admin/setup-config.php HTTP/1.1" 200 13119 "http://site.ir/wp-content/plugins/formcraft/file-upload/server/content/files/sym/root/home/hedocom/public_html/wp-admin/" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.101 Safari/537.36"



باید از پلاگینی مطمئن و ایمن استفاده کنید این موارد جز امنیت کد نویسی است
Yas-Host
March 24th, 2015, 12:01
اولا که هکر با AddHandler در .htaccess اجازه اجرای فایل پرل رو به خودش می داد ..

برای جلوگیری mod_ruid2 رو نصب کردم و chmod 0700 /usr/bin/perl اجرای پرل رو فقط برای روت باز گزاشتم ..

دوستان اگر توصیه دیگه ای دارند ممنون می شم بگند ..

برای جلوگیری از هک و امنیت سرور mod_ruid2 نصب کرده اید ؟!!!!!!!

عیب ها و مشکلاتش را می دونید ؟!!!!!!
alimosavi
March 28th, 2015, 01:00
باید از پلاگینی مطمئن و ایمن استفاده کنید این موارد جز امنیت کد نویسی است

بله به مشتری گفتم پلاگین و فایلشو حذف کنه و ip مخصوص خودش رو بده به wp-admin

چه راهی هست که ایجاد symlink رو ممنوع کرد توی سرور اشتراکی . نمی شه که با یک خط فایل .httpaccess کل امنیت سرور رو تحدید کرد .
من گشتم توی نت راهی نبود . دوستان راههی رو امتحان نکردن خودشون ؟

- - - Updated - - -


برای جلوگیری از هک و امنیت سرور mod_ruid2 نصب کرده اید ؟!!!!!!!

عیب ها و مشکلاتش را می دونید ؟!!!!!!

نه نمی دونم . توصیه خود سی پنل بود ..
ممنون می شم راهنمایی کنید ..

- - - Updated - - -

خدا بگم این وهابی حیوان صفت رو چکار کنه .
اومده تو سایت پول داده کانت ایجاد کرده اولین کاری که کرده آپلود فایل های الوده بوده ...
اونم فقط بخاطر سایت یک عالم شیعه که توی سرورمه ..

خب مثل اینکه باید از صفر تا 100 امنیت رو روی سرور برقرار کنم ...

این ip رو بلوک کنید : 95.187.192.82

و لطفا اگر کسی از این ایمیل اطلاعاتی داره برام بفرسته ( I0X0@HOTMAIL.COM )
Yas-Host
March 28th, 2015, 01:15
یک پیشنهاد جالب :)

csf -d
95.187.0.0/16
OnlineServer
March 28th, 2015, 01:21
بله به مشتری گفتم پلاگین و فایلشو حذف کنه و ip مخصوص خودش رو بده به wp-admin

چه راهی هست که ایجاد symlink رو ممنوع کرد توی سرور اشتراکی . نمی شه که با یک خط فایل .httpaccess کل امنیت سرور رو تحدید کرد .
من گشتم توی نت راهی نبود . دوستان راههی رو امتحان نکردن خودشون ؟

- - - Updated - - -



نه نمی دونم . توصیه خود سی پنل بود ..
ممنون می شم راهنمایی کنید ..

- - - Updated - - -

خدا بگم این وهابی حیوان صفت رو چکار کنه .
اومده تو سایت پول داده کانت ایجاد کرده اولین کاری که کرده آپلود فایل های الوده بوده ...
اونم فقط بخاطر سایت یک عالم شیعه که توی سرورمه ..

خب مثل اینکه باید از صفر تا 100 امنیت رو روی سرور برقرار کنم ...

این ip رو بلوک کنید : 95.187.192.82

و لطفا اگر کسی از این ایمیل اطلاعاتی داره برام بفرسته ( I0X0@HOTMAIL.COM )



اینترنشنال بودن این چیزارم داره دیگه. دوست عزیز شما سیملینکو به راحتی میتونید توی آپاچی مهار کنید آیا در مورد محدود سازی htacess کاری کردید ؟ در صورت امکان در مورد سویچ هایی که برای دایرکتیو های Options و AllowOverride هست تحقیق کنید و اونها رو از حالت دیفالت خارج کنید تا سرورتون با htacess بایپس نشه
alimosavi
March 28th, 2015, 01:29
اینترنشنال بودن این چیزارم داره دیگه. دوست عزیز شما سیملینکو به راحتی میتونید توی آپاچی مهار کنید آیا در مورد محدود سازی htacess کاری کردید ؟ در صورت امکان در مورد سویچ هایی که برای دایرکتیو های Options و AllowOverride هست تحقیق کنید و اونها رو از حالت دیفالت خارج کنید تا سرورتون با htacess بایپس نشه

وقتی طرف می تونه یک فایل htacess برا خودش ایجاد کنه و تمام محدودیت های شما رو دور بزنه اینکا چه فایده ای داره ؟
AddHandler cgi-script .pl
AddHandler cgi-script .pl

با این دو عبارت دور می زنه شما رو ...

- - - Updated - - -


یک پیشنهاد جالب :)

csf -d
95.187.0.0/16




فایده نداره طرف زوم کرده . اینگار پول گرفته برای همین کار :)

بیشتر از 30 تا ip از کشورهای مختلف عوض کرد و حداقل 6 روش مختلف هک کردن ....
بیچارم کرده ..
منم کم آوردم به همون مشتری گفتم بره جای دیگه سرویس بگیره . به ما کار خیر نیومده ...
OnlineServer
March 28th, 2015, 01:34
وقتی طرف می تونه یک فایل htacess برا خودش ایجاد کنه و تمام محدودیت های شما رو دور بزنه اینکا چه فایده ای داره ؟
AddHandler cgi-script .pl
AddHandler cgi-script .pl

با این دو عبارت دور می زنه شما رو ...

عزیز من .
به عنوان مدیر سرور نباید اجازه بدید که پسوند تعریف کنه . وقتی htaceess رو محدود کنید فقط به دستورات مود ریرایت به فرض! , وقتی طرف هر چیزی دیگه ای مربوط به پسوند,هندلر php , سیملینک , ... اضافه کنه ارور 500 میگیره
این متدو چند ساله رو سرورهای آپاچی خیلی از بچه های همین انجمن زدم هیچکس م نیومده بگه بایپس شده .
alimosavi
March 28th, 2015, 01:41
عزیز من .
به عنوان مدیر سرور نباید اجازه بدید که پسوند تعریف کنه . وقتی htaceess رو محدود کنید فقط به دستورات مود ریرایت به فرض! , وقتی طرف هر چیزی دیگه ای مربوط به پسوند,هندلر php , سیملینک , ... اضافه کنه ارور 500 میگیره
این متدو چند ساله رو سرورهای آپاچی خیلی از بچه های همین انجمن زدم هیچکس م نیومده بگه بایپس شده .

اونکارو کردم .
متدشو بروز می کنه ...

البته سرور ضعف داره که انشااالله می دم به یکی کامل چکش کنه ...
OnlineServer
March 28th, 2015, 01:50
اونکارو کردم .
متدشو بروز می کنه ...

البته سرور ضعف داره که انشااالله می دم به یکی کامل چکش کنه ...

پس مطمئن باشد که درست انجام ندادید :)

به هرحال انشالله که برطرف شه .