PDA

توجه ! این یک نسخه آرشیو شده میباشد و در این حالت شما عکسی را مشاهده نمیکنید برای مشاهده کامل متن و عکسها بر روی لینک مقابل کلیک کنید : پیدا کردن شل؟


novinvps.com
May 9th, 2009, 20:49
سلام اول از همه یه رولز خوب برای اخرین نسخه اپاچی mod_security بدید که بدون مشکل کار کنه !
از رولز خودش بهتر باشه... چون قبلا داشتم به خوبی کسی شلی استفاده میکرد مانیتور میکرد ولی الا داره نشون میده که یه چیزی روی سایت در حال اجرا هستش ، ایپیش ، خطایی که صادر شده نشون میده ولی نشون نمیده در کدوم سایت و یا دایرکتوری این شل/اسکریپت هستش
خارج از بحث رولزبرای مد سکوریتی یه روشی چیزی بدید که بشه بد افزار ها مثل PHP SHELL رو پیدا کرد...
یا حق.
:angel:
NovinServer
May 10th, 2009, 00:12
سلام اول از همه یه رولز خوب برای اخرین نسخه اپاچی mod_security بدید که بدون مشکل کار کنه !
از رولز خودش بهتر باشه... چون قبلا داشتم به خوبی کسی شلی استفاده میکرد مانیتور میکرد ولی الا داره نشون میده که یه چیزی روی سایت در حال اجرا هستش ، ایپیش ، خطایی که صادر شده نشون میده ولی نشون نمیده در کدوم سایت و یا دایرکتوری این شل/اسکریپت هستش
خارج از بحث رولزبرای مد سکوریتی یه روشی چیزی بدید که بشه بد افزار ها مثل PHP SHELL رو پیدا کرد...
یا حق.
:angel:

سلام ، به نظر من آنتی ویروس را نصب کن بزن اسکن کنه !
من همین کار را انجام دادم و 16 تا شلر را پیدا کردم ... :wacko:
Nikihost
May 10th, 2009, 00:48
سلام ، به نظر من آنتی ویروس را نصب کن بزن اسکن کنه !
من همین کار را انجام دادم و 16 تا شلر را پیدا کردم ... :wacko:
دوست عزيز من فكر ميكنم شل هايي كه decode شده باشن را در موقعه اسكن پيدا نميكنه و نميتونه حذف كنه:cool2:
NovinServer
May 10th, 2009, 02:05
دوست عزيز من فكر ميكنم شل هايي كه decode شده باشن را در موقعه اسكن پيدا نميكنه و نميتونه حذف كنه:cool2:

حق با شماست اما به نظر شما اینکار ضرر داره ؟
خوب من همین طوری تست کردم 6 تا پیدا شد هم پاک کردم هم اینکه به کاربرهایی که شلر توی هاستشون بود اخطار دادم :stupid:
novinvps.com
May 10th, 2009, 11:30
درسته ، و فکر منم مشغول به همین شل هایی هستش که مثلا کد شده base 64...
ضد ویروس شما همون ClamAV هست دیگه ؟
novinvps.com
May 10th, 2009, 11:31
درسته ، و فکر منم مشغول به همین شل هایی هستش که مثلا کد شده base 64...
ضد ویروس شما همون ClamAV هست دیگه ؟
novinvps.com
May 10th, 2009, 11:31
دوست عزيز من فكر ميكنم شل هايي كه decode شده باشن را در موقعه اسكن پيدا نميكنه و نميتونه حذف كنه:cool2:


اگه راه حلی برای این دسته شل ها دارید بگید:ph34r:
NovinServer
May 10th, 2009, 12:03
درسته ، و فکر منم مشغول به همین شل هایی هستش که مثلا کد شده base 64...
ضد ویروس شما همون ClamAV هست دیگه ؟

بله ، همین است . :alien:
Mozafary
May 10th, 2009, 15:11
راهی که من استفاده میکنم،مرور errorlog هست که در اون بخشهایی که error مربوط به استفاده از توابع غیرفعال شده در php هست تا حدودی کمک میکنه.
در مورد cgishellها اما راهکاری نیافتم :D
novinvps.com
May 10th, 2009, 18:02
راهی که من استفاده میکنم،مرور errorlog هست که در اون بخشهایی که error مربوط به استفاده از توابع غیرفعال شده در php هست تا حدودی کمک میکنه.
در مورد cgishellها اما راهکاری نیافتم :D


مرسی اقای مظفری ، میشه بگید ادرس این error log ها کجا هستش ؟
IFACO.Net
May 10th, 2009, 19:48
سلام عزیزان

یه پلاگینی هست برای whm که اگه اونو نصب کنید 99% شل ها رو نمیذاره اصلا آپلود بشن به سرور و اونهایی هم که قبلا آپلود شدند رو کلا میگرده و از بین میبره !!!

و جلوی خیلی از کارهای هکرها رو میگیره !!!

فقط یه نکته ای هست و اونم قیمتش هست که ناقابل 100 دلار هست !
Vahid
May 10th, 2009, 19:57
تنها راه همون راه ممد بود

فقط یه نکته ای هست و اونم قیمتش هست که ناقابل 100 دلار هست !
میشه بدید؟
WebRang
May 10th, 2009, 20:04
سلام ، به نظر من آنتی ویروس را نصب کن بزن اسکن کنه !
من همین کار را انجام دادم و 16 تا شلر را پیدا کردم ... :wacko:
دوست عزیز میشه بپرسم !
از چه آنتی ویروسی استفاده میکنین ؟
( سرور مجازی یا اختصاصی )
IFACO.Net
May 10th, 2009, 20:18
تنها راه همون راه ممد بود

میشه بدید؟


این اسمشه : Anti-Spammer/Exploit Service

اینم آدرسشه ، خودتون مشاهده کنید :

http://www.configserver.com/cp/exploit.html (http://www.configserver.com/cp/exploit.html)

موفق باشید.
Mozafary
May 10th, 2009, 20:24
/usr/local/apache/logs
بچه‌های configserver کارشون خوبه.اما این سرویسشون اما نمیدونم چطوره.
WebRang
May 10th, 2009, 20:27
سلام عزیزن

یه پلاگینی هست برای whm که اگه اونو نصب کنید 99% شل ها رو نمیذاره اصلا آپلود بشن به سرور و اونهایی هم که قبلا آپلود شدند رو کلا میگرده و از بین میبره !!!

و جلوی خیلی از کارهای هکرها رو میگیره !!!

فقط یه نکته ای هست و اونم قیمتش هست که ناقابل 100 دلار هست !
اگر واقعا" 99% کارکنه ...
ارزش داره!
نام پلاگینش چیه؟
( آدرس سایتشون رو میدید ؟)
IFACO.Net
May 10th, 2009, 21:31
در پست قبلی لینکش رو دادم !
novinvps.com
May 11th, 2009, 00:11
خوب یه رولز ردیف برای مد سکوریتی هم بدید ...
و disable function خوب که حد اقل مشکل رو داشته باشه. ( سرور مورد نظر هاستینگ نیست )
IFACO.Net
May 11th, 2009, 09:29
خوب یه رولز ردیف برای مد سکوریتی هم بدید ...
و disable function خوب که حد اقل مشکل رو داشته باشه. ( سرور مورد نظر هاستینگ نیست )

سلام

علی الحساب این توابع رو در پی اچ پی غیر فعال کنید تا بعدا براتون یه چیز درست حسابی پیدا کنیم ( البته بعضی از این توابع در بعضی اسکریپت های سایت ها لازم هستند که باید بسته به نوع نیازتون اونها رو فعال کنید ):

phpinfo,system,show_source,passthru,phpinfo,exec,p open,proc_close,proc_get_status,proc_nice,proc_ope n,proc_terminate,shell_exec ,highlight_file,escapeshellcmd,define_syslog_varia bles,posix_uname,posix_getpwuid,apache_child_termi nate,posix_kill,posix_mkfifo,posix_setpgid,posix_s etsid,posix_setuid,escapeshellarg,posix_uname,ftp_ exec,ftp_connect,ftp_login,ftp_get,ftp_put,ftp_nb_ fput,ftp_raw,ftp_rawlist,ini_alter,ini_restore,inj ect_code,syslog,openlog,define_syslog_variables,ap ache_setenv,mysql_pconnect,eval,phpAds_XmlRpc,phpA ds_remoteInfo,phpAds_xmlrpcEncode,phpAds_xmlrpcDec ode,xmlrpc_entity_decode,fp,fput

در ضمن بستن این توابع ، جلوی خیلی از کارهای شلرها رو میگیره !!!

موفق باشید
NovinServer
May 11th, 2009, 15:50
سلام عزیزان

یه پلاگینی هست برای whm که اگه اونو نصب کنید 99% شل ها رو نمیذاره اصلا آپلود بشن به سرور و اونهایی هم که قبلا آپلود شدند رو کلا میگرده و از بین میبره !!!

و جلوی خیلی از کارهای هکرها رو میگیره !!!

فقط یه نکته ای هست و اونم قیمتش هست که ناقابل 100 دلار هست !

اگر واقعا کارا باشه خوب 100 دلار می دهیم برای همیشه ....
به نظر من خیلی صرف داره ! :oops:
novinvps.com
May 11th, 2009, 16:17
سلام

علی الحساب این توابع رو در پی اچ پی غیر فعال کنید تا بعدا براتون یه چیز درست حسابی پیدا کنیم ( البته بعضی از این توابع در بعضی اسکریپت های سایت ها لازم هستند که باید بسته به نوع نیازتون اونها رو فعال کنید ):

phpinfo,system,show_source,passthru,phpinfo,exec,p open,proc_close,proc_get_status,proc_nice,proc_ope n,proc_terminate,shell_exec ,highlight_file,escapeshellcmd,define_syslog_varia bles,posix_uname,posix_getpwuid,apache_child_termi nate,posix_kill,posix_mkfifo,posix_setpgid,posix_s etsid,posix_setuid,escapeshellarg,posix_uname,ftp_ exec,ftp_connect,ftp_login,ftp_get,ftp_put,ftp_nb_ fput,ftp_raw,ftp_rawlist,ini_alter,ini_restore,inj ect_code,syslog,openlog,define_syslog_variables,ap ache_setenv,mysql_pconnect,eval,phpAds_XmlRpc,phpA ds_remoteInfo,phpAds_xmlrpcEncode,phpAds_xmlrpcDec ode,xmlrpc_entity_decode,fp,fput

در ضمن بستن این توابع ، جلوی خیلی از کارهای شلرها رو میگیره !!!

موفق باشید
سلام
مرسی ، اگه چیز درست حسابی دارید بزارید

فقط یه رولز خوب برای مد سکوریتی :cool2:
novinvps.com
May 11th, 2009, 16:50
/usr/local/apache/logs
بچه‌های configserver کارشون خوبه.اما این سرویسشون اما نمیدونم چطوره.


این error لاگه خیلی زیاده :eek: 11 مگ راهی به جز دانلود نداره نه ؟.. میشه هر روز پاک کرد و روز جدید روش لاگهای جدید نوشته میشه ؟؟
Mozafary
May 12th, 2009, 00:07
cat wc grep بهت کمک میکنن عزیزم!اسکریپتهایی هم هست که واست فیلتر میکنه اونو!نیاز با دانلود هم نداره
novinvps.com
May 12th, 2009, 13:48
اقای مظفری تشکر از کمکتون ، کار دستوری که دادید چیه دقیقا چه طوریه ؟ ، من مثلا در مد سکوریتی ایپی شخص رو اگه داشته باشم ، با چه دستوری می تونم درون محتوی اون لاگ رو جستجو کنم ؟ که اگه نتیجه ای بود رو بهم بده؟

2- کلا راهی هست که بشه فهمید مثلا فلان ایپیی کجاهای سایت رفته ؟
Mozafary
May 13th, 2009, 00:28
cat /usr/dir|grep ip
Vahid
May 13th, 2009, 08:27
با دستور service httpd fullstatus هم میتونید ببینید
WebRang
May 13th, 2009, 20:56
خوب یه رولز ردیف برای مد سکوریتی هم بدید ...
و disable function خوب که حد اقل مشکل رو داشته باشه. ( سرور مورد نظر هاستینگ نیست )
دوست عزیز!
تو بخش :
مباحث آموزش سرور اختصاصی مطالب زیادی ( از قبیل نصب انواع مد ها + تنظیمات اویله برای سکیور کردن سرور اختصاصی و وی پی اس ارایه شده )


http://webhostingtalk.ir/forumdisplay.php?f=10
1Mizban
May 22nd, 2009, 15:40
عموا اسم فایلهای شل چی هستش؟
یعنی منظور اینه هر چی میتونه باشه ؟
اگه اینجوری کهخیلی سخته من الان مثلا 1 میلون فایل دارم چه جوری دنبال شل بگردم
آنتی ویروس هم پیدا نکرد
Vahid
May 22nd, 2009, 17:00
find / -name c99.php
find / -name r57.php
اینا دیگه خیلی زایه هاند
Dadeha.com
May 22nd, 2009, 18:19
find / -name F22.php
find / -name c100.php
find / -name storm.php
...
novinvps.com
May 22nd, 2009, 19:15
من فکر می کنم یکی از راه های که جواب بده البته شاید سرور رو با مشکل مواجه کنه !!
جستجو کردن درون فایل های PHP ! هستش مخصوصا برای شل هایی که کد شده base64 هستش !
IFACO.Net
May 23rd, 2009, 02:42
هکرهای حرفه ای اکثرا اسم شل ها رو عوض می کنند !

و اسم های گمراه کننده و مشابه به اسم فایل های پورتال هایی مثل جوملا و نیوک و ... میذارند !
novinvps.com
May 23rd, 2009, 02:50
هکرهای حرفه ای اکثرا اسم شل ها رو عوض می کنند !

و اسم های گمراه کننده و مشابه به اسم فایل های پورتال هایی مثل جوملا و نیوک و ... میذارند !

ولی فکر کنم این جواب بده حتی در مورد این گروه هکرها !


من فکر می کنم یکی از راه های که جواب بده البته شاید سرور رو با مشکل مواجه کنه !!
جستجو کردن درون فایل های php ! هستش مخصوصا برای شل هایی که کد شده base64 هستش !