توجه ! این یک نسخه آرشیو شده میباشد و در این حالت شما عکسی را مشاهده نمیکنید برای مشاهده کامل متن و عکسها بر روی لینک مقابل کلیک کنید : کمک فوری ، متخصص سرور ، و جوملا جواب بده
davood_71
May 21st, 2016, 13:56
سلام
یه مشکل خیلی عجیب برام پیش اومده
سایت من 8 ماه هست به صورت بلبل داره میکنه و تاحالا یه مشکل هم نداشته
دیشب هم داشت میکرد بدون مشکل تا ساعت 8 شب که من پاش بودم
امروز صبح که پا شدم رفتم سایت رو باز کنم این خطا رو میداد :
31456
صفحه مدیریت هم ، قسمت وردش بالا اومد ، ولی خب وقتی واردش می شدم ، همین خطا رو نشون میداد
لاگ فایل دایکرت ادمین رو چک کردم ، دیدم همه عادی واردش شدن ولی ساعت 8:20 دقیقه ، این صفحه اومده روی سایت ، یعنی بعد اون هرکی واردش می شد ، این صفحه بازگزاری میشد
دیتبایس هم سر جاش بود ، هیچ مشکلی دیده نمی شد ، فقط سایت با این خطا ظاهر میشد
-----
چند روز پیش من تابع ini_set رو غیر فعال کردم، بعد اون همه چی کار میک میکرد بدون مشکل
دیروز هم قسمت سیستم ارجاع در جوملا رو فعال کردم و لینک رو بهش دادم ، ولی خب تغییر نکرد ، منم اون لینکی که بهش دادم رو غیر فعال کردم
بعد اون همه چی کار میکرد بدون مشکل
فقط توی لاگ فایل دایرکت ادمین قسمتی که خطا نشون میداد ، به ازای هر بازدید کننده از سایت ، میگفت باید تابع ini_set برای سیشن جوملا فعال شه
حالا من بک آپ روز قبلرو ریستور کردم درست شد
کسی میدونه مشکل چی میتونه باشه؟ هر مشکلی از هر جایی میخواد باشه طوری نیست ، فقط اینو میخوام بدونم امکانش هست ، سایت هک شده باشه؟ یا حمله ای چیزی بهش شده باشه؟
mizban97
May 21st, 2016, 13:59
سلام
یه مشکل خیلی عجیب برام پیش اومده
سایت من 8 ماه هست به صورت بلبل داره میکنه و تاحالا یه مشکل هم نداشته
دیشب هم داشت میکرد بدون مشکل تا ساعت 8 شب که من پاش بودم
امروز صبح که پا شدم رفتم سایت رو باز کنم این خطا رو میداد :
31456
صفحه مدیریت هم ، قسمت وردش بالا اومد ، ولی خب وقتی واردش می شدم ، همین خطا رو نشون میداد
لاگ فایل دایکرت ادمین رو چک کردم ، دیدم همه عادی واردش شدن ولی ساعت 8:20 دقیقه ، این صفحه اومده روی سایت ، یعنی بعد اون هرکی واردش می شد ، این صفحه بازگزاری میشد
دیتبایس هم سر جاش بود ، هیچ مشکلی دیده نمی شد ، فقط سایت با این خطا ظاهر میشد
-----
چند روز پیش من تابع ini_set رو غیر فعال کردم، بعد اون همه چی کار میک میکرد بدون مشکل
دیروز هم قسمت سیستم ارجاع در جوملا رو فعال کردم و لینک رو بهش دادم ، ولی خب تغییر نکرد ، منم اون لینکی که بهش دادم رو غیر فعال کردم
بعد اون همه چی کار میکرد بدون مشکل
فقط توی لاگ فایل دایرکت ادمین قسمتی که خطا نشون میداد ، به ازای هر بازدید کننده از سایت ، میگفت باید تابع ini_set برای سیشن جوملا فعال شه
حالا من بک آپ روز قبلرو ریستور کردم درست شد
کسی میدونه مشکل چی میتونه باشه؟ هر مشکلی از هر جایی میخواد باشه طوری نیست ، فقط اینو میخوام بدونم امکانش هست ، سایت هک شده باشه؟ یا حمله ای چیزی بهش شده باشه؟
سلام
این ارور چیز خاصی رو به ما نمیگه!
به نظر میرسه به سایت دسترسی ندارید !
میتونه مشکل از کانفیگ سرور یا اسکریپت شما باشه!
هر دو باید بررسی بشه.
davood_71
May 21st, 2016, 14:07
سلام
این ارور چیز خاصی رو به ما نمیگه!
به نظر میرسه به سایت دسترسی ندارید !
میتونه مشکل از کانفیگ سرور یا اسکریپت شما باشه!
هر دو باید بررسی بشه.
خب ممکن هست ، دیبایس کرش کرده باشه همچین شه؟
حالا ایناش مهم نیست
امکانش هست ، هک شده باشه؟ آیا هک شه همچین میشه؟
rastindata
May 21st, 2016, 14:12
خب ممکن هست ، دیبایس کرش کرده باشه همچین شه؟
حالا ایناش مهم نیست
امکانش هست ، هک شده باشه؟ آیا هک شه همچین میشه؟
دوست عزیز تمام این مشکلات باید بررسی بشه
با یک اسکرین شات که ما نمیتونیم مشکلو بهتون بگیم !
davood_71
May 21st, 2016, 14:16
دوست عزیز تمام این مشکلات باید بررسی بشه
با یک اسکرین شات که ما نمیتونیم مشکلو بهتون بگیم !
خب میشه بگید من کجارو چک کنم که ببینم آیا حمله ای شده ، هک شده یا نه؟
قسمت error.log در دایرکت ادمین ، با یزور ادمین رو چک کردم چیزی نبود
قسمت full usage و full error رو با یوزر عادی چک کردم چیزی نبود همه عادی بودن ، فقط زده بود که یکی در هنگام ثبت نام ، بعدش که خواسته دوباره سایت رو بیاره ، با این صفحه مواجه میشه، بعد اون هر آی پی که وارد سایت می شد این صفحه بالا میومد ، اینو قسمت full usage گفته ، اون کاربر هم که داشته ثبت نام میکرده ، حمله ای انجام نداده
فایروال کومودو هم نصب کرده بودم قدیم ، اون هر نوع حمله ای رو لاگ میکرد ولی واسه این چیزی نگفته
جای دیگه رو باید چک کنم ؟
mizban97
May 21st, 2016, 14:35
خب میشه بگید من کجارو چک کنم که ببینم آیا حمله ای شده ، هک شده یا نه؟
قسمت error.log در دایرکت ادمین ، با یزور ادمین رو چک کردم چیزی نبود
قسمت full usage و full error رو با یوزر عادی چک کردم چیزی نبود همه عادی بودن ، فقط زده بود که یکی در هنگام ثبت نام ، بعدش که خواسته دوباره سایت رو بیاره ، با این صفحه مواجه میشه، بعد اون هر آی پی که وارد سایت می شد این صفحه بالا میومد ، اینو قسمت full usage گفته ، اون کاربر هم که داشته ثبت نام میکرده ، حمله ای انجام نداده
فایروال کومودو هم نصب کرده بودم قدیم ، اون هر نوع حمله ای رو لاگ میکرد ولی واسه این چیزی نگفته
جای دیگه رو باید چک کنم ؟
ممکنه محتوای فایل htaccess. باعث این مشکل شده باشه
ممکنه تداخل یک افزونه این مشکل رو ایجاد کرده باشه
اگر از افزونه های مرتبط با سئو و یا امنیتی هم استفاده میکنید غیرفعالشون کنید و تست کنید
پیروز باشید
joomla2
May 21st, 2016, 14:39
سلام.
این مشکل با آزمون و خطا باید پیش رفت تا دلیل اصلیش پیدا شود.
اگه واستون ممکن است اطلاعات هاست و کنترل پنل مدیریت جوملا را به ایمیل زیر ارسال کنید تا واستون بررسی کنم.
joomlahost.co@gmail.com
davood_71
May 21st, 2016, 15:13
هیچ افزونه ای ، دستکاری ، خلاصه هیچ بلایی سرش نیاوردم، و همینطوری 8 ماه هست که داره کار میکنه
فقط بازدید کننده خیلی به سایت فرستادم ، با رم 1 گیگ و سی پی یو 1 هسته ای
روزی نزدیک به 1000 نفر باز دید کننده اومد تو سایت و گشت میزد
یکی گفت احتمال داد دیتابیس کرش کرده باشه ، دیگه نمیدونم راسته یا نه
حالا منم قرار هست این کارو کنم
بک آپ سالم رو ریستور کنم و ، از دیتابیسش بک آپ بیگرم ، بعدش دوباره بک آپ سایت رو موعقی که خراب بود ، ریستور کنم ، اول دیتابیس رو تعمیر کنم اگر حل شد مشکل از دیتابی هست ، اگر نشد ، دیتابیس سالم رو بهش ایمپورت کنم ببینم حل میشه یا نه
جوابش رو اینجا میزارم ، که مشکل دقیقا از دیتابیس هست یا خیر
بازم میگم ، هیچ دستکاری ، هیچ چیزی نصب حذف و یا هرچی که دیگه از سایت نشده و تا ساعت 8:20 دقیقه امروز صبح کار میکرد ، بعد اون دیگه سایت بالا نیومد
davood_71
May 21st, 2016, 18:05
اساتید گرامی ، مشکل دیتابیس بود
دیتابیس رو تعیمر کردم ، چکش هم کردم میگفت درسته
ولی پاکش کردم ، دیتابیس سالم رو ریختم ، سایت اومد بالا دیگه خطا نداد
--------
اینکه دیتابیس یه چیزیش شده ، مشکلش چی میتونه باشه؟یکی از اساتید گفت ، دیتابیست کرش کرد کرده، گفت تعمیر کن ، تعمیر کردم ولی درست نشد ، با جایگزین دیتابیس سالم درست شد
ممکن هست ، هکر یه بلایی سر دیتابیس آورده باشه؟ یا واقعا کرش کرده؟
تروخدا یکی کمکم کنه ، خیلی نگرانم از اینکه ، هکر یه بلایی سرش آورده
----------
آیا ربطی به غیر فعال کردن تابع ini_set داره؟ اینو من غیر فعال کرده بودم چند روز پیش ، ولی خب مشکلی نداشت ، ولی لاگ فایل خیلی پر شده که خطا داده این تابع غیر فعال شده و واسه جوملا باید فعال شه (قسمت سیشن جوملا اخطار داده بود) ، گفتم شاید ربط داره به این ، لاگ رو پر کرده یه چیزیش شده
hasanazizi
May 22nd, 2016, 09:20
بله شاید
بعضی از هکرا فقط یه سری از تبل هارا ویرایش میکنن و دیگر کاری به باقی سایت ندارند ( تجربه شخصی )
بیشتر هکرای کلاه سفید جهت نشان دادن ضعف امنیتیمون این کارارو میکنن
بله شاید
بعضی از هکرا فقط یه سری از تبل هارا ویرایش میکنن و دیگر کاری به باقی سایت ندارند ( تجربه شخصی )
بیشتر هکرای کلاه سفید جهت نشان دادن ضعف امنیتیمون این کارارو میکنن
آخه به این آسونی ها هم ، که تغییر نمیکنه، به چند دلیل
1- مسیر دیتابیس عوض شده و اصلا قابل حدس زدن نیست
2- ope_basedir فعال شده ، یعنی اگر مسیر دیتابیس رو هم به درستی وارد کنی ، نمیشه وارد دیتابیس شد ، خطایی میده که این مسیر بسته است (no input file)
3-رمز عبوری دیتابیس بالای 60 کاراکتر هست
4-فایروال comodo waf نصب هست ، که هرگونه حمله رو تشخصی میده ، ولی واسه این چیزی نگفت
5- خود سورس سایت هم که هیچ گونه باگ sql i نداره ، اگر هم داشته باشه ، جلوش گرفته شده.
خب حالا هکر چه جوری اومده یه تیبل رو ویرایش کرده ، من از یه هکر سوال کردم (یه هکر خیلی قوی ، که تاحالا بالای 1000 سایت رو هک کرده ) گفت ممکن هست ، نه کرش شده باشه نه هک شده باشه ، خودش از بین بره ، آیا همچین چیزی داریم؟
لاگ فایل (full usage log) توی داریکت ادمین رو نگاه کردم ، طرف داشته با گوشیش ثبت نام میکرده که بعد از اون با خطای http/1.1 500 مجوجه میشه و صفحه مربوط به خطا که error.css هست خوانده میشه
بعد از اون هر آی پی که وارد سایت می شد خطای http/1.1 500 می داد و ، صفحه مربوط به خطا خوانده میشد
----
فقط در قسمت (full error) توی دایرکت ادمین ، گفته ، هر ثانیه خطای ini_set رو میداد که غیر فعال شده و سیشن احتیاج به اون داره ، شاید بالای 10000 خطا اینجوری بوده ، دیگه هر آی پی وارد سایت شده ثانیه به ثانیه فعالیتش این خطا رو میداد
حالا با این توضیحات امکان هک هست؟ تاحالا کسی واسش همچین مشکلی پیش نیومده؟
davood_71
May 22nd, 2016, 11:59
استادان متخصصین ، لطفا برای اینکه من بهمم هک شدم یا نه ، کجارو باید چک کنم؟ مشکل فقط از دیتابیس بود ، سروس سایت دستکاری نشده بود ، چون دیتابیس قبلیم رو آپلود کردم سایت اومد بالا
ترخدا اگر میشه راهنماییم کنید که کجا رو چک کنم که مربطو به دیتابیس هست (مثلا اگر حمله ای شده نشون بده، یا دیتابیس دستکاری شده ، کجا لاگ میشه)
---
لاگ های زیر رو دیدم چیزی نبود :
لاگ error.log
لاگ Access.log
لاگ ful usage log (توی قسمت یوزر معمولی دایرکت ادمین که میگه کیا اومدن تو سایت کجا ها رفتن)
لاگ full error log (توی قسمت یوزر معمولی دایرکت ادمین که میگه خطاهایی که به ازای هر کسی میاد تو سایت نشون میده)
----
هیچ پورتی ، رمزی ، مسیری چیزی عوض نشد ، خلاصه هیچی تغییر نکرده نه رو سایت نه رو سرور ، نه ویورسی هست ، نه شلی هست نه روت کیت با این ها چک شده (rkhunter , maldet , clamav)
---
فقط بگید الان این دیتابیس مشکل پیدا کرده و خطای http/1.1 500 ّه هر کاربر نشود میداد ، و اون خطا که عکسش رو فرستادم رو نشون میداد، و خلاصه مشکل از دیتابیس هست ، این لاگش کجاس؟ لاگ دیتابیس رو میخوام (فکر کنم همین باشه)
انشاءالله هرچی از خدا بخواین ، همراه با مشتری و سود بیشتر بهتون بده ، دستتون درد نکنه کمک کنید
faratv
May 22nd, 2016, 18:02
ممکن هست هک شده باشید...این احتمال هم هست بخاطر هجوم کاربران و ضعف سیستم دیتابیس مختل شده باشه.
davood_71
May 22nd, 2016, 18:33
دوستان من امروز کامل کامل کامل ، دیتابیس رو بررسی کردم و فهیمدم دقیقا مشکل کجا بود
ولی اینکه چه جوری این مشکل به وجود اومده ، فعلا به اون کسی که سورس رو نوشته ارسال کردم اونم داره سورس رو بررسی میکنه
مشکل دقیقا اینه :
یه جدول توی دیتابس هست به اسم users ، که کاربرانی که ثبت نام میکنن ، مشخصات اونجا اورده میشه ، خب حالا به هر کاربری یه آی دی اختصاص داده میشه ، دیگه هرکی که ثبت نام کنه یه آی دی به آی دیش اضافه میشه
مثلا علی : آی دی 370
آروین : آی دی 371
مهناز : آ ی دی 372 و الی آخر ...
خب حالا یکی به اسم آرین با آی دی 390 ثبت نام کرده
ولی بعد اون یه ردیف توی جدول اورده شده که آی دیش 0 هست (این ردیف چه جوری به وجود اومده خدا میدونه اینش سوال هست)
حالا چون آی دیش 0 بود ، سایت بالا نمیومد ، شاید باور نکنید ، اما بالای 100 بار تست شد ، آی دی رو 1 کردیم سایت اومد بالا
مشکل اساسی همین بود که آخرین ردیف توی جدول کاربران آی دی 0 بود ، این آی دی 0 کاربر نیست ، معلوم هم نیست چه جوری درست شده
دوستان برنامه نویس ممکن هست به خاطره غیر فعال بودن تابع ini_set این مشکل به وجود آمده باشه؟ سیستم جوملا هست
ini_set هم وقتی غیر فعال شد توی لاگ خیلی و ثانیه به ثانیه گفته که سیشن جوملا احتیاج داره بهش و غیر فعال هست
چون 8 ماه هست سایت کار میکنه ، الان چند روزه ini_set غیر فعال شده ، و بعد اون همچین شد
faratv
May 22nd, 2016, 21:22
دوستان من امروز کامل کامل کامل ، دیتابیس رو بررسی کردم و فهیمدم دقیقا مشکل کجا بود
ولی اینکه چه جوری این مشکل به وجود اومده ، فعلا به اون کسی که سورس رو نوشته ارسال کردم اونم داره سورس رو بررسی میکنه
مشکل دقیقا اینه :
یه جدول توی دیتابس هست به اسم users ، که کاربرانی که ثبت نام میکنن ، مشخصات اونجا اورده میشه ، خب حالا به هر کاربری یه آی دی اختصاص داده میشه ، دیگه هرکی که ثبت نام کنه یه آی دی به آی دیش اضافه میشه
مثلا علی : آی دی 370
آروین : آی دی 371
مهناز : آ ی دی 372 و الی آخر ...
خب حالا یکی به اسم آرین با آی دی 390 ثبت نام کرده
ولی بعد اون یه ردیف توی جدول اورده شده که آی دیش 0 هست (این ردیف چه جوری به وجود اومده خدا میدونه اینش سوال هست)
حالا چون آی دیش 0 بود ، سایت بالا نمیومد ، شاید باور نکنید ، اما بالای 100 بار تست شد ، آی دی رو 1 کردیم سایت اومد بالا
مشکل اساسی همین بود که آخرین ردیف توی جدول کاربران آی دی 0 بود ، این آی دی 0 کاربر نیست ، معلوم هم نیست چه جوری درست شده
دوستان برنامه نویس ممکن هست به خاطره غیر فعال بودن تابع ini_set این مشکل به وجود آمده باشه؟ سیستم جوملا هست
ini_set هم وقتی غیر فعال شد توی لاگ خیلی و ثانیه به ثانیه گفته که سیشن جوملا احتیاج داره بهش و غیر فعال هست
چون 8 ماه هست سایت کار میکنه ، الان چند روزه ini_set غیر فعال شده ، و بعد اون همچین شد
احتمالاً یکی از آی دی ها از 0 تا 390 پاک شده...موقع ساخت کاربر جدید ... توالی این اعداد بهم ریخته و مشکل دیتابیسی ایجاد شده.
چک کنید ببینید همچین اتفاقی افتاده؟
davood_71
May 22nd, 2016, 21:24
احتمالاً یکی از آی دی ها از 0 تا 390 پاک شده...موقع ساخت کاربر جدید ... توالی این اعداد بهم ریخته و مشکل دیتابیسی ایجاد شده.
چک کنید ببینید همچین اتفاقی افتاده؟
اینو چه جوری چک کنم؟
یعنی حمله نیست؟ احتمالش هست هکر حمله کرده باشه خودش 0 بده؟
اخه میدونی چیه وقتی یکی ثبت نام کنه فیدل ها دیگه هم تمکیل میشه
در صورتی که اون آی دی 0 هست ، فیلد دیگش وارد نشه ، فقط یه ردیف ساخته شده که آی دی 0 هست ، یعنی اون ردیف اصلا کاربر نیست ، معلوم نیست از کجا اومده
hasanazizi
May 23rd, 2016, 14:21
[QUOTE=davood_71;1522023
خب حالا هکر چه جوری اومده یه تیبل رو ویرایش کرده ، من از یه هکر سوال کردم (یه هکر خیلی قوی ، که تاحالا بالای 1000 سایت رو هک کرده ) گفت ممکن هست ، نه کرش شده باشه نه هک شده باشه ، خودش از بین بره ، آیا همچین چیزی داریم؟
لاگ فایل (full usage log) توی داریکت ادمین رو نگاه کردم ، طرف داشته با گوشیش ثبت نام میکرده که بعد از اون با خطای http/1.1 500 مجوجه میشه و صفحه مربوط به خطا که error.css هست خوانده میشه
بعد از اون هر آی پی که وارد سایت می شد خطای http/1.1 500 می داد و ، صفحه مربوط به خطا خوانده میشد
----
فقط در قسمت (full error) توی دایرکت ادمین ، گفته ، هر ثانیه خطای ini_set رو میداد که غیر فعال شده و سیشن احتیاج به اون داره ، شاید بالای 10000 خطا اینجوری بوده ، دیگه هر آی پی وارد سایت شده ثانیه به ثانیه فعالیتش این خطا رو میداد
حالا با این توضیحات امکان هک هست؟ تاحالا کسی واسش همچین مشکلی پیش نیومده؟[/QUOTE]
احتمالش هست که خودش اتوماتیک پاک شه
اون هکرو میتونی پ خ کنی واسم
اخه 1000 تا یعنی تقریبا = سورنا
خودم 380 تا دارم توسط بهزاد هم دوره خصوصی داشتم
اما
شما دیتابیس جدید و مشکل دارو دارین تا بنده هرگونه مشکلی داشت بهتون میدم
اگه دیتابیس مشکل دارو داشته باشین
فقط
اون چیزایی هم که جهت جلوگیری گفتی خیلی راحت قبال دور زدن هستن
و شاید هکر کل لاگ هارو پاک کرده باشه . شما trash یا همون زباله دونی رو سرورت نصب کردی که اگه فایلی حذف شه کلا حذف نشه و به پوشه trash بره ؟
davood_71
May 23rd, 2016, 14:45
احتمالش هست که خودش اتوماتیک پاک شه
اون هکرو میتونی پ خ کنی واسم
اخه 1000 تا یعنی تقریبا = سورنا
خودم 380 تا دارم توسط بهزاد هم دوره خصوصی داشتم
اما
شما دیتابیس جدید و مشکل دارو دارین تا بنده هرگونه مشکلی داشت بهتون میدم
اگه دیتابیس مشکل دارو داشته باشین
فقط
اون چیزایی هم که جهت جلوگیری گفتی خیلی راحت قبال دور زدن هستن
و شاید هکر کل لاگ هارو پاک کرده باشه . شما trash یا همون زباله دونی رو سرورت نصب کردی که اگه فایلی حذف شه کلا حذف نشه و به پوشه trash بره ؟
اون هکری که من میگم دوست من هست ، سورنا رو هم میشناسه ، شاید هم باهاش در ارتباط باشه که ، میگفت به دیتاسنتر آسیا تک حمله کرده و هاست دی ال ، دانلود ها و سایت ها دیگه ، مثل فیسنما رو هک کرده خبر کامل داشته و میدونسته چه جوری خودش هم توی سپاه کار میکنه (البته نمیدونم که اون حمله کرده یا نه ، ولی با سورنا در ارتباط هست)، دوربین مدار بسته پارس آنلاین رو هک کرده، دانشگاه رو هک کرده ، نمره هارو تغییر داده،
جلوی چشم من ، شبکه دانشگاه رو شنود کرد ولی کلی شماره کارت کامل با رمز عبور رو پیدا کرده
کاری ندارم
درسته میگید قابل دور زدن هست ولی نه دیگه انقدر راحت ، روزانه بالای 20-30 مورد من حمله سیستم عامل، وب سرور ،چقدر تزریق شل ، ریموت گرفتن و ... داشتم و فایروال comodo waf جلوش رو گرفته
ولی این کی رو چیزی نگفته ، حداقل اگر حمله انجام شه باید اخطار بده که انجام شده
احتمال اینکه هک شده باشه ، کم هست ، نمیدونم شاید هم شده
یه سوال دارم ربط داره به غیر فعال کردن تابع ini_set ؟
چون سایت جوملایی هست ، وقتی من اینو غیر فعال کردم ، مدام توی لاگ ، جوملا اخطار مداد (ثانیه به ثانیه) که این تابع غیر فعال شده ، و ممکن هست توی فایل Session.php اشکالی به وجود بیاد
بعد اون یعنی چند روز بعد اون همچین شد
تا قبل اون که سایت 9 ماه هست آنلاین هست همچین چیزی نبوده