توجه ! این یک نسخه آرشیو شده میباشد و در این حالت شما عکسی را مشاهده نمیکنید برای مشاهده کامل متن و عکسها بر روی لینک مقابل کلیک کنید : مشکل امنیتی - مهم
abtinweb
November 8th, 2010, 04:57
با سلام
من سرور لینوکس دارم اختصاصی هست و سی پنل روش نصبه
بر روی سایت چند تا از یوزر هام فایل های فیشینگ نصب میشه . البته خودشون این کارو نمیکنن کسی هک میکنه سایتشون رو . از آخرین ورژن سی ام اس e107 هم استفاده میکنن ولی باز هم این مورد هست.
به نظر شما به چه صورتی میشه جلوی این حملات رو گرفت ؟
معمولا از چه طریقی هکر میتونه فایل روی هاست آپلود کنه ؟
sharax
November 8th, 2010, 05:45
با سلام
دوست عزيز من منظور شما رو از فيشينگ متوجه نشدم!
ولي اگر منظور شما شل يا ديگر ابزار سرور هكينگ هست بايد شما از فايروال + مانيتورينگ قوي استفاده كنيد
در ضمن بدون كانفيگ مناسب به هيچ وجه درست عمل نمي كند
پ.ن: در انجمن راجع به افزايش امنيت سرور مقالات زيادي وجود دارد
با تشكر
abtinweb
November 8th, 2010, 09:33
سلام ممنونم از توجه شما
ببینید فایل های فیشینگ در حقیقت فایل های جعلی از یک صفحه ساختگی هستند که مثلا یک صفحه خرید اینترنتی رو نشون میده که کاربر با زدن شماره حساب و کریدیت کارتش همرو برای هکر میفرسته و اون سواستفاده میکنه
sharax
November 8th, 2010, 10:20
دوست عزيز منظور شما فاك پيج است
فاك پيج يا به قول شما فيشينگ يك صفحه تقلبي براي از بدست آوردن اطلاعات مهم از قبيل حساب هاي بانكي،اكانت هاي ايميل و... به كار ميره
اگر از صحت اسكريپت روي هاستينگ مطمئن هستيد پس امنيت سرور شما پايين است كه مي توانند بر روي آن كار بزارند
شما يك سايتي كه داخل اون فاك پيج كار گذاشتن را مي گيد سيستمش e107 هست! پس شما مراحل زير را انجام دهيد تا ببينيم مشكل از هاستينگ هست يا اسكريپت
مراحل:
هاست را كامل پاك كنيد
فروشگاه ساز را دوباره نصب كرده و فايل مربوط به ديتابيس را توسط اينكدر هاي اينكد كنيد(قفل كنيد)
پرميشن را به پايين ترين حد جهت خوانده شدن تنظيم كنيد
پسورد مناسب براي هاست و سايت مربوطه بزاريد (از سيمبل استفاده كنيد)
از نبودن هيچ نوع اسكريپت روي هاست مطمئن شويد
منتظر باشيد تا ببينيد فاك پيج قرار ميگيرد يا خير
به احتمال 90% من ميگم امنيت سرور پايين هست و با اين حركت امنيت اسكريپت از سمت هاستينگ حدودا بالا ميره
Reza.exe
November 8th, 2010, 13:22
سلام
پسورد FTP
+
دیتابیس ها را عوض کن
+
فایل
config
را کد کن
abtinweb
November 8th, 2010, 17:55
سلام
پسورد FTP
+
دیتابیس ها را عوض کن
+
فایل
config
را کد کن
ممنونم از همه . بازم کسی چیزی به ذهنش میرسه ممنونم
mamali5
November 8th, 2010, 19:40
سلام
e107 اصلآ امنیت نداره
رو چندین سرور که امنیت بالای داشتن تست کردیم خیلی راحت تونستیم نفوذ کنیم
نسخه فارسیش که کمی بهتر
نسخه اصلیش که کلا شوت
mohsen1
November 8th, 2010, 21:46
سلام
e107 اصلآ امنیت نداره
رو چندین سرور که امنیت بالای داشتن تست کردیم خیلی راحت تونستیم نفوذ کنیم
نسخه فارسیش که کمی بهتر
نسخه اصلیش که کلا شوت
میشه بیشتر ما رو از تجربیاتتون درباره ی e107 بهره مند کنید!!!؟
طبیعی هست که کاربر باید از نسخه آپدیت شده(آخرین نسخه) استفاده کنه.
وقتی تنبلی می کنه و آپدیت نمی کنه باید هم انتظار این مسائل رو داشته باشه.
هر cms نقاط ضعف و قدرت داره و امنیت هیچ کدوم از اونها پایدار نیست.
با همه ی این حرف ها به شعار معروف امنیت مطلق نیست می رسیم.
sharax
November 9th, 2010, 00:27
e107 تا اونجا كه اطلاعات دارم امينت بد نيست و با cms هاي بزرگ رقابت مي كند
همانطور كه محسن گفتند بايد آپديت كنيد و اگر يك cms امنيت پاييني داشته باشد 100% مجوز GNU به آنها تعلق نمي گيرد و باطل مي شود
پس cms ها را ملاك پايين بودن امنيت نزاريد 99% ،cms هاي اوپس سورس هسته آنها امنيت بالايي دارند و شايد امكانات اضافي آن باگ داشته باشد
همانطور كه گفتم امينت سرور ممكن هست باشه و اگر ميخواهيد مشخصات يك هاست را براي من پيغام خصوصي كنيد كه چك كنم برايتان
با تشكر
secure_host
November 10th, 2010, 10:27
این مشکلات امنیتی مربوط به e-107 بوده که باعث میشه هکر بتونه فایل upload کنه.
برای امنیت بهتر لطفا اقدام زیر را انجام دهید.
برای امنیت بیشتر:
۱- دسترسی تمام فایلهای php را ۴۴۴ و دیگر فایلها را ۵۵۵ تنطیم نمایید
۲- دسترسی تمام پوشهها را ۵۵۵ تنظیم نمایید.
۳- دسترسی به فایلهای مهم مانند index.php - config.php را 400 و .htaccess را 444 تنظیم نمایید.
۴- در پوشههایی که نیاز به دسترسی نوشتن دارند دسترسی بصورت ۷۵۵ تنظیم شود و توسط htaccess از بازگذاری فایلهای php pl cgi در این پوشهها جلوگیری شود.
۵- رمز بانک اطلاعاتی - کنترل پنل - FTP را بصورت دورهای تغییر دهید.