سلام خدمت تمام اساتید.
یکی از سایت های سرور من Deface شده اونطور که من دقت کردم با یه یوزر غیر root به نام mamft یا یه چیز تو این مایه تو ssh لاگین بود. (با دستور w فهمیدم)
پنل مدیریت kloxo هستشد.
پسورد کاربری kloxo و ftp فقط همون سایت عوض شده بود. همچنین در دیتابیس سایت خرابکاری شده بود (دیتابیس در یک سرور دیگه هست)
فایل index.php سایت هم جایگزین شده بود.
سیستم مدیریت محتوای سایت wordpress هستش.
می خواستم ببینم چطور میتونم با این حملات مقابله کنم. ممنون میشم راهنمایی کنید.

لطفا در مورد ایمن سازی ssh بگید.

به نظرم بهتره سرورتون رو عوض کنید و از سرور بهتری استفاده کنید

با سلام

سرور شما می بایست یک فول سکوریتی گردد . همچنین بهتر است از کنترل پنلی های سی پنل یا دایرکت ادمین استفاده کنید

پورت ssh را نیز تغییر دهید

ممنون از راهنمایی ها. بیشتر بررسی کردم متوجه شدم پسورد kloxo عوض نشده بود. فقط پسورد Ftp عوض شده.
آیا با اجرای دستورات Perl یا cgi میشه پسورد Ftp رو عوض کرد؟
اگر بله این دستورات چطور اجرا میشه؟ با قرار گرفتن در فایل php یا با پسوند .pl و .cgi ؟
آیا برای اجرا این فایل در سرور آپلود باید بشه و از طریق url اجرا بشه؟ یا روش دیگه ای داره اجراش؟

سرور من ترکیب nginx و apache هستش. اگه من پسوند های .pl و .cgi رو تنظیم کنم که با nginx سرو بشه مشکل حل میشه؟ یا این دستورات قابل اجرا از طریق پسوند .php هم هستند؟

اگه اطلاعات مهمی داشتی

و نگران هستی

با پلیس فتا مشورت کن

cyberpolice.ir

احتمالا با مهندسی اجتماعی پسورد رو زدن و ...
میشه لاگ هارو دید؟

لاگ چه نرم افزاری رو؟
این هاست روی سرور جدید هست. من خودم احتمال میدم روی هاست قبلی فایلی آپلود بوده در مسیر سایت که به هکر اجازه نفوذ داده.

خواستید می تونیم سرورتون را آنالیز امنیتی داشته باشیم.
با تشکر