سلام
دوستان ببخشید مستقیم میرم سر اصل مطلب
سرور ما توسط یک هکر هک شده و تونسته به روت سرور دسترسی پیدا کنه
و پسورد WHMCS رو هم عوض که این مورد ها رو هم درست کردیم
اما یک سری مشکلاتی وجود داره
امروز باز متوجه شدیم که پسورد ادمین WHMCS ما عوض شده
پس یعنی هنوز هکر دسترسی داره و واسه خودش جا خوش کرده!
یک ایمیل هم از طرف سی پنل اومده واسمون که این نوشته
اگه اشتباه نکنم طرف واسه خودش توی لینوکس یه یوزر ساخته
ایمیل اینه:

IMPORTANT: Do not ignore this email.
This message is to inform you that the account root2 has user id 0 (root privs).
This could mean that your system was compromised (OwN3D). To be safe you should
verify that your system has not been compromised.

و

IMPORTANT: Do not ignore this email.
This message is to inform you that the account law has user id 0 (root privs).
This could mean that your system was compromised (OwN3D). To be safe you should
verify that your system has not been compromised.

دوستان لطفا راهنمایی کنن که الان باید چیکار کنم؟
چطور بفهمم که هکر واسه خودش یوزر ساخته یا نه؟
با چه دستوری توی ssh میتونم بزنم که آنتی ویروس Clamav کل سرور رو اسکن کنه و ویروس و شل هارو حذف کنه
دیگه چه کار هایی نیاز هست که انجام بدیم
لطفا راهنمایی کنین
داره واسمون دردسر بزرگی میشه

پچ امنیتی برای این مورد ارایه شده برای نسخه 5.0.3 اپگرید کنید اگر نال هستید که دیگه.... .

در حال حاضر که دوباره وارد شدن روی نسخه 5.0.3 بودیم!
اما بازم...

---------- Post added at 11:11 PM ---------- Previous post was at 11:05 PM ----------

چیزایی که خواستم واقعا کسی بلد نیست؟

راهکار :
1-فرمت قدیم بازهم جدیدترین پیشنهادهاست
2-با حفظ خونسردی از اول سی پنل رو نصب کنید
3-قبل از اجرای قدم اول shell access disable کنید
4-قدم نمی دونم چندم : طرف یک exploit فایل php آپلود کرده باید با کاربر root در لینوکس جستجو کنید
5-قدم 16 : مشکل از whmcs بود که نال شده ی یک نامرد بود
6-قدم 17 چرا php را تحت suphp ران نکردید ؟
7-قدم بیست و خورده ای : اکانت های ftp anonymous و دیتابیس test در دی بی رو حذف کنید
8-اگر حوصله ی تنظیم firewall رو ندارید از سی پنل csf رو استفاده کنید.
9-از chroot jailed استفاده کنید تا پس از نفوذ در php یا یک سایت خود لینوکس هک نشه. درواع jail بودن یعنی کاربری یک سایت محدود به فولدر public_html خودش هست و هکر از اون عقب تر رو نمی بینه
10-مطمئن شو که در easyapache پکیج webdav رو تیک نزده باشی که نباید تیک خورده باشه
11-تیک فرونت پیج رو هم بردار
12-از چه پرتالهایی استفاده می کردی بجز این ؟ مثلا وی بولتین قدیمی یا جوملا قدیمی ؟
13-قابلیت index تعریف اون روی index.php و index.html و index.htm هست دوتاindex.html و index.htm رو حذف کن
14-برای مدت موقت فولدرهای سایت هات رو Read only ازطریق root linux command کن
15-لاگ رو ببین که روش چی بوده احتمال زیاد نال بودن بوده
16- disabled function رو طبق مقاله ها تعریف کن و قابلیت خواندن php.ini مجدد در هر فولدر رو بردار
17-دستورهای shell و iniset رو درdisabled functions در php config اضافه کن
18-پورت دیتابیس رو عوض کن در قسمت my.conf و در کانفیگ فایروال ببین که incoming و outgoing برای پورت جدید بسته باشه
19-علی الحساب با دستور لینوکس که فکر کنم chmod بود برای کاربر www کل فولدر home/USER رو ست کن روی رید آنلی یعنی 600 یا wr----
20- خونسرد باش و سرت رو بالا بگیر مرد تنها سایت های معروف هک میشند
تبریک می گویم زود هک شدن بهتر از اینکه بزرگ ترین شرکت شوی و هک شوی پس از همین الان برو به سمت حرفه ای شدن

نیم نگاهی هم به asp.net کن :107:

تورو خدا نال استفاده نکنید
خودتونو بیچاره میکنید یعنی ماهی 19 تومن ارزش نداره؟

یعنی ارزش یک ت...... رو هم نداشت ؟

در حال حاضر که دوباره وارد شدن روی نسخه 5.0.3 بودیم!
اما بازم...


پوشه های template_c و downloads رو چک کنید و ببینید که آیا فایل های به اسم red.php یا b0x.php در اونها هست یا نه ؟ اگه بود حذفش کنید. و WHMCS خود را به آخرین ورژن ارتقاع بدید (حتما لایسنس داشته باشید)
ورود به پورت های اس اس اچ و 2087 و 2086 رو روی آی پی خودتون محدود کنید (درصورتی که نمایندگی ندارید)

و پسورد WHMCS رو هم عوض که این مورد ها رو هم درست کردیم
اما یک سری مشکلاتی وجود داره
امروز باز متوجه شدیم که پسورد ادمین WHMCS ما عوض شده
پس یعنی هنوز هکر دسترسی داره و واسه خودش جا خوش کرده!


ببین واسه منم همین طور شده بود اولین کاری که کردم پچ امنیتی رو عوض کردن . با عوض کردن پچ امنیتی فقط 80% کار رو انجام دادی .
بعد برو تو phpmyadmin جدولی که مربوط به ادمین میشه رو پیدا کن . بعد اونجا ایمیل عوض شده ایمیل رو عوض کن . بعد بورو تو قسمت لوگین ادمین whmcs ریست پسورد کن . مطمعا باش دیگه راهی نداره بیاد تو whmcs من این کارو کردم درست شد

ازکجا تضمین کردی که اگر این کار رو کنه دیگه تمومه؟ هکرها بعد از ورود چندید exploit در فولدرهای مختلف می گذارند حتی اگر حرفه ای باشد .jpg های آلوده هم که بحث خودش روداره. ایشون میگه طرف رفته اکانت تحت لینوکس ساخته یعنی می تونه بزنه
del home

دوستان whmcs من نال نیست و لایسنس دارم

---------- Post added at 11:57 PM ---------- Previous post was at 11:56 PM ----------

ممنونم از دوستانی که کمک کردن
اما کسی دستور اسکن آنتی ویروس و حذف کردن ویروس ها رو نداد :(

حجم کل پورتال چقدر است ؟ چندتا سایت روی سرور هست ؟

در سی پنل قسمت محصولات احتمالا یک آنتی ویروس وجود داره اگر نداشت نسخه های رایگان یا Trial تحت linux و centos متناسب با نوع 32bit یا 64bit جستجو کن

ازکجا تضمین کردی که اگر این کار رو کنه دیگه تمومه؟ هکرها بعد از ورود چندید exploit در فولدرهای مختلف می گذارند حتی اگر حرفه ای باشد .jpg های آلوده هم که بحث خودش روداره. ایشون میگه طرف رفته اکانت تحت لینوکس ساخته یعنی می تونه بزنه
del home

دوست عزیز من whmcs رو گفتم ایشون گفنن که من پسورد رو عوض میکنم هکر باز میاد . واسه من همین طور که گفتم شده بود . و با این کار تونستم جلوشو بگیرم حالا من با جای دیگه کار ندارم . ایشون سوالی که پرسیده بودن رو از لحاظ داشتن پسورد رو گفتم

موفق باشید

ضمنا دنبال ویروس نگرد فرض کن یک فایل رو داخلش 200 خط encode شده ی base64 هست. نه میشه جستجوکرد داخل فایل ها برای copy یا دستور remove یا هرچی

تنها کار رستور بکاپ یا شروع از صفر هست (تلخه اما صرفه جویی در وقته چون چند روز بعد مجبوری همین کار رو کنی)
ضمنا کل سورس رو gz کن دانلود کن در هاردتون
لاگ webanalyzer رو دیدی چیزی از رکوئیست های زیاد مشابه sql injection ندیدی ؟

دوست من راه زیاد داره بهتره با یکی مشورت بکنید و دسترسی بدید تا امنیت رو چک کنند.

یه کار دیگه هم می تونی بکنی این طوری بهتره . whmcs رو دوباره نصب کن و سعی کن دیتابیس قبلی رو جدولاشو یه نگاه بندازی و بعد اون بیاری این ور . این طوری نه حسابداریت از بین میره نه یوزر هات . من خودم واسه اینکه مشکل نداشته باشم این کار کردم که مطمعا بشم

Security Patch - WHMCS Forums (http://forum.whmcs.com/showthread.php?t=43462)

راهکار :
1-فرمت قدیم بازهم جدیدترین پیشنهادهاست
2-با حفظ خونسردی از اول سی پنل رو نصب کنید
3-قبل از اجرای قدم اول shell access disable کنید
4-قدم نمی دونم چندم : طرف یک exploit فایل php آپلود کرده باید با کاربر root در لینوکس جستجو کنید
5-قدم 16 : مشکل از whmcs بود که نال شده ی یک نامرد بود
6-قدم 17 چرا php را تحت suphp ران نکردید ؟
7-قدم بیست و خورده ای : اکانت های ftp anonymous و دیتابیس test در دی بی رو حذف کنید
8-اگر حوصله ی تنظیم firewall رو ندارید از سی پنل csf رو استفاده کنید.
9-از chroot jailed استفاده کنید تا پس از نفوذ در php یا یک سایت خود لینوکس هک نشه. درواع jail بودن یعنی کاربری یک سایت محدود به فولدر public_html خودش هست و هکر از اون عقب تر رو نمی بینه
10-مطمئن شو که در easyapache پکیج webdav رو تیک نزده باشی که نباید تیک خورده باشه
11-تیک فرونت پیج رو هم بردار
12-از چه پرتالهایی استفاده می کردی بجز این ؟ مثلا وی بولتین قدیمی یا جوملا قدیمی ؟
13-قابلیت index تعریف اون روی index.php و index.html و index.htm هست دوتاindex.html و index.htm رو حذف کن
14-برای مدت موقت فولدرهای سایت هات رو Read only ازطریق root linux command کن
15-لاگ رو ببین که روش چی بوده احتمال زیاد نال بودن بوده
16- disabled function رو طبق مقاله ها تعریف کن و قابلیت خواندن php.ini مجدد در هر فولدر رو بردار
17-دستورهای shell و iniset رو درdisabled functions در php config اضافه کن
18-پورت دیتابیس رو عوض کن در قسمت my.conf و در کانفیگ فایروال ببین که incoming و outgoing برای پورت جدید بسته باشه
19-علی الحساب با دستور لینوکس که فکر کنم chmod بود برای کاربر www کل فولدر home/USER رو ست کن روی رید آنلی یعنی 600 یا wr----
20- خونسرد باش و سرت رو بالا بگیر مرد تنها سایت های معروف هک میشند
تبریک می گویم زود هک شدن بهتر از اینکه بزرگ ترین شرکت شوی و هک شوی پس از همین الان برو به سمت حرفه ای شدن

نیم نگاهی هم به asp.net کن :107:

متشکر دوست عزیز اما چیزایی که گفتین همش انجام دادم :(
البته بجز بند شما 9 که بلد نیست...
سرچ هم کردم پیدا نکردم
شما بلدین چطوری؟

بند 9 مانند شاهنامه می مونه اگر cpanel درست نصب و کانفیگ شده باشه پیش فرض ست میشه اما نه اینکار کمی توضیح زیاد داره نمی دونم از کجاش شروع کنم تا ظهر یک کوب باید در موردش کانفیگ بنویسیم

اما یک تست ساده که بفهمی الان تو سرورت این موضوع زندانی بودن هر سایت یا jailed شدن هر اکانت هاست و کاربری لینوکس رو بفهمیم می تونیم پله پله جلو بریم اوکی ؟

راستی قدم نمی دونم چند: در ساختن اکانت های هاست چک کنید enable shell نباشه و بدو بدو برید هر کدوم که این تیک رو دارند رو تیک بردارید
حسش هست تست jail بودن رو بگم ؟

پوشه های template_c و downloads رو چک کنید و ببینید که آیا فایل های به اسم red.php یا b0x.php در اونها هست یا نه ؟ اگه بود حذفش کنید. و WHMCS خود را به آخرین ورژن ارتقاع بدید (حتما لایسنس داشته باشید)
ورود به پورت های اس اس اچ و 2087 و 2086 رو روی آی پی خودتون محدود کنید (درصورتی که نمایندگی ندارید)

این فایل ها نبود
و اینکه این مورد نمایندگی داریم چند تا...

---------- Post added at 12:24 AM ---------- Previous post was at 12:22 AM ----------


بند 9 مانند شاهنامه می مونه اگر cpanel درست نصب و کانفیگ شده باشه پیش فرض ست میشه اما نه اینکار کمی توضیح زیاد داره نمی دونم از کجاش شروع کنم تا ظهر یک کوب باید در موردش کانفیگ بنویسیم

اما یک تست ساده که بفهمی الان تو سرورت این موضوع زندانی بودن هر سایت یا jailed شدن هر اکانت هاست و کاربری لینوکس رو بفهمیم می تونیم پله پله جلو بریم اوکی ؟

راستی قدم نمی دونم چند: در ساختن اکانت های هاست چک کنید enable shell نباشه و بدو بدو برید هر کدوم که این تیک رو دارند رو تیک بردارید
حسش هست تست jail بودن رو بگم ؟

شل اکسز روی همه اکانت ها غیر فعال هست
امشب نتم قطع وصل میشه میترسم اذیت بشین
اگه فردا وقت داشته باشین باهم این کار انجام بدیم خیلی ممنونتون میشم

دوستان whmcs من نال نیست و لایسنس دارم

---------- Post added at 11:57 PM ---------- Previous post was at 11:56 PM ----------

ممنونم از دوستانی که کمک کردن
اما کسی دستور اسکن آنتی ویروس و حذف کردن ویروس ها رو نداد :(


شما مگه نمیگید whmcs لایسنس داره . مگه براتون ایمیل پچ امنیتی نیومده که پچ هارو جا به جا کنید ؟

ضمنا در مورد csf شما فرمودید انجام دادید : بعد از نصب هنوز enable نیست زیرا بصورت غیرفعال و تست security test result هست که در صورتیکه می خواهید فعال شه باید در تنظیماتش test_mod=0 کنید
خودش هم یک سری توصیه هایی کرده که قبل از انجام گروهی سفارش هایش توصیه می کنم تک تک انجام بدهید زیرا درصورت بروز خطا که سایت ها بالا نیایند بفهمید کدوم اعمال تغییر باعث شده تداخل ایجاد شه ولی در اعمال تغییر گروهی پیدا کردن علت کانفلیکل سخت تر می شود.

---------- Post added at 12:36 AM ---------- Previous post was at 12:34 AM ----------

اگر هکر در صفحه اصلی سایت شما که deface شده باشه یا هر تغییری ردپای فارسی هست احتمال 70% یکی از کاربران سرورتون بوده

ضمنا در مورد csf شما فرمودید انجام دادید : بعد از نصب هنوز enable نیست زیرا بصورت غیرفعال و تست security test result هست که در صورتیکه می خواهید فعال شه باید در تنظیماتش test_mod=0 کنید
خودش هم یک سری توصیه هایی کرده که قبل از انجام گروهی سفارش هایش توصیه می کنم تک تک انجام بدهید زیرا درصورت بروز خطا که سایت ها بالا نیایند بفهمید کدوم اعمال تغییر باعث شده تداخل ایجاد شه ولی در اعمال تغییر گروهی پیدا کردن علت کانفلیکل سخت تر می شود.

---------- post added at 12:36 am ---------- previous post was at 12:34 am ----------

اگر هکر در صفحه اصلی سایت شما که deface شده باشه یا هر تغییری ردپای فارسی هست احتمال 70% یکی از کاربران سرورتون بوده

هکر عرب کثیف بود
بعدشم اونقدر هم تازه وارد نیستم
csf رو کانفیگ کردم در حدی که امتیاز 122 از 136 داده...

---------- Post added at 12:39 AM ---------- Previous post was at 12:38 AM ----------


شما مگه نمیگید whmcs لایسنس داره . مگه براتون ایمیل پچ امنیتی نیومده که پچ هارو جا به جا کنید ؟

دوست عزیز گفتم که به نسخه 5.0.3 آپگرید کردم
اما زمانی که هک شدم رو نسخه قبلی بودم
که چون هنوز فارسی ساز نیومده بود به نسخه 5 آپگرید نکرده بودم

سلام
والا من همه ی پست هارو خوندم به صورت کوتاه ولی هیچکی در مورد این ننوشته بود به نظر


IMPORTANT: Do not ignore this email.
This message is to inform you that the account root2 has user id 0 (root privs).
This could mean that your system was compromised (OwN3D). To be safe you should
verify that your system has not been compromised.
و

IMPORTANT: Do not ignore this email.
This message is to inform you that the account law has user id 0 (root privs).
This could mean that your system was compromised (OwN3D). To be safe you should
verify that your system has not been compromised.
این دو به این معنا می باشند که اکانت های law و root2 توی سیستم وجود دارند که دسترسی ان ها با دسترسی روت اصلی سرور برابری می کند، این به چه معناست، یعنی این که فردی که این دو اکانت رو ایجاد کرده دسترسی کامل به سرور خواهد داشت
دوستان اگر اشتباه می گم خواهشن بگید که منم متوجه بشم اشتباه می کنم

شرمنده منظور کلی بود نه شخصی شاید یک ویزیتور بیاد این مشکل رو داشته باشه.
خب اگر هکر عرب بوده از روش session id و یا athentication که مثالش در هک وی بولتین با اکانت ادمین جعلی بالا اومدن هست
و در جوملا نمی دونم چرا اکانت ادمین با یوزر آیدی 62 ست شده در تمام جوملا ها
خب هکر از قبل می دونه اونجا یک ادمین با یوزر 62 هست و تلاش می کنه یک سشن جعلی با نام جعلی یا آیدی جعلی کنه

دوست عزیز گفتم که به نسخه 5.0.3 آپگرید کردم
اما زمانی که هک شدم رو نسخه قبلی بودم
که چون هنوز فارسی ساز نیومده بود به نسخه 5 آپگرید نکرده بودم


ببینید زمانی که whmcs فهمید این قضیه رو به تمامی افرادی که whmcs لایسنس دار داشتن ایمیل ارسال کرد و پچ امنیتی رو بهش داد . اصلا به آپدید بودن نبود . برای شما مگه ایمیل پچ امنیتی نیومده بود؟

اشتباه نمی گویید من هم در ابتدا گفتم که سرور کلا دست کاری زیادی شده و صرفا بحث سر رستور کردن دیتابیس نیست. حق با شماست
اما متاسفانه دستمون باز نیست تا تمام راه های نفوذ رو ببندیم.

سلام
والا من همه ی پست هارو خوندم به صورت کوتاه ولی هیچکی در مورد این ننوشته بود به نظر


IMPORTANT: Do not ignore this email.
This message is to inform you that the account root2 has user id 0 (root privs).
This could mean that your system was compromised (OwN3D). To be safe you should
verify that your system has not been compromised.
و

IMPORTANT: Do not ignore this email.
This message is to inform you that the account law has user id 0 (root privs).
This could mean that your system was compromised (OwN3D). To be safe you should
verify that your system has not been compromised.
این دو به این معنا می باشند که اکانت های law و root2 توی سیستم وجود دارند که دسترسی ان ها با دسترسی روت اصلی سرور برابری می کند، این به چه معناست، یعنی این که فردی که این دو اکانت رو ایجاد کرده دسترسی کامل به سرور خواهد داشت
دوستان اگر اشتباه می گم خواهشن بگید که منم متوجه بشم اشتباه می کنم

دقیقا مشکل من همین بود
میخواستم بدونم آیا چنین یوزری ایجاد کرده یا خیر
اگه کرده چطور میتونم حذفش کنم؟!
توی خود لینوکس سرچ کردم این یوزر ها نبود اخه!

---------- Post added at 12:46 AM ---------- Previous post was at 12:45 AM ----------


ببینید زمانی که whmcs فهمید این قضیه رو به تمامی افرادی که whmcs لایسنس دار داشتن ایمیل ارسال کرد و پچ امنیتی رو بهش داد . اصلا به آپدید بودن نبود . برای شما مگه ایمیل پچ امنیتی نیومده بود؟

سهلنگاری از خودم بود :-|

راهکار اکانت های جعلی: ابتدا اون یوزرهارو ببندید ضمنا در تنظیمات putty که معمولا در tweak setting هم احتمالا وجود داشته باشد یا در فایل کانفیگ ssh در سرور، ssh رو طری کانفیگ کنید که فقط به روی یک ip محدود شه یا به روش primary key athuntication بالا بیاد
با این روش فقط از منزل و اداره شما با پوتی میشه کانکت شد حتی اگر رمز عبور هم بدی به کسی

ضمنا در اینجا اگر jail می کردیم اکانت هارو یکمی اوضاع بهتر بود مثلا jail چی میگه در یکی از آثارش میگه بطور اضطراری تمام دستورات لینوکس غیر فعالشوند حتی wget

---------- Post added at 12:52 AM ---------- Previous post was at 12:46 AM ----------

راستی cgi هم از اکانتهای هاست گرفته شوند علی الحساب curl رو غیر فعال کن و چند تا کانفیگ php.ini :
Enable_dl =off
allow_url_fopen=off
open base_dir=off
disabled functions: show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open,iniset
register globals=off
safemode=off

---------- Post added at 12:56 AM ---------- Previous post was at 12:52 AM ----------

در تنظیمات فایل کانفیگ ssh از پورت 22 به 220 یا دلخواه سریعا تغییر دهید
در دیتابیس ابتدا کل privilage access رو ببین کاربران مشکوک رو حذف کن و کاربر Root رو در دیتابیس حذف کن مطمئن باش همون طور که گفتم اجازه Remote گرفته شود و ضمنا در کانفیگ csf incoming , outgoing رو برای پورت mysql ببندید
public_html ها حتما 750 باشند.

---------- Post added at 01:03 AM ---------- Previous post was at 12:56 AM ----------

یک سری به تنظیمات دی ان اس بزن ببین تغییر نداده باشه و با intodns تست کن چرا که چند ساعت بعد نبینیم سایت ها رفتن روی یک سرور دیگر که خیلی بده برای یک فروشنده هاست.
عرب ها نادان هستند پس همین موضوع بهترین کمک هست. چرا عرب ها وقتی می رند تو گوگل می زنند : joomla exploit و vbulletin exploit همواره دنبال exploit های مختلف بگردبد و ببینید چه خبر !!!! هم راه نفوذ رو می بینید و مطلع می شوید و هم می فهمید که باید لابلای سورس حتما یک php وجود داره
معمولا کاربری php و apache با کاربر www بالا می آیند. دسترسی www فقط باید طوری ست بشه داخل فولدر /home باشه
و ضمنا اجرای دستورات مانند cp rm mkdir nano .... باید از این کاربر گرفته بشه این کار تخصصی تر هست و بگذار قدم آخر...

سهلنگاری از خودم بود :-|

ببینید ما تو تالار به بچه گفتیم که اونایی که نال شده نصب کرده بودن هک شدن اونایی که لایسنس داشتن که هوشیار بودن . ولی باز حواست جم باشه که این طور ایمیل ها رو دسته کم نگیری

ببینید ما تو تالار به بچه گفتیم که اونایی که نال شده نصب کرده بودن هک شدن اونایی که لایسنس داشتن که هوشیار بودن . ولی باز حواست جم باشه که این طور ایمیل ها رو دسته کم نگیری

یعنی فقط با همین هک whmcs کار به اینجا کشیده!؟ جالب بود

یعنی فقط با همین هک whmcs کار به اینجا کشیده!؟ جالب بود

بله دقیقا با یه whmcs هک شدن . چون تمام مشخصات سایتشون و سرور هاست هاشون داخل همون بود

واسه من درسی شد که اگه خواستم هاست بفروشم اصلا هاست رو whmcs وصل نکنم . الانشم من سرور که میفروشم همشونو با یه ایمیل دیگه که فقط واسه ایمیل ارسال کردن زدم میفرستم

راحت مشخصات سرور رو هم نداره اگه هک بشم خودم هک شدم

دقیقا مشکل من همین بود
میخواستم بدونم آیا چنین یوزری ایجاد کرده یا خیر
اگه کرده چطور میتونم حذفش کنم؟!
توی خود لینوکس سرچ کردم این یوزر ها نبود اخه!
:ییی این قسمت رو پاک کردم چون یافتمش !
================
به صورت مبتدیش باید برید اینجا اول

Main >> Resellers >> Edit reseller privileges & nameservers

بعد ببینین اکانت های root2 و یا law هستن یا نه؛ اگر هستن وارد بشین و دسترسی Root رو ازشون بگیرین ولی فکر نمیکنم یک هکر از این راه استفاده کنه

این دستور رو اجرا کنین و نتیجه رو ارسال کنین اینجا

cat /etc/passwd | grep 0:0

این دستور رو اجرا کنین ببینین کی این اکانت ها ایجاد شدن

zgrep 'new user' /var/log/secure*

---------- Post added at 10:04 PM ---------- Previous post was at 09:58 PM ----------

برای پاک کردن اون دو تا اکانت هم از این دستور استفاده کنین

userdel -r USER
به جای USER اسم اون دو تا اکانت که law و root2 بود رو قرار بدین، پسورد Root رو هم حتما عوض کنین

مشکل حل شد؟

بله دقیقا با یه whmcs هک شدن . چون تمام مشخصات سایتشون و سرور هاست هاشون داخل همون بود

واسه من درسی شد که اگه خواستم هاست بفروشم اصلا هاست رو whmcs وصل نکنم . الانشم من سرور که میفروشم همشونو با یه ایمیل دیگه که فقط واسه ایمیل ارسال کردن زدم میفرستم

راحت مشخصات سرور رو هم نداره اگه هک بشم خودم هک شدم

خب حالا اگر من بخوام به کسی نمایندگی بدم و مثلا whmcs 4.4.2 رو مجدد از پنلم در سایتش دانلود کنم پچ شده هستش؟ یا باید دوباره پچ کنم؟

نه اگه فایل هات آلوده نشده باشه نیازی به این کار نیست ولی اگه الوده باشه شما باید whmcs رو یه بار دیگه نصب کنید . دیتا بیس موجود رو بررسی کنید و بزارید روی این whmcs جدید و پچ رو از سایت دانلود کنید

آموزش پچ هم رو سایت هست بگردی پیدا میکنی .

موفق باشید

نه اگه فایل هات آلوده نشده باشه نیازی به این کار نیست ولی اگه الوده باشه شما باید whmcs رو یه بار دیگه نصب کنید . دیتا بیس موجود رو بررسی کنید و بزارید روی این whmcs جدید و پچ رو از سایت دانلود کنید

آموزش پچ هم رو سایت هست بگردی پیدا میکنی .

موفق باشید

منظورم از این سوال برای کاربران جدید whmcs بود در اصل که قبلا اصلا دانلود نکرده اند.

منظورم از این سوال برای کاربران جدید whmcs بود در اصل که قبلا اصلا دانلود نکرده اند.


نمیدونم پچ امنیتی رو خود whmcs عوض کرده یا نه ولی به احتمال قوی این کار رو انجام میده

یعنی بعد از دانلود جدید از خود whmcs نیاز به پچ نیست فقط باید اون 3 تا فایل رو ببری بیرون از روت و تو کانفیک هم مسیرش رو مشخص کنی

نمیدونم پچ امنیتی رو خود whmcs عوض کرده یا نه ولی به احتمال قوی این کار رو انجام میده

یعنی بعد از دانلود جدید از خود whmcs نیاز به پچ نیست فقط باید اون 3 تا فایل رو ببری بیرون از روت و تو کانفیک هم مسیرش رو مشخص کنی

نسخه 5.0.3 نیازی به Security Patch نداره !
خودشان ابدیت کردند !

// * WHMCS - The Complete Client Management, Billing & Support Solution *
// * Copyright (c) WHMCS Ltd. All Rights Reserved, *
// * Release Date: 14th December 2011 *
// * Version 5.0.3 Stable

توصیه می شود شرکت های معتبر از پورتال دست نویش استفاده کنند.

توصیه می شود شرکت های معتبر از پورتال دست نویش استفاده کنند.

پیشنهاد خوبی است اما سه تا مشکل بزرگ داره !
1. کسانی که با این پرتال شروع کردن و 5 تا 6 سال با این پرتال کار کردند و کلی اطلاعات روش دارند انتقال به یک پرتال دست نویس کار اسانی نیست !
2. ساخت پرتال به صورت دست نویس کار و هزینه بالایی می بره و مثل whmcs هم نمیشه !
3. مگه پرتال دست نویس باگ نداره ؟ اتفاقا باگش بیشتره ! جالا درسته دیگه این اتفاقات عمومی براش پیش نمیاد اما ممکنه بدتر براش پیش بیاد !

این دستور رو اجرا کنین و نتیجه رو ارسال کنین اینجا

cat /etc/passwd | grep 0:0

این دستور رو اجرا کنین ببینین کی این اکانت ها ایجاد شدن

zgrep 'new user' /var/log/secure*

---------- Post added at 10:04 PM ---------- Previous post was at 09:58 PM ----------

برای پاک کردن اون دو تا اکانت هم از این دستور استفاده کنین

userdel -r USER
به جای USER اسم اون دو تا اکانت که law و root2 بود رو قرار بدین، پسورد Root رو هم حتما عوض کنین

اقا واقعا مرسی

جواب دستور اول:
root:x:0:0:root:/root:/bin/bash
root2:x:0:0::/home/root2:/bin/bash
law:x:0:0::/home/law:/bin/bash

جواب دستور دوم:
/var/log/secure.1:Dec 16 02:37:56 server useradd[838]: new user: name=***67in, UID=617, GID=615, home=/home/***67in, shell=/usr/local/cpanel/bin/noshell
/var/log/secure.1:Dec 16 06:38:11 server useradd[11337]: new user: name=***compa, UID=618, GID=616, home=/home/***compa, shell=/usr/local/cpanel/bin/noshell
/var/log/secure.1:Dec 16 09:14:32 server useradd[8024]: new user: name=***68in, UID=619, GID=617, home=/home/***68in, shell=/usr/local/cpanel/bin/noshell
/var/log/secure.1:Dec 16 12:13:08 server useradd[5660]: new user: name=jahromiz, UID=620, GID=618, home=/home/jahromiz, shell=/usr/local/cpanel/bin/noshell


و با اون دستوری که گفتین هم یوزر رو حذف کردم...

---------- Post added at 10:16 AM ---------- Previous post was at 10:11 AM ----------

ضمنن یک مورد عجیبی که هست اینه که از زمانی که هک شدم
با پوتی وارد SSH میشم
بعد اینکه یوزر و پسورد رو دادم و لاگین شد این ارور ها رو میده:

Last login: Mon Dec 19 16:41:24 2011 from ip man
awk: .{print
awk: ^ syntax error
awk: cmd. line:1: .{print
awk: cmd. line:1: ^ unexpected newline or end of string
-bash: Access: command not found
root@server [~]#

این مشکل و جریانش چیه؟!

دوست عزیز من یه سوال دارم
شما از whmcs ورژن جدید که 3 روزه اومده هک شدی؟
منظورم نسخه اصلی و لایسنس دار هستا نه نال
لطفا جوب بدین مهمه

دوست عزیز من یه سوال دارم
شما از whmcs ورژن جدید که 3 روزه اومده هک شدی؟
منظورم نسخه اصلی و لایسنس دار هستا نه نال
لطفا جوب بدین مهمه

نه عزیز روی نسخه قبلی هک شدم
اما چون طرف واسه خودش دسترسی ساخته بود تو سرور
تونست راحت پسورد این whmcs رو هم عوض کنه

توصیه می شود شرکت های معتبر از پورتال دست نویش استفاده کنند.
پرتال دست نویس علاوه بر اینکه باگ هاش 10 برابر whmcs هستش مزایای هیچکدام از پرتال های خارجی حال حاضر رو نخواهد داشت !!!

1000 بار من گفتم هیچوقت از آخرین ورژن استفاده نکنید چون مشکل داره همیشه از ورژن های قدیمی تر استفاده کنین

اتفاقا بهتره از اخرین ورژن استفاده کنید و البته بهترین کار اینه که اون 3 پوشه ی تمپلت سی و اتچ و دانلود رو ببری پشت روت
خلاصه نگید بحث رو منحرف کرد از استارتر هم عذر میخوام
اما من اولین کسی بودم که هک شدم(این باگ برا همه ورژن ها بود)
هکر من یه خارجی بود میدونی چیکار کرد؟ رفت و صفحه ی مربوط به ساسپندد رو تغییر داد
اما بعد از من همه سایت ها توسط هکر های ایرانی و هموطن هک شدن که جای تاسف داره ما به خودمون رحم نمیکنیم
میزنیم از رو حسادت و عقده و خیلی چیزا (بلا نسبت شما ها) سایت و سرور و اعتبار همو داغون میکنیم
من یکی از مشتری هام برام همچین تیکتی فرستاده بود
کاری نتونست بکنه اما برام جالب بود اینقدر معرفت نداشت به خدا من نه دان داشتم تا الان نه امنیت کم پشتیبانیمم زیر 10 دقیقست این چرا باید این ایمیل رو به من بده خدا میدونه(بد ذاتی یا ...)
به هر حال کاش این فرهنگ تو کشور ما جا بیوفته که بابا عزیزان ما همه هموطنیم خداییش چند نفرمون رفت و به سایتهای دیگه تیکت زدیم که همچین باگی هست رفع کنید؟ یهو نصف ایران شد هکر اونم چه هکر هایی بی انصاف و .....
امیدوارم هکر شما ایرانی نباشه که این بلا رو سرتون آورده به هر حال بازم از منحرف کردن تاپیک عذر میخوام باید میگفتم و گرنه میترکیدم