توجه ! این یک نسخه آرشیو شده میباشد و در این حالت شما عکسی را مشاهده نمیکنید برای مشاهده کامل متن و عکسها بر روی لینک مقابل کلیک کنید : هک شدن و دیفیس شدن همه سایت های روی سرور
CityKala.net
July 8th, 2012, 13:33
با سلام خدمت دوستان
امروز متاسفانه با مشکلی مواجه شدیم که غیر قابل تصور بود
تمامی سایت های روی سرور دیفیس شده
یک تعدادی از مشتریان میگن که هیچ چیزی پاک نشده فقط دیفیس بالا میاد
index سایت هایی که دیفیس شده رو پاک کنید .
آخرین بک آپتون رو ریستور کنید
CityKala.net
July 8th, 2012, 13:50
فعلا داریم همرو ساسپند میکنیم تا نتونن اینارو ثبت کنن
---
July 8th, 2012, 13:54
زمانی که Index.html و یا همون صفحه ی دیفیس رو پاک کنید پیغام Notfound میده و تایید نمیشه توی Zone-h
منتها چک کنید ببینید توی Onhold لیست سایت هاتون هست یا خیر
CityKala.net
July 8th, 2012, 13:59
تو لیست نیستند
ماله باگ یکی از ریسلری هامون بوده که تو لیست اسکن آنتی شلر و آنتی ویروس سرور هم این باگ نیومده
irihost
July 8th, 2012, 14:02
سلام
چک کن ببین یوزر دیگه ای با دسترسی روت ایجاد نکرده باشند.
اخرین بک اپ که از سرور دارید ریستور کنید.
و بعد امنیت سرورتون بالا ببرید.
CityKala.net
July 8th, 2012, 14:04
چند تا سایت رو درست کردیم
مشکل خاصی نیست
هر چی سایت رو سرور ما بوده هاست نبوده همه هاست های ریسلری ها بوده
که هر بلایی سرشون اومده از باگ whmcs ریسلری ها بوده
همین
irihost
July 8th, 2012, 14:06
اگه میخوای ای پی سرورتون بده تا تو zone برات بررسی کنم.;;)
m3hdi
July 8th, 2012, 14:15
mass deface شدید و این یعنی اکسسی فراتر از یک یوزر (شاید root)
آخرین بک آپ رو ریستور کنید + آپدیت کرنل
CityKala.net
July 8th, 2012, 14:21
mass deface شدید و این یعنی اکسسی فراتر از یک یوزر (شاید root)
آخرین بک آپ رو ریستور کنید + آپدیت کرنل
از کجا بفمم این یوزر فراتر از بنده :دی
کجا ایجاد شده جمع و جورش کنیم :دی
m3hdi
July 8th, 2012, 14:26
از کجا بفمم این یوزر فراتر از بنده :دی
کجا ایجاد شده جمع و جورش کنیم :دی
چک کنید ببینید owner ی که فایلها رو ایجاد/تغییر داده چی بوده
CityKala.net
July 8th, 2012, 14:28
اینی که هک کرده ایمیلش رو چند تا از سایت های ریسلری هامون بوده
نمیدونم همه کاره اینه که من جوره دیگه ای اقدام کنم از طریق پلیس و اینا
danitfk@yahoo.com
Welt Servers - اعضا (http://www.paradais.org)
CityKala.net
July 8th, 2012, 14:45
در مورد امنیت سرور چی پیشنهاد میکنید چیزایی که موجود هست
csf
آنتی ویروس
آنتی شلر
از لحاظ امنیتی یک سری پرمیژن ها محدود شده
فکر میکنم مشکل از همون باگ whmcs باشه
CityKala.net
July 8th, 2012, 15:12
این یک اروریه که افزونشو چک کردم توش یک شل بود
[06-Jul-2012 15:15:54] PHP Warning: parse_ini_file() [<a href='function.parse-ini-file'>function.parse-ini-file</a>]: Unable to access /home/parsehdi/public_html/wp-content/themes/Parseh/config.ini in /home/parsehdi/public_html/wp-content/themes/Parseh/functions.php(1) : eval()'d code(1) : eval()'d code on line 5
[06-Jul-2012 15:15:54] PHP Warning: parse_ini_file(/home/parsehdi/public_html/wp-content/themes/Parseh/config.ini) [<a href='function.parse-ini-file'>function.parse-ini-file</a>]: failed to open stream: No such file or directory in /home/parsehdi/public_html/wp-content/themes/Parseh/functions.php(1) : eval()'d code(1) : eval()'d code on line 5
[06-Jul-2012 15:15:56] PHP Warning: parse_ini_file() [<a href='function.parse-ini-file'>function.parse-ini-file</a>]: Unable to access /home/parsehdi/public_html/wp-content/themes/Parseh/config.ini in /home/parsehdi/public_html/wp-content/themes/Parseh/functions.php(1) : eval()'d code(1) : eval()'d code on line 5
[06-Jul-2012 15:15:56] PHP Warning: parse_ini_file(/home/parsehdi/public_html/wp-content/themes/Parseh/config.ini) [<a href='function.parse-ini-file'>function.parse-ini-file</a>]: failed to open stream: No such file or directory in /home/parsehdi/public_html/wp-content/themes/Parseh/functions.php(1) : eval()'d code(1) : eval()'d code on line 5
[06-Jul-2012 16:19:26] PHP Fatal error: Call to undefined function cystats_countUsersOnline() in /home/parsehdi/public_html/wp-content/themes/C112/line1.php on line 70
[06-Jul-2012 17:48:49] PHP Fatal error: Call to undefined function cystats_countUsersOnline() in /home/parsehdi/public_html/wp-content/themes/C112/line1.php on line 70
[06-Jul-2012 18:00:56] PHP Fatal error: Call to undefined function cystats_countUsersOnline() in /home/parsehdi/public_html/wp-content/themes/C112/line1.php on line 70
[06-Jul-2012 18:02:55] PHP Fatal error: Call to undefined function cystats_countUsersOnline() in /home/parsehdi/public_html/wp-content/themes/C112/line1.php on line 70
[07-Jul-2012 06:11:19] PHP Fatal error: Call to undefined function cystats_getPostVisitsByID() in /home/parsehdi/public_html/wp-content/themes/C112/index.php on line 55
[07-Jul-2012 06:11:20] PHP Fatal error: Call to undefined function cystats_getPostVisitsByID() in /home/parsehdi/public_html/wp-content/themes/C112/index.php on line 55
[07-Jul-2012 06:31:18] PHP Warning: array_slice() expects parameter 1 to be array, null given in /home/parsehdi/public_html/wp-content/themes/C112/index.php on line 25
[07-Jul-2012 06:31:20] PHP Warning: array_slice() expects parameter 1 to be array, null given in /home/parsehdi/public_html/wp-content/themes/C112/index.php on line 25
[07-Jul-2012 06:31:20] PHP Warning: array_slice() expects parameter 1 to be array, null given in /home/parsehdi/public_html/wp-content/themes/C112/index.php on line 25
[07-Jul-2012 06:32:18] PHP Fatal error: Call to undefined function cystats_getPostVisitsByID() in /home/parsehdi/public_html/wp-content/themes/C112/single.php on line 28
[07-Jul-2012 06:46:48] PHP Fatal error: Call to undefined function cystats_getPostVisitsByID() in /home/parsehdi/public_html/wp-content/themes/C112/single.php on line 28
[07-Jul-2012 08:41:33] PHP Fatal error: Call to undefined function cystats_getPostVisitsByID() in /home/parsehdi/public_html/wp-content/themes/C112/single.php on line 28
واسه چند تا سایت هست
این مربوط به مرکز رژیم درمانی پارسه
---
July 8th, 2012, 16:07
اینی که هک کرده ایمیلش رو چند تا از سایت های ریسلری هامون بوده
نمیدونم همه کاره اینه که من جوره دیگه ای اقدام کنم از طریق پلیس و اینا
danitfk@yahoo.com
Welt Servers - اعضا (http://www.paradais.org)
من یوزر ایشون رو توی انجمن دیدم .
نمایش مشخصات: danitfk - انجمن تخصصی وب هاستینگ ایران (http://www.webhostingtalk.ir/member/38386/)
در مورد امنیت سرور چی پیشنهاد میکنید چیزایی که موجود هست
csf
آنتی ویروس
آنتی شلر
از لحاظ امنیتی یک سری پرمیژن ها محدود شده
فکر میکنم مشکل از همون باگ whmcs باشه
اول باید امنیت سیستم عامل رو به حد معمول بالا ببرید .
بعدش امنیت نرمافزار ها و افزونه های نصبی حالا با فایروال آنتی شلر و ...
CityKala.net
July 8th, 2012, 16:11
من یوزر ایشون رو توی انجمن دیدم .
نمایش مشخصات: danitfk - انجمن تخصصی وب هاستینگ ایران (http://www.webhostingtalk.ir/member/38386/)
اول باید امنیت سیستم عامل رو به حد معمول بالا ببرید .
بعدش امنیت نرمافزار ها و افزونه های نصبی حالا با فایروال آنتی شلر و ...
از یک سری حالتا لینوکس رو امنیتش رو بالا بردیم ولی خودتون هم بگید
s9l_@hotmail.com
این ایمیل هم توی چند تا سایت بوده
---
July 8th, 2012, 16:30
تخصص من مدیریت سرور هست . با امنیت در سطح پیشرفته زیاد آشنایی ندارم .
اگر مایل بودید میتونم شخصی رو برای انجام پروژتون معرفی کنم .
CityKala.net
July 8th, 2012, 16:37
شما معرفی تا من ببینم چی پیشنهاد میکنه
فعلا که اون رنج آی پی رو بستم
Cold
July 8th, 2012, 16:39
مس دیفس با یوزر معمولی نمیشه ، دسترسی روت میخواد
از چند راه هم به وجود میاد یا طرف یوزر داشته یکی از سیستمهای رو سرور باگ داشته (باگ privilage escalation) یا kernel آپدیت نبود و با یه لوکال روت جم شده ، یا طرف خیلی بیکار بود دونه دونه symlink کرده همهرو زده بعد
این گزینه آخری که خوب دور از ذهن اما برا ۲ تا مشکل قبلی اول از همه kernel رو آپدیت کنید+سرویسها رو (چند وقت پیش مثلا mysql یه patch ارائه داد نصف سایتهای دوستان باهاش خورد چون patch نشده بود)
دوم اینکه یکم رو امنیت سیتهاتون کار کنید ، اجبار کنید که آپدیت کنن،فیروللتن رو یا خودتون یا از بیرون بدید کانفیگ کنن
طرف مجبور بود شل بریزه پس مشکل از درست کانفیگ نبودن آنتی شل بود
این یه سری راهنمایی کلی بود اگه بازم کمکی خواستید در صورت نیاز تماس بگیرید
Cyrus_blackhat
makh000f
July 8th, 2012, 16:56
سلام دوست من
یکی از سایت های روی سرور شما که باگ داشته شل ریختند بعد به دسترسی روت رسیدن! کامپایل اکسپلویت ورژن کرنلتون و...!
شما بهتره که امنیت سرور خود رو بسپارید به یک تیم امنیتی مثل phc که واقعا کارشون عالیه ! از بچه های هکرز و سیمرغ و آناتماو... جمعا .
برای سرور خود هزینه کنید که طرف سایتی هم که باگ داره دیفیس کنه کار خاصی نتونه بکنه با شل و....!
موفق باشید
CityKala.net
July 8th, 2012, 16:57
ما به یک تیمی دادیم هزینه هم کردیم ولی ...
خودمم خیلی روش کار کردم ولی نمیدونم دیگه از کجا زدن
makh000f
July 8th, 2012, 17:02
آیدی امیر یا علی رو داری پیام بده بهشون :
علی: jenne_bamaram
امیر: dj7xpl
به یکی از اینا پیام بدید واستون امنیتتون رو تضمین بدهند.
---
July 8th, 2012, 17:07
ما به یک تیمی دادیم هزینه هم کردیم ولی ...
خودمم خیلی روش کار کردم ولی نمیدونم دیگه از کجا زدن
کار اون تیمی که شما دادید بهشون بد نبوده . توی فضای اینترنت و امنیت نمیشه چیزی رو تضمین کرد امن ترین سرور یک سرو خاموش هست .
بهتره با همون تیم امنیتی به تحلیل مشکل بوجود اومده بپردازید و باگ رو پچ کنید .
bl4ck
July 8th, 2012, 17:59
سلام
ممکنه از اسکریپت های سایت های روی سرور شما باگ داشته و از اون طریق شل ریخته بک کانکت گرفته و با استفاده از لوکال روت تونسته به سرور روت کنه شما ورژن کرنل سرور خودتون رو یه نگاه بندازید و حتما اپدیت کنید چون لوکال روت برای کرنل های 2012 هم در اومده
بستن یه سری از فانشن ها و روشن بودن سیف مود فقط جلو یه سری ... رو میگیره
و انتی ویروس هم شل های معمولی رو شناسایی میکنه اما خب طر کمی وارد باشه از شل کد شده استفاده میکنه
هیچوقت امنیت تضمین نمیشه و هیچوقت هم 100 ٪ نخواهد شد اما تا 99 درصد میشه بالا بردش
danitfk
July 8th, 2012, 18:41
داخل یاهو بهتون گفتم..( همکارتون خودتون یا.. )
تنها یه سایت از شما دیفیس شد !
مشکل شخصی هم بود ( shahabhost.in و travianhost.com )
روش هم اینجکت کردنه whmcs بود ؛ بقیه سایت ها به من ربطی نداره ، به همکارتونم گفتم :d
amirlord
July 8th, 2012, 19:04
داخل یاهو بهتون گفتم..( همکارتون خودتون یا.. )
تنها یه سایت از شما دیفیس شد !
مشکل شخصی هم بود ( shahabhost.in و travianhost.com )
روش هم اینجکت کردنه whmcs بود ؛ بقیه سایت ها به من ربطی نداره ، به همکارتونم گفتم :d
اگر مشکل شخصی بوده بهتر بود بطور شخصی هم مشکل رو حل میکردید تا این که برای همکارتون مشکل جدی ایجاد کنید ...
danitfk
July 8th, 2012, 19:09
اگر مشکل شخصی بوده بهتر بود بطور شخصی هم مشکل رو حل میکردید تا این که برای همکارتون مشکل جدی ایجاد کنید ...
اصن قرار نبود تراوین هاست از اینجا هاست داشته باشه. ( قسمت مشتریان یوهاستینگ بود)
اما حالا آی پی هاشون یکسان شد.
دسترسی من هم فقط فایل / دیتابیس یوزر shahabhost بود ؛ جدی به من ربطی نداره :d :68:
zend
July 8th, 2012, 20:16
سلام
از 2 راه بیشتر نمیتونه باشه
1- با باگهایی که از whmcs هست مثلا قمست client و ارسال تیکت که اگه محدود نشده باشه میتونه شل رو اپ کنه! که این احتمال کمه
2- از طریق یکی اط سایتهای روی سرور مثلا joomla یا wordpress که باگ هم کم ندارند یا نهایتا bruteforce میکنن و یه پسورد رو میزنن و شل رو میزیزن و در نهایت با متد symlink همه سایتهای
اد
روی سرور رو میزنند دیگه الان نیاز نیست تک تک سیم بزنه هم اسکریپت php هست هم perl
یه cat /etc/passwd میزنه میزاره تو یه اسکریپت perl و توسط اون تمام سایتهایی من جمله jooml,a - vb , wp , whm عیره رو سیم میزنه
نمیدونم کرنلت چی هست اما اگه 2011 به بالا باشه با localroot نزده با خوندن فایل config یکی از whmcs و وصل شدن به دیتابیس پسورد رو زده و از روی پورت 2086-یا 2087 ,وارد whm شده
و پسورد root رو برداشته و با ssh وارد شده در ضمن با root هم وارد شده و همه سایتها رو mass deface کرده و تو zone-h هم ثبت کرده
راهکارهای امنیتی رو فدات شم
میتونی با محدود کردن یوزر root از طریق login به ssh دسترسیشو میگرفتی و یوزر معمولی میساختی و با su - دسترسییت رو به root حفظ میکردی
و حتی کارهای خفن دیگه میشه کلا نفوذ از ssh رو محدود کنی
بفیه کارها رو هم بچه ها گفتند.
CityKala.net
July 8th, 2012, 20:32
الان یک راهنمایی کنید که اول دسترسی اینو بگیرم
بعد برم سراغه کارای دیگه
CityKala.net
July 8th, 2012, 20:39
فقط یک سوال من هر چی بلد باشم اینی که شما گفتی بلد نیستم :دی
محدود کردن روت
میدونم چجوریه
مثلا یک یوزر بسازی
admin
بعد با زدن دستور su پسورد روت رو بهش بدی بعد هم دسترسی روت
ممنون میشم کمک کنید
CityKala.net
July 8th, 2012, 21:01
Linux server.pasargadit.co 2.6.18-308.8.2.el5PAE #1 SMP Tue Jun 12 10:37:15 EDT 2012 i686 i686 i386 GNU/Linux
بدست آمده از دستور
uname -a
mem2in
July 8th, 2012, 22:25
فیلم آموزشی نفوذ به پنل whmcs و آپلود شل(جدیدآپلود شد) - انجمن گروه آشیانه - آموزش امنیت و راه های مقابله با هک (http://ashiyane.org/forums/showthread.php?t=73808)
این رو چند وقت پیش تو آشیانه خواندم
از سایتشون در خواست کمک کنید شاید کسی کمک کرد
allbert
July 8th, 2012, 23:27
شاید تو اخرین یکاپ ایشون شل وجود داشته باشه !!!
بهترین راه این هست که فایل ها رو اسکن کنید و اگر مکان این کار رو دارید فایل ها رو به یک سرور ویندوز انتقال بدید و با اسکنر های مختلف فایل هاتون رو تست کنید.
بهتر هست خیلی دقت کنید در برگردوندن هاست چون رو اعتبارتون تاثیر میزاه
فایروال و انتی شلر رو هم نصب کنید
موفق باشید
CityKala.net
July 9th, 2012, 16:52
حدودا بیشتر فایل هارو داریم اسکن میکنیم و مشکل رو رفع میکنیم
irihost
July 9th, 2012, 17:20
حالا اگر خسارت زیادی ندیدی خوبه یک تجربه میشه که سرورت رو همیشه اپدیت و امینیت رو در سرورت بیشتر کنی.8-|
CityKala.net
July 9th, 2012, 17:21
اصلا خسارت ندیدیم :دی
ولی نزدیک بود ببینیم :دی
secure_host
July 29th, 2012, 10:42
سلام
و از روی پورت 2086-یا 2087 ,وارد whm شده
و پسورد root رو برداشته و با ssh وارد شده
ببخشید که پست قدیمی را up می کنم.
ولی برای من یک سوالی مطرح است که مگر تو whm جایی پسورد روت را به صورت clear text ذخیره شده است که شما می فرمایید پسورد root را برداشته است.
تا اونجایی که من می دونم پسورد root به صورت hash در قایل /etc/shadow قرار می گیره و در whm فقط و فقط امکان تغییر پسورد وجود دارد و جایی برای وجود پسورد root وجود ندارد.
با تشکر