توجه ! این یک نسخه آرشیو شده میباشد و در این حالت شما عکسی را مشاهده نمیکنید برای مشاهده کامل متن و عکسها بر روی لینک مقابل کلیک کنید : موج جدید هک شدن سایت های جوملایی !
Kian
January 26th, 2013, 11:40
دوستان عزیز سلام
اخیرا در همه ورژن های جوملا ، باگ های خطرناک جدیدی کشف شده اند و هکرهای خارجی دست بکار نفوذ به سایت های جوملایی شده و هزاران سایت جوملایی را هک کرده و می کنند.
*دقیقا مشخص نیست که اینبار از طریق چه باگ هایی سایت های جوملایی را هک می کنند ؟
دوستان عزیزی که در کار امنیت اسکریپت ها و ... مشغول هستند، لطف کنند و ما را در رفع این مشکل راهنمایی کنند (ضمنا آپدیت جوملا و پسورد گذاری روی شاخه آدمین جوملا دیگر کارایی ندارد و باگهای جدید در قسمت های دیگری هستند !)
از دوستان عزیزی که راهنمایی می کنند متشکرم :53:
delta
January 26th, 2013, 11:46
بله یک سایت جوملا ما رو دو روز بالا نیاورده هک کردند... این بماند روش شل هم میریزند !!!
babelirani
January 26th, 2013, 12:07
با سلام
صبر کنید به زودی پچ جدیدی از سایت جوملا منتشر میشه این باگ رفع خواهد شد
secure_host
January 26th, 2013, 12:15
با سلام
در صورت امکان دسترسی بدین تا یکی از همان سایت های جوملایی را بررسی کنم تا شاید بتونیم از log های سایت یک چیزی دستگیرمون بشه.
اگر سایت هک شده و log ها پاک نشده دسترسی بدید تا پس از بررسی روش جلوگیری را بهتون اعلام کنم.
با تشکر
safinoor
January 26th, 2013, 12:22
یه اسکریپت مدرسه ساز جوملا نصب کردیم شاید باورتون نشه کمتر از 12 ساعت نبود راه اندازی شده بود زدنش :-p:-p
mahdi2009
January 26th, 2013, 12:55
نسخه 1.6 و 1.7 جوملا باگ دسترسی به یوزر ادمین رو داره فعلا . کدوم نسخه از جوملا مد نظرتون هست؟
Kian
January 26th, 2013, 13:06
بیشتر نفوذها در جوملاهای سری 1.5 مشاهده شده البته شاید در ورژن های دیگر هم باشد که باید بیشتر بررسی بشود
it-net
January 26th, 2013, 13:08
دوست عزیز نسخه های مدارس چون نال شده هستن پس باید اطمینانی نداشته باشید.
جوملا خودش موردی نداره ماژولها و پلاگینهایی که نصب می کنید باید مشکل دار نباشن.
Kian
January 26th, 2013, 13:08
با سلام
در صورت امکان دسترسی بدین تا یکی از همان سایت های جوملایی را بررسی کنم تا شاید بتونیم از log های سایت یک چیزی دستگیرمون بشه.
اگر سایت هک شده و log ها پاک نشده دسترسی بدید تا پس از بررسی روش جلوگیری را بهتون اعلام کنم.
با تشکر
ممنون از شما ،
متاسفانه در لاگ سایت چیز بدربخوری دیده نمیشود.
habiballahafg
January 26th, 2013, 13:21
جوملا یکی از دلایلی که مردمی نیست وجود همین دلیل امنیتی هست خوده من یک سایت داشتم شب خواب نمیرفتم که الان هک بشه
babelirani
January 26th, 2013, 13:25
جوملا یکی از دلایلی که مردمی نیست وجود همین دلیل امنیتی هست خوده من یک سایت داشتم شب خواب نمیرفتم که الان هک بشه
دوست عزیز فکر نکنم شما در سطحی باشید که بخواید به جوملا" این انگ رو بزنید که از لحاظ امنیتی ضعیف هستش
بلکه جوملا" ار لحاظ امنیتی در طی چند سال اخیر بسیار قوی بوده
دلیل اصلی هم که مدرمی نیست البته در ایران این هستش که کار باهاش کمی سخت و پیچیده شده
it-net
January 26th, 2013, 13:26
ما چندین ساله با جوملا کار کردیم و بیشترین ضربه های جوملا از افزونه های نصبی هستش.
اگر سیستم شما برروز باشه و پلاگینهای سالم نصب کنید هیچ موردی ندارید اما از افزونه های نال شده یا حتی افزونه هایی که رایگان هستن از سایتهایی که شل درونش قرار میدن استفاده کنید هنگام نصب هکر میفهمه و سریع هکتون میکنه و برای خودش میل تبلیغاتی میزنه و کاربرو بدبخت میکنه.
Drosera^Cqq47
January 26th, 2013, 13:47
کور، ورژن 2 و زیر 2 شل میشه:)
fr0nk
January 26th, 2013, 13:47
بحث صرفا بحث نال و غیر نال نیست
حتی 1-2 تا باگ اخر اصلا ربطی به افزونه ها نداشت و صرفا روی kernel براش poc نوشتن و دسترسی گرفتن
نمونه بارز باگی که پابلیک هست و دوستان دیدن ( و 99.9% سایت ها هم پچ کردنش ) باگی بود که با token رمز مدیر رو عوض میکردند
یا باگی که دست تیم fatal eror و isktropix (اگه درست نوشته باشم ) بود
یا در بعضی مواقع پلاگین هایی که با خود نصب اولیه نصب میشند مشکل داشتند (حتی اگه شما از خود جوملا یا جوملا فارسی )هم استفاده میکردید
در مورد دوستمون که گفتم جوملا از نظر امنیت ضعیفه و به این خاطر خیلی محبوب نیست
فکر کنم تفکرتون کلا غلطه،جوملا تا حالا روی کرنل خیلی کم باگ داشته که بعدا مجبور بشه کلا برای مشکل هسته بروز رسانی انجام بده (در چند سال اخیر تا جایی که من در جریانم)الانم کم نیستند دوستانی که استفاده میکنند
ولی خب به خاطر مسائل عدم شناسایی قابلیت هاش به طور کامل یکم مظلوم واقع شده
it-net
January 26th, 2013, 13:52
بله جوملا دارای هسته قوی هست.
در مورد اون مسائل هم باید بگم راهکارهای زیادی هست که به سادگی میشه جلوی اون موارد رو گرفت.
حتی سستم whmcs رو هم کسایی هستن به سادگی پسورد ادمین رو میزنن ولی با رمز گذاری روی این پوشه کار هکر تقریبا چند برابر سخت تر میشه.
rsl
January 26th, 2013, 15:09
درسته ، رو سایت من هم یه کار هایی کرده بودند که RSFirewall جلوشون رو گرفته بود .
آیپی هکر این بود : 31.14.179.2 (http://www.rsjoomla.com/index.php?option=com_rsfirewall_kb&task=whois&ip=31.14.179.2)
kianesfahan
January 26th, 2013, 16:03
دوستان عزیز سلام
اخیرا در همه ورژن های جوملا ، باگ های خطرناک جدیدی کشف شده اند و هکرهای خارجی دست بکار نفوذ به سایت های جوملایی شده و هزاران سایت جوملایی را هک کرده و می کنند.
*دقیقا مشخص نیست که اینبار از طریق چه باگ هایی سایت های جوملایی را هک می کنند ؟
دوستان عزیزی که در کار امنیت اسکریپت ها و ... مشغول هستند، لطف کنند و ما را در رفع این مشکل راهنمایی کنند (ضمنا آپدیت جوملا و پسورد گذاری روی شاخه آدمین جوملا دیگر کارایی ندارد و باگهای جدید در قسمت های دیگری هستند !)
از دوستان عزیزی که راهنمایی می کنند متشکرم :53:
با عرض سلام .
دوست عزیز مرگ حرف تان ؟؟؟
چند نمونه از سایت هایی که می گوید را مثال بزنید ؟
kianesfahan
January 26th, 2013, 16:08
یه اسکریپت مدرسه ساز جوملا نصب کردیم شاید باورتون نشه کمتر از 12 ساعت نبود راه اندازی شده بود زدنش :-p:-p
دوست عزیز اینکه شما از هر جایی اسکریپت را دانلود و نصب می کنید اخر عاقبتش میشه همین دیگه .
شما یک جوملا خام را از جوملا جهانی دانلود و نصب کن ببین هک میشه یا نه بعد انگ بچسبون به جوملا
kianesfahan
January 26th, 2013, 16:11
نسخه 1.6 و 1.7 جوملا باگ دسترسی به یوزر ادمین رو داره فعلا . کدوم نسخه از جوملا مد نظرتون هست؟
دوست عزیز این دو نسخه که دیگر پشتیبانی نمی شوند .
شما باید از نسخه 2.5 استفاده کنید .
الان کسی دیگه حرفی از این دو نسخه نمیزنه که شما می زنید !!!!!
kianesfahan
January 26th, 2013, 16:14
جوملا یکی از دلایلی که مردمی نیست وجود همین دلیل امنیتی هست خوده من یک سایت داشتم شب خواب نمیرفتم که الان هک بشه
دوست عزیز اون وقت شما چه طور به این نتیجه خیلی مهم دست پیدا کردید ؟
شما مدرک امنیت وب دارید ؟
از جوملا تا چه حد می دونید ؟
پس حتما رئیس سازمان ملل هم چون سایتشون با جملاست باید شبها خوابش نبره .
یا رئیس دانشگاه ازاد مشهد هم همینطور ؟؟
برج ایفل چه طور ؟؟؟
نکنه بچه های ارتش سایبری ایران هم شبها به خاطر اینکه سایتشون جوملایی هست خوابشون نمیبره ؟؟؟
بازم مثال بزنم ؟؟؟
چرا در مورد اتفاقی که می افته علم و دانش کافی ندارید صحبت می کنید ؟
rsl
January 26th, 2013, 16:18
فکر نمیکنم هسته جوملا مشکلی داشته باشه ، احتمالا مشکل از یکی از افزونه ها بوده.
secure_host
January 26th, 2013, 16:20
ممنون از شما ،
متاسفانه در لاگ سایت چیز بدربخوری دیده نمیشود.
با سلام
امکانش هست یک نسخه از log فایلها را در اختیار بنده بذارید .؟
با تشکر
Kian
January 26th, 2013, 16:30
با عرض سلام .
دوست عزیز مرگ حرف تان ؟؟؟
چند نمونه از سایت هایی که می گوید را مثال بزنید ؟
سلام
اگر سایت zone-h.org تشریف ببرید شواهد زیادی خواهید دید.
kianesfahan
January 26th, 2013, 16:40
سلام
اگر سایت zone-h.org تشریف ببرید شواهد زیادی خواهید دید.
شما لینک بدید دوست عزیز ؟؟؟
ایا گفته شده باگ از جوملا بوده ؟؟؟
امکان نداشته از هاست هک شده باشند ؟؟؟
امکان نداشته از افزونه های نال شده و غیر مطمن استفاده نشده باشد ؟
فکر کنم سایت های مهم تری از جمله
سایت سازمان ملل
سایت برج ایفل
سایت دانشگاه ازاد مشهد
سایت رهبری معظم انقلاب
سایت ارتش سایبری ایران
سایت وزارت دفاع
و ....
که با جوملا کار شده مهم تر از سایت های دیگر باشد و هکر ها مدام تمرکز شان بر روی این سایت ها هست
fr0nk
January 26th, 2013, 21:03
اگه میشه لاگ ها رو در اختیار من هم بزارید
mr-secret
January 26th, 2013, 21:45
والا من که اخرش مهاجرت کردم به وردپرس! افزونه های زیادی داشتم ولی همشون لایسنس دار و بروز بودن و هر بار به دست دشمن سایتم هک میشدم
هنوز سایت جوملاییم بالاست و فکر کنم فعلا بی خیالش شده
3 شب و روز نخوابیدم فقط موارد امینیتی جوملا رو اعمال میکردم ولی باز فایده نداشت الان که میخوام برم تو ادمین باید 4 تا رمز متنوع وارد کنم دیگه خودتون فکرشو بکنید چه کارهایی که کردم
Kian
January 26th, 2013, 22:10
شما لینک بدید دوست عزیز ؟؟؟
ایا گفته شده باگ از جوملا بوده ؟؟؟
امکان نداشته از هاست هک شده باشند ؟؟؟
امکان نداشته از افزونه های نال شده و غیر مطمن استفاده نشده باشد ؟
فکر کنم سایت های مهم تری از جمله
سایت سازمان ملل
سایت برج ایفل
سایت دانشگاه ازاد مشهد
سایت رهبری معظم انقلاب
سایت ارتش سایبری ایران
سایت وزارت دفاع
و ....
که با جوملا کار شده مهم تر از سایت های دیگر باشد و هکر ها مدام تمرکز شان بر روی این سایت ها هست
اکثر سایت هایی که نام برده اید با جوملا 1.5 راه اندازی شده اند که احتمال نفوذ به آنها در ( ورژن 1.5) زیاد است ولی هکرهایی که نفوذ می کنند اکثر دیفیس نمی کنند تا هک شدن اینگونه سایت ها مشخص نشود و معمولا اهداف دیگری دارند ...
Kian
January 26th, 2013, 22:20
شما لینک بدید دوست عزیز ؟؟؟
ایا گفته شده باگ از جوملا بوده ؟؟؟
امکان نداشته از هاست هک شده باشند ؟؟؟
امکان نداشته از افزونه های نال شده و غیر مطمن استفاده نشده باشد ؟
فکر کنم سایت های مهم تری از جمله
سایت سازمان ملل
سایت برج ایفل
سایت دانشگاه ازاد مشهد
سایت رهبری معظم انقلاب
سایت ارتش سایبری ایران
سایت وزارت دفاع
و ....
که با جوملا کار شده مهم تر از سایت های دیگر باشد و هکر ها مدام تمرکز شان بر روی این سایت ها هست
و مورد دیگر اینکه همانطور که در پست اول ذکر کردم دقیقا مشخص نیست که از چه طریق نفوذهای جدید انجام میشود ولی احتمال باگدار بودن هسته و یا ماژول ها و پلاگین های پیشفرض ورژن 1.5 بسیار زیاد است مخصوصا اینکه این مدل هک در سایت های زیادی در سرور های متعدد در ساسر دنیا اتفاق افتاده و حتی تعداد زیادی از این سایت ها در مورد نصب ماژول و پلاگین ها وسواس زیادی داشته اند و تمامی موارد امنیتی را جوملا را رعایت کرده اند ولی متاسفانه باز هک شده اند !
kianesfahan
January 26th, 2013, 23:13
اکثر سایت هایی که نام برده اید با جوملا 1.5 راه اندازی شده اند که احتمال نفوذ به آنها در ( ورژن 1.5) زیاد است ولی هکرهایی که نفوذ می کنند اکثر دیفیس نمی کنند تا هک شدن اینگونه سایت ها مشخص نشود و معمولا اهداف دیگری دارند ...
دوست عزیز اینقدر توسعه دهندگان جوملا می گویند به نسخه های بالاتر ارتقا بدهید . جوملا 1.5 خیلی وقته پشتیبانی ازش تموم شده . حتما می دانید که جوملا 3 رونمایی شده دیگه ؟؟؟
mahdi2009
January 26th, 2013, 23:28
دوست عزیز این دو نسخه که دیگر پشتیبانی نمی شوند .
شما باید از نسخه 2.5 استفاده کنید .
الان کسی دیگه حرفی از این دو نسخه نمیزنه که شما می زنید !!!!!
حوصله ارسال اسپم نیست ولی گرامی تعصب به یک اسکریپت کار بیهوده ایی هست مگر پشتیبان یا مسایل دیگه باشه این تاپیک هم جای بحث در مورد قدرت اسکریپتها نیست. همین نقل و انتقال چندین باره جوملا از یک نسخه در کمتر از یک سال نشانه ضعف و نداشتن برنامه کاری برای یک تیم هست و ...
از قضا شما که مدعی هستید با کی ورد صحیح سرچ بفرمایید میبینین که هنوز کسانی هستند در وب فارسی که نسخه 1.5 یا 1.7 استفاده میکنند!! بنده شخصا تجربه جالبی با جوملا نداشتم و ازش استفاده نمیکنم مگر جایگزین طراحی های استاتیک به دلیل داشتن انعطاف بیشتر.
Pro
January 26th, 2013, 23:31
یعنی اینقدر امنیت جوملا پاییه که زرتی هک بشه؟؟
Kian
January 26th, 2013, 23:43
دوست عزیز اینقدر توسعه دهندگان جوملا می گویند به نسخه های بالاتر ارتقا بدهید . جوملا 1.5 خیلی وقته پشتیبانی ازش تموم شده . حتما می دانید که جوملا 3 رونمایی شده دیگه ؟؟؟
بله حرف شما درسته ولی اکثر سایت های جوملایی معروف ایرانی و خارجی 1.5 هستند و بخاطر دلایل زیادی آپگریدشان سخت و پیچیده و مشکل ساز می باشد و به همین خاطر انجام نمیدهند از جمله سایت های که خودتان نام بردید هم اکثرا 1.5 هستند.
kianesfahan
January 27th, 2013, 00:27
حوصله ارسال اسپم نیست ولی گرامی تعصب به یک اسکریپت کار بیهوده ایی هست مگر پشتیبان یا مسایل دیگه باشه این تاپیک هم جای بحث در مورد قدرت اسکریپتها نیست. همین نقل و انتقال چندین باره جوملا از یک نسخه در کمتر از یک سال نشانه ضعف و نداشتن برنامه کاری برای یک تیم هست و ...
از قضا شما که مدعی هستید با کی ورد صحیح سرچ بفرمایید میبینین که هنوز کسانی هستند در وب فارسی که نسخه 1.5 یا 1.7 استفاده میکنند!! بنده شخصا تجربه جالبی با جوملا نداشتم و ازش استفاده نمیکنم مگر جایگزین طراحی های استاتیک به دلیل داشتن انعطاف بیشتر.
دوست عزیز اسپمی ارسال نشده است . منطقی صحبت شده است. در ضمن اصلا تعصبی صحبت نکردم . اینکه شما تعصبی از جوملا بد می گوید مشکلی ندارد ؟
ببخشید کی گفته کمتر از یک سال بوده ؟ باید شرایط نسخه های بالا را فراهم میکردن
kianesfahan
January 27th, 2013, 00:30
بله حرف شما درسته ولی اکثر سایت های جوملایی معروف ایرانی و خارجی 1.5 هستند و بخاطر دلایل زیادی آپگریدشان سخت و پیچیده و مشکل ساز می باشد و به همین خاطر انجام نمیدهند از جمله سایت های که خودتان نام بردید هم اکثرا 1.5 هستند.
افرین .
دوست عزیز منم میخواستم شما به همین جا برسید که رسیدید . پس اگر اون سایت ها هم با جوملا 1.5 است چرا اون سایت ها که از درجه اهمیت بالایی برخوردار هستند هک نشدن ؟
پس میشه نتیجه گرفت مشکل از خود جوملا نبوده .
میتونه از سمت هاست یا افزونه های غیر معتبرش باشه .
3245
January 27th, 2013, 00:52
افرین .
دوست عزیز منم میخواستم شما به همین جا برسید که رسیدید . پس اگر اون سایت ها هم با جوملا 1.5 است چرا اون سایت ها که از درجه اهمیت بالایی برخوردار هستند هک نشدن ؟
پس میشه نتیجه گرفت مشکل از خود جوملا نبوده .
میتونه از سمت هاست یا افزونه های غیر معتبرش باشه .
احسنت
تایید میشه.:53:
nimah2o
January 30th, 2013, 07:28
تو هیچ سایتی که هک ها رو گزارش میکنند بنده ندیدم که گزارش از هک خود جوملا بدن .
مهمترین دلیل نفوذ و بعضا sql injection کامپوننت های ضعیف جوملا هستن .
اگه کسی گزارشی از هک کردن خود جوملا رو داره لینک خبر هک یا هکرش رو گزارش بده .
ممنون
ali09366
January 31st, 2013, 20:37
با سلام امروز میخواهم افزونه امنیتی RSFirewall! 1.4.0 Rev 46 آخرین نسخه را به صورت فارسی به تمام دوستان هدیه بدهم
بشتابید و دانلود کنید و لذت ببرید
این افزونه امنیت وبسایت شما را تامین میکند
این افزونه کل سایت شما را عیب یابی میکند
شما با این افزونه میتوانید برای سایت خود یک دیوار آتشین قوی ایجاد کنید
این افزونه بی نهایت امکانات دارد
.........................
لینک دانلود : Downloads (http://mizbanfa.com/index.php/learning/used-plugins)
alalalk71
February 6th, 2013, 23:59
دوست عزیز شما دیدی مشکلی نداشته باشه خودش
babelirani
February 7th, 2013, 00:06
دوست عزیز شما دیدی مشکلی نداشته باشه خودش
سلام
هیچ افزونه ای نمیتونه امینت سایت شما رو به صورت کامل برآورده کنه
و در بسیاری از موارد این افزونه ها هستن که خودشون باگ دارن و باعث ه ک شدن سایت میشن
ولی توجه کنید این افزونه پولی هستش و این لینکی که گذاشته شده نال شده هستش و احتمال مشکل داشتن بسیار زیاده توصیه نمیشه استفاده کنید
موفق باشید
abardad
February 14th, 2013, 23:02
سلام.
به نظر من تنها راه فقط ارتقا جوملا هست و تمام
mirhendi
February 15th, 2013, 00:05
مشکل اینه که ما اگه 1.5 را به 2.5 هم اپدیت کنیم یا حتی 3 خوب کامپوننت های قبلی نمیخونند
این یکی از ضعف های جوملا نسبت به وردپرس هست
برای همین من بعد از 3 سال کار حرفه ای با جوملا به وردپرس روی اوردم و با یک ماه کار از 3 سال کار با جوملا حرفه ای تر هم شدم :))