PDA

توجه ! این یک نسخه آرشیو شده میباشد و در این حالت شما عکسی را مشاهده نمیکنید برای مشاهده کامل متن و عکسها بر روی لینک مقابل کلیک کنید : بررسی حادثه ی هک شدن سرور من


afrateam
May 21st, 2013, 17:33
سلام

من یه سرور مجازی ویندوز 2003 دارم و امروز که لاگ های وب سرور رو چک کردم متوجه شدم صبح حدودا ساعت 3 چندتا فایل فشرده از سرور دانلود شده. فایلهایی که من روی سرور نریخته بودم. هیستوری فایرفاکس نصب شده روی سرور رو چک کردم و دیدم که هکر وارد phpmyadmin شده و از دیتابیس هم اکسپورت گرفته و نهایتا دیتابیس و سایر فایل های روی سرور رو بصورت فایل های فشرده برای خودش دانلود کرده بود.


اگر مهمه، روی سرور این نرم افزارها نصبه:

فایرفاکس
نوت پد ++
7 زیپ
زمپ لایت پورتابل


نرم افزار های فوق همگی از سایت اصلیشون دانلود شدن


نکاتی که برای حفظ امنیت مد نظرم بوده:

محدود کردن phpmyadmin فقط برای آی پی خود سرور
روی سرور فقط سه سایت وردپرسی هست که wp-admin به آی پی شخصی من محدود شده
روی سایت ها هیچ پلاگینی نصب نیست
قالب رو خودم نوشتم و مشکلی نداره



با این تفاسیر به نظر میاد که هکر از طریق ضعف های سیستم عامل سرور رو هک کرده و به سرور ریموت شده نه اسکریپت هایی که روی سرور نصب شده (البته من از امنیت سر در نمیارم)

ضمنا:
- سیستم خودم کی لاگر و ویروس نداره
- ویندوز سرور 2003 نصب شده روی سرور ظاهرا کرک شده هست
- هیچ شل php روی سرور یافت نشد

به نظرتون چجوری هک شدم؟
برای جلوگیری از تکرار این مساله در سرورهای دیگه باید چیکار کنم؟
استفاده از ویندوز سرور 2008 یا 2012 راهگشا هست و میشه روی اینها با اطمینان نسبتا زیاد کارهام رو ادامه بدم؟

ذکر این نکته هم لازمه که به نظر میاد هکر اماتور بوده چون با ای پی ایرانی هک رو انجام داده. یا شایدم حرفه ای بوده و این مساله یه نکته انحرافی هست

ممنون
ra3ou1
May 21st, 2013, 17:43
به احتمال زیاد هکر از طریق xampp به سرور شما دسترسی گرفته
afrateam
May 21st, 2013, 17:49
به احتمال زیاد هکر از طریق xampp به سرور شما دسترسی گرفته

یعنی اینقدر وضعش خرابه؟
خود زمپ مشکل داره یا apache و mysqlـی که همراهشه ؟!
afrateam
May 21st, 2013, 23:18
نظر سایر دوستان چیه؟
sarwhost
May 21st, 2013, 23:24
این لینک را مشاهده کنید شاید به دردتان بخورد

شرکت سرو آی تی - اخبار (http://sarv-it.com/portal/announcements/9/-------.html)
afrateam
May 21st, 2013, 23:28
خیلی ممنون :)
ra3ou1
May 21st, 2013, 23:58
xampp میدونم باگ داره

و اینکه الان مجدد دیدم گفتین wp نصبه از طریق wp هم امکان داره نفوذ کرده باشه


wp باگ پرایویت داره

به هرحال احتمالاتی که به نظر من وجود داره

1- مدیر سرور وارد شده باشه در صورتی که پسورد رو تغییر نداده باشین

2-از طریق زمپ زده باشه

3- از طریق وردپرس نفوذ کرده باشه


و اینکه از کجا میدونید وارد phpmyadmin شده ؟

شاید از یوزر پس دیتابیس برداشته و به دیتابیس متصل شده

و شاید هم پسورد مناسبی انتخاب نکردین کرک کردن
ameri
May 22nd, 2013, 00:10
xampp که باگ های زیادی داره
با یان باگ به کل سرور دسترسی پیدا میکنید:
XAMPP <= 1.7.3 multiple vulnerabilites (http://www.exploit-db.com/exploits/15370/)
با این هم میشه فایل آپلود کرد (شل):
XAMPP WebDAV PHP Upload (http://www.exploit-db.com/exploits/18367/)
-------------
نکته دیگری که باعث هک سرور (اغلب سرور های کوچک) میشه لو رفتن پسورد یا کرک شدن اونه
آیا پسور سرور از سرور های دیگر متمایز است ؟
آیا پورت ریموت را از حالت پیشفرض تغییر دادید ؟
afrateam
May 22nd, 2013, 00:11
xampp میدونم باگ داره

و اینکه الان مجدد دیدم گفتین wp نصبه از طریق wp هم امکان داره نفوذ کرده باشه


wp باگ پرایویت داره

به هرحال احتمالاتی که به نظر من وجود داره

1- مدیر سرور وارد شده باشه در صورتی که پسورد رو تغییر نداده باشین

2-از طریق زمپ زده باشه

3- از طریق وردپرس نفوذ کرده باشه


و اینکه از کجا میدونید وارد phpmyadmin شده ؟

شاید از یوزر پس دیتابیس برداشته و به دیتابیس متصل شده

و شاید هم پسورد مناسبی انتخاب نکردین کرک کردن

ای بابا. دلم نمیاد از زمپ دل بکنم :(

مدیر سرور از اعضای قدیمی و قابل اعتماد انجمنه

در مورد زمپ و وردپرس حرفی ندارم

برای phpmyadmin هم تو هیستوری فایرفاکس نصب شده روی سرور لیست شده بود که وارد phpmyadmin شده و اکسپورت گرفته
afrateam
May 22nd, 2013, 00:13
در مورد پسورد هم متشکل از حروف خط تیره و اعداد و همچنین منحصر به فرد بود. و البته پسورد همون پسوردی بود که مدیر سرور ست کرده بود که چون تازه وی پی اس رو تحویل گرفته بودم و درگیر نصب و پیکربندی زمپ و اینا بودم عوضش نکردم. البته مدیر سرور کاملا مطمئنه
پورت ریموت هم پیشفرض بود متاسفانه

ضمنا من از نسخه لایت زمپ استفاده کردم که فقط شامل موارد روبرو هست: Apache 2.4.2, MySQL 5.5.27, PHP 5.4.7, phpMyAdmin 3.5.2.2, OpenSSL 1.0.1c, XAMPP Control Panel 3.1.0
ameri
May 22nd, 2013, 00:17
ای بابا. دلم نمیاد از زمپ دل بکنم :(

مدیر سرور از اعضای قدیمی و قابل اعتماد انجمنه

در مورد زمپ و وردپرس حرفی ندارم

برای phpmyadmin هم تو هیستوری فایرفاکس نصب شده روی سرور لیست شده بود که وارد phpmyadmin شده و اکسپورت گرفته

میتونید apache, phpmyadmin و ftp رو به صورت جداگانه نصب کنید !
afrateam
May 22nd, 2013, 00:19
xampp که باگ های زیادی داره
با یان باگ به کل سرور دسترسی پیدا میکنید:
XAMPP <= 1.7.3 multiple vulnerabilites (http://www.exploit-db.com/exploits/15370/)
با این هم میشه فایل آپلود کرد (شل):
XAMPP WebDAV PHP Upload (http://www.exploit-db.com/exploits/18367/)
-------------
نکته دیگری که باعث هک سرور (اغلب سرور های کوچک) میشه لو رفتن پسورد یا کرک شدن اونه
آیا پسور سرور از سرور های دیگر متمایز است ؟
آیا پورت ریموت را از حالت پیشفرض تغییر دادید ؟

ممنون که تو تاپیک شرکت کردین
در رابطه با باگ اول، من پوشه xampp رو از htdocs حذف کرده بودم
در مورد باگ دوم هم بخاطر نسخه زمپی که استفاده کردم کلا webdav نداره
afrateam
May 22nd, 2013, 00:22
میتونید apache, phpmyadmin و ftp رو به صورت جداگانه نصب کنید !
اره باید اینو یادبگیرم. فوقش دفعه اول یکم طول میکشه که قلقش دستم بیاد ولی در عوض یه عمر راحتم و همیشه میتونم از اخرین نسخه های موجود استفاده کنم و به نسخه ای که تو زمپ هست محدود نمیشم