کمک برای رهایی از یک مهاجم

نمایش نسخه قابل چاپ

August 25th, 2014, 22:06
nima-s

کمک برای رهایی از یک مهاجم

سلام دوستان
به یکی از سایتهام که بر یک هاست اشتراکی قرار داره حمله ddos انجام شده.نوع سایت هم وردپرس هست
خوشبختانه ose فایروال نصب بود و جلوی هر 4 حمله رو گرفت
در خود وردپرس هم افزونه Centrora Security Badge رو نصب کردم و چند تنظیم امنیتی دیگه هم برای گمراه کردن هکر نصب کردم
این هکر محترم الان بارهاست از راه های مختلف سعی میکنه سایت رو هک کنه و داره اذیتم میکنه

این اطلاعات حمله دی داس ایشونه

== Attack Details ==

TYPE: Found Basic DoS Attacks
DETECTED ATTACK VALUE: dDos Attack
ACTION: Blocked
LOGTIME: 2014-08-25 05:23:49
FROM IP: 1.234.70.26 IP Address Whois | DomainTools.com
URI: http:/***.ir/admin.php
METHOD: GET
USERAGENT: N/A
REFERRER: N/A

میخوام به اون شرکت کره جنوبی این مسئله رو گزارش کنم تا اون سرور رو ببنده
برای این کار از دوستان راهنمایی میخوام که چطوری اون مهاجم عزیز و کلا هر کسی که انگیزه هک سایتم رو داشته باشه رو حسابی گوش مالی بدم تا دلسرد بشه و دیگه برنگرده؟
August 25th, 2014, 23:09
ULTRAWEB

پاسخ : کمک برای رهایی از یک مهاجم

کره
روسیه
چین
از جاهایی هستن که به گزارش ها رسیدگی درستی نمیکنن
با این جال میتونین به ابیوز دپارتمانشون به انگلیسی نامه بزنین و به امید بررسی کردن و رفع مشکل بشینین
یا اینکه اگر میتونین جلوی حملات رو بگیرین خوب لازم نیست کاری انجام بدین تا خود مهاجم خسته شه و دست از سر شما بکشه
August 25th, 2014, 23:22
Yas-Host

پاسخ : کمک برای رهایی از یک مهاجم

نقل قول:

نوشته اصلی توسط nima-s

سلام دوستان
به یکی از سایتهام که بر یک هاست اشتراکی قرار داره حمله ddos انجام شده.نوع سایت هم وردپرس هست
خوشبختانه ose فایروال نصب بود و جلوی هر 4 حمله رو گرفت
در خود وردپرس هم افزونه Centrora Security Badge رو نصب کردم و چند تنظیم امنیتی دیگه هم برای گمراه کردن هکر نصب کردم
این هکر محترم الان بارهاست از راه های مختلف سعی میکنه سایت رو هک کنه و داره اذیتم میکنه

این اطلاعات حمله دی داس ایشونه

== Attack Details ==

TYPE: Found Basic DoS Attacks
DETECTED ATTACK VALUE: dDos Attack
ACTION: Blocked
LOGTIME: 2014-08-25 05:23:49
FROM IP: 1.234.70.26 IP Address Whois | DomainTools.com
URI: http:/***.ir/admin.php
METHOD: GET
USERAGENT: N/A
REFERRER: N/A

میخوام به اون شرکت کره جنوبی این مسئله رو گزارش کنم تا اون سرور رو ببنده
برای این کار از دوستان راهنمایی میخوام که چطوری اون مهاجم عزیز و کلا هر کسی که انگیزه هک سایتم رو داشته باشه رو حسابی گوش مالی بدم تا دلسرد بشه و دیگه برنگرده؟

بهترین کار این هست که از روی هاست های اشتراکی به سمت سرور مجازی بروید و بر روی سرور مجازی با فایروال نرم افزاری و کانفیگ مناسب کشور هایی مانند کره , چین , ژاپن , برزیل و ... رو بصورت کامل مسدود کنید تا دیگر شاهد این موارد نباشید.
August 25th, 2014, 23:42
nima-s

پاسخ : کمک برای رهایی از یک مهاجم

نقل قول:

نوشته اصلی توسط ULTRAWEB

کره
روسیه
چین
از جاهایی هستن که به گزارش ها رسیدگی درستی نمیکنن
با این جال میتونین به ابیوز دپارتمانشون به انگلیسی نامه بزنین و به امید بررسی کردن و رفع مشکل بشینین
یا اینکه اگر میتونین جلوی حملات رو بگیرین خوب لازم نیست کاری انجام بدین تا خود مهاجم خسته شه و دست از سر شما بکشه

راستش تا اونجا که وردپرس و منابع سرور جا داشت تنظیمات امنیتی + افزونه برای بالا بردن امنیت قسمتهای مختلف وردپرس در سطح بالا بکار بردم
اما خوب دست هکر خیلی بازه برای هک وردپرس و همیشه راهی واسه هک هست که باز باشه و پیشبینی شده نباشه
بخاطر همین با این تاپیک میخوام از دوستانی که تجربشو داشتن یاد بگیرم این جور موقع ها باید چکار کرد؟ترفند خاصی هست؟یا مثلا راه فنی مطمئنی ؟

- - - Updated - - -

نقل قول:

نوشته اصلی توسط Yas-Host

بهترین کار این هست که از روی هاست های اشتراکی به سمت سرور مجازی بروید و بر روی سرور مجازی با فایروال نرم افزاری و کانفیگ مناسب کشور هایی مانند کره , چین , ژاپن , برزیل و ... رو بصورت کامل مسدود کنید تا دیگر شاهد این موارد نباشید.

راستش به این مورد فکر کردم.چون تو تنظیمات فایروال یک قسمت برای مسدود سازی ایپی کشورهای خاصی هست اما گفتم الان کره رو ببندم.دور بعد کارش رو از یک کشور دیگه تکرار کنه چکار کنم؟نمیشه همه کشورهارو بست.مثلا دور بعد از یک سرور تو ایران کارش رو انجام بده چی؟ اون موقع چاره چیه؟
August 25th, 2014, 23:51
Yas-Host

پاسخ : کمک برای رهایی از یک مهاجم

نقل قول:

نوشته اصلی توسط nima-s

راستش به این مورد فکر کردم.چون تو تنظیمات فایروال یک قسمت برای مسدود سازی ایپی کشورهای خاصی هست اما گفتم الان کره رو ببندم.دور بعد کارش رو از یک کشور دیگه تکرار کنه چکار کنم؟نمیشه همه کشورهارو بست.مثلا دور بعد از یک سرور تو ایران کارش رو انجام بده چی؟ اون موقع چاره چیه؟

باید راه هایی که این هکر تا به الان پیموده است رو پیدا کنید و مسدود کنید.

به نظر بنده فقط آی پی های روبات های یاهو و کشور هایی که از پراکسی استفاده می کنند رو باز بزارید.

شما می توانید با کانفیگ مناسب CSF + Iptables و مد سکیوریتی از متد های خطرناک جهت هک جلوگیری فرمایید.

دقت داشته باشید میتوانید اقدام به راه اندازی آنتی شلر رایگان LMD و آنتی ویروس clamav کنید تا بصورت real time سرور شمارو اسکن کند تا بتوانید حداقل از هک جلوگیری کنید.

همچنین اگر دسترسی روت دارید میتوانید فایل های index, home و .htaccess رو قفل کنید تا دیگر حتی توسط خود شما قابل ویرایش نباشد همچنین با استفاده از نرم افزار های encoder فایل کانفیگ وردپرس و دیگر سیستم هارو کد کنید تا به اطلاعات دیتابیس ها دسترسی نداشته باشد (البته نه از هر کدری)/

بهتر است نیز از suphp و وب سرور nginx مستقل استفاده کنید تا بهتر بتوانید جلوی DDos رو بگیرید.

امیدوارم راهنمایی های بنده به کارتون بیاد.

موفق و سربلند باشید.
August 26th, 2014, 00:01
asrhosting

پاسخ : کمک برای رهایی از یک مهاجم

نقل قول:

نوشته اصلی توسط ULTRAWEB

کره
روسیه
چین
از جاهایی هستن که به گزارش ها رسیدگی درستی نمیکنن
با این جال میتونین به ابیوز دپارتمانشون به انگلیسی نامه بزنین و به امید بررسی کردن و رفع مشکل بشینین
یا اینکه اگر میتونین جلوی حملات رو بگیرین خوب لازم نیست کاری انجام بدین تا خود مهاجم خسته شه و دست از سر شما بکشه

و البته ایران .
August 26th, 2014, 10:05
nima-s

پاسخ : کمک برای رهایی از یک مهاجم

نقل قول:

نوشته اصلی توسط moalax

با عرض سلام و ادب

کشور هایی که قصد بلاکشون رو دارید از اینجا انتخاب کنید و Apache .htaccess deny را انتخاب کنید .

حتما از کلودفلر استفاده کنید .

افزونه هایی که به کمک شما می آیند :

All In One WP Security & Firewall
Centrora Security™
Wordfence Security
6Scan Security
Botnet Attack Blocker
IOSEC HTTP Anti Flood/DoS Security Gateway Module

در صورت نیاز برای کمک بیشتر می توانید از طریق پیام خصوصی با ما در ارتباط باشید .

با پرداخت هزینه به راحتی از شر بیشتر حملات در امان می مانید . مرکز امنیتی موآل می تواند گزینه ی خوبی برای شما باشد .

ممنون از راهنماییتون
این افزونه ها قبلا نصب وکانفیگ شدن

All In One WP Security & Firewall
Centrora Security

سایر راه هایی که فرمودین رو هم حتما امتحان میکنم

- - - Updated - - -

نقل قول:

نوشته اصلی توسط Yas-Host

باید راه هایی که این هکر تا به الان پیموده است رو پیدا کنید و مسدود کنید.

به نظر بنده فقط آی پی های روبات های یاهو و کشور هایی که از پراکسی استفاده می کنند رو باز بزارید.

شما می توانید با کانفیگ مناسب CSF + Iptables و مد سکیوریتی از متد های خطرناک جهت هک جلوگیری فرمایید.

دقت داشته باشید میتوانید اقدام به راه اندازی آنتی شلر رایگان LMD و آنتی ویروس clamav کنید تا بصورت real time سرور شمارو اسکن کند تا بتوانید حداقل از هک جلوگیری کنید.

همچنین اگر دسترسی روت دارید میتوانید فایل های index, home و .htaccess رو قفل کنید تا دیگر حتی توسط خود شما قابل ویرایش نباشد همچنین با استفاده از نرم افزار های encoder فایل کانفیگ وردپرس و دیگر سیستم هارو کد کنید تا به اطلاعات دیتابیس ها دسترسی نداشته باشد (البته نه از هر کدری)/

بهتر است نیز از suphp و وب سرور nginx مستقل استفاده کنید تا بهتر بتوانید جلوی DDos رو بگیرید.

امیدوارم راهنمایی های بنده به کارتون بیاد.

موفق و سربلند باشید.

در حال حاضر که نمیصرفه به سرور مجازی انتقال داد چون یک سایت معمولیه و بازدید کننده خاصی نداره .بخاطر همین انتقال به سرور مجازی صرفه اقتصادی نداره
اما اگر روزی به سرور مجازی منتقل شد از راهنمایی هاتون استفاده میکنم
August 26th, 2014, 11:36
shahab-f

پاسخ : کمک برای رهایی از یک مهاجم

نقل قول:

نوشته اصلی توسط nima-s

راستش تا اونجا که وردپرس و منابع سرور جا داشت تنظیمات امنیتی + افزونه برای بالا بردن امنیت قسمتهای مختلف وردپرس در سطح بالا بکار بردم
اما خوب دست هکر خیلی بازه برای هک وردپرس و همیشه راهی واسه هک هست که باز باشه و پیشبینی شده نباشه
بخاطر همین با این تاپیک میخوام از دوستانی که تجربشو داشتن یاد بگیرم این جور موقع ها باید چکار کرد؟ترفند خاصی هست؟یا مثلا راه فنی مطمئنی ؟

- - - Updated - - -

راستش به این مورد فکر کردم.چون تو تنظیمات فایروال یک قسمت برای مسدود سازی ایپی کشورهای خاصی هست اما گفتم الان کره رو ببندم.دور بعد کارش رو از یک کشور دیگه تکرار کنه چکار کنم؟نمیشه همه کشورهارو بست.مثلا دور بعد از یک سرور تو ایران کارش رو انجام بده چی؟ اون موقع چاره چیه؟

سلام بهتر است ای پی هارا با کمک این سایت فقط داخل htaccess ببنید
Block Visitors by Country | IP2Location.com

به هیچ وجه کشور هارا داخل فایروال نبندید ،در صورتی کشور های مورد نظر را با کمک CC_DENY فایروال ببندید عمل کرد سرور بسیار کند خواهد شد . و اصلا توصیه نمی شود بدتر باعث درگیر شدن منابع سرور می گردید.
اگر از چند صد آی پی از کشور های مختلف و با تعداد کانکشن های کم مثلا 50-80 تحت حمله قرار میگیرید بهتر است CT_LIMIT فایروال را 0 قرار بدید! زیرا خود فایروال زمانی که تحت حمله قرار بگیرد در صورت فعال بودن موردی که خدمتتون گفتم با count کردن هر آی پی بدتر باعث درگیر شده منابع و کمک به دان شدن سرور خواهد کرد !