آنتی ویروس کارش پیدا کردن شلره دیگه ، Clamav از بهترینهاست...نقل قول:
نوشته اصلی توسط sarwhost
اما روشهای جدید Encode کردن حتی آنتی ویروسهارو هم بایپس میکنه .
نمونش : Carbylamine PHP Encoder - THN - Pastebin.com
نمایش نسخه قابل چاپ
آنتی ویروس کارش پیدا کردن شلره دیگه ، Clamav از بهترینهاست...نقل قول:
نوشته اصلی توسط sarwhost
اما روشهای جدید Encode کردن حتی آنتی ویروسهارو هم بایپس میکنه .
نمونش : Carbylamine PHP Encoder - THN - Pastebin.com
من بهتون این مورد رو پیشنهاد میکنم
http://www.webhostingtalk.ir/f10/43129/
اخرین بار سرور یکی از مشتری ها رو باهاش اسکن کریدم ماشالا توش 600 تا فایل شل بود که 500 تاش رو یه سایت بود
تا موقعی که فایل شل رو سرور باشه نمیزارن راحت باشین
سلام.
سال نو مبارک
کل هاستتون رو زیپ و دانلود کنید. با آنتی ویروس سیستمتون (که قبلش به روزسانی شده)اسکن کنید.
و فایل هاتون رو دوباره آپلود کنید.
دسترسی فایل ها رو چک کنید. دسترسی پوشه ها رو چک کنید.
پورت ها رو ببنید. فایروال رو روی آخرین مود بذارید.
با آنتی ویروس سرور هم یه چک کنید.
اجازه آپلود فرمت های غیر مجاز مثل پرل رو بگیرید.
فانکشن ها و توابع خطرناک رو ببند
یه فایل PHP با این مجتوا در فولدر Hook قرار بدید که کلا از دست PHP راحت بشید:
کد:<?php
$checkvars = array('subject','message');
foreach ($checkvars as $checkvar) if (strpos($_REQUEST[$checkvar],'{php}')!==false) die("ERROR!");
?>
دوستان من روی سرور هیچ شلی وجود نداره این گروه هم عربستانی نیست ایرانیه ولی با وجود بستن تیکت بازم منو هک میکنه برامون شده بازی اون هک میکنه یوزر ادمین رو عوض میکنه منم میرم از داخل هایت و پی اچ پی مای ادمین یوزر رو چینج میکنم و دوباره وارد میشم راستی وردپرس چیزی حدود 48 باگ امنیتی داره که هر کسی اینو نمیدونه بهترین چیز توی این نت قالب های اچ تی ام ال هست که اونم باید حوایتون باشه
دوست عزیز هکری که اول هک میکنه و میگید هی گیر دادن و دارن هکتون میکنن به نظر من کار عرب ها نیست چون عرب ها هی وقت نمیگذارن یک سایت رو هی هک بکنن یک بار میکنن و تو سایت های معروف میگن ما این سایت رو یک بار هک کردیم و ...
این کار یکی از رغیب هاتون یا دشمن های شما هست و مطمئن باشید راهی گذاشته برای برگشتش توی سرور وقتی هر بار جلوی هکش رو میگیرید
احتمال زیاد تونسته بکدور از سرورتون بگیره و داخل سرور یوزر و پس ساخته باشه
تمامی یوزر و پسورد های مدیریتی سرورتون و سیپنل رو عوض کنید و چک کنید به جز یوزر root یوزر دیگه ای وجود نداشته باشه که به ssh دسترسی پیدا بکنه(روت کیت)
لاگها رو به دقت چک کنید ، هکرها همیشه از شلرها که کدهاشون قابل درک برای هر آنتی ویروسی هست استفاده نمیکنند.نقل قول:
نوشته اصلی توسط saharhost.ir
بعضی وقتها با اضافه کردن یک خط کد ساده درون کدهای php شما یک به اصطلاح شل مخفی ایجاد میکنند !!!
شاید چیزی شبیه به این که به راحتی میتونه یک RCE محسوب بشه!
به عنوان مثال این:
====-----====کد:system($_GET[wht]);
پ.ن : در کل به نظر بنده پس ودرد هر چیزی که به ذهنتون میرسه رو عوض کنید و به دقت فایلهای مربوط به log ور چک کنید تا ببینید مشکل از کجاست ، بهتره ریشه ای برسی کنید تا اینکه صورت مسئله رو پاک کنید!
به این تاپیک هم سر بزنید ;)
http://www.webhostingtalk.ir/f120/44686/#post409464