هک شدن سرور اختصاصی

نقل قول:

---

نوشته اصلی توسط RoobinaServer

کاملا متین هست حرفتون.


(اما پسورد اف تی پی هم از طریق پنل هتزنر میشه عوض کرد اگر واقعا چیزی به نام هک باشه هکر اونم میتونه عوض کنه باید هرچه سریعتر تست کنن عوض شده یا نه)

---

هک که اسمشو گذاشتیم هک . وگرنه هک به همین سادگی هم نیست . احتمال 80% از طریق کیلاگر پسورد های بنده لو رفته
یکی از آی دی های بنده پسوردش عوض شده . و آی دی بعدی هم به علت اینکه کیلاگر نتونسته پسوردش رو بخونه نتونستن عوضش کنن و فقط دی اکتیوش کردن
کیلاگر هم از طریق یه برنامه که واسمون طراحی شده بود وارد سیستمم شده که حالا بحثش جداست

پسورد ftp سرور ها هم چون رو سیستم نزده بودم برای طرف ارسال نشده

نقل قول:

---

نوشته اصلی توسط rpserver

سلام دوست عزیز . اگر پنل سرورتون از قابلیت rescue ساپورت میکنه میتونید بعضا اطلاعات و فایل هاتونو بکشید بیرون .
در کل ؛ نیاز به ارتباط مستقیم با دیتاسنتر جهت رفع مشکل دارید . قطعا تا صبح روز دوشنبه جوابی از سمت دیتاسنتر دریافت نخواهید کرد چون تعطیلی رسمی هستش .
در انتها با توجه به سابقه چنین مواردی ، بنده فکر میکنم بهتر هست سرور رو ریبیلد کنید . حتی با بدست آوردن پسورد ، هکر قطعا یک سری راه های نفوذ بعدی مثل back connect یا امثالهم از سرور شما گفته . هرچند بک کانکت تقریبا با یک ریست قطع میشود اما اگر یک بد افزار در کرنل سرور شما فعال کرده باشد مثلا rootkit قطعا به مشکل برخواهید خورد . نظر بنده این هست که فایل یوزر ها رو بیرون بکشید . سرور رو ریبیلد کنید . در انتها توسط یکی از افراد مجرب سرور را کانفیگ کنید . البته اگر خود شما وارد هستید که چه بهتر .

---

یه خاطره جالبی را براتون تعریف کنم :

حدود یک سال پیش یکی از دوستان که زیادی ادعای امنیت و ... داشتند به بنده گفتند که مشکل امنیتی ندارند منم با هک سرورشون نشان دادم که هک میشن
حالا کار جالب ایشون همین بود که هی بک ها را منتقل میکردند از نو سرور را میساختند باز بنده دیگه بدون زحمت هک میکردم.(یک شل خوشگل در یکی از هاست ها قرار داده بودم.)


بهتره دنبال خراب کاری های روت کیت و ... خودشان بگردند و برطرف کنند.

این کاری که گفتید مشکلی را حل نمیکنه فقط باعث تفریح بیشتر هکر میشه.(اینقدر هم حس جالبیه :ی )

نقل قول:

---

نوشته اصلی توسط scary-x2

هک که اسمشو گذاشتیم هک . وگرنه هک به همین سادگی هم نیست . احتمال 80% از طریق کیلاگر پسورد های بنده لو رفته
یکی از آی دی های بنده پسوردش عوض شده . و آی دی بعدی هم به علت اینکه کیلاگر نتونسته پسوردش رو بخونه نتونستن عوضش کنن و فقط دی اکتیوش کردن
کیلاگر هم از طریق یه برنامه که واسمون طراحی شده بود وارد سیستمم شده که حالا بحثش جداست

پسورد ftp سرور ها هم چون رو سیستم نزده بودم برای طرف ارسال نشده

---

پسورد ftp الان اصلا مهم نیست مهم اینه اگر بکابی دارید در اف تی پی سریعتر منتقل کنید تا پسورد را عوض نکرده باشه.

پسورد اف تی پی در پنلی که الان دست شما نیست تعویض میشه با یک کلیک.

نقل قول:

---

نوشته اصلی توسط RoobinaServer

یه خاطره جالبی را براتون تعریف کنم :

حدود یک سال پیش یکی از دوستان که زیادی ادعای امنیت و ... داشتند به بنده گفتند که مشکل امنیتی ندارند منم با هک سرورشون نشان دادم که هک میشن
حالا کار جالب ایشون همین بود که هی بک ها را منتقل میکردند از نو سرور را میساختند باز بنده دیگه بدون زحمت هک میکردم.(یک شل خوشگل در یکی از هاست ها قرار داده بودم.)


بهتره دنبال خراب کاری های روت کیت و ... خودشان بگردند و برطرف کنند.

این کاری که گفتید مشکلی را حل نمیکنه فقط باعث تفریح بیشتر هکر میشه.(اینقدر هم حس جالبیه :ی )

---

بنده گفتم . اگر فایل مشتریان را یکبار با ClamAV اسکن کنند ، فایل های انکریپت شده مثل شل و.. مشخص خواهد شد .
در انتها بسیاری از شل هایی که با متد های پیچیده ای هم انکریپت میشوند اصولا توسط این آنتی ویروس بعنوان فایل های مشکوک شناسایی خواهد شد .
در ضمن ، اگر کانفیگ php به نحو احسن انجام شده باشد ، عملا با شل های php یا بعضا perl هم کار خاصی نمیتوان روی سرور انجام داد :) . آخرین حرکت دیفیس کرد یک اکانت هست که شل روی آن آپلود شده . که این موضوع هم باز با کانفیگ صحیح قابل تصحیح هست

نقل قول:

---

نوشته اصلی توسط rpserver

بنده گفتم . اگر فایل مشتریان را یکبار با ClamAV اسکن کنند ، فایل های انکریپت شده مثل شل و.. مشخص خواهد شد .
در انتها بسیاری از شل هایی که با متد های پیچیده ای هم انکریپت میشوند اصولا توسط این آنتی ویروس بعنوان فایل های مشکوک شناسایی خواهد شد .
در ضمن ، اگر کانفیگ php به نحو احسن انجام شده باشد ، عملا با شل های php یا بعضا perl هم کار خاصی نمیتوان روی سرور انجام داد :) . آخرین حرکت دیفیس کرد یک اکانت هست که شل روی آن آپلود شده . که این موضوع هم باز با کانفیگ صحیح قابل تصحیح هست

---

شما هم شدید حکایت همان دوستی که گفتم ادعای امنیتی پارسال میکردند.

فقط میتونم بگم هکر هکر باشه شلی میگذاره که کاری نکنید یا هزاران راه دیگه از طریق فایل.


یا حق

ساده ترین شل : angel کد شده

عمرا Clam شناسایی بکنه چه مشکوک چه غیر مشکوک شناسایی نمیکنه.

نقل قول:

---

نوشته اصلی توسط RoobinaServer

شما هم شدید حکایت همان دوستی که گفتم ادعای امنیتی پارسال میکردند.

فقط میتونم بگم هکر هکر باشه شلی میگذاره که کاری نکنید یا هزاران راه دیگه از طریق فایل.


یا حق

ساده ترین شل : angel کد شده

عمرا Clam شناسایی بکنه چه مشکوک چه غیر مشکوک شناسایی نمیکنه.

---

بنده قصد جسارت نداشتم . اصولا امنیت هیچوقت 100% نیست . به هر حال باگ هایی در کرنل سیستم عامل هم هست که بعضا مشکل ساز میشه . اما عرض بنده این هست که با کانفیگ صحیح سرور جلوی بسیاری از این موارد گرفته میشه .
در مورد هک سرور هم بنده یک عرضی بکنم ، شما برداشت بد نکنید لطفا .
اصولا افرادی که با آپلود شل های آماده روی سرور اقدام به هک میکنند رو بچه اسکریپتی نام گذاری میکنند چرا که از هک و موارد مشابه چیزی سر در نمیارن .
کلا شل های آماده php برای انجام عملیات بر روی سرور هایی هست که ضعف امنیتی دارند هست . بنده شخصا سرورهایی رو از لحاظ امنیتی تست کردم که شل پی اچ پی سیم که مربوط به یکی از هکران ایرانی که فکر میکنم بشناسید ایشون رو ، اجرا کردم . شل عملا کار نمیکرد .
پس با کانفیگ صحیح و استفاده از ابزار های خوب و مناسب میتوان جلوی این موارد رو گرفت .
باز هم بنده قصد جسارت نداشتم و فقط تاکید بر کانفیگ صحیح سرور دارم .
صحبت های شما کاملا متین هست

درود

شاید به دلیل اینکه کرنال شما اپدیت نبوده و هکر با داشتن لوکال روت همون کرنال تونسته دسترسی روت بگیرد و پسورد تغییر دهد.

تا حالا اسیبی به سایت های روی سرور رسیده است؟ مثل دیفیس شدن پاک شدن اطلاعات و... ؟

نقل قول:

---

نوشته اصلی توسط irihost

درود

شاید به دلیل اینکه کرنال شما اپدیت نبوده و هکر با داشتن لوکال روت همون کرنال تونسته دسترسی روت بگیرد و پسورد تغییر دهد.

تا حالا اسیبی به سایت های روی سرور رسیده است؟ مثل دیفیس شدن پاک شدن اطلاعات و... ؟

---

هیچ سایتی رو سرور بالا نیومده بود
در ضمن . گفتم که . طرف به سرور دسترسی نداشته . کیلاگر زده
چون دوتا از سرور هام پسوردشون عوض شده . پسورد ای دی یاهوم هم عوض شده

اگر بخواهید و به من اعتماد دارید یکی از هاست هاتون در اختیار من قرار دهید که پسوردش عوض نشده من با هزینه ای پسورد سرور براتون عوض خواهم کرد :-b

در پلتفرم های مختلف ویندوزی و لینوکس امکان ریکاوری ( فراموشی رمز عبور root یا administrator ) وجود دارد
بدین جهت لازم هست دسترسی خارج از روت بر روی سرور داشته باشید
ابتدا از دیتاسنتر درخواست IP KVM و یا ابزار هایی شبیه آن را نمایید
سپس در لینوکس با استفاده از مد Rescue و در ویندوز با استفاده از نرم افزار های هک ویندوز مثل ایزوی لینک زیر رمز عبور روت یا ادمینی استراتور را بازگردانی کنید
http://webvillage.ir/docman/pw_reset.iso