پاسخ : فروشگاه کارت شارژ (ام پی سی شارژ)
سلام دوباره به دوستان
با عرض تاسف سایت منم هـــک شد!!!!
من همیشه یه مقدار شارژ توی سایت قرار می دادم و هیچ مشکلی نبود و به فروش می رسید؛ ولی امروز که برای اولین بار آدرس سایتم رو توی همین تاپیک عنوان کردم؛ دقیقا چند ساعت پس از اون؛ یوزر و پسورد مدیریت تغییر یافت و کل شارژهای اون به سرقت رفت و قبل از اینکه بخوام متوجه بشم کل شارژ ها مصرف شده بود و پولی به حسابم واریز نشده بود! o:-)
به هر حال اینو گفتم که این *** از بازدیدکنندگان همین تاپیک هست و بنده هم به عنوان یه ضرر دیده دیگه همین جا اعلام میکنم که این اسکریپت به هیچ عنوان امن نیست!!!
دوستان لطفا هشیار باشید؛ به هر حال خدا رو صد مرتبه شکر میکنم که قبل از اینکه بخوام کارم رو با سایتم و واریز شارژ انبوه توی این اسکریپت ضعیف شروع کنم؛ این بلا سرم اومد...به هر حال دوستان خود دانند ;)
به اون دوست ***مون هم عرض کنم که حتی 1 ریالشم نمیتونی بخوری و انشاالله خرج دوا درمان عزیزات میشه؛ اینو مطمئن باش که یه روز باید پس بدی ;)
خیلی حرف زدم دوستان...یا علی
پاسخ : فروشگاه کارت شارژ (ام پی سی شارژ)
سلام دوباره به دوستان
چند تا از دوستان توی پیغام خصوصی پرسیده بودن که سایت چطوری هک شده؛ لازم دونستم که بهتره این بحث عمومی بشه تا بلایی که سر بنده اومد؛سر شما دوستان نیاد:
نقل قول:
نوشته اصلی توسط ........
سلام
خوبی؟
میشه بگی چه جوری هک میکنن؟
منم سایت دارم اما بعضی ها میگن هک کردن ام پی سی سخته و کسانی که میگن میخوان تخریب کنن.
میشه بگی چه جوری هک میشه؟
و اینکه واقعا غیر قابل اطمینان هست یا نه؟
ممنون
خیلی خلاصه عرض کنم؛
ایشون بدون اینکه بخوان به سی پنل هاستینگ نفوذ کنند؛ از ضعف های بخش مدیریت اسکریپت استفاده کرده و یوزر نیم و پسورد مدیریت رو بدست آوردند!!!! خب حالا ایشون خیلی راحت تونسته وارد بخش مدیریت بشه ولی هنوز نمیتونه به بخش مدیریت کارت ها و به کد شارژ ها دسترسی پیدا کنه!! چرا؟ چون بخش مدیریت کارت ها توسط کلید رمزنگار پشتیبانی میشه و ایشون بدون دانستن اون نمیتونن به لیست کارت ها نفوذ کنند؛ خوب حالا چاره کارشون چی بوده؟!
ایشون خیلی راحت از بخش ثبت و نام؛ توی سایت ثبت و نام کردند و چون به مدریت دسترسی داشتند خیلی راحت با مدیریت حسابشون رو افزایش موجودی دادند و با این حساب اقدام به خالی کردن کد شارژ ها از این طریق شده اند!
o:-)
راه حل برنامه نویس اسکریپت جهت جلوگیری از این نوع نفوذ:
1- امنیت بخش مدیریت را افزایش دهند(که بسیار مهم هست و میبینید چه راحت هک شده! )
2- بخش افزایش موجودی در پنل مدیریت را با کلید رمزنگار پوشش دهند که متاسفانه این کار صورت نگرفته :79:
راه حل فعلی مدیران سایت هایی که از این نوع اسکریپت استفاده می کنند:
1-تغییر دایکتوری مدیریت از حالت پیش فرض (بسیار مهم)
2- برداشتن کد php ثبت نام و ورود به سایت ؛از index
همچنین حذف صفحه های زیر:
panel.php
login.php
register.php
reset_password.php
retransmission_active_link.php
- دوستانی که نمی خوان بخش ثبت و نام و ورود به سایت از سایتشون حذف بشه و همچنین نمیخوان موارد 2 رو انجام بدند؛ یک راه دیگه هم دارند؛ می تونند از پوشه mpc-admin وارد پیج users.php شوند و از اونجا کد مربوط به افزایش موجودی رو حذف کنند که با این کار دیگه نمیشه از طریق مدیریت افزایش موجودی داد و تا حدودی این بحران حل میشه(در ضمن می تونند هر وقت که تمایل داشتند این کد رو دوباره اضاف کرده و اقدام به افزایش موجودی کاربری خاص کرده و سپس دوباره کد رو بردارند.
امیدوارم که برنامه نویس این اسکریت هر چه زودتر فکری به حال این مشکلات نمایند.
سپاس
پاسخ : فروشگاه کارت شارژ (ام پی سی شارژ)
نقل قول:
نوشته اصلی توسط
mamaloo
سلام دوباره به دوستان
چند تا از دوستان توی پیغام خصوصی پرسیده بودن که سایت چطوری هک شده؛ لازم دونستم که بهتره این بحث عمومی بشه تا بلایی که سر بنده اومد؛سر شما دوستان نیاد:
خیلی خلاصه عرض کنم؛
ایشون بدون اینکه بخوان به سی پنل هاستینگ نفوذ کنند؛ از ضعف های بخش مدیریت اسکریپت استفاده کرده و یوزر نیم و پسورد مدیریت رو بدست آوردند!!!! خب حالا ایشون خیلی راحت تونسته وارد بخش مدیریت بشه ولی هنوز نمیتونه به بخش مدیریت کارت ها و به کد شارژ ها دسترسی پیدا کنه!! چرا؟ چون بخش مدیریت کارت ها توسط کلید رمزنگار پشتیبانی میشه و ایشون بدون دانستن اون نمیتونن به لیست کارت ها نفوذ کنند؛ خوب حالا چاره کارشون چی بوده؟!
ایشون خیلی راحت از بخش ثبت و نام؛ توی سایت ثبت و نام کردند و چون به مدریت دسترسی داشتند خیلی راحت با مدیریت حسابشون رو افزایش موجودی دادند و با این حساب اقدام به خالی کردن کد شارژ ها از این طریق شده اند!
o:-)
راه حل برنامه نویس اسکریپت جهت جلوگیری از این نوع نفوذ:
1- امنیت بخش مدیریت را افزایش دهند(که بسیار مهم هست و میبینید چه راحت هک شده! )
2- بخش افزایش موجودی در پنل مدیریت را با کلید رمزنگار پوشش دهند که متاسفانه این کار صورت نگرفته :79:
راه حل فعلی مدیران سایت هایی که از این نوع اسکریپت استفاده می کنند:
1-تغییر دایکتوری مدیریت از حالت پیش فرض (بسیار مهم)
2- برداشتن کد php ثبت نام و ورود به سایت ؛از index
همچنین حذف صفحه های زیر:
panel.php
login.php
register.php
reset_password.php
retransmission_active_link.php
- دوستانی که نمی خوان بخش ثبت و نام و ورود به سایت از سایتشون حذف بشه و همچنین نمیخوان موارد 2 رو انجام بدند؛ یک راه دیگه هم دارند؛ می تونند از پوشه mpc-admin وارد پیج users.php شوند و از اونجا کد مربوط به افزایش موجودی رو حذف کنند که با این کار دیگه نمیشه از طریق مدیریت افزایش موجودی داد و تا حدودی این بحران حل میشه(در ضمن می تونند هر وقت که تمایل داشتند این کد رو دوباره اضاف کرده و اقدام به افزایش موجودی کاربری خاص کرده و سپس دوباره کد رو بردارند.
امیدوارم که برنامه نویس این اسکریت هر چه زودتر فکری به حال این مشکلات نمایند.
در ضمن دوستان عزیز سایت بنده 1-2 ساعت پس از اینکه آدرسش رو اینجا قرار دادم هک شد؛بعدش سریعا آدرس رو از پست قبلیم ویرایش کردم...ولی چون موارد امنیتی لازم رو تا حدودی دیشب انجام دادم؛ دوباره اینجا قرار میدم:
دوستانی که سوالاتی دراین زمینه دارند پ . خ نــفــرستند و به یاهو بنده پی ام بدند؛ چون من زیاد به اینجا سر نمیزنم:
سپاس
خیلی ممنون دوست عزیز که اطلاع رسانی کردین ولی آقای پاکزاد (طراح این اسکریپت) قبلا راجع به مساعل امنیتی برای کاربران هشدار داده و گفته که حدال امکان تا منتشر شدن ورژن بعدی از این اسکریپت استفاده نکنید و یا اگه استفاده می کنید چند تا نکته رو گفته که باید رعایت کنید تا هک نشید من موارد رو اینجا بیان می کنم تا هر کس نمی دونه با رعایت این مورد ها از هک شدنش جلوگیری کنه :
1- دایکتوری mpc-admin که پوشه مدیریت هست رو تغییر بدین
2- یه رمز دوم برای قسمت مدیریت از cpanel تعریف کنید (اگه بلد نبودید بگید تا آموزش بدم)
3- قسمت افزودن موجودی هم که دوست عزیزمون mamaloo توضیح دادند
با رعایت این موارد درصد هک شدن خیلی پایین می ره تا وقتی که ورژن بعدی منتشر شه
پاسخ : فروشگاه کارت شارژ (ام پی سی شارژ)
سلام دوستان
اخطار شدید
من هم سایتم هک شده وتمام شارژهام به سرقت رفت مواظب باشید. به هیچ عنوان از این اسکریپ استفاده نکنید یا اگر استفاده ممیکنید سریعا اون را تغییر دهید. باگ های زیادی دارد.
پاسخ : فروشگاه کارت شارژ (ام پی سی شارژ)
کسانی که با فرر مشکل دارند و نیاز به پشتیبانی کامل دارند می تونند با آیدی یاهوی من در ارتباط باشند.
خدمات: طراحی انواع قالب فرر - پشتیبان گیری کامل از فرر و بازیابی کامل اطلاعات در فرر --- تغییرات جزئی در فرر و edit کردن آن ---- نصب و راه اندازی کامل فرر
یاهو آدی : caspiannets@yahoo.com
پاسخ : فروشگاه کارت شارژ (ام پی سی شارژ)
نقل قول:
نوشته اصلی توسط
caspiannets
کسانی که با فرر مشکل دارند و نیاز به پشتیبانی کامل دارند می تونند با آیدی یاهوی من در ارتباط باشند.
خدمات: طراحی انواع قالب فرر - پشتیبان گیری کامل از فرر و بازیابی کامل اطلاعات در فرر --- تغییرات جزئی در فرر و edit کردن آن ---- نصب و راه اندازی کامل فرر
یاهو آدی :
caspiannets@yahoo.com
اینجا تابیک برای تبلیغ نیست از مدیران درخواست پاک کردن این پست رو دارم
پاسخ : فروشگاه کارت شارژ (ام پی سی شارژ)
دوستانی که سایتشون هک شده اینجا اعلام کنند و بگید که چه مبلغی ضرر کردید
آی پی هک کننده رو بگید
پیشنهاد بدید چکار کنیم ؟
پاسخ : فروشگاه کارت شارژ (ام پی سی شارژ)
آی پی هک کننده سایت من : 37.59.194.8
فروشگاه کارت شارژ ارزن
پاسخ : فروشگاه کارت شارژ (ام پی سی شارژ)
ببخشید برای وارد کردن اطلاعات
$dbhost = "localhost"; // database server (e.g. localhost)
$dbpass = "dbpass"; // password
$dbusername = "dbuser"; // user
$dbname = "dbname"; // database name
$db_prefix = "mpc_sharj_"; // database prefix
فقط این گزینه ها رو باید پر کنیم؟
اگر اره من میخواهم اسکریپ نصب کنم دائم با این Access denied for user 'dbuser'@'localhost' (using password: YES) پیغام روبرو میشوم اطلاعات دیتابیس رو وارد میکنم باز همین خطا رو میدهد و وارد مرحله بعد نمیشود
پاسخ : فروشگاه کارت شارژ (ام پی سی شارژ)
نرم افزار افرا
ای پی رو نمیدونیم
