یک هکر عربستانی

ended ...

با ایشون در تماس باشید
http://www.webhostingtalk.ir/member/165/

سلام
به احتمال 90درصد بک دور داره روی سرور و دوباره نفوذ می کنه

با جناب سنجری هم صحبت کنید کمک میکنند
موفق باشید

لا مصب یک فایل .pl تعریف کرده که توی لوپ هر چی فایل حساس هست رو توی مرورگر نشون می ده ..

لیست فایل ها

کد:

---

symlink('/home/'.$user.'/public_html/vb/includes/config.php',$kola.'.txt');
symlink('/home/'.$user.'/public_html/includes/config.php',$kola.'1.txt');
symlink('/home/'.$user.'/public_html/config.php',$kola.'2.txt');
symlink('/home/'.$user.'/public_html/forum/includes/config.php',$kola.'3.txt');
symlink('/home/'.$user.'/public_html/admin/conf.php',$kola.'5.txt');
symlink('/home/'.$user.'/public_html/admin/config.php',$kola.'4.txt');
symlink('/home/'.$user.'/public_html/wp-config.php',$kola.'13.txt');
symlink('/home/'.$user.'/public_html/blog/wp-config.php',$kola.'14.txt');
symlink('/home/'.$user.'/public_html/conf_global.php',$kola.'6.txt');
symlink('/home/'.$user.'/public_html/include/db.php',$kola.'7.txt');
symlink('/home/'.$user.'/public_html/connect.php',$kola.'8.txt');
symlink('/home/'.$user.'/public_html/mk_conf.php',$kola.'9.txt');
symlink('/home/'.$user.'/public_html/configuration.php',$kola.'10.txt');
symlink('/home/'.$user.'/public_html/include/config.php',$kola.'12.txt');
symlink('/home/'.$user.'/public_html/joomla/configuration.php',$kola.'11.txt');
symlink('/home/'.$user.'/public_html/whm/configuration.php',$kola.'15.txt');
symlink('/home/'.$user.'/public_html/whmc/configuration.php',$kola.'16.txt');
symlink('/home/'.$user.'/public_html/support/configuration.php',$kola.'17.txt');

---

سلام

با جناب سنجری و یا جناب مسافر در ارتباط باشید.

حتما کمکتون می کنند.

ارادت

سلام .
آنتی شلر و فایروال رو سرور نصب نیست ؟

دوست عزیز یک اسکریپت پرل پابلیک شده است : http://ashiyane.org/forums/showthrea...l=1#post725151
از یکی از دوستان بخواهید پرل را ببندد
سی پنل استفاده میکنید؟

ممنون دوستان . ببینم نتیجه کارها چی می شه .

نقل قول:

---

نوشته اصلی توسط alimosavi

ممنون دوستان . ببینم نتیجه کارها چی می شه .

---

سلام سید اگر مشکل شناسایی و رفع عیبشو داری من می تونم بررسی و رفع عیب کنم برات ارادت

با سلام و عرض خسته نباشید
دوست عزیز با هزینه تمام باگ ها برای شما رفع و پچ خواهیم کرد
موارد ارتباطی در امضا و نیز پ خ در خدمتم
با تشکر

اولا که هکر با AddHandler در .htaccess اجازه اجرای فایل پرل رو به خودش می داد ..

برای جلوگیری mod_ruid2 رو نصب کردم و chmod 0700 /usr/bin/perl اجرای پرل رو فقط برای روت باز گزاشتم ..

دوستان اگر توصیه دیگه ای دارند ممنون می شم بگند ..

1 -نصب کلاد لینوکس + CageFS
2- و همینطور نصب و کانفیگ صحیح CXS

با سلام

فقط امنیت سرور شما مهم نیست باید ببنید سی ام اس های شما از کجا و به چه شکل اجازه import داخل سرور را می دهند یعنی هکر به چه شکل و از چه باگی توانسته است فایل های مخرب خود را بر روی سرور آپلود کند.

اگر هکر مورد نظر از symlink استفاده کرده اند و این قابلیت در سرور شما آزاد بوده است با آموزش زیر دایرکتوری هایی که با symlink در سرور ایجاد شده است را می توانید پیدا کنید.

http://forum.mihanmizban.com/Thread-...BE%D9%86%D9%84

مهمترین مسئله بعد از هک شدن حذف بک دور هایی است که هکر امکان دارد ایجاد کرده باشد زیرا شما هر بار که مشکل را رفع کنید هکر ممکن است با دسترسی ای که در دایرکتوری نامعلوم که برای خود ایجاد کرده است مجدد به شما آسیب بزند پس last modify روز های گذشته را بگیرید و کلیه فایل هایی که در این بازه تغییر داشتند و یا اضافه شده اند را با دقت بررسی کنید.

داره از ضعف سیستم وردپرز و بعضی پلاگیناش استفاده می کنه . باید برای مغابله باهاش چکار کرد ؟

119.81.109.56 - - [23/Mar/2015:18:30:44 -0400] "GET /wp-content/plugins/formcraft/file-upload/server/content/files/sym/root/home/hedocom/public_html/wp-admin/setup-config.php HTTP/1.1" 200 13119 "http://site.ir/wp-content/plugins/formcraft/file-upload/server/content/files/sym/root/home/hedocom/public_html/wp-admin/" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.101 Safari/537.36"

نقل قول:

---

نوشته اصلی توسط alimosavi

داره از ضعف سیستم وردپرز و بعضی پلاگیناش استفاده می کنه . باید برای مغابله باهاش چکار کرد ؟

119.81.109.56 - - [23/Mar/2015:18:30:44 -0400] "GET /wp-content/plugins/formcraft/file-upload/server/content/files/sym/root/home/hedocom/public_html/wp-admin/setup-config.php HTTP/1.1" 200 13119 "http://site.ir/wp-content/plugins/formcraft/file-upload/server/content/files/sym/root/home/hedocom/public_html/wp-admin/" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.101 Safari/537.36"

---

باید از پلاگینی مطمئن و ایمن استفاده کنید این موارد جز امنیت کد نویسی است

نقل قول:

---

نوشته اصلی توسط alimosavi

اولا که هکر با AddHandler در .htaccess اجازه اجرای فایل پرل رو به خودش می داد ..

برای جلوگیری mod_ruid2 رو نصب کردم و chmod 0700 /usr/bin/perl اجرای پرل رو فقط برای روت باز گزاشتم ..

دوستان اگر توصیه دیگه ای دارند ممنون می شم بگند ..

---

برای جلوگیری از هک و امنیت سرور mod_ruid2 نصب کرده اید ؟!!!!!!!

عیب ها و مشکلاتش را می دونید ؟!!!!!!

نقل قول:

---

نوشته اصلی توسط shahab-f

باید از پلاگینی مطمئن و ایمن استفاده کنید این موارد جز امنیت کد نویسی است

---

بله به مشتری گفتم پلاگین و فایلشو حذف کنه و ip مخصوص خودش رو بده به wp-admin

چه راهی هست که ایجاد symlink رو ممنوع کرد توی سرور اشتراکی . نمی شه که با یک خط فایل .httpaccess کل امنیت سرور رو تحدید کرد .
من گشتم توی نت راهی نبود . دوستان راههی رو امتحان نکردن خودشون ؟

- - - Updated - - -

نقل قول:

---

نوشته اصلی توسط Yas-Host

برای جلوگیری از هک و امنیت سرور mod_ruid2 نصب کرده اید ؟!!!!!!!

عیب ها و مشکلاتش را می دونید ؟!!!!!!

---

نه نمی دونم . توصیه خود سی پنل بود ..
ممنون می شم راهنمایی کنید ..

- - - Updated - - -

خدا بگم این وهابی حیوان صفت رو چکار کنه .
اومده تو سایت پول داده کانت ایجاد کرده اولین کاری که کرده آپلود فایل های الوده بوده ...
اونم فقط بخاطر سایت یک عالم شیعه که توی سرورمه ..

خب مثل اینکه باید از صفر تا 100 امنیت رو روی سرور برقرار کنم ...

این ip رو بلوک کنید : 95.187.192.82

و لطفا اگر کسی از این ایمیل اطلاعاتی داره برام بفرسته ( I0X0@HOTMAIL.COM )

یک پیشنهاد جالب :)

csf -d

95.187.0.0/16

نقل قول:

---

نوشته اصلی توسط alimosavi

بله به مشتری گفتم پلاگین و فایلشو حذف کنه و ip مخصوص خودش رو بده به wp-admin

چه راهی هست که ایجاد symlink رو ممنوع کرد توی سرور اشتراکی . نمی شه که با یک خط فایل .httpaccess کل امنیت سرور رو تحدید کرد .
من گشتم توی نت راهی نبود . دوستان راههی رو امتحان نکردن خودشون ؟

- - - Updated - - -



نه نمی دونم . توصیه خود سی پنل بود ..
ممنون می شم راهنمایی کنید ..

- - - Updated - - -

خدا بگم این وهابی حیوان صفت رو چکار کنه .
اومده تو سایت پول داده کانت ایجاد کرده اولین کاری که کرده آپلود فایل های الوده بوده ...
اونم فقط بخاطر سایت یک عالم شیعه که توی سرورمه ..

خب مثل اینکه باید از صفر تا 100 امنیت رو روی سرور برقرار کنم ...

این ip رو بلوک کنید : 95.187.192.82

و لطفا اگر کسی از این ایمیل اطلاعاتی داره برام بفرسته ( I0X0@HOTMAIL.COM )

---

اینترنشنال بودن این چیزارم داره دیگه. دوست عزیز شما سیملینکو به راحتی میتونید توی آپاچی مهار کنید آیا در مورد محدود سازی htacess کاری کردید ؟ در صورت امکان در مورد سویچ هایی که برای دایرکتیو های Options و AllowOverride هست تحقیق کنید و اونها رو از حالت دیفالت خارج کنید تا سرورتون با htacess بایپس نشه

نقل قول:

---

نوشته اصلی توسط OnlineServer

اینترنشنال بودن این چیزارم داره دیگه. دوست عزیز شما سیملینکو به راحتی میتونید توی آپاچی مهار کنید آیا در مورد محدود سازی htacess کاری کردید ؟ در صورت امکان در مورد سویچ هایی که برای دایرکتیو های Options و AllowOverride هست تحقیق کنید و اونها رو از حالت دیفالت خارج کنید تا سرورتون با htacess بایپس نشه

---

وقتی طرف می تونه یک فایل htacess برا خودش ایجاد کنه و تمام محدودیت های شما رو دور بزنه اینکا چه فایده ای داره ؟
AddHandler cgi-script .pl
AddHandler cgi-script .pl

با این دو عبارت دور می زنه شما رو ...

- - - Updated - - -

نقل قول:

---

نوشته اصلی توسط Yas-Host

یک پیشنهاد جالب :)

csf -d

95.187.0.0/16

---

فایده نداره طرف زوم کرده . اینگار پول گرفته برای همین کار :)

بیشتر از 30 تا ip از کشورهای مختلف عوض کرد و حداقل 6 روش مختلف هک کردن ....
بیچارم کرده ..
منم کم آوردم به همون مشتری گفتم بره جای دیگه سرویس بگیره . به ما کار خیر نیومده ...

نقل قول:

---

نوشته اصلی توسط alimosavi

وقتی طرف می تونه یک فایل htacess برا خودش ایجاد کنه و تمام محدودیت های شما رو دور بزنه اینکا چه فایده ای داره ؟
AddHandler cgi-script .pl
AddHandler cgi-script .pl

با این دو عبارت دور می زنه شما رو ...

---

عزیز من .
به عنوان مدیر سرور نباید اجازه بدید که پسوند تعریف کنه . وقتی htaceess رو محدود کنید فقط به دستورات مود ریرایت به فرض! , وقتی طرف هر چیزی دیگه ای مربوط به پسوند,هندلر php , سیملینک , ... اضافه کنه ارور 500 میگیره
این متدو چند ساله رو سرورهای آپاچی خیلی از بچه های همین انجمن زدم هیچکس م نیومده بگه بایپس شده .

نقل قول:

---

نوشته اصلی توسط OnlineServer

عزیز من .
به عنوان مدیر سرور نباید اجازه بدید که پسوند تعریف کنه . وقتی htaceess رو محدود کنید فقط به دستورات مود ریرایت به فرض! , وقتی طرف هر چیزی دیگه ای مربوط به پسوند,هندلر php , سیملینک , ... اضافه کنه ارور 500 میگیره
این متدو چند ساله رو سرورهای آپاچی خیلی از بچه های همین انجمن زدم هیچکس م نیومده بگه بایپس شده .

---

اونکارو کردم .
متدشو بروز می کنه ...

البته سرور ضعف داره که انشااالله می دم به یکی کامل چکش کنه ...

نقل قول:

---

نوشته اصلی توسط alimosavi

اونکارو کردم .
متدشو بروز می کنه ...

البته سرور ضعف داره که انشااالله می دم به یکی کامل چکش کنه ...

---

پس مطمئن باشد که درست انجام ندادید :)

به هرحال انشالله که برطرف شه .