نمایش نسخه قابل چاپ
سلام دوستان
آیا هک شدن یک سایت روی سرور می تونه باعث هک شدن کل سرور و منجر به دسترسی به دیگر اکانت ها بشه
مثلا اگه یه سایت جوملایی به روز نشده باشه و راه نفوذ پیدا بشه هکر می تونه روی بقیه اکانت ها هم فایل ایمپورت کنه؟
همچنین از طریق لو رفتن کدومیک از پسورد های زیر می تونه روی اون اکانت فایل ایمپورت کنه؟
پسورد یوزر دیتا بیس
پسورد ایمیل
ممنون
اگر بشه سرور رو کرک کرد خیلی راحت با یک پس لیست قوی میتونن کل سرور رو مس دیف بزنن (یعنی تمام سایت ها دیفیس)
سلام دوست عزیز
بله میتونه به سرور روت بشه و کل سرور رو نابود کنه هم میتونه از روش های مختلف فایل کانفیگ سایت های روی سرور دسترسی پیدا کنه و به کل سایت ها نفوذ کنه.
بله دوست عزیز همچین کاری امکان پذیر هستش که با آپلود شل و symlink زدن و bypass کردن سرور میتوان به تمامی اکانت ها دست رسی یافتنقل قول:
نوشته اصلی توسط navid
ممنون
یه هکر چند سایت جوملایی و وردپرسی را ایندکس روت و قالب را تغییر داده بود حتی پسورد ادمین و یوزر ادمین را هم عوض کرده بود؟
این سطخ دسترسیش چقدر بوده؟
و از چه طریقی می تونسته باشه؟ حتی با داشتن پسورد ایمیل یک اکانت هم می تونه؟
در ضمن روی برخی سایت ها فایل های مختلفی آپلود شده که برخی مواقع فراخوان می کنه و بنده با دیدن تو قسمت استاتوس اونها را پاک میکنم
می خوام ببینم راه رفع مشکل اساسی چیه؟
. ایا این فایل ها بوده و یا باز داره ایمپورت م یکنه
تاریخ ایجاد فایل که قدیمیه، اما آیا می تونه توی تاریخ هم دست ببره؟
درود ، دوست عزیز و بزگوار امکان اینکار هست .
اول مشکل امنیت و باگ های سایت شما رو پیدا میکند و بعد از طریق باگ ها نفوذ میکند و شل خود را آپلود میکند .
دوم یک بار symlink میزنه و سرور رو تست میکنه اگر روت بشه کل سرور رو bypass خواهد کرد .
سوم به کل سرور دسترسی دارد .
پ.ن : اگر سرور کاملاً حرفه ای کانفیگ شده باشد این مشکل کم یش می آید !
موفق باشید .
همچنین اگر هکر با داشتن پسورد یک ایمیل م یتونه کل سرور را از کار بندازه چرا این کارو نکرده؟
برید ازشون بپرسید
یا هکر , هکر نبوده
یا دلش سوخته
:دی
بله این امکان هستش که بعد روت شدن به سرور شما تمامی کانفیگ هارو دریافت کنه , سپس فایل های index.php و index.html رو محتویاتشون رو تغییر یا جایگزین کنهنقل قول:
نوشته اصلی توسط navid
- سطح دست رسیش در گام اول کم بوده سپس با Bypass کردن سرور شما تونسته دست رسی کاملی داشته باشه
- احتمالا از طریق باگ هایی مثل SQL , XSS , CSRF , LFI ... بوده یا هم امکانش هست توسط Brute Force Attack یوزر پسورد یک سایت رو کرک کرده باشه و نفوذ کنه
ایمیلی که میگید اگر مثلا این ایمیل info@site.com پسورد این ایمیل رو داشته باشه و ایمیل پنل مدیریت شما هم همین ایمیل باشه بله این میشه ولی از طریق
این قسمت که site.com:2095 میشه ادرس لوگین پنل ایمیلتون و ایمیل فرق داشته باشه نمیشه چیزی اپلود کرد
- کانفیگ سایت شما درست نبوده + دارای انتی ویروس و انتی شل نمی باشد , پرمیشن ها درست نیستن , CMS که سایت هاتون دارن دارای باگ هستن
شما بهتره سرورتون رو از لحاظ Security بدید Pentesting انجام بشه سپس کارای امنیتی روش صورت بگیره
موفق و سربلند باشید یا حق
ممنون دوستان
قضیه اینه که داره به واسطه سرور و فایل های یکه ارسال کرده ایمیل ارسال میکنه اما بنده هر چی فالی ها را پاک م یکنم باز توی صف ایمیل یه سری ایمیل انبود میاد
که با دستور زیر پاکشون م یکنم دروباره میاد
exiqgrep -i -f domain.com | xargs exim -Mrm
محتویات ایمیل ها چیه ؟نقل قول:
نوشته اصلی توسط navid
- احتمالا داره از اسپمر استفاده میکنه آی پی فرد ارسال کننده رو ببندید از طریق فایروال [ اگه نصب کرده باشید ]
محتویات ایمیل ها یه سایت غیر اخلاقیه.
فایر وال را نصب دارم و دستی ای پی هایی که این فایل ها را فراخوانی می کردن را بلوک کردن(البته با آی پی های متعدد داره درخواست می کنه)
clam هم نصبه اما این ها را پیدا نکرده.
تو هر ثانیه 10 ایمیل جدید اضافه می کنه
چطوری می تونم جلوشو بگیرم؟
باید فایل های PHP.INI و EXIM را دوباره کانفیگ کنیم.نقل قول:
نوشته اصلی توسط navid
ابتدا وارد PHP.INI شوید.
nano /usr/local/lib/php.ini
سپس این خط را اضافه کنید.
disabled_functions = "mail"
خب حالا وارد EXIM شوید.
nano /etc/exim.conf
این خط را سرچ کنید و از حالت Commend خارج کنید.
require verify = sender_header
سپس با دستور زیر آپاچی را ریستارت کنید.
service httpd restart
با این کار میشه توضیح بدین چه اتفاقی می افته؟
سپاس
- - - Updated - - -
در واقع فرقی نکرد باز داره ایمیل ایجاد میشه.
عزیز دل قید سرورو بزن از اکانتات بکاپ بگیر انتقال بده سرور جدید ...
سروری که هک شده باشه اصلا نمیشه پاکسازیش کرد !
انتی شل چیه دوستان عی میگن ؟؟
هیچ فایده ای نداره !
یه راه خیلی ساده هم هست یه ورودی گت یا پست تو صفحه لاگین دایرکت یا سی پنل یا ... میزارن که میشه خیلی راحت شل یا ... اپلود کرد تو سایت / سرور
دوما صدها شل داریم که هیچ انتی ویروسی نمیشناسنشون ! ( دست نویس هستن و دارن تجاری فروش میرن :D )
اگرم سغی دارید که انتقال ندید جای و روی همین سرور بمونین اولا ای پی خودتونو توی فایروال allow کنین و بعدش تمام پورت هارو ببندین تا دسترسی به سرور برای همه جز خودتون بسته بشه !
بعدش بشینین یا کانفیگ کنین یا بدین کسی که کانفیگ به خصوص امنیتی واستون کنه ...
ممنون
قضیه اینه که فعلا از طریق یه اکانت داره ایمیل می فرسته و وقتی اونو ساسپند می کنم دیگه ایمیل ایجاد نمیشه.
پسورد اکانت، پسورد یوزر دیتا بیس و ایمیل ها را عوض کردم اما باز همین شکله
clamscan -i -r --remove هم چیزی پیدا نکرد
ممنون
قضیه اینه که فعلا از طریق یه اکانت داره ایمیل می فرسته و وقتی اونو ساسپند می کنم دیگه ایمیل ایجاد نمیشه.
پسورد اکانت، پسورد یوزر دیتا بیس و ایمیل ها را عوض کردم اما باز همین شکله
clamscan -i -r --remove هم چیزی پیدا نکرد
فهمیدم، از فایل های توی ورت این اکانت هست
تعداد فایل ها زیاده اما باید پیداش کنم.
ممنون از همگی
شاد باشید
اگر اسکنر انتی ویروس در Cpanel دارید بزنید اسکن بشه حتما حتما داخل فایل ها شل وجود داره یا دانلود کنید بزنید با انتی ویروس بروز شده اسکن بشهنقل قول:
نوشته اصلی توسط navid
قبلا مسیر home را فول اسکن کرده و پاککرده فالی های مخرب رو
چه آدرسی را بذارم دو مرتبه اسکن؟
ممنونم از راهنماییتون
کل فایل ها رو ZIP کنید سپس دانلود کنید اسکن کنید ببینید چیزی پیدا میکنه اگر نکرد توسط آنتی ویروس های انلاین تحت وب اسکن کنید اینم لینک سایت https://www.metascan-online.comنقل قول:
نوشته اصلی توسط navid
امیدوارم موفق باشید