نمایش نسخه قابل چاپ
با سلام خدمت دوستان
امروز متاسفانه با مشکلی مواجه شدیم که غیر قابل تصور بود
تمامی سایت های روی سرور دیفیس شده
یک تعدادی از مشتریان میگن که هیچ چیزی پاک نشده فقط دیفیس بالا میاد
برای رفع دیفیس چه کنیم
virus-3sir
virus-3sir
فقط ساب دامین ها بلایی سرش نیومده
index سایت هایی که دیفیس شده رو پاک کنید .
آخرین بک آپتون رو ریستور کنید
فعلا داریم همرو ساسپند میکنیم تا نتونن اینارو ثبت کنن
زمانی که Index.html و یا همون صفحه ی دیفیس رو پاک کنید پیغام Notfound میده و تایید نمیشه توی Zone-h
منتها چک کنید ببینید توی Onhold لیست سایت هاتون هست یا خیر
تو لیست نیستند
ماله باگ یکی از ریسلری هامون بوده که تو لیست اسکن آنتی شلر و آنتی ویروس سرور هم این باگ نیومده
سلام
چک کن ببین یوزر دیگه ای با دسترسی روت ایجاد نکرده باشند.
اخرین بک اپ که از سرور دارید ریستور کنید.
و بعد امنیت سرورتون بالا ببرید.
چند تا سایت رو درست کردیم
مشکل خاصی نیست
هر چی سایت رو سرور ما بوده هاست نبوده همه هاست های ریسلری ها بوده
که هر بلایی سرشون اومده از باگ whmcs ریسلری ها بوده
همین
اگه میخوای ای پی سرورتون بده تا تو zone برات بررسی کنم.;;)
mass deface شدید و این یعنی اکسسی فراتر از یک یوزر (شاید root)
آخرین بک آپ رو ریستور کنید + آپدیت کرنل
از کجا بفمم این یوزر فراتر از بنده :دینقل قول:
نوشته اصلی توسط m3hdi
کجا ایجاد شده جمع و جورش کنیم :دی
چک کنید ببینید owner ی که فایلها رو ایجاد/تغییر داده چی بودهنقل قول:
نوشته اصلی توسط CityKala.net
اینی که هک کرده ایمیلش رو چند تا از سایت های ریسلری هامون بوده
نمیدونم همه کاره اینه که من جوره دیگه ای اقدام کنم از طریق پلیس و اینا
danitfk@yahoo.com
Welt Servers - اعضا
در مورد امنیت سرور چی پیشنهاد میکنید چیزایی که موجود هست
csf
آنتی ویروس
آنتی شلر
از لحاظ امنیتی یک سری پرمیژن ها محدود شده
فکر میکنم مشکل از همون باگ whmcs باشه
این یک اروریه که افزونشو چک کردم توش یک شل بود
[06-Jul-2012 15:15:54] PHP Warning: parse_ini_file() [<a href='function.parse-ini-file'>function.parse-ini-file</a>]: Unable to access /home/parsehdi/public_html/wp-content/themes/Parseh/config.ini in /home/parsehdi/public_html/wp-content/themes/Parseh/functions.php(1) : eval()'d code(1) : eval()'d code on line 5
[06-Jul-2012 15:15:54] PHP Warning: parse_ini_file(/home/parsehdi/public_html/wp-content/themes/Parseh/config.ini) [<a href='function.parse-ini-file'>function.parse-ini-file</a>]: failed to open stream: No such file or directory in /home/parsehdi/public_html/wp-content/themes/Parseh/functions.php(1) : eval()'d code(1) : eval()'d code on line 5
[06-Jul-2012 15:15:56] PHP Warning: parse_ini_file() [<a href='function.parse-ini-file'>function.parse-ini-file</a>]: Unable to access /home/parsehdi/public_html/wp-content/themes/Parseh/config.ini in /home/parsehdi/public_html/wp-content/themes/Parseh/functions.php(1) : eval()'d code(1) : eval()'d code on line 5
[06-Jul-2012 15:15:56] PHP Warning: parse_ini_file(/home/parsehdi/public_html/wp-content/themes/Parseh/config.ini) [<a href='function.parse-ini-file'>function.parse-ini-file</a>]: failed to open stream: No such file or directory in /home/parsehdi/public_html/wp-content/themes/Parseh/functions.php(1) : eval()'d code(1) : eval()'d code on line 5
[06-Jul-2012 16:19:26] PHP Fatal error: Call to undefined function cystats_countUsersOnline() in /home/parsehdi/public_html/wp-content/themes/C112/line1.php on line 70
[06-Jul-2012 17:48:49] PHP Fatal error: Call to undefined function cystats_countUsersOnline() in /home/parsehdi/public_html/wp-content/themes/C112/line1.php on line 70
[06-Jul-2012 18:00:56] PHP Fatal error: Call to undefined function cystats_countUsersOnline() in /home/parsehdi/public_html/wp-content/themes/C112/line1.php on line 70
[06-Jul-2012 18:02:55] PHP Fatal error: Call to undefined function cystats_countUsersOnline() in /home/parsehdi/public_html/wp-content/themes/C112/line1.php on line 70
[07-Jul-2012 06:11:19] PHP Fatal error: Call to undefined function cystats_getPostVisitsByID() in /home/parsehdi/public_html/wp-content/themes/C112/index.php on line 55
[07-Jul-2012 06:11:20] PHP Fatal error: Call to undefined function cystats_getPostVisitsByID() in /home/parsehdi/public_html/wp-content/themes/C112/index.php on line 55
[07-Jul-2012 06:31:18] PHP Warning: array_slice() expects parameter 1 to be array, null given in /home/parsehdi/public_html/wp-content/themes/C112/index.php on line 25
[07-Jul-2012 06:31:20] PHP Warning: array_slice() expects parameter 1 to be array, null given in /home/parsehdi/public_html/wp-content/themes/C112/index.php on line 25
[07-Jul-2012 06:31:20] PHP Warning: array_slice() expects parameter 1 to be array, null given in /home/parsehdi/public_html/wp-content/themes/C112/index.php on line 25
[07-Jul-2012 06:32:18] PHP Fatal error: Call to undefined function cystats_getPostVisitsByID() in /home/parsehdi/public_html/wp-content/themes/C112/single.php on line 28
[07-Jul-2012 06:46:48] PHP Fatal error: Call to undefined function cystats_getPostVisitsByID() in /home/parsehdi/public_html/wp-content/themes/C112/single.php on line 28
[07-Jul-2012 08:41:33] PHP Fatal error: Call to undefined function cystats_getPostVisitsByID() in /home/parsehdi/public_html/wp-content/themes/C112/single.php on line 28
واسه چند تا سایت هست
این مربوط به مرکز رژیم درمانی پارسه
من یوزر ایشون رو توی انجمن دیدم .نقل قول:
نوشته اصلی توسط CityKala.net
نمایش مشخصات: danitfk - انجمن تخصصی وب هاستینگ ایران
اول باید امنیت سیستم عامل رو به حد معمول بالا ببرید .نقل قول:
نوشته اصلی توسط CityKala.net
بعدش امنیت نرمافزار ها و افزونه های نصبی حالا با فایروال آنتی شلر و ...
از یک سری حالتا لینوکس رو امنیتش رو بالا بردیم ولی خودتون هم بگیدنقل قول:
نوشته اصلی توسط ---
s9l_@hotmail.com
این ایمیل هم توی چند تا سایت بوده
تخصص من مدیریت سرور هست . با امنیت در سطح پیشرفته زیاد آشنایی ندارم .
اگر مایل بودید میتونم شخصی رو برای انجام پروژتون معرفی کنم .
شما معرفی تا من ببینم چی پیشنهاد میکنه
فعلا که اون رنج آی پی رو بستم
مس دیفس با یوزر معمولی نمیشه ، دسترسی روت میخواد
از چند راه هم به وجود میاد یا طرف یوزر داشته یکی از سیستمهای رو سرور باگ داشته (باگ privilage escalation) یا kernel آپدیت نبود و با یه لوکال روت جم شده ، یا طرف خیلی بیکار بود دونه دونه symlink کرده همهرو زده بعد
این گزینه آخری که خوب دور از ذهن اما برا ۲ تا مشکل قبلی اول از همه kernel رو آپدیت کنید+سرویسها رو (چند وقت پیش مثلا mysql یه patch ارائه داد نصف سایتهای دوستان باهاش خورد چون patch نشده بود)
دوم اینکه یکم رو امنیت سیتهاتون کار کنید ، اجبار کنید که آپدیت کنن،فیروللتن رو یا خودتون یا از بیرون بدید کانفیگ کنن
طرف مجبور بود شل بریزه پس مشکل از درست کانفیگ نبودن آنتی شل بود
این یه سری راهنمایی کلی بود اگه بازم کمکی خواستید در صورت نیاز تماس بگیرید
Cyrus_blackhat
سلام دوست من
یکی از سایت های روی سرور شما که باگ داشته شل ریختند بعد به دسترسی روت رسیدن! کامپایل اکسپلویت ورژن کرنلتون و...!
شما بهتره که امنیت سرور خود رو بسپارید به یک تیم امنیتی مثل phc که واقعا کارشون عالیه ! از بچه های هکرز و سیمرغ و آناتماو... جمعا .
برای سرور خود هزینه کنید که طرف سایتی هم که باگ داره دیفیس کنه کار خاصی نتونه بکنه با شل و....!
موفق باشید
ما به یک تیمی دادیم هزینه هم کردیم ولی ...
خودمم خیلی روش کار کردم ولی نمیدونم دیگه از کجا زدن
آیدی امیر یا علی رو داری پیام بده بهشون :
علی: jenne_bamaram
امیر: dj7xpl
به یکی از اینا پیام بدید واستون امنیتتون رو تضمین بدهند.
کار اون تیمی که شما دادید بهشون بد نبوده . توی فضای اینترنت و امنیت نمیشه چیزی رو تضمین کرد امن ترین سرور یک سرو خاموش هست .نقل قول:
نوشته اصلی توسط CityKala.net
بهتره با همون تیم امنیتی به تحلیل مشکل بوجود اومده بپردازید و باگ رو پچ کنید .
سلام
ممکنه از اسکریپت های سایت های روی سرور شما باگ داشته و از اون طریق شل ریخته بک کانکت گرفته و با استفاده از لوکال روت تونسته به سرور روت کنه شما ورژن کرنل سرور خودتون رو یه نگاه بندازید و حتما اپدیت کنید چون لوکال روت برای کرنل های 2012 هم در اومده
بستن یه سری از فانشن ها و روشن بودن سیف مود فقط جلو یه سری ... رو میگیره
و انتی ویروس هم شل های معمولی رو شناسایی میکنه اما خب طر کمی وارد باشه از شل کد شده استفاده میکنه
هیچوقت امنیت تضمین نمیشه و هیچوقت هم 100 ٪ نخواهد شد اما تا 99 درصد میشه بالا بردش
داخل یاهو بهتون گفتم..( همکارتون خودتون یا.. )
تنها یه سایت از شما دیفیس شد !
مشکل شخصی هم بود ( shahabhost.in و travianhost.com )
روش هم اینجکت کردنه whmcs بود ؛ بقیه سایت ها به من ربطی نداره ، به همکارتونم گفتم :d
اگر مشکل شخصی بوده بهتر بود بطور شخصی هم مشکل رو حل میکردید تا این که برای همکارتون مشکل جدی ایجاد کنید ...نقل قول:
نوشته اصلی توسط danitfk
اصن قرار نبود تراوین هاست از اینجا هاست داشته باشه. ( قسمت مشتریان یوهاستینگ بود)نقل قول:
نوشته اصلی توسط amirlord
اما حالا آی پی هاشون یکسان شد.
دسترسی من هم فقط فایل / دیتابیس یوزر shahabhost بود ؛ جدی به من ربطی نداره :d :68:
سلام
از 2 راه بیشتر نمیتونه باشه
1- با باگهایی که از whmcs هست مثلا قمست client و ارسال تیکت که اگه محدود نشده باشه میتونه شل رو اپ کنه! که این احتمال کمه
2- از طریق یکی اط سایتهای روی سرور مثلا joomla یا wordpress که باگ هم کم ندارند یا نهایتا bruteforce میکنن و یه پسورد رو میزنن و شل رو میزیزن و در نهایت با متد symlink همه سایتهای
اد
روی سرور رو میزنند دیگه الان نیاز نیست تک تک سیم بزنه هم اسکریپت php هست هم perl
یه cat /etc/passwd میزنه میزاره تو یه اسکریپت perl و توسط اون تمام سایتهایی من جمله jooml,a - vb , wp , whm عیره رو سیم میزنه
نمیدونم کرنلت چی هست اما اگه 2011 به بالا باشه با localroot نزده با خوندن فایل config یکی از whmcs و وصل شدن به دیتابیس پسورد رو زده و از روی پورت 2086-یا 2087 ,وارد whm شده
و پسورد root رو برداشته و با ssh وارد شده در ضمن با root هم وارد شده و همه سایتها رو mass deface کرده و تو zone-h هم ثبت کرده
راهکارهای امنیتی رو فدات شم
میتونی با محدود کردن یوزر root از طریق login به ssh دسترسیشو میگرفتی و یوزر معمولی میساختی و با su - دسترسییت رو به root حفظ میکردی
و حتی کارهای خفن دیگه میشه کلا نفوذ از ssh رو محدود کنی
بفیه کارها رو هم بچه ها گفتند.
الان یک راهنمایی کنید که اول دسترسی اینو بگیرم
بعد برم سراغه کارای دیگه
فقط یک سوال من هر چی بلد باشم اینی که شما گفتی بلد نیستم :دی
محدود کردن روت
میدونم چجوریه
مثلا یک یوزر بسازی
admin
بعد با زدن دستور su پسورد روت رو بهش بدی بعد هم دسترسی روت
ممنون میشم کمک کنید
Linux server.pasargadit.co 2.6.18-308.8.2.el5PAE #1 SMP Tue Jun 12 10:37:15 EDT 2012 i686 i686 i386 GNU/Linux
بدست آمده از دستور
uname -a
فیلم آموزشی نفوذ به پنل whmcs و آپلود شل(جدیدآپلود شد) - انجمن گروه آشیانه - آموزش امنیت و راه های مقابله با هک
این رو چند وقت پیش تو آشیانه خواندم
از سایتشون در خواست کمک کنید شاید کسی کمک کرد
شاید تو اخرین یکاپ ایشون شل وجود داشته باشه !!!
بهترین راه این هست که فایل ها رو اسکن کنید و اگر مکان این کار رو دارید فایل ها رو به یک سرور ویندوز انتقال بدید و با اسکنر های مختلف فایل هاتون رو تست کنید.
بهتر هست خیلی دقت کنید در برگردوندن هاست چون رو اعتبارتون تاثیر میزاه
فایروال و انتی شلر رو هم نصب کنید
موفق باشید
حدودا بیشتر فایل هارو داریم اسکن میکنیم و مشکل رو رفع میکنیم
حالا اگر خسارت زیادی ندیدی خوبه یک تجربه میشه که سرورت رو همیشه اپدیت و امینیت رو در سرورت بیشتر کنی.8-|
اصلا خسارت ندیدیم :دی
ولی نزدیک بود ببینیم :دی
ببخشید که پست قدیمی را up می کنم.نقل قول:
نوشته اصلی توسط zend
ولی برای من یک سوالی مطرح است که مگر تو whm جایی پسورد روت را به صورت clear text ذخیره شده است که شما می فرمایید پسورد root را برداشته است.
تا اونجایی که من می دونم پسورد root به صورت hash در قایل /etc/shadow قرار می گیره و در whm فقط و فقط امکان تغییر پسورد وجود دارد و جایی برای وجود پسورد root وجود ندارد.
با تشکر