هک شدن سایت وردپرس

[git]

متاسفانه سایتمون هک شد با اینکه من روی پوشه wp-admin رمز گذاشته بودم و پسورد ادمین هم قوی بود

ولی امروز صبح به سایت مراجعه کردم دیدم هک شده

و صفحه اصلی این عبارت را نوشته

aMIr-Fu*KeR and Mr_BL4cKH3T

بعد داخل گوگل سرچ کردم دیدم تو نتایج گوگل خیلی موارد مشابه وجود داره

بکاپ سایت را برگردوندم به چند روز قبل ، سایت درست شده

به نظرتون مشکل از سرور نمیتونه باشه ؟چکارهای دیگه لازمه انجام بدم؟

[مینا-صیفی]

سلام امنیت مبحث بزرگی داره همینطوری نمیشه فهمید از چه راهی هک شدید باید به متخصص security hacking بدید اسکریت سایت و سرور را چک کنند و قرارداد ببندید هزینه بدید براتون پچ باگ ها و پیکربندی امنیتی و تست نفوذ امنیتی و غیره را انجام بدند https://fullsecurity.org
با تشکر

[syncronet]

متاسفانه یکی از اشتباهاتی که وب مسترها بعد از هک یک سایت انجام میدن دستکاری محتوای سایت یا بازگردوندن سایت از بکاپ برای رفع مشکل دیفیس سایت هست. وقتی یک سایت مورد نفوذ قرار میگیره آخرین وضعیت سایت بعد از دستکاری دقیقا مثل یک صحنه جنایی هست که نباید پیش از بررسی دقیق در اون هیچ تغییری ایجاد بشه در غیر اینصورت ردگیری و شناسایی نفوذ به سایت اگر غیر ممکنه نشه سخت تر و مشکل تر خواهده شد. برخی از مدیران وبسایتها پس از هک/دیفیس شدن سایتشون بیشتر از اینکه به دنبال شناسایی محل نفوذ به سایت و بستن اون باشن به فکر ریستور سریعتر و آپ کردن سریعتر سایت هستند و این موضوع باعث می شه که نتونن مشکل امنیتی را شناسایی کنند و دوباره در آینده قربانی اون مشکل امنیتی بشن. اگر یک سایت چند ساعت یا حتی تا یکی دو روز هم در دسترس نباشه (با یک پیام مناسب) اما زمان کافی برای پیگیری و شناسایی شیوه نفوذ به سایت صرف بشه مسلما ارزش از دسترس خارج بودن سایت در اون مدت رو خواهد داشت.

زمانیکه یک وبسایت هک /دیفیس میشه اولین اقدامی که باید صورت بگیره بدون انجام هیچ گونه تغییری در فایلهای سایت دسترسی وب به سایت مسدود بشه(مثلا تغییر مجوز دسترسی شاخه روت سایت). بعد از اون با استفاده از زمان آخرین تغییر فایلهای دستکاری شده روی سایت لاگهای دسترسی به سایت (لاگ وب سرور، سرور ftp و لاگ کنترل پنل هاست) بررسی بشه تا از طریق اون بشه شیوه نفوذ و دستکاری به سایت رو شناسایی کرد. اگر سرویس هاست شما از نوع اشتراکی هست باید از پشتیبان هاست بخواین که اینکارو براتون انجام بدن.

بدون بررسی لاگهای دسترسی سایت نمیشه در مورد چگونگی هک شدن سایت هیچ نظری ارایه کرد. استفاده تنها از یک رمز عبور قوی برای داشبورد اسکریپت سایت یا رمز گذاری شاخه داشبورد تضمینی برای جلوگیری از نفوذ به سایت نیست. اگر اسکریپت سایت دارای یک مشکل امنیتی باشه مثلا یک افزونه غیر امن روی اسکریپت نصب شده باشه نفوذ به سایت از طریق حفره امنیتی اون بخش امکانپذیر هست. راه حل درست پیگیری این موضوع هم بررسی لاگهای دسترسی در زمان هک هست.

[git]

خیلی ممنون از راهنمایی شما

هدف من از زدن این تاپیک این بود که دوستان دیگه هم به این مشکل دچار نشوند

متاسفانه نتایج مشابه داخل گوگل بسیار زیاده

چون من سایت را خریداری کرده بودم از تنظیمات زیاد اطلاع نداشتم

چند روز بود داخل امارگیر تو ساعت های خاص بازدیدهای بیش از حد وجود داشت من مشکوک شده بودم اما اهمیت ندادم که این مشکل پیش اومد

از همتون ممنونم

[mohsen25]

متاسفانه سایتمون هک شد با اینکه من روی پوشه wp-admin رمز گذاشته بودم و پسورد ادمین هم قوی بود

ولی امروز صبح به سایت مراجعه کردم دیدم هک شده

و صفحه اصلی این عبارت را نوشته

aMIr-Fu*KeR and Mr_BL4cKH3T

بعد داخل گوگل سرچ کردم دیدم تو نتایج گوگل خیلی موارد مشابه وجود داره

بکاپ سایت را برگردوندم به چند روز قبل ، سایت درست شده

به نظرتون مشکل از سرور نمیتونه باشه ؟چکارهای دیگه لازمه انجام بدم؟

فقط صفحه اصلی مشکل داشت؟بقیه صفحات سایت رو چک کردید ببینید باز میشه؟
در بیشتر مواقع فایل index.php رو مورد حمله قرار میدن و اگر دوباره فابل index رو اپلود کنید و جایگزین شود سایت بالا می اید

[syncronet]

علت اینکه با جستجوی نام مستعار دیفیس کننده ها، تعداد زیادی سایت با همین مشکل داخل گوگل پیدا میشه به این دلیل هست که شخصی/اشخاصی که به سایت شما نفوذ کردند در یک بازه زمان کوتاه اقدام به دیفیس کردن سایتهای مختلف کرده اند. به این شکل که با استفاده از یک یا چند شیوه خاص(معمولا یک شیوه) اقدام به نفوذ به تعداد زیادی سایت در یک بازه زمانی کوتاه کرده و به سرعت اقدام به دیفیس سایت با صفحه دیفیس طراحی شده برای خودشون کردند. علت دیفیس شدن این سایتها معمولا یک مشکل امنیتی مشترک بین این سایتها هست(یک حفره امنیتی شناخته شده در اسکریپت سایتها و یا حتی استفاده از رمزهای عبور بسیار ضعیف که سریعا در یک حمله دیکشنری ساده شکسته می شن).

با جستجو نام های مستعار ارایه شده از سوی شما در گوگل آدرس زیر هم قابل دسترس هست:

http://www.zone-h.org/archive/notifier=Mr_BL4cKH3T?zh=1

ظاهرا سایتهای مختلفی در روز گذشته دیفیس شده که و به نام مستعار Mr_BL4cKH3T ثبت شده. احتمالا این شخص از یک حفره امنیتی مشترک در اسکریپت سایتها موفق به دیفیس این سایتها در یک بازه زمانی کوتاه شده.

احتمال اینکه نفوذ به سایتها از طریق یک حفهره امنیتی در سرور میزبان صورت گرفته باشه هم وجود داره. مثلا یک سایت روی یک سرور هاست اشتراکی هک و از طریق اون هکر بتونه به سایر سایتهای میزبانی شده روی سرور نفوذ کنه در این صورت باید تعداد زیادی سایت دیفیس شده به صورت هم زمان روی یک IP وجود داشته باشه که البته باز هم بدون بررسی دقیق لاگهای دسترسی هکر نمیشه در مورد اظهار نظر کرد. در صورتیکه سایت شما روی یک هاست اشتراکی هست بهترین کار تماس گرفتن با پشتیبان هاست هست. در این صورت پشتیبان هاست میتونه بعد از بررسی لاگهای نفوذ را شناسایی و در اختیار شما قرار بده و یا حداقل تریس ره گیری انجام شده تا رسیدن به یک نقطه کور رو در اختیار شما قرار بده(احتمال رسیدن به یک نقطه کور معمولا در زمانی مشاهده میشه که نفوذ اولیه از طریق یک اسکریپت صورت گرفته باشد که زمان آپلود اسکریپت به مدت ها قبل بازگشته و لاگهای دسترسی در زمان آپلود فایل دیگر موجود نباشد) این اطلاعات معمولا توسط سرویس دهنده های هاست جمع آوری و در اختیار کاربر قرار داده می شود (مسلما یک سرویس دهنده اینترنت ترجیح می دهد لاگهای یک نفوذ را جمع آوری و در اختیار کاربر خود قرار دهد تا به این شکل با مشخص شدن عامل نفوذ، شبه مربوط به مشکل امنیتی سرور میزبان سایت برطرف گردد عدم همکاری هاست در این زمینه تنها باعث تخریب وجه امنیتی ایشان خواهد شد. البته لازم هست از سوی کاربر هم همکاری بشه و پیش از گزارش هک به پشتیبان هاست از دستکاری در محتوای سایت خودداری بشه تا امکان ردگیری سریعتر برای پشتیبان وجود داشته باشه)

[git]

فقط صفحه اصلی مشکل داشت؟بقیه صفحات سایت رو چک کردید ببینید باز میشه؟
در بیشتر مواقع فایل index.php رو مورد حمله قرار میدن و اگر دوباره فابل index رو اپلود کنید و جایگزین شود سایت بالا می اید

کد بارش باران داخل جدول wp-option قرار داده بود من حذف کردم صفحه سفید و مشکل در اتصال دیتابیس داد

برای اینکه خیالم راحت بشه وردپرس را از اول نصب کردم و جداول اصلی را ریستور کردم

کد http://www.raft25.ir/page/b-baran-1 را داخل جدول گذاشته بود با یه اهنگ و عکس http://uupload.ir/files/ete_231e74813bdd93da1.jpg

دقیقا مثل همین سایتymx. ir شده بود

صاحب قبلی سایت اسکریپت اپلود عکس نصب کرده بود که من ازش خبر نداشتم فکر کنم از همین طریق شل اپلود کرده بود

البته من وقتی متوجه این خرابکاری ها شدم بدون هیچ تغییری از کل دیتابیس و هاست بکاپ گرفتم

[J0k3R]

احتمالا سرور رو هک کردن !
جدیدا میان کانفینک whmcs میسازن و اکانت های whmcs رو کرک میکنن این احتمال هم هست .

[almandata]

سلام

جدیدا یه باگ پیدا شده احتمالا از اون هم باشه

پچ اونو اوکی کنید احتمالا مشکلی پیش نیاد براتون

[alimoein]

دوست عزیز برای جلوگیری از هک شدن سایت خود کافیست به چند نکته توجه کنید
1 : امنیت سرور های اراه دهنده خدمات میزبانی خود را بسنجید
2 : آپتایم اراعه دهنده سرویس خود را بسنجید
3 : در پسورهای خود از عدد - حروف و کاراکتر استفاده کنید
4 : پسورد خود را خر چند وقت یکبار تغییر دهید
موفق باشید