هک شدم لطفا کمک کنین

**badserver** · December 19th, 2011, 22:43

سلام
دوستان ببخشید مستقیم میرم سر اصل مطلب
سرور ما توسط یک هکر هک شده و تونسته به روت سرور دسترسی پیدا کنه
و پسورد WHMCS رو هم عوض که این مورد ها رو هم درست کردیم
اما یک سری مشکلاتی وجود داره
امروز باز متوجه شدیم که پسورد ادمین WHMCS ما عوض شده
پس یعنی هنوز هکر دسترسی داره و واسه خودش جا خوش کرده!
یک ایمیل هم از طرف سی پنل اومده واسمون که این نوشته
اگه اشتباه نکنم طرف واسه خودش توی لینوکس یه یوزر ساخته
ایمیل اینه:

IMPORTANT: Do not ignore this email.
This message is to inform you that the account root2 has user id 0 (root privs).
This could mean that your system was compromised (OwN3D). To be safe you should
verify that your system has not been compromised.

و

IMPORTANT: Do not ignore this email.
This message is to inform you that the account law has user id 0 (root privs).
This could mean that your system was compromised (OwN3D). To be safe you should
verify that your system has not been compromised.

دوستان لطفا راهنمایی کنن که الان باید چیکار کنم؟
چطور بفهمم که هکر واسه خودش یوزر ساخته یا نه؟
با چه دستوری توی ssh میتونم بزنم که آنتی ویروس Clamav کل سرور رو اسکن کنه و ویروس و شل هارو حذف کنه
دیگه چه کار هایی نیاز هست که انجام بدیم
لطفا راهنمایی کنین
داره واسمون دردسر بزرگی میشه

**nimafire** · December 19th, 2011, 23:01

پچ امنیتی برای این مورد ارایه شده برای نسخه 5.0.3 اپگرید کنید اگر نال هستید که دیگه.... .

**badserver** · December 19th, 2011, 23:11

در حال حاضر که دوباره وارد شدن روی نسخه 5.0.3 بودیم!
اما بازم...

---------- Post added at 11:11 PM ---------- Previous post was at 11:05 PM ----------

چیزایی که خواستم واقعا کسی بلد نیست؟

**~~tinavps~~** · December 19th, 2011, 23:17

راهکار :
1-فرمت قدیم بازهم جدیدترین پیشنهادهاست
2-با حفظ خونسردی از اول سی پنل رو نصب کنید
3-قبل از اجرای قدم اول shell access disable کنید
4-قدم نمی دونم چندم : طرف یک exploit فایل php آپلود کرده باید با کاربر root در لینوکس جستجو کنید
5-قدم 16 : مشکل از whmcs بود که نال شده ی یک نامرد بود
6-قدم 17 چرا php را تحت suphp ران نکردید ؟
7-قدم بیست و خورده ای : اکانت های ftp anonymous و دیتابیس test در دی بی رو حذف کنید
8-اگر حوصله ی تنظیم firewall رو ندارید از سی پنل csf رو استفاده کنید.
9-از chroot jailed استفاده کنید تا پس از نفوذ در php یا یک سایت خود لینوکس هک نشه. درواع jail بودن یعنی کاربری یک سایت محدود به فولدر public_html خودش هست و هکر از اون عقب تر رو نمی بینه
10-مطمئن شو که در easyapache پکیج webdav رو تیک نزده باشی که نباید تیک خورده باشه
11-تیک فرونت پیج رو هم بردار
12-از چه پرتالهایی استفاده می کردی بجز این ؟ مثلا وی بولتین قدیمی یا جوملا قدیمی ؟
13-قابلیت index تعریف اون روی index.php و index.html و index.htm هست دوتاindex.html و index.htm رو حذف کن
14-برای مدت موقت فولدرهای سایت هات رو Read only ازطریق root linux command کن
15-لاگ رو ببین که روش چی بوده احتمال زیاد نال بودن بوده
16- disabled function رو طبق مقاله ها تعریف کن و قابلیت خواندن php.ini مجدد در هر فولدر رو بردار
17-دستورهای shell و iniset رو درdisabled functions در php config اضافه کن
18-پورت دیتابیس رو عوض کن در قسمت my.conf و در کانفیگ فایروال ببین که incoming و outgoing برای پورت جدید بسته باشه
19-علی الحساب با دستور لینوکس که فکر کنم chmod بود برای کاربر www کل فولدر home/USER رو ست کن روی رید آنلی یعنی 600 یا wr----
20- خونسرد باش و سرت رو بالا بگیر مرد تنها سایت های معروف هک میشند
تبریک می گویم زود هک شدن بهتر از اینکه بزرگ ترین شرکت شوی و هک شوی پس از همین الان برو به سمت حرفه ای شدن

نیم نگاهی هم به asp.net کن

**~~maryam1~~** · December 19th, 2011, 23:33

تورو خدا نال استفاده نکنید
خودتونو بیچاره میکنید یعنی ماهی 19 تومن ارزش نداره؟

**~~tinavps~~** · December 19th, 2011, 23:35

یعنی ارزش یک ت...... رو هم نداشت ؟

**Mohammad_reza** · December 19th, 2011, 23:45

نوشته اصلی توسط badserver

در حال حاضر که دوباره وارد شدن روی نسخه 5.0.3 بودیم!
اما بازم...

پوشه های template_c و downloads رو چک کنید و ببینید که آیا فایل های به اسم red.php یا b0x.php در اونها هست یا نه ؟ اگه بود حذفش کنید. و WHMCS خود را به آخرین ورژن ارتقاع بدید (حتما لایسنس داشته باشید)
ورود به پورت های اس اس اچ و 2087 و 2086 رو روی آی پی خودتون محدود کنید (درصورتی که نمایندگی ندارید)

**vps-baran.ir** · December 19th, 2011, 23:45

نوشته اصلی توسط badserver

و پسورد WHMCS رو هم عوض که این مورد ها رو هم درست کردیم
اما یک سری مشکلاتی وجود داره
امروز باز متوجه شدیم که پسورد ادمین WHMCS ما عوض شده
پس یعنی هنوز هکر دسترسی داره و واسه خودش جا خوش کرده!

ببین واسه منم همین طور شده بود اولین کاری که کردم پچ امنیتی رو عوض کردن . با عوض کردن پچ امنیتی فقط 80% کار رو انجام دادی .
بعد برو تو phpmyadmin جدولی که مربوط به ادمین میشه رو پیدا کن . بعد اونجا ایمیل عوض شده ایمیل رو عوض کن . بعد بورو تو قسمت لوگین ادمین whmcs ریست پسورد کن . مطمعا باش دیگه راهی نداره بیاد تو whmcs من این کارو کردم درست شد

**~~tinavps~~** · December 19th, 2011, 23:55

ازکجا تضمین کردی که اگر این کار رو کنه دیگه تمومه؟ هکرها بعد از ورود چندید exploit در فولدرهای مختلف می گذارند حتی اگر حرفه ای باشد .jpg های آلوده هم که بحث خودش روداره. ایشون میگه طرف رفته اکانت تحت لینوکس ساخته یعنی می تونه بزنه
del home

**badserver** · December 19th, 2011, 23:57

دوستان whmcs من نال نیست و لایسنس دارم

---------- Post added at 11:57 PM ---------- Previous post was at 11:56 PM ----------

ممنونم از دوستانی که کمک کردن
اما کسی دستور اسکن آنتی ویروس و حذف کردن ویروس ها رو نداد

موضوع: هک شدم لطفا کمک کنین

ابزارهای موضوع

نحوه نمایش موضوع

هک شدم لطفا کمک کنین

پاسخ : هک شدم لطفا کمک کنین

تعداد تشکر ها از nimafire به دلیل پست مفید

پاسخ : هک شدم لطفا کمک کنین

پاسخ : هک شدم لطفا کمک کنین

تعداد تشکر ها ازtinavps به دلیل پست مفید

پاسخ : هک شدم لطفا کمک کنین

پاسخ : هک شدم لطفا کمک کنین

تعداد تشکر ها ازtinavps به دلیل پست مفید

پاسخ : هک شدم لطفا کمک کنین

تعداد تشکر ها ازMohammad_reza به دلیل پست مفید

پاسخ : هک شدم لطفا کمک کنین

تعداد تشکر ها از vps-baran.ir به دلیل پست مفید

پاسخ : هک شدم لطفا کمک کنین

تعداد تشکر ها از tinavps به دلیل پست مفید

پاسخ : هک شدم لطفا کمک کنین

اطلاعات موضوع

کاربرانی که در حال مشاهده این موضوع هستند

مجوز های ارسال و ویرایش