بررسی حادثه ی هک شدن سرور من

[afrateam]

سلام

من یه سرور مجازی ویندوز 2003 دارم و امروز که لاگ های وب سرور رو چک کردم متوجه شدم صبح حدودا ساعت 3 چندتا فایل فشرده از سرور دانلود شده. فایلهایی که من روی سرور نریخته بودم. هیستوری فایرفاکس نصب شده روی سرور رو چک کردم و دیدم که هکر وارد phpmyadmin شده و از دیتابیس هم اکسپورت گرفته و نهایتا دیتابیس و سایر فایل های روی سرور رو بصورت فایل های فشرده برای خودش دانلود کرده بود.


اگر مهمه، روی سرور این نرم افزارها نصبه:

1. فایرفاکس
2. نوت پد ++
3. 7 زیپ
4. زمپ لایت پورتابل

نرم افزار های فوق همگی از سایت اصلیشون دانلود شدن


نکاتی که برای حفظ امنیت مد نظرم بوده:

1. محدود کردن phpmyadmin فقط برای آی پی خود سرور
2. روی سرور فقط سه سایت وردپرسی هست که wp-admin به آی پی شخصی من محدود شده
3. روی سایت ها هیچ پلاگینی نصب نیست
4. قالب رو خودم نوشتم و مشکلی نداره

با این تفاسیر به نظر میاد که هکر از طریق ضعف های سیستم عامل سرور رو هک کرده و به سرور ریموت شده نه اسکریپت هایی که روی سرور نصب شده (البته من از امنیت سر در نمیارم)

ضمنا:
- سیستم خودم کی لاگر و ویروس نداره
- ویندوز سرور 2003 نصب شده روی سرور ظاهرا کرک شده هست
- هیچ شل php روی سرور یافت نشد

به نظرتون چجوری هک شدم؟
برای جلوگیری از تکرار این مساله در سرورهای دیگه باید چیکار کنم؟
استفاده از ویندوز سرور 2008 یا 2012 راهگشا هست و میشه روی اینها با اطمینان نسبتا زیاد کارهام رو ادامه بدم؟

ذکر این نکته هم لازمه که به نظر میاد هکر اماتور بوده چون با ای پی ایرانی هک رو انجام داده. یا شایدم حرفه ای بوده و این مساله یه نکته انحرافی هست

ممنون

[ra3ou1]

به احتمال زیاد هکر از طریق xampp به سرور شما دسترسی گرفته

[afrateam]

به احتمال زیاد هکر از طریق xampp به سرور شما دسترسی گرفته

یعنی اینقدر وضعش خرابه؟
خود زمپ مشکل داره یا apache و mysqlـی که همراهشه ؟!

[afrateam]

نظر سایر دوستان چیه؟

[sarwhost]

این لینک را مشاهده کنید شاید به دردتان بخورد

شرکت سرو آی تی - اخبار

[afrateam]

خیلی ممنون

[ra3ou1]

xampp میدونم باگ داره

و اینکه الان مجدد دیدم گفتین wp نصبه از طریق wp هم امکان داره نفوذ کرده باشه


wp باگ پرایویت داره

به هرحال احتمالاتی که به نظر من وجود داره

1- مدیر سرور وارد شده باشه در صورتی که پسورد رو تغییر نداده باشین

2-از طریق زمپ زده باشه

3- از طریق وردپرس نفوذ کرده باشه


و اینکه از کجا میدونید وارد phpmyadmin شده ؟

شاید از یوزر پس دیتابیس برداشته و به دیتابیس متصل شده

و شاید هم پسورد مناسبی انتخاب نکردین کرک کردن

[ameri]

xampp که باگ های زیادی داره
با یان باگ به کل سرور دسترسی پیدا میکنید:
XAMPP <= 1.7.3 multiple vulnerabilites
با این هم میشه فایل آپلود کرد (شل):
XAMPP WebDAV PHP Upload
-------------
نکته دیگری که باعث هک سرور (اغلب سرور های کوچک) میشه لو رفتن پسورد یا کرک شدن اونه
آیا پسور سرور از سرور های دیگر متمایز است ؟
آیا پورت ریموت را از حالت پیشفرض تغییر دادید ؟

[afrateam]

xampp میدونم باگ داره

و اینکه الان مجدد دیدم گفتین wp نصبه از طریق wp هم امکان داره نفوذ کرده باشه


wp باگ پرایویت داره

به هرحال احتمالاتی که به نظر من وجود داره

1- مدیر سرور وارد شده باشه در صورتی که پسورد رو تغییر نداده باشین

2-از طریق زمپ زده باشه

3- از طریق وردپرس نفوذ کرده باشه


و اینکه از کجا میدونید وارد phpmyadmin شده ؟

شاید از یوزر پس دیتابیس برداشته و به دیتابیس متصل شده

و شاید هم پسورد مناسبی انتخاب نکردین کرک کردن

ای بابا. دلم نمیاد از زمپ دل بکنم

مدیر سرور از اعضای قدیمی و قابل اعتماد انجمنه

در مورد زمپ و وردپرس حرفی ندارم

برای phpmyadmin هم تو هیستوری فایرفاکس نصب شده روی سرور لیست شده بود که وارد phpmyadmin شده و اکسپورت گرفته

[afrateam]

در مورد پسورد هم متشکل از حروف خط تیره و اعداد و همچنین منحصر به فرد بود. و البته پسورد همون پسوردی بود که مدیر سرور ست کرده بود که چون تازه وی پی اس رو تحویل گرفته بودم و درگیر نصب و پیکربندی زمپ و اینا بودم عوضش نکردم. البته مدیر سرور کاملا مطمئنه
پورت ریموت هم پیشفرض بود متاسفانه

ضمنا من از نسخه لایت زمپ استفاده کردم که فقط شامل موارد روبرو هست: Apache 2.4.2, MySQL 5.5.27, PHP 5.4.7, phpMyAdmin 3.5.2.2, OpenSSL 1.0.1c, XAMPP Control Panel 3.1.0