بررسی حادثه ی هک شدن سرور من

**~~afrateam~~** · May 21st, 2013, 17:33

سلام

من یه سرور مجازی ویندوز 2003 دارم و امروز که لاگ های وب سرور رو چک کردم متوجه شدم صبح حدودا ساعت 3 چندتا فایل فشرده از سرور دانلود شده. فایلهایی که من روی سرور نریخته بودم. هیستوری فایرفاکس نصب شده روی سرور رو چک کردم و دیدم که هکر وارد phpmyadmin شده و از دیتابیس هم اکسپورت گرفته و نهایتا دیتابیس و سایر فایل های روی سرور رو بصورت فایل های فشرده برای خودش دانلود کرده بود.

اگر مهمه، روی سرور این نرم افزارها نصبه:

فایرفاکس
نوت پد ++
7 زیپ
زمپ لایت پورتابل

نرم افزار های فوق همگی از سایت اصلیشون دانلود شدن

نکاتی که برای حفظ امنیت مد نظرم بوده:

محدود کردن phpmyadmin فقط برای آی پی خود سرور
روی سرور فقط سه سایت وردپرسی هست که wp-admin به آی پی شخصی من محدود شده
روی سایت ها هیچ پلاگینی نصب نیست
قالب رو خودم نوشتم و مشکلی نداره

با این تفاسیر به نظر میاد که هکر از طریق ضعف های سیستم عامل سرور رو هک کرده و به سرور ریموت شده نه اسکریپت هایی که روی سرور نصب شده (البته من از امنیت سر در نمیارم)

ضمنا:
- سیستم خودم کی لاگر و ویروس نداره
- ویندوز سرور 2003 نصب شده روی سرور ظاهرا کرک شده هست
- هیچ شل php روی سرور یافت نشد

به نظرتون چجوری هک شدم؟
برای جلوگیری از تکرار این مساله در سرورهای دیگه باید چیکار کنم؟
استفاده از ویندوز سرور 2008 یا 2012 راهگشا هست و میشه روی اینها با اطمینان نسبتا زیاد کارهام رو ادامه بدم؟

ذکر این نکته هم لازمه که به نظر میاد هکر اماتور بوده چون با ای پی ایرانی هک رو انجام داده. یا شایدم حرفه ای بوده و این مساله یه نکته انحرافی هست

ممنون

**ra3ou1** · May 21st, 2013, 17:43

به احتمال زیاد هکر از طریق xampp به سرور شما دسترسی گرفته

**~~afrateam~~** · May 21st, 2013, 17:49

نوشته اصلی توسط ra3ou1

به احتمال زیاد هکر از طریق xampp به سرور شما دسترسی گرفته

یعنی اینقدر وضعش خرابه؟
خود زمپ مشکل داره یا apache و mysqlـی که همراهشه ؟!

**~~afrateam~~** · May 21st, 2013, 23:18

نظر سایر دوستان چیه؟

**sarwhost** · May 21st, 2013, 23:24

این لینک را مشاهده کنید شاید به دردتان بخورد

شرکت سرو آی تی - اخبار

**~~afrateam~~** · May 21st, 2013, 23:28

خیلی ممنون

**ra3ou1** · May 21st, 2013, 23:58

xampp میدونم باگ داره

و اینکه الان مجدد دیدم گفتین wp نصبه از طریق wp هم امکان داره نفوذ کرده باشه

wp باگ پرایویت داره

به هرحال احتمالاتی که به نظر من وجود داره

1- مدیر سرور وارد شده باشه در صورتی که پسورد رو تغییر نداده باشین

2-از طریق زمپ زده باشه

3- از طریق وردپرس نفوذ کرده باشه

و اینکه از کجا میدونید وارد phpmyadmin شده ؟

شاید از یوزر پس دیتابیس برداشته و به دیتابیس متصل شده

و شاید هم پسورد مناسبی انتخاب نکردین کرک کردن

**~~afrateam~~** · May 22nd, 2013, 00:11

نوشته اصلی توسط ra3ou1

xampp میدونم باگ داره

و اینکه الان مجدد دیدم گفتین wp نصبه از طریق wp هم امکان داره نفوذ کرده باشه

wp باگ پرایویت داره

به هرحال احتمالاتی که به نظر من وجود داره

1- مدیر سرور وارد شده باشه در صورتی که پسورد رو تغییر نداده باشین

2-از طریق زمپ زده باشه

3- از طریق وردپرس نفوذ کرده باشه

و اینکه از کجا میدونید وارد phpmyadmin شده ؟

شاید از یوزر پس دیتابیس برداشته و به دیتابیس متصل شده

و شاید هم پسورد مناسبی انتخاب نکردین کرک کردن

ای بابا. دلم نمیاد از زمپ دل بکنم

مدیر سرور از اعضای قدیمی و قابل اعتماد انجمنه

در مورد زمپ و وردپرس حرفی ندارم

برای phpmyadmin هم تو هیستوری فایرفاکس نصب شده روی سرور لیست شده بود که وارد phpmyadmin شده و اکسپورت گرفته

**ameri** · May 22nd, 2013, 00:17

نوشته اصلی توسط afrateam

ای بابا. دلم نمیاد از زمپ دل بکنم

مدیر سرور از اعضای قدیمی و قابل اعتماد انجمنه

در مورد زمپ و وردپرس حرفی ندارم

برای phpmyadmin هم تو هیستوری فایرفاکس نصب شده روی سرور لیست شده بود که وارد phpmyadmin شده و اکسپورت گرفته

میتونید apache, phpmyadmin و ftp رو به صورت جداگانه نصب کنید !

**~~afrateam~~** · May 22nd, 2013, 00:22

نوشته اصلی توسط ameri

میتونید apache, phpmyadmin و ftp رو به صورت جداگانه نصب کنید !

اره باید اینو یادبگیرم. فوقش دفعه اول یکم طول میکشه که قلقش دستم بیاد ولی در عوض یه عمر راحتم و همیشه میتونم از اخرین نسخه های موجود استفاده کنم و به نسخه ای که تو زمپ هست محدود نمیشم

موضوع: بررسی حادثه ی هک شدن سرور من

ابزارهای موضوع

نحوه نمایش موضوع

Hybrid View