هک شدن سایت توسط گروه xx-alibala-xx

[IrIsT]

سلام و درود
یک سوال بسیار خوب برای مدیران سرور.که بتونن حمله هارو بشناسن و تشخیص بدن.از متن بسیار ساده میشه فهمید
عزیز،گفتی فایل دیتابیست یک کد گذاشته
خوب،پسوورد فایل کانفیگتو عوض کن.سیم لینک خوردی عزیز.فایل کانفیگت سیم زده شده
پسووردشو عوض کن و سرورتو تغییر بده.
تمام
یک حالت خیلی قوی هستش تو این موارد،سیم لینک.فایل کانفیگ.میتونسته یوزرتو بزنه.اما پسوورد های وردپرس کرکش سخته.واسه همین کد زده
Sqli 1% امکان داره.اگه اس کیو ال بزنه،یعنی مرد میخواد که بتونه تیبل رو دست کاری کنه و کد بذاره.همه میرن سروقت یوزر.اگه بخواد با اس کیو ال هک کنه و اسکریپت بذاره
چرا نیاد پسووردتو عوض کنه و لاگین کنه؟بعد رو سرورت شل بریزه؟
پس سیم لینک خوردی.به همین سادگی
یوزر و پس کانفیگ رو زده.با شل وصل شده.تیبل و ادیت کرده.راحت
حالا دو کدوم سرور بودی؟

- - - Updated - - -

اینجور که میگین هک شدن توسط اسکریپتتون یا بهتر بگم نفوذ به سیستم مدیریتی اسکریپتتون بوده حالا یا باگ داشته یا کی لاگر رو پی سی دارید یا پسوورد ضعیف
پ.ن:البته تا ندونم اسکریپت چی بوده و آیا با اون میشده یک تک در دیتا بیس گذاشت یا نه.
نمیشه با اطمینان گفت. ولی با توجه به اینکه میگید پسسورد عوض شده و فایلها هستند و فقط صفحه ایندکس اونم با ایمپورت کدی در دیتا بیس هک شده احتمال مورد فوق بیشتره
برای محکم کاری روی پوشه/فایل ادمین از طریق کنترل پنل هاستینگ یک پسوورد هم ست کنید و یا آدرس مدیریت رو تغییر بدین

- - - Updated - - -

احیانا یکی از سایتهای زیر نیستید؟
hack.jpg

درود
با اجازتون یک پسر 15 ساله یک دو کلام بگه.کیلاگید و این چیزا اگه بذاره که اصلا در کار نبوده،خوب پسوورد ورد به کنترل پنل و میزنه.چه کاریه پسوورد wp admin رو بزنه
دوم اینکه کیلاگر و اینا قدیمی شده.کمتر استفاده میشه.ببینید چی نوشته دیتابیس تغییر داده شده.

توی مطالب تغییر پسوورد نبود.یک تیبل عوض شده
Sqli روی سرور سعی میکنن بزنن که باگ زدن و اینکه پسوورد کرک کردن سخته.به دردسر نمی ارزه
گزینه هیچ کدام از موارد بالای شما صحیح هست
سیم لینک.فایل کانفیگ خونده شده.بهترین و ساده ترین راه واسه تشخیص هم همین که یک فیلد بجر یوزر و پس ادیت شده هستش
سوال هوشه.
99% سیملینک
یعنی 1% که باید بگم یک هزارم درصد sqli باگ روی پورتال.اما واسه یک هکر وقت مهم.مگه اینکه سایت مهمهی باشه.

نکته: یک پسر 15 ساله میگه شاید استارتر نمیخواد سایتشو کسی بفهمه.شما عکس میذارید؟کار صحیحی نیست.
موفق باشید

[hegza]

سلام و درود
یک سوال بسیار خوب برای مدیران سرور.که بتونن حمله هارو بشناسن و تشخیص بدن.از متن بسیار ساده میشه فهمید
عزیز،گفتی فایل دیتابیست یک کد گذاشته
خوب،پسوورد فایل کانفیگتو عوض کن.سیم لینک خوردی عزیز.فایل کانفیگت سیم زده شده
پسووردشو عوض کن و سرورتو تغییر بده.
تمام
یک حالت خیلی قوی هستش تو این موارد،سیم لینک.فایل کانفیگ.میتونسته یوزرتو بزنه.اما پسوورد های وردپرس کرکش سخته.واسه همین کد زده
Sqli 1% امکان داره.اگه اس کیو ال بزنه،یعنی مرد میخواد که بتونه تیبل رو دست کاری کنه و کد بذاره.همه میرن سروقت یوزر.اگه بخواد با اس کیو ال هک کنه و اسکریپت بذاره
چرا نیاد پسووردتو عوض کنه و لاگین کنه؟بعد رو سرورت شل بریزه؟
پس سیم لینک خوردی.به همین سادگی
یوزر و پس کانفیگ رو زده.با شل وصل شده.تیبل و ادیت کرده.راحت
حالا دو کدوم سرور بودی؟

- - - Updated - - -



درود
با اجازتون یک پسر 15 ساله یک دو کلام بگه.کیلاگید و این چیزا اگه بذاره که اصلا در کار نبوده،خوب پسوورد ورد به کنترل پنل و میزنه.چه کاریه پسوورد wp admin رو بزنه
دوم اینکه کیلاگر و اینا قدیمی شده.کمتر استفاده میشه.ببینید چی نوشته دیتابیس تغییر داده شده.

توی مطالب تغییر پسوورد نبود.یک تیبل عوض شده
Sqli روی سرور سعی میکنن بزنن که باگ زدن و اینکه پسوورد کرک کردن سخته.به دردسر نمی ارزه
گزینه هیچ کدام از موارد بالای شما صحیح هست
سیم لینک.فایل کانفیگ خونده شده.بهترین و ساده ترین راه واسه تشخیص هم همین که یک فیلد بجر یوزر و پس ادیت شده هستش
سوال هوشه.
99% سیملینک
یعنی 1% که باید بگم یک هزارم درصد sqli باگ روی پورتال.اما واسه یک هکر وقت مهم.مگه اینکه سایت مهمهی باشه.

نکته: یک پسر 15 ساله میگه شاید استارتر نمیخواد سایتشو کسی بفهمه.شما عکس میذارید؟کار صحیحی نیست.
موفق باشید

درود
حالا زیاد دلگیر نباش آقا شما 50 ساله ما مخلصیم
در مورد کی لاگر کنترل پنلها از ssl بعضا استفاده میکنن و درست نمیشه کی لاگ کرد + این دوستمون هزار تا مورد میتونه باشه تا بررسی نشه نمیشه گفت. اما متداول ها رگفتیم + مثلا ممکنه از گوشی یا تبلت وارد مدیریت بشه اما طبیعتا کم پیش میاد از گوشی وارد هاستینگ بشن. پس این کی لاگر گرفتن دلیلی نیست که حتما چون پس ادمین رو داشته باید کنترل پنلم دستش باشه.
بنده این مورد رو قبل از اینکه بدونم پسوورد مدیریت عوض نشده گفتم وگرنه اینو میدونستم قضیه کی لاگر منتفی بود و چون وردپرس بوده و با رفتن به مدیریت میشه راحت تمپلت رو ادیت کرد. و چون هکر از دیتا بیس محتوای صفحه رو عوض کرده پس طبیعتا به فایل ها دسترسی نداشته حالا یک باگ در تمپلت و یا پلاگین ها میتونسته این دسترسی به قسمتی خاص از دیتا بیس ها رو بهش بده
پ.ن:تو ایران بخاطر نبودن قوانین کپی رایت بعضا طراحان برای جلوگیری از استفاده بدون اجازه آثارشون باگهایی در قسمتهای خاصی میزارن و این باگ ممکنه توسط هر برنامه نویسی که اجمالا بررسیش کنه هویدا بشه
+ جالب اینه این هکر اکثرا سایتهای موزیک رو هک کرده پس این نکته مشترک میتونه اشاره به یک باگ مشترک داشته باشه
یا حق

[IrIsT]

درود
حالا زیاد دلگیر نباش آقا شما 50 ساله ما مخلصیم
در مورد کی لاگر کنترل پنلها از ssl بعضا استفاده میکنن و درست نمیشه کی لاگ کرد + این دوستمون هزار تا مورد میتونه باشه تا بررسی نشه نمیشه گفت. اما متداول ها رگفتیم + مثلا ممکنه از گوشی یا تبلت وارد مدیریت بشه اما طبیعتا کم پیش میاد از گوشی وارد هاستینگ بشن. پس این کی لاگر گرفتن دلیلی نیست که حتما چون پس ادمین رو داشته باید کنترل پنلم دستش باشه.
بنده این مورد رو قبل از اینکه بدونم پسوورد مدیریت عوض نشده گفتم وگرنه اینو میدونستم قضیه کی لاگر منتفی بود و چون وردپرس بوده و با رفتن به مدیریت میشه راحت تمپلت رو ادیت کرد. و چون هکر از دیتا بیس محتوای صفحه رو عوض کرده پس طبیعتا به فایل ها دسترسی نداشته حالا یک باگ در تمپلت و یا پلاگین ها میتونسته این دسترسی به قسمتی خاص از دیتا بیس ها رو بهش بده
پ.ن:تو ایران بخاطر نبودن قوانین کپی رایت بعضا طراحان برای جلوگیری از استفاده بدون اجازه آثارشون باگهایی در قسمتهای خاصی میزارن و این باگ ممکنه توسط هر برنامه نویسی که اجمالا بررسیش کنه هویدا بشه
+ جالب اینه این هکر اکثرا سایتهای موزیک رو هک کرده پس این نکته مشترک میتونه اشاره به یک باگ مشترک داشته باشه
یا حق

سلام دادا.من همون 28 هستم.اما میبینی چه طنعی داره؟چیزی که عوض داره گلایه نداره.هههه.اما مخلصتم
نکاه کنید،کوچکترین باگ که داشته باشه،که بتونه نفوذ کنه،میتونی سطح دسترسیشو ببره بالا
وقتیومیتونه index بسازه،ایا از دیتابیس میره؟
من گفتم،اول اینکه من اصلا ایشون و نمیناسم.اما میتونم بشناسم.ولی لازمش ندارم
دوم اینکه،سایت های موزیک رو کدوم سرور بودن؟سرورشون یکی بوده؟
سوم اینکه،روش هک کردن اونجا هم همینطوری بوده؟
این سوالات پاسخ اگه این باشه که یک سرور بودن،مطمئنن از سرور یک دسترسی دارن و سایتوهای موزیکو میزنن
نکنه دوم یک احتمال میشه داد،پوشه wp content و پوشه پلاگین و theme
اگر سرور جدا بوده،باید چک بشه که ایا قالب هاشون یکی بوده.احتمال قالب هست
بعدش من بهشون گفتم،ایشون فرق گفتن سی ام اس خیلی خرابه.اصلا نمیدونه وردپرس روشه و اینکه اصلا نمیدونن چقدر گستردگی داره و کار نکردن
این روش هک رو میشه پیدا کرد
اگه تمایل داشته باشین،دو نمونه از هک کردناش،صاحباشون بگن.مخصوصا استارتر عزیز که راهش رو بفهمن
من و شما hegza عزیز،راهشو پیدا میکنیم.یعنی فقط چیزایی که میگم روی سایت اولی پیدا کن.سایت دومی هم من
راه حلشو نصف روزه توی سایت میذاریم.
پس یا سرور دسترسی دارن که باید دید یک سرور بوده
یا قالب یکی بوده که قالب مشکل داره
بقیه چیزا نوع حرف زدنشون که گفتن دسترسی دارم و سی ام اس خیلی خرابه و .... نمیدونن سی ام اس وردپرس یعنی چی
اینو مطمئنم هیچ باگ خصوصی نبوده.
اما میتونم چک کنم.شمام یا اگه کس دیگهوایمیخواد و هدف قرار گرقته شده،بهم پیام بدن
راهشو همینجا میذارم
هیچوقت یک هکر راهشو نمیگه.سعی میگه بپیچونه.
من با پلاگین زن های بزرگتر از این دوستم ه تا الان هرچی رو خواستن زدن.اما واقعا وردپرس کارن و حرفه ای
اما ایشون از طرز برخورد،و حرفشون،مشخص بود یک چیزی به دستش رسیده
اماده کمک هستیم.رایگان.واسه اینکه مشکلتون و مشکل چند نفر دیگه حل شه
هرکی پایه بود میام بده.بریم جلو.
فقط راه حل رو میدا کنیم که 99 درصد میدونم.اما واسه اطمینان میگم

این کار،یک تست خبلی خوب واسه شما کاربران،همتون،هستش که بتونید تو کمترین زمان جلوشو بگیرید
شاید یک روز واسه شما اتفاقوبیفته
اما از وردپرس نبوده.چون گفتم حاضدم روی سرورم نصب کنم.یا همین سایت ووببرم رو سرورم.اون موقع بزنه
اگه استارتر میخواد و دوستانکپایه،بسم الله

- - - Updated - - -

باسلام، بنده اطلاع ندارم سرور دست خودتون هست یا از هاست میزبانی استفاده میکند، اما اگر دست خودتون هست به طور مثال برای سی پنل لاگ های get تمامی در مسیر /usr/local/cpanel/logs/access_log قرار میگیرند و اگر در تاریخ و ساعت مشخصی جستجوی بکنید تمامی فعالیت های انجام شده بروی سایت شما قابل مشاهده است و خیلی راحت میتوانید تمامی فعالیت های هکر را مشاهده کنید، اگر هم هاست میزبانی دارید یک تیکت بزنید شاید با یک هزینه ای لاگ های سایت شما را در اختیارتان قرار دهند.

سلام داداشی.
با حرفت نوافقم.مدیر سرور رایگانم که شده واسه اطمینان مشتری،رایگان کمک کنه
فقط من نمیدونم میزبانی کجا بودن؟
از حرف هایواستارتر مشخصه میهمان یک هاستینگ هستند.

[hegza]

نکاه کنید،کوچکترین باگ که داشته باشه،که بتونه نفوذ کنه،میتونی سطح دسترسیشو ببره بالا
وقتیومیتونه index بسازه،ایا از دیتابیس میره؟
.

پست اول استارتر رو ببینید اون طرف فقط تونسته تو یک فیلد یک مقدار کد html بزاره(که این خودش باگ وردپرس بحساب میاد قبول متغییرهای غیره استاندارد) پس حک سایت فقط از طریق قرار دادن اطلاعات در یک فیلد دیتابیس بوده و دسترسی به فایلها نداشته

با سلام به همه
دوستان چند روز پیش سایت وردپرسی من توسط گروه xX-AlibalA-Xx هک شد .

سایتم رو باز کردم که یهو سایت کاملا سیاه بود و اسم این گروه به همراه موزیک نشون داده شد .
هر چقدر بررسی کردم هیچ فایلی اضافه و یا کم نشده بود . به مدیریت هم نمیشد وارد شد .
بالخره وقتی که به دیتابیس سایت رفتم متوجه شدم که در فیلد آدرس سایت (site url) به جای این که آدرس سایتم باشه ، کدهای اچ تی ام الی (مثلا کل پس زمینه رو سیاه کرده بود و یه عکس لود کرده بوده و نوشته بود که توسط گروه علی بلا هک شده به انگلیسی) بود که هکر گذاشته بود .
خوب من این قسمت رو پاک کردم و ادرس سایت رو نوشتم مشکل کاملا رفع شد و سایت به حالت قبلی برگشت . اما
الان مشکلی دردناکی که حتی باعث میشه شب خوب نخوابم !! اینه که این هکر چطوری تونسته این کار رو بکونه و فیلدی از دیتابیس رو عوض کنه با این که تمام موارد امنیتی رو رعایت کرده بودم .
مشکلم اینه که بفهم چطوری این کار رو کرده ؟
لطفا اگر کسی میتونه کمک کنه .
چون میترسم بازم هکر از باگی که استفاده کرده بود دوباره بیاد و هک کنه .
لطفا کمک کنید .