کمک فوری ، متخصص سرور ، و جوملا جواب بده

**~~TCIHost~~** · May 22nd, 2016, 09:23

احتمالا هک شدید جهت مسائل امنیتی اینجا تیکت بزنید سریعا کمکتون میکنن .

**davood_71** · May 22nd, 2016, 10:37

نوشته اصلی توسط hasanazizi

بله شاید
بعضی از هکرا فقط یه سری از تبل هارا ویرایش میکنن و دیگر کاری به باقی سایت ندارند ( تجربه شخصی )
بیشتر هکرای کلاه سفید جهت نشان دادن ضعف امنیتیمون این کارارو میکنن

آخه به این آسونی ها هم ، که تغییر نمیکنه، به چند دلیل
1- مسیر دیتابیس عوض شده و اصلا قابل حدس زدن نیست
2- ope_basedir فعال شده ، یعنی اگر مسیر دیتابیس رو هم به درستی وارد کنی ، نمیشه وارد دیتابیس شد ، خطایی میده که این مسیر بسته است (no input file)
3-رمز عبوری دیتابیس بالای 60 کاراکتر هست
4-فایروال comodo waf نصب هست ، که هرگونه حمله رو تشخصی میده ، ولی واسه این چیزی نگفت
5- خود سورس سایت هم که هیچ گونه باگ sql i نداره ، اگر هم داشته باشه ، جلوش گرفته شده.

خب حالا هکر چه جوری اومده یه تیبل رو ویرایش کرده ، من از یه هکر سوال کردم (یه هکر خیلی قوی ، که تاحالا بالای 1000 سایت رو هک کرده ) گفت ممکن هست ، نه کرش شده باشه نه هک شده باشه ، خودش از بین بره ، آیا همچین چیزی داریم؟
لاگ فایل (full usage log) توی داریکت ادمین رو نگاه کردم ، طرف داشته با گوشیش ثبت نام میکرده که بعد از اون با خطای http/1.1 500 مجوجه میشه و صفحه مربوط به خطا که error.css هست خوانده میشه
بعد از اون هر آی پی که وارد سایت می شد خطای http/1.1 500 می داد و ، صفحه مربوط به خطا خوانده میشد

----
فقط در قسمت (full error) توی دایرکت ادمین ، گفته ، هر ثانیه خطای ini_set رو میداد که غیر فعال شده و سیشن احتیاج به اون داره ، شاید بالای 10000 خطا اینجوری بوده ، دیگه هر آی پی وارد سایت شده ثانیه به ثانیه فعالیتش این خطا رو میداد
حالا با این توضیحات امکان هک هست؟ تاحالا کسی واسش همچین مشکلی پیش نیومده؟

**davood_71** · May 22nd, 2016, 11:59

استادان متخصصین ، لطفا برای اینکه من بهمم هک شدم یا نه ، کجارو باید چک کنم؟ مشکل فقط از دیتابیس بود ، سروس سایت دستکاری نشده بود ، چون دیتابیس قبلیم رو آپلود کردم سایت اومد بالا
ترخدا اگر میشه راهنماییم کنید که کجا رو چک کنم که مربطو به دیتابیس هست (مثلا اگر حمله ای شده نشون بده، یا دیتابیس دستکاری شده ، کجا لاگ میشه)

---
لاگ های زیر رو دیدم چیزی نبود :
لاگ error.log
لاگ Access.log
لاگ ful usage log (توی قسمت یوزر معمولی دایرکت ادمین که میگه کیا اومدن تو سایت کجا ها رفتن)
لاگ full error log (توی قسمت یوزر معمولی دایرکت ادمین که میگه خطاهایی که به ازای هر کسی میاد تو سایت نشون میده)
----
هیچ پورتی ، رمزی ، مسیری چیزی عوض نشد ، خلاصه هیچی تغییر نکرده نه رو سایت نه رو سرور ، نه ویورسی هست ، نه شلی هست نه روت کیت با این ها چک شده (rkhunter , maldet , clamav)
---
فقط بگید الان این دیتابیس مشکل پیدا کرده و خطای http/1.1 500 ّه هر کاربر نشود میداد ، و اون خطا که عکسش رو فرستادم رو نشون میداد، و خلاصه مشکل از دیتابیس هست ، این لاگش کجاس؟ لاگ دیتابیس رو میخوام (فکر کنم همین باشه)
انشاءالله هرچی از خدا بخواین ، همراه با مشتری و سود بیشتر بهتون بده ، دستتون درد نکنه کمک کنید

**faratv** · May 22nd, 2016, 18:02

ممکن هست هک شده باشید...این احتمال هم هست بخاطر هجوم کاربران و ضعف سیستم دیتابیس مختل شده باشه.

**davood_71** · May 22nd, 2016, 18:33

دوستان من امروز کامل کامل کامل ، دیتابیس رو بررسی کردم و فهیمدم دقیقا مشکل کجا بود
ولی اینکه چه جوری این مشکل به وجود اومده ، فعلا به اون کسی که سورس رو نوشته ارسال کردم اونم داره سورس رو بررسی میکنه
مشکل دقیقا اینه :
یه جدول توی دیتابس هست به اسم users ، که کاربرانی که ثبت نام میکنن ، مشخصات اونجا اورده میشه ، خب حالا به هر کاربری یه آی دی اختصاص داده میشه ، دیگه هرکی که ثبت نام کنه یه آی دی به آی دیش اضافه میشه
مثلا علی : آی دی 370
آروین : آی دی 371
مهناز : آ ی دی 372 و الی آخر ...
خب حالا یکی به اسم آرین با آی دی 390 ثبت نام کرده
ولی بعد اون یه ردیف توی جدول اورده شده که آی دیش 0 هست (این ردیف چه جوری به وجود اومده خدا میدونه اینش سوال هست)
حالا چون آی دیش 0 بود ، سایت بالا نمیومد ، شاید باور نکنید ، اما بالای 100 بار تست شد ، آی دی رو 1 کردیم سایت اومد بالا
مشکل اساسی همین بود که آخرین ردیف توی جدول کاربران آی دی 0 بود ، این آی دی 0 کاربر نیست ، معلوم هم نیست چه جوری درست شده

دوستان برنامه نویس ممکن هست به خاطره غیر فعال بودن تابع ini_set این مشکل به وجود آمده باشه؟ سیستم جوملا هست
ini_set هم وقتی غیر فعال شد توی لاگ خیلی و ثانیه به ثانیه گفته که سیشن جوملا احتیاج داره بهش و غیر فعال هست

چون 8 ماه هست سایت کار میکنه ، الان چند روزه ini_set غیر فعال شده ، و بعد اون همچین شد

**faratv** · May 22nd, 2016, 21:22

نوشته اصلی توسط davood_71

دوستان من امروز کامل کامل کامل ، دیتابیس رو بررسی کردم و فهیمدم دقیقا مشکل کجا بود
ولی اینکه چه جوری این مشکل به وجود اومده ، فعلا به اون کسی که سورس رو نوشته ارسال کردم اونم داره سورس رو بررسی میکنه
مشکل دقیقا اینه :
یه جدول توی دیتابس هست به اسم users ، که کاربرانی که ثبت نام میکنن ، مشخصات اونجا اورده میشه ، خب حالا به هر کاربری یه آی دی اختصاص داده میشه ، دیگه هرکی که ثبت نام کنه یه آی دی به آی دیش اضافه میشه
مثلا علی : آی دی 370
آروین : آی دی 371
مهناز : آ ی دی 372 و الی آخر ...
خب حالا یکی به اسم آرین با آی دی 390 ثبت نام کرده
ولی بعد اون یه ردیف توی جدول اورده شده که آی دیش 0 هست (این ردیف چه جوری به وجود اومده خدا میدونه اینش سوال هست)
حالا چون آی دیش 0 بود ، سایت بالا نمیومد ، شاید باور نکنید ، اما بالای 100 بار تست شد ، آی دی رو 1 کردیم سایت اومد بالا
مشکل اساسی همین بود که آخرین ردیف توی جدول کاربران آی دی 0 بود ، این آی دی 0 کاربر نیست ، معلوم هم نیست چه جوری درست شده

دوستان برنامه نویس ممکن هست به خاطره غیر فعال بودن تابع ini_set این مشکل به وجود آمده باشه؟ سیستم جوملا هست
ini_set هم وقتی غیر فعال شد توی لاگ خیلی و ثانیه به ثانیه گفته که سیشن جوملا احتیاج داره بهش و غیر فعال هست

چون 8 ماه هست سایت کار میکنه ، الان چند روزه ini_set غیر فعال شده ، و بعد اون همچین شد

احتمالاً یکی از آی دی ها از 0 تا 390 پاک شده...موقع ساخت کاربر جدید ... توالی این اعداد بهم ریخته و مشکل دیتابیسی ایجاد شده.
چک کنید ببینید همچین اتفاقی افتاده؟

**davood_71** · May 22nd, 2016, 21:24

نوشته اصلی توسط faratv

احتمالاً یکی از آی دی ها از 0 تا 390 پاک شده...موقع ساخت کاربر جدید ... توالی این اعداد بهم ریخته و مشکل دیتابیسی ایجاد شده.
چک کنید ببینید همچین اتفاقی افتاده؟

اینو چه جوری چک کنم؟
یعنی حمله نیست؟ احتمالش هست هکر حمله کرده باشه خودش 0 بده؟
اخه میدونی چیه وقتی یکی ثبت نام کنه فیدل ها دیگه هم تمکیل میشه
در صورتی که اون آی دی 0 هست ، فیلد دیگش وارد نشه ، فقط یه ردیف ساخته شده که آی دی 0 هست ، یعنی اون ردیف اصلا کاربر نیست ، معلوم نیست از کجا اومده

**hasanazizi** · May 23rd, 2016, 14:21

[QUOTE=davood_71;1522023
خب حالا هکر چه جوری اومده یه تیبل رو ویرایش کرده ، من از یه هکر سوال کردم (یه هکر خیلی قوی ، که تاحالا بالای 1000 سایت رو هک کرده ) گفت ممکن هست ، نه کرش شده باشه نه هک شده باشه ، خودش از بین بره ، آیا همچین چیزی داریم؟
لاگ فایل (full usage log) توی داریکت ادمین رو نگاه کردم ، طرف داشته با گوشیش ثبت نام میکرده که بعد از اون با خطای http/1.1 500 مجوجه میشه و صفحه مربوط به خطا که error.css هست خوانده میشه
بعد از اون هر آی پی که وارد سایت می شد خطای http/1.1 500 می داد و ، صفحه مربوط به خطا خوانده میشد

----
فقط در قسمت (full error) توی دایرکت ادمین ، گفته ، هر ثانیه خطای ini_set رو میداد که غیر فعال شده و سیشن احتیاج به اون داره ، شاید بالای 10000 خطا اینجوری بوده ، دیگه هر آی پی وارد سایت شده ثانیه به ثانیه فعالیتش این خطا رو میداد
حالا با این توضیحات امکان هک هست؟ تاحالا کسی واسش همچین مشکلی پیش نیومده؟[/QUOTE]
احتمالش هست که خودش اتوماتیک پاک شه
اون هکرو میتونی پ خ کنی واسم
اخه 1000 تا یعنی تقریبا = سورنا
خودم 380 تا دارم توسط بهزاد هم دوره خصوصی داشتم
اما
شما دیتابیس جدید و مشکل دارو دارین تا بنده هرگونه مشکلی داشت بهتون میدم
اگه دیتابیس مشکل دارو داشته باشین
فقط
اون چیزایی هم که جهت جلوگیری گفتی خیلی راحت قبال دور زدن هستن
و شاید هکر کل لاگ هارو پاک کرده باشه . شما trash یا همون زباله دونی رو سرورت نصب کردی که اگه فایلی حذف شه کلا حذف نشه و به پوشه trash بره ؟

**davood_71** · May 23rd, 2016, 14:45

نوشته اصلی توسط hasanazizi

احتمالش هست که خودش اتوماتیک پاک شه
اون هکرو میتونی پ خ کنی واسم
اخه 1000 تا یعنی تقریبا = سورنا
خودم 380 تا دارم توسط بهزاد هم دوره خصوصی داشتم
اما
شما دیتابیس جدید و مشکل دارو دارین تا بنده هرگونه مشکلی داشت بهتون میدم
اگه دیتابیس مشکل دارو داشته باشین
فقط
اون چیزایی هم که جهت جلوگیری گفتی خیلی راحت قبال دور زدن هستن
و شاید هکر کل لاگ هارو پاک کرده باشه . شما trash یا همون زباله دونی رو سرورت نصب کردی که اگه فایلی حذف شه کلا حذف نشه و به پوشه trash بره ؟

اون هکری که من میگم دوست من هست ، سورنا رو هم میشناسه ، شاید هم باهاش در ارتباط باشه که ، میگفت به دیتاسنتر آسیا تک حمله کرده و هاست دی ال ، دانلود ها و سایت ها دیگه ، مثل فیسنما رو هک کرده خبر کامل داشته و میدونسته چه جوری خودش هم توی سپاه کار میکنه (البته نمیدونم که اون حمله کرده یا نه ، ولی با سورنا در ارتباط هست)، دوربین مدار بسته پارس آنلاین رو هک کرده، دانشگاه رو هک کرده ، نمره هارو تغییر داده،
جلوی چشم من ، شبکه دانشگاه رو شنود کرد ولی کلی شماره کارت کامل با رمز عبور رو پیدا کرده
کاری ندارم

درسته میگید قابل دور زدن هست ولی نه دیگه انقدر راحت ، روزانه بالای 20-30 مورد من حمله سیستم عامل، وب سرور ،چقدر تزریق شل ، ریموت گرفتن و ... داشتم و فایروال comodo waf جلوش رو گرفته
ولی این کی رو چیزی نگفته ، حداقل اگر حمله انجام شه باید اخطار بده که انجام شده
احتمال اینکه هک شده باشه ، کم هست ، نمیدونم شاید هم شده
یه سوال دارم ربط داره به غیر فعال کردن تابع ini_set ؟
چون سایت جوملایی هست ، وقتی من اینو غیر فعال کردم ، مدام توی لاگ ، جوملا اخطار مداد (ثانیه به ثانیه) که این تابع غیر فعال شده ، و ممکن هست توی فایل Session.php اشکالی به وجود بیاد
بعد اون یعنی چند روز بعد اون همچین شد
تا قبل اون که سایت 9 ماه هست آنلاین هست همچین چیزی نبوده

موضوع: کمک فوری ، متخصص سرور ، و جوملا جواب بده

ابزارهای موضوع

نحوه نمایش موضوع

پاسخ : کمک فوری ، متخصص سرور ، و جوملا جواب بده

تعداد تشکر ها از TCIHost به دلیل پست مفید

پاسخ : کمک فوری ، متخصص سرور ، و جوملا جواب بده

پاسخ : کمک فوری ، متخصص سرور ، و جوملا جواب بده

پاسخ : کمک فوری ، متخصص سرور ، و جوملا جواب بده

تعداد تشکر ها از faratv به دلیل پست مفید

پاسخ : کمک فوری ، متخصص سرور ، و جوملا جواب بده

پاسخ : کمک فوری ، متخصص سرور ، و جوملا جواب بده

تعداد تشکر ها از faratv به دلیل پست مفید

پاسخ : کمک فوری ، متخصص سرور ، و جوملا جواب بده

پاسخ : کمک فوری ، متخصص سرور ، و جوملا جواب بده

تعداد تشکر ها از hasanazizi به دلیل پست مفید

پاسخ : کمک فوری ، متخصص سرور ، و جوملا جواب بده

اطلاعات موضوع

کاربرانی که در حال مشاهده این موضوع هستند

موضوعات مشابه

نیاز فوری به متخصص مجله های خارجی

متخصص شبکه و مانیتورینگ، متخصص امنیت (در خراسان ترجیحا در مشهد)

نیازمند به یک متخصص برای تنظیم سرور لینوکس دایرکت ادمین

خواهشا متخصص ها جواب بدن

بازار کار متخصص لینوکس با مدرک lpi ؟

مجوز های ارسال و ویرایش