پاسخ : گرفتن حال اساسی هکر whmcs
سلام ،
ما هم از دیشب که سرور رو بررسی می کنیم متوجه شدیم هکر موفق شده چند تا فایل روی سرور ما آپلود کنه
دیشب فایل r57shell آپلود شده بود.
پاک کردم و تمام پسورد ها هم تغییر دادم. ویروس اسکن هم کردم خبری نبود.
امروز با آنتی ویروس اسکن انجام شد و متوجه شدم دو تا فایل به اسم های s2.php , sy.php داخل یکی از پوشه هامون آپلود و مخفی شده که آنتی ویروس پیداش کرد و پاکش کردم.
یکی از شل ها جهت ارسال اسپم بود (فکر کنم به تمام ایمیل های سرور)
دومی هم وقتی باز میکردی ، یک صفحه مشکی بود و یوزر و پسورد می خواست!
جالب اینجاست که وقتی که خودم می خواستم فایل ها رو آپلود کنم آنتی ویروس اجازه نداد.
یعنی هکر تونسته فایروال و آنتی ویروس رو دور بزنه.
روی سیستم لایوزیلا هست و whmcs
whmcs نسخه 4.5 همین چند روز پیش از سایت خودش با لایسنس دانلود و نصب کردم (یعنی تمام پچ ها رو داره)
لایوزیلا هم که نسخه 3.2 هست.
خوشبختانه ما فقط دیفیس شدیم و اطلاعات در امان هستند.
اما چطور این مشکل به وجود آمده ؟
لازم به ذکره ما روی این سرور فقط خودمون هستیم و به کس دیگه ای هاست ندادیم!
safe_mode روشن هست.
تا جایی هم که شده توابع رو مسدود کردیم.
مشکل از کجا می تونه باشه ؟
نکته : فایل هایی که هکر اپلود کرده بود خارج از پوشه whmcs بودند.
نکته : قبلاً خودم تست کردم ، با شل r57 تونستم روی سرورم فایل write کنم ، اما بعد از بستن چند تا تابع ، این امکان هم از این شل گرفته شد. الان مشکل کجاست ؟
بالای شل هایی که اپلود شده بود اینا رو نوشته بودن :
کد:<?php # syrian shell is a php evil script , please use it against Israel Only . # ,--^----------,--------,-----,-------^--, # | ||||||||| `--------' | O .. SyRiAn Sh3ll V1 .... sy34[at]msn[dot]com # `+---------------------------^----------| # `\_,-------, __EH << SyRiAn | 34G13__| # / XXXXXX /`| / # / XXXXXX / `\ / # / XXXXXX /\______( # / XXXXXX / # / XXXXXX / # (________( # `------ # # SyRiAn Sh3ll V1 . # Copyright (C) 2010 - SyRiAn 34G13 # This program is free software; you can redistribute it and/or modify # it under the terms of the GNU General Public License as published by # the Free Software Foundation; either version 2 of the License, or (at your option) any later version. # This program is distributed in the hope that it will be useful, # but WITHOUT ANY WARRANTY; without even the implied warranty of # MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. # I WISH THAT YOU WILL USE IT AGAINST ISRAEL ONLY !!! . # next version ( upload files , chmod force , read files , no security , bypass , cgi , server shourtcut , eval , forbidden) $uselogin = 1; // Make It 0 If you Want To Disable Auth $user = 'root'; // Username $pass = 'toor'; // Password #---------------------------------------------------------------# # Powered By SyRiAn Shell # # By EH SyRiAn 34G13 # # wWw.syrian-shell.com # # Version 1 # # Made In SyRiA # # 20\10\2010 # #---------------------------------------------------------------#
نوشته اصلی توسط Mohammad_reza
