پاسخ : فروشگاه کارت شارژ (ام پی سی شارژ)
سلام دوباره به دوستان
چند تا از دوستان توی پیغام خصوصی پرسیده بودن که سایت چطوری هک شده؛ لازم دونستم که بهتره این بحث عمومی بشه تا بلایی که سر بنده اومد؛سر شما دوستان نیاد:
خیلی خلاصه عرض کنم؛نوشته اصلی توسط ........
ایشون بدون اینکه بخوان به سی پنل هاستینگ نفوذ کنند؛ از ضعف های بخش مدیریت اسکریپت استفاده کرده و یوزر نیم و پسورد مدیریت رو بدست آوردند!!!! خب حالا ایشون خیلی راحت تونسته وارد بخش مدیریت بشه ولی هنوز نمیتونه به بخش مدیریت کارت ها و به کد شارژ ها دسترسی پیدا کنه!! چرا؟ چون بخش مدیریت کارت ها توسط کلید رمزنگار پشتیبانی میشه و ایشون بدون دانستن اون نمیتونن به لیست کارت ها نفوذ کنند؛ خوب حالا چاره کارشون چی بوده؟!
ایشون خیلی راحت از بخش ثبت و نام؛ توی سایت ثبت و نام کردند و چون به مدریت دسترسی داشتند خیلی راحت با مدیریت حسابشون رو افزایش موجودی دادند و با این حساب اقدام به خالی کردن کد شارژ ها از این طریق شده اند!
راه حل برنامه نویس اسکریپت جهت جلوگیری از این نوع نفوذ:
1- امنیت بخش مدیریت را افزایش دهند(که بسیار مهم هست و میبینید چه راحت هک شده! )
2- بخش افزایش موجودی در پنل مدیریت را با کلید رمزنگار پوشش دهند که متاسفانه این کار صورت نگرفته
راه حل فعلی مدیران سایت هایی که از این نوع اسکریپت استفاده می کنند:
1-تغییر دایکتوری مدیریت از حالت پیش فرض (بسیار مهم)
2- برداشتن کد php ثبت نام و ورود به سایت ؛از index
همچنین حذف صفحه های زیر:
panel.php
login.php
register.php
reset_password.php
retransmission_active_link.php
- دوستانی که نمی خوان بخش ثبت و نام و ورود به سایت از سایتشون حذف بشه و همچنین نمیخوان موارد 2 رو انجام بدند؛ یک راه دیگه هم دارند؛ می تونند از پوشه mpc-admin وارد پیج users.php شوند و از اونجا کد مربوط به افزایش موجودی رو حذف کنند که با این کار دیگه نمیشه از طریق مدیریت افزایش موجودی داد و تا حدودی این بحران حل میشه(در ضمن می تونند هر وقت که تمایل داشتند این کد رو دوباره اضاف کرده و اقدام به افزایش موجودی کاربری خاص کرده و سپس دوباره کد رو بردارند.
امیدوارم که برنامه نویس این اسکریت هر چه زودتر فکری به حال این مشکلات نمایند.
سپاس
پاسخ با نقل قول
