ازکجا تضمین کردی که اگر این کار رو کنه دیگه تمومه؟ هکرها بعد از ورود چندید exploit در فولدرهای مختلف می گذارند حتی اگر حرفه ای باشد .jpg های آلوده هم که بحث خودش روداره. ایشون میگه طرف رفته اکانت تحت لینوکس ساخته یعنی می تونه بزنه
del home
پاسخ : هک شدم لطفا کمک کنین
ازکجا تضمین کردی که اگر این کار رو کنه دیگه تمومه؟ هکرها بعد از ورود چندید exploit در فولدرهای مختلف می گذارند حتی اگر حرفه ای باشد .jpg های آلوده هم که بحث خودش روداره. ایشون میگه طرف رفته اکانت تحت لینوکس ساخته یعنی می تونه بزنه
del home
پاسخ : هک شدم لطفا کمک کنین
دوست عزیز من whmcs رو گفتم ایشون گفنن که من پسورد رو عوض میکنم هکر باز میاد . واسه من همین طور که گفتم شده بود . و با این کار تونستم جلوشو بگیرم حالا من با جای دیگه کار ندارم . ایشون سوالی که پرسیده بودن رو از لحاظ داشتن پسورد رو گفتمنوشته اصلی توسط tinavps
موفق باشید
پاسخ : هک شدم لطفا کمک کنین
دوستان whmcs من نال نیست و لایسنس دارم
---------- Post added at 11:57 PM ---------- Previous post was at 11:56 PM ----------
ممنونم از دوستانی که کمک کردن
اما کسی دستور اسکن آنتی ویروس و حذف کردن ویروس ها رو نداد
پاسخ : هک شدم لطفا کمک کنین
در سی پنل قسمت محصولات احتمالا یک آنتی ویروس وجود داره اگر نداشت نسخه های رایگان یا Trial تحت linux و centos متناسب با نوع 32bit یا 64bit جستجو کن
پاسخ : هک شدم لطفا کمک کنین
ضمنا دنبال ویروس نگرد فرض کن یک فایل رو داخلش 200 خط encode شده ی base64 هست. نه میشه جستجوکرد داخل فایل ها برای copy یا دستور remove یا هرچی
تنها کار رستور بکاپ یا شروع از صفر هست (تلخه اما صرفه جویی در وقته چون چند روز بعد مجبوری همین کار رو کنی)
ضمنا کل سورس رو gz کن دانلود کن در هاردتون
لاگ webanalyzer رو دیدی چیزی از رکوئیست های زیاد مشابه sql injection ندیدی ؟
پاسخ : هک شدم لطفا کمک کنین
دوستان whmcs من نال نیست و لایسنس دارم
---------- Post added at 11:57 PM ---------- Previous post was at 11:56 PM ----------
ممنونم از دوستانی که کمک کردن
اما کسی دستور اسکن آنتی ویروس و حذف کردن ویروس ها رو نداد
شما مگه نمیگید whmcs لایسنس داره . مگه براتون ایمیل پچ امنیتی نیومده که پچ هارو جا به جا کنید ؟
پاسخ : هک شدم لطفا کمک کنین
شرمنده منظور کلی بود نه شخصی شاید یک ویزیتور بیاد این مشکل رو داشته باشه.
خب اگر هکر عرب بوده از روش session id و یا athentication که مثالش در هک وی بولتین با اکانت ادمین جعلی بالا اومدن هست
و در جوملا نمی دونم چرا اکانت ادمین با یوزر آیدی 62 ست شده در تمام جوملا ها
خب هکر از قبل می دونه اونجا یک ادمین با یوزر 62 هست و تلاش می کنه یک سشن جعلی با نام جعلی یا آیدی جعلی کنه
پاسخ : هک شدم لطفا کمک کنین
اشتباه نمی گویید من هم در ابتدا گفتم که سرور کلا دست کاری زیادی شده و صرفا بحث سر رستور کردن دیتابیس نیست. حق با شماست
اما متاسفانه دستمون باز نیست تا تمام راه های نفوذ رو ببندیم.
پاسخ : هک شدم لطفا کمک کنین
راهکار اکانت های جعلی: ابتدا اون یوزرهارو ببندید ضمنا در تنظیمات putty که معمولا در tweak setting هم احتمالا وجود داشته باشد یا در فایل کانفیگ ssh در سرور، ssh رو طری کانفیگ کنید که فقط به روی یک ip محدود شه یا به روش primary key athuntication بالا بیاد
با این روش فقط از منزل و اداره شما با پوتی میشه کانکت شد حتی اگر رمز عبور هم بدی به کسی
ضمنا در اینجا اگر jail می کردیم اکانت هارو یکمی اوضاع بهتر بود مثلا jail چی میگه در یکی از آثارش میگه بطور اضطراری تمام دستورات لینوکس غیر فعالشوند حتی wget
---------- Post added at 12:52 AM ---------- Previous post was at 12:46 AM ----------
راستی cgi هم از اکانتهای هاست گرفته شوند علی الحساب curl رو غیر فعال کن و چند تا کانفیگ php.ini :
Enable_dl =off
allow_url_fopen=off
open base_dir=off
disabled functions: show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open,iniset
register globals=off
safemode=off
---------- Post added at 12:56 AM ---------- Previous post was at 12:52 AM ----------
در تنظیمات فایل کانفیگ ssh از پورت 22 به 220 یا دلخواه سریعا تغییر دهید
در دیتابیس ابتدا کل privilage access رو ببین کاربران مشکوک رو حذف کن و کاربر Root رو در دیتابیس حذف کن مطمئن باش همون طور که گفتم اجازه Remote گرفته شود و ضمنا در کانفیگ csf incoming , outgoing رو برای پورت mysql ببندید
public_html ها حتما 750 باشند.
---------- Post added at 01:03 AM ---------- Previous post was at 12:56 AM ----------
یک سری به تنظیمات دی ان اس بزن ببین تغییر نداده باشه و با intodns تست کن چرا که چند ساعت بعد نبینیم سایت ها رفتن روی یک سرور دیگر که خیلی بده برای یک فروشنده هاست.
عرب ها نادان هستند پس همین موضوع بهترین کمک هست. چرا عرب ها وقتی می رند تو گوگل می زنند : joomla exploit و vbulletin exploit همواره دنبال exploit های مختلف بگردبد و ببینید چه خبر !!!! هم راه نفوذ رو می بینید و مطلع می شوید و هم می فهمید که باید لابلای سورس حتما یک php وجود داره
معمولا کاربری php و apache با کاربر www بالا می آیند. دسترسی www فقط باید طوری ست بشه داخل فولدر /home باشه
و ضمنا اجرای دستورات مانند cp rm mkdir nano .... باید از این کاربر گرفته بشه این کار تخصصی تر هست و بگذار قدم آخر...
پاسخ : هک شدم لطفا کمک کنین
حجم کل پورتال چقدر است ؟ چندتا سایت روی سرور هست ؟
در حال حاضر 1 کاربر در حال مشاهده این موضوع است. (0 کاربران و 1 مهمان ها)
مجوز های ارسال و ویرایش
پاسخ با نقل قول