Whmcs من هک شد! توسط یک گروه عربستانی! لطفا راهنمایی کنید چطوری از هک دوباره جلوگیری کنم؟

[fara_server]

پس بچه ها نتیجه این میشه که whmcs مشکل نبوده یعنی مشکل از سروه--- اون تیکتها فک نکنم کاری بکنن چون وقتی من تیکت زدن برای عموم محدود نکرده بودم زیاد داشتم اما همین تاپیک که خوندم رفتم templates یه شل دیدم فک کنم مال خیلی وقت پیش بود فراخوانیم کردم نشد --- راستی بچه ها با چی کدوم انتی ویروس سی پنل اسکن کنیم -- انتی ویروسی هس شل هم پیدا کنه؟؟؟

آنتی ویروس کارش پیدا کردن شلره دیگه ، Clamav از بهترینهاست...
اما روشهای جدید Encode کردن حتی آنتی ویروسهارو هم بایپس میکنه .
نمونش : Carbylamine PHP Encoder - THN - Pastebin.com

[vahidmom]

من بهتون این مورد رو پیشنهاد میکنم
http://www.webhostingtalk.ir/f10/43129/

اخرین بار سرور یکی از مشتری ها رو باهاش اسکن کریدم ماشالا توش 600 تا فایل شل بود که 500 تاش رو یه سایت بود
تا موقعی که فایل شل رو سرور باشه نمیزارن راحت باشین

[abolfazlgoodarzi]

سلام.
سال نو مبارک
کل هاستتون رو زیپ و دانلود کنید. با آنتی ویروس سیستمتون (که قبلش به روزسانی شده)اسکن کنید.
و فایل هاتون رو دوباره آپلود کنید.
دسترسی فایل ها رو چک کنید. دسترسی پوشه ها رو چک کنید.
پورت ها رو ببنید. فایروال رو روی آخرین مود بذارید.
با آنتی ویروس سرور هم یه چک کنید.
اجازه آپلود فرمت های غیر مجاز مثل پرل رو بگیرید.
فانکشن ها و توابع خطرناک رو ببند

[Fracture]

یه فایل PHP با این مجتوا در فولدر Hook قرار بدید که کلا از دست PHP راحت بشید:

کد:

<?php
$checkvars = array('subject','message');
foreach ($checkvars as $checkvar) if (strpos($_REQUEST[$checkvar],'{php}')!==false) die("ERROR!");
?>

[saharhost.ir]

دوستان من روی سرور هیچ شلی وجود نداره این گروه هم عربستانی نیست ایرانیه ولی با وجود بستن تیکت بازم منو هک میکنه برامون شده بازی اون هک میکنه یوزر ادمین رو عوض میکنه منم میرم از داخل هایت و پی اچ پی مای ادمین یوزر رو چینج میکنم و دوباره وارد میشم راستی وردپرس چیزی حدود 48 باگ امنیتی داره که هر کسی اینو نمیدونه بهترین چیز توی این نت قالب های اچ تی ام ال هست که اونم باید حوایتون باشه

[fara_server]

دوستان من روی سرور هیچ شلی وجود نداره این گروه هم عربستانی نیست ایرانیه ولی با وجود بستن تیکت بازم منو هک میکنه برامون شده بازی اون هک میکنه یوزر ادمین رو عوض میکنه منم میرم از داخل هایت و پی اچ پی مای ادمین یوزر رو چینج میکنم و دوباره وارد میشم راستی وردپرس چیزی حدود 48 باگ امنیتی داره که هر کسی اینو نمیدونه بهترین چیز توی این نت قالب های اچ تی ام ال هست که اونم باید حوایتون باشه

لاگها رو به دقت چک کنید ، هکرها همیشه از شلرها که کدهاشون قابل درک برای هر آنتی ویروسی هست استفاده نمیکنند.
بعضی وقتها با اضافه کردن یک خط کد ساده درون کدهای php شما یک به اصطلاح شل مخفی ایجاد میکنند !!!
شاید چیزی شبیه به این که به راحتی میتونه یک RCE محسوب بشه!
به عنوان مثال این:

کد:

system($_GET[wht]);

====-----====
پ.ن : در کل به نظر بنده پس ودرد هر چیزی که به ذهنتون میرسه رو عوض کنید و به دقت فایلهای مربوط به log ور چک کنید تا ببینید مشکل از کجاست ، بهتره ریشه ای برسی کنید تا اینکه صورت مسئله رو پاک کنید!

[RoobinaServer]

دوست عزیز هکری که اول هک میکنه و میگید هی گیر دادن و دارن هکتون میکنن به نظر من کار عرب ها نیست چون عرب ها هی وقت نمیگذارن یک سایت رو هی هک بکنن یک بار میکنن و تو سایت های معروف میگن ما این سایت رو یک بار هک کردیم و ...

این کار یکی از رغیب هاتون یا دشمن های شما هست و مطمئن باشید راهی گذاشته برای برگشتش توی سرور وقتی هر بار جلوی هکش رو میگیرید

احتمال زیاد تونسته بکدور از سرورتون بگیره و داخل سرور یوزر و پس ساخته باشه

تمامی یوزر و پسورد های مدیریتی سرورتون و سیپنل رو عوض کنید و چک کنید به جز یوزر root یوزر دیگه ای وجود نداشته باشه که به ssh دسترسی پیدا بکنه(روت کیت)

[RezaFH]

به این تاپیک هم سر بزنید

http://www.webhostingtalk.ir/f120/44686/#post409464