ازکار انداختن شل روی سرور

[Ashkankamangar.ir]

سلام دوست گرامی

شما که آموزش هک رو دادید، لااقل آموزش پیشگیری از این بایپس رو هم بدید که مردم استفاده کنند و جلوی خیلی از خرابکارهای ها احتمالی گرفته شود.

با تشکر از همکاری شما

شما که حرفای مارو بی پایه دونستید
در ضمن متاسفانه راه حلی براش پیدا نکردم

[Kian]

شما که حرفای مارو بی پایه دونستید
در ضمن متاسفانه راه حلی براش پیدا نکردم

من نبودم

[jahromweb]

علاوه بر توضیحات دوستان ، ب نظر من اصلا نباید شل رو یک سرور هاستینگ ران باشه ، چه برسی ب اینکه بتونه اکسس بگیره ...

از http://www.configserver.com/cp/cxs.html استفاده کنید ...
انواع شل ها ، حتی اگر انکریپت شده باشه رو تشخیص و قرنظینه میکنه ...

باسلام
بنده یک سوال دارم
واقعا شل چیزی جز یک اسکریپت است؟ شل که معجزه نمیکند!
به نظر بنده (البته شاید غلط باشد لطفا شما اصلاح کنید)1) اگر هکر واقعا هکر باشد و نه کسی که 4 تا باگ یاد گرفته و ادعای هکر بودن میکند 2) سرور بایپس نشود => تفاوت انچنانی بین لود شدن شل و نشدن ان نیست
چون اگر هکر حرفه ای باشد میتواند یک اسکریپت خیلی ساده بنویسد و با ان یک فایل که در هاست وجود دارد را ویرایش کند یا بخواند (البته درصورت این که فایل حداقل دسترسی های لازم را داشته باشد) .
بدون شک توابع لازم برای خواندن فایل در سرور ها باز است چون اگر نباشد اصلا اسکریپت ها نیز به مشکل میخورند.
به نظرم در مواردی که سرور bypass نشود (یعنی مسئله ی سرور هکینگ وجود نداشته باشد) بازنشدن شل فقط برای هکر معمولی مشکل ساز است وگرنه اگر سایت (اسکریپت ) امن نباشد واقعا هکر توانسته باشد فایل php در سرور اپلود کند چه شل باز شود و چه نشود سایت هک خواهد شد
البته بدون شک کار هایی مثل قرار دادن یک کرون برای تنظیم و کاهش دسترسی فایل های مهم در سرور تاثیر گذار و مهم است
لطفا اگر بنده اشتباه میکنم توضیح دهید
باتشکر

[Yas-Host]

روش جلوگیری از این باگی که آقای کمانگر عرض کردند این هست که جلوی ایجاد ساب دامنه های قبل از فولدر home گرفته شود که از این بخش قابل حل می باشد :

public_html subdomains only را yes قرار دهید

یعنی :

Home »Server Configuration »Tweak Settings

پیروز باشید

- - - Updated - - -

متاسفانه مجبورم توضیح بدهم
چون دوستان حرف مارو بی پایه و اساس دونستند
---

با تشکر و عذر خواهی از دوستان بابت این آموزش مخرب


البته من امیدوارم این مشکل فقط با چند تا تیک در قسمت کانفیگ حل شود

لطفا پست من رو نقل قول نگیرید چون حذف میکنم روش رو و دوستان عزیز و آشنا به هک روش حل مشکل رو بذارند با تشکر

در این رابطه باید تیک گزینه webroot در cxs زده شود

همچنین در watch آن اقدام به گذاشتن یک کد کرد که قبل از public_html را نیز اسکن کند.

در مورد باگ دیگر که بنده روش جلوگیری از آن را اعلام کردم.

در هر حال .

دوستان بهتر است صورت مسئله را حذف نکنند . cxs فقط هزینه اضافه است .

- - - Updated - - -

--www Only scan in public_html subdir (--allusers/--user)

- - - Updated - - -

همچنین در صورت کانفیگ صحیح cxs در mod_security در زمانی که شل ران می شود توسط mod_sec شناسایی می شود و به cxs دستور حذف سازی را ارسال می کند.

علت کانفیگ mod_security در cxs هم همین است که اگر شل توسط اسکریپت هم آپلود شد توانایی شناسایی را داشته باشد.

حال وقتی شده که شل آپلود شده اما تا زمانی که در مرورگر باز نشده بود حذف نشد ! اما تا باز شد توسط mod_security به cxs دستور حذف ارسال شد.

در مورد باگ آقای کامنگر با باگی که ما داشتیم عملکرد آنها یکی هستند اما هر دو قابل رفع هستند.

اولی که یک ساب دامنه قبل از public_html ایجاد می شود و در آن شل آپلود می شود و بدون مشکل ران می شود

و دومی هم آقای کمانگر اعلام کردند . که هر دو با حذف -www از بخش watch قابل حل می باشد + کانفیگ cxs در mod_security

هر کدام از دوستان سوالی داشتند بصورت خصوصی اعلام کنند یا دسترسی ارسال کنند حل خواهیم کرد.

[Kian]

اگر تیک

webroot زده شود که cxs فقط public_html رو اسکن خواهد کرد و به بالاتر از آن یعنی هوم دایرکتوری کاری نخواهد داشت، به نظرم اگر

webroot تیک نداشته باشد همه اکانت کاربر را اسکن خواهد نمود.

خودش هم در توضیح گزینه گفته :

Only scan within the web root (e.g. /public_html/ subdirectory) when all users or one user selected above

[mhiizadi]

متاسفانه مجبورم توضیح بدهم
چون دوستان حرف مارو بی پایه و اساس دونستند
کافیه یک فایل با هر نامی مثال a.php داخل
home یا همون پوشه ی قبل از public_html بسازید و محتویات شل رو حتی c99 داخل اون فایل کپی کنید
بعد اون فایل رو از / منتقل کنید به public_html و حالا آنتی شلر دیگر حذف نمیکند شل را

با تشکر و عذر خواهی از دوستان بابت این آموزش مخرب


البته من امیدوارم این مشکل فقط با چند تا تیک در قسمت کانفیگ حل شود

لطفا پست من رو نقل قول نگیرید چون حذف میکنم روش رو و دوستان عزیز و آشنا به هک روش حل مشکل رو بذارند با تشکر

:D
بنده اندکی پیش این موضوع رو به راحتی حل کردم که البته همون روش آقا یاسین و سایر دوستان هست که نمیشه گفت مشکل cxs هست ؛ بلکه مشکل از کانفیگ اشتباه ما هست:


Sarah .
Staff


Posted on: 11 July 2014 04:56 PM

I have tested it on our server and with --www removed from the cxswatch.sh command, cxswatch will scan and detect exploits uploaded to subdomains that are created in /home/username/subdomain rather than /home/username/public_html/subdomain. Obviously you have to restart cxswatch after editing cxswatch.sh, but after that it should work fine.

Regards,
Sarah

[Ashkankamangar.ir]

:D
بنده اندکی پیش این موضوع رو به راحتی حل کردم که البته همون روش آقا یاسین و سایر دوستان هست که نمیشه گفت مشکل cxs هست ؛ بلکه مشکل از کانفیگ اشتباه ما هست:


Sarah .
Staff


Posted on: 11 July 2014 04:56 PM

I have tested it on our server and with --www removed from the cxswatch.sh command, cxswatch will scan and detect exploits uploaded to subdomains that are created in /home/username/subdomain rather than /home/username/public_html/subdomain. Obviously you have to restart cxswatch after editing cxswatch.sh, but after that it should work fine.

Regards,
Sarah

:D
بنده اندکی پیش این موضوع رو به راحتی حل کردم که البته همون روش آقا یاسین و سایر دوستان هست که نمیشه گفت مشکل cxs هست ؛ بلکه مشکل از کانفیگ اشتباه ما هست:


Sarah .
Staff


Posted on: 11 July 2014 04:56 PM

I have tested it on our server and with --www removed from the cxswatch.sh command, cxswatch will scan and detect exploits uploaded to subdomains that are created in /home/username/subdomain rather than /home/username/public_html/subdomain. Obviously you have to restart cxswatch after editing cxswatch.sh, but after that it should work fine.

Regards,
Sarah

دوست عزیز من این مورد که شما گفتی با اون مورد که من گفتم زمین تا آسمون فرق داره
دوباره میگم
داخل home یعنی قبل از public_html یه فایل بسازید و با ادیتور باز کنید و اطلاعات شل رو داخلش کپی کنید
بعد اون فایل رو منتقل کنید به public_html و اجرا کنید

[Kian]

دوست عزیز من این مورد که شما گفتی با اون مورد که من گفتم زمین تا آسمون فرق داره
دوباره میگم
داخل home یعنی قبلا از public_html یه فایل بسازید و با ادیتور باز کنید و اطلاعات شل رو داخلش کپی کنید
بعد اون فایل رو منتقل کنید به public_html و اجرا کنید

من یک فایل به روشی که گفتید رو در home/ ساختم و سپس به public_html منتقل کردم و cxs براحتی آن را شناسایی کرد.

[Ashkankamangar.ir]

من یک فایل به روشی که گفتید رو در home/ ساختم و سپس به public_html منتقل کردم و cxs براحتی آن را شناسایی کرد.

میتونم خواهش کنم یه هاست 10 مگابایتی هم شده به من بدید از روی همین سرور؟

[Yas-Host]

من یک فایل به روشی که گفتید رو در home/ ساختم و سپس به public_html منتقل کردم و cxs براحتی آن را شناسایی کرد.

احتمالا رول های mod_sec جلوی آن را گرفته اند .

اما همانطور که اعلام کردم این مورد و مورد قبلی که عرض کردم هر دو در cxs رعایت شده اند اما باید کانفیگ صحیحی بر روی آن انجام داد.

متاسفانه configserver.com میبایست بصورت دیفالت یک تنظیمات ساده و مورد قبولی را انجام می داده که نداده است و خیلی از دوستان کانفیگ های اشتباه برای سرور هایشان اعمال میکردند.

همچنین کانفیگی که آقای کمانگر در تاپیک اختصاصی ایشان برای cxs ایجاد کرده اند هم اکنون جوابگو نیست و باید کانفیگ جدیدی اعمال شود.

به همین علت بزودی بعد از بررسی و مشاورت با استاید عزیز تاپیک جداگانه ای مرتبط با cxs + mod_sec + apache + php در رابطه با امنیت ایجاد خواهم کرد.

پیروز باشید .

- - - Updated - - -

من یک فایل به روشی که گفتید رو در home/ ساختم و سپس به public_html منتقل کردم و cxs براحتی آن را شناسایی کرد.

برای بنده ارسال کنید بنده براتون یک شل ران میکنم از همه شل ها قوی تر و بدون شناسایی حتی بدون نیاز به bypass

یک مدیر سرور خوب باید 99درصد شل ها را دانلود کند و هر کدام که شناسایی نشد را به cxs بشناساند .

همیشه این نکنه را در نظر داشته باشید .