با سلام

یک سایت از دوستانم دقایقی قبل هک شد ...توسط گروه ضد ایرانی و ضد شیعه ...

البته من سایت رو تو حالت آفلاین قرار دادم ....(در حال حاضر)

لطفا به من کمک کنید .... توی پوشه سورس سایت من چند تا فایل index *.php دارم که به جای * چند تا عدد هست آیا ممکنه مشکل از این باشه .... ؟

اصلا توی پوشه اصلی چند تا فایل index.php هست ؟

آیا ممکنه بانک اطلاعاتی رو هک کرده باشه ؟ .... اگر اینطوره از کجا باید فهمید ؟

ممنون می شم راهنمایی کنید ؟؟؟؟؟

سلام. چند تا فایل index هست؟
index.php و index2.php و index3.php که طبیعی هستند.

باید log های هاست را چک کنید تا بفهمید دقیقا چی شده.

یــــــــــــــاعــــــــ ــــــلی

توی log cpanel می گه که فایل های inex1.php و inex2.php و inex3.php رو پیدا نکردم .....

می گم اگر اینطور باشه باید یک جایی که index بوده رو به inex تغییر داده باشد. آیا می دونید چطور باید درستش کرد ؟

من فقط فایل های index.php 1 تا 3 رو گذاشتم و چند تاindex*.php که با اعداد مختلفی وجود داشت رو پاک کردم .....

فقط می خوام بدونم که هکر صفحه ای که نشون می ده رو کجا قرار داده ...... یعنی صفحه یا .htaccess رو تغییر داده یا توی my sql تغییری داده ..... ؟

توی log mysql هم آخرین تغییرات به شکل زیره :


$Id: ChangeLog 11585 2008-09-15 12:03:45Z lem9 $
$HeadURL: <b><font color=red>فقط کاربران عضو انجمن می توانند لینک ها را مشاهده کنند</font></b> $

2.11.9.1 (2008-09-15)
- [security] Code execution vulnerability, thanks to Norman Hippert


آیا می تونید کمکی بکنید ؟

با سرور تماس گرفتم گفت مشکل از ما نیست .... سایت خود شما فقط هک شده .....

اگر می شه بگید چه کاری باید بکنم ..... مثلا اینجا پشتیبانی مامبو است ....

ممنون می شم راهنمایی کنید....

سلام. هرچی فایل index ( با هر فرمتی) توی روت قرار داره را حذف کنید و فایل های index.php و index2.php و index3.php را از یک پکیج نصب مامبو بردارید و بریزید توی هاستتون.
اگر فقط با جایگزینی فایل ها هک شده باسه حل میشه.

یــــــــــــــــاعــــــ ـــــــلی

لینک وبسایت رو بدید لطفا

سايت منم هك شده golanar.ir
البته قبلا فقط صفحه اصلي بالا نمي يومد - كه index قالب رو بر مي گردوندم درست مي شد
اما اينبار صفحه administrator كه مي خواستم ازش وارد بشم باز نميشه!!!

-- - - - حالا چيــــــــــكار كنـــــــــــــم

سلام

این هک نشون میده که از طرف سرور بوده

فایل index.html رو پاک کنید مشکلتون حل میشه!

ضمن اینکه سعی کنید در اولین فرصت سروری مناسب و سازگار پیدا کنید ....

سلام. متاسفانه من سایت شما را هنوز که هنوزه با صفحه هک شده میبینم. از شبکه هوشمند رفتم نت.

سلام

این هک نشون میده که از طرف سرور بوده

فایل index.html رو پاک کنید مشکلتون حل میشه!

ضمن اینکه سعی کنید در اولین فرصت سروری مناسب و سازگار پیدا کنید ....


به جز index.html -
index.php
و از فولدر administrator هم index.php هم هك شده بود!!

اين دو مورد هم به سرور بر مي گرده؟!

ببینید چون تغییرات در سطح فایلهای Index هست و به چندین دلیل دیگه مطمئن هستم که مشکل از سرور شما هست.

اگه مشکل از مامبو بود طرف نمیومد فقط فایل ایندکس رو تغییر بده ...
همون طور که آقا محمد گقتند به احتمال خیلی زیاد به سرور بر می گرده...

سلام

خدمت شما :



<b><font color=red>فقط کاربران عضو انجمن می توانند لینک ها را مشاهده کنند</font></b>


حدود 23 سایت طی 2-3 روز گذشته روی این سرور هک شده !

باز هم میگید مشکل از سرور نیست !

کاملا مشخص هست که مشکل از سمت سرور بوده

موفق باشید

یا علی

سلام

مثلا من مشکل داشتم همه رفتن سراغ دوست عزیزی که مشکلش رو گفته ..... یکی به داد من برسه ...

من نمی تونم آدرس سایت رو بدم ......

فقط می دونم که سرور هک نشده .... از سمت SQL هم نبوده ..... از قسمت Cpanel هم نبوده ......

الان من می خوام بدونم هکر از کجا رخنه کرده و چه کاری برای درست شدنش باید بکنم ......

پیشنهاد می کنم مطالب قبلی هم یه مطالعه ای بکنید.....

سلام

ماشین من خرابه چطوری درستش کنم ؟
نمیدونم چشه ! نمیتونم ماشین رو بدم ببینید !
بگید مشکل رو چطوری حل کنم ...


مگه ممکنه !؟

تا لینک سایت رو ندید نمیشه چیزی رو تست کرد و گفت مشکل از کجا بوده

یا علی

رو این حساب و با حساب اطلاعاتی که دادید می شه گفت فقط توی سی پنلتون یه نگاه کنید ببینید چه فایل هایی دارید ( برای مامبو ) بعد یه نگاه به مامبو سالم که مثلا روی لوکال دارید بندازید ، اونایی که به نظر مخالف میاد رو یه بررسی کنید و بعد ببینید چیزی بهش اضافه شده یا نه.
بعد هم که این کار رو کردید ، کل نکاتی که برای افزایش امنیت سایت گفته شده رو انجام بدید تا دیگه مشکلی پیش نیاد، البته حتما قبل از هر کاری بک آپ رو داشته باشید.

من گفتم سایت رو در حالت آفلاین قرار دادم دیدن اون چه کمکی به شما می کنه .... اگر نام و مشخصات هکر رو می خوایید بگید بهتون بگم .....

من میگم از پایه بهم بگید چه اتفاقی به جز مسائلی که قبلا توضیح دادم ممکنه پیش بیاد .....

من نمی گم چشم بسته غیب بگید ..... میگم راه های احتمالی رو که باید چک کرد رو بیان کنید .....

من می خوام اگر دوستان دیگری هم با این مشکل رو به رو شدن بتونن مشکلشون رو با مطالعه تاپیک حل کنند نه اینکه بیان آدرس سایت رو به شما بدن بعد شما چک بکنید و بگید ....

ببخشید که اینطوری میگم ولی ما می خواهیم اینجا ماهی گرفتن رو یاد بدیم نه ماهی دادن رو ....

موفق باشید ....

قاعدتا بعدش ازتون پسورد سی پنل و این چیزا رو می خواند که چک کنند.
فکر کنم ندیده و نشناخته نشه بیشتر از اون چیزی که من گفتم گفت...
ماهی گیری یاد گرفتنم خیلی خوبه اما اصولا در این مورد( هک کردن) به دلیل سو استفاده های احتمالی خیلی هم نمی شه ماهی گیری یاد داد!!! فقط می شه گفت چیکار ها کنید که پیشگیری بشه...

سلام

دوست من(jbasoft) شما خودت استادی اما اگه واقعا میخوای ماهی گیری یاد بگیری باید دقت بیشتری بکنی ...

* - همه دوستان به لاگ فایل های سایت اشاره کردن ...

* - به لینکی که محسن عزیز داد دقت کن .. ! فقط کافیه آی پی سرورت رو در سایت های ثبت هک، چک کنی تا صحت حرف های مدیر سرور رو متوجه بشی ...

* - داشتن سابقه هکر هم در کشف راه نفوذ خیلی کمک میکنه در 70درصد موارد تلاش های مشابهی انجام میدن ....

...

احتمالا الان از اتفاق افتاده بسیار ناراحتی و احساس ... درک میکنم . در شرایط مشابه بودم . ;)

سربلند باشید
امیر

با سلام

خیلی ممنون از همه دوستان ....

همون طور که گفتم من می خواستم ماهی گیری رو یاد بدم ...... شما می دونید که خیلی از کاربران سوالاتشون رو به این نحوی که من در بالا گفتم طرح می کنند ..... و دست پاچه می شن و نیاز و به کمک دارند....

من می خواستم کمی از اطلاعات دوستان در زمینه هک کمک بگیرم تا برای بقیه دوستان مفید باشه ......

اگر هم آدرس سایت رو نگفتم می خواستم بیشتر قابل درک باشه .....


***** دوستان نکات خوبی رو اشاره کردند ..... اما از صحبت دوستان یک نکته کم بود ......
***** منظور من این بود که وقتی مشکل از my sql و همچنین server نباشه از کدام قسمت های دیگه ممکنه رخنه ایجاد شده باشه .....



سلام

دوست من(jbasoft) شما خودت استادی اما اگه واقعا میخوای ماهی گیری یاد بگیری باید دقت بیشتری بکنی ...

* - همه دوستان به لاگ فایل های سایت اشاره کردن ...

* - به لینکی که محسن عزیز داد دقت کن .. ! فقط کافیه آی پی سرورت رو در سایت های ثبت هک، چک کنی تا صحت حرف های مدیر سرور رو متوجه بشی ...

* - داشتن سابقه هکر هم در کشف راه نفوذ خیلی کمک میکنه در 70درصد موارد تلاش های مشابهی انجام میدن ....

...

احتمالا الان از اتفاق افتاده بسیار ناراحتی و احساس ... درک میکنم . در شرایط مشابه بودم . ;)

سربلند باشید
امیر


***** از صحبتت ممنوننم و حق با توست ....

و حالا جواب : اگر مشکل از قسمت های بالا نباشه ....... مشکل از قالب سایت است ..... یعنی قالب سایت شما ممکنه که هک شده باشه ...... اتفاقی که کمی قبل تر برای یکی از دوستان اتفاق افتاد و من اونرا براش برطرف کردم ....


البته من کمی تا حدودی در زمینه هک و امنیت اطلاعات دارم اما به اطلاعات بچه های این انجمن نمی رسه ......

امیدوارم که به دردتون خورده باشه .....

بازهم من رو ببخشید ...... موفق باشید.

سلام

جالب بود ، باهاش برخورد نکردم . اما مشتاقم بدونم چه نوع هکی بوده ؟!

سایت دیفیس هم شده ؟؟ ???

اونم از قالب سایت !!

میشه بیشتر توضیح بدی .

سلام

یکی از مشکلات فعال بودن REGISTER GLOBAL در سرور است . این مورد هنگان نصب مامبو به شما گوشزد میشه اما خیلی از دوستان اون رو نادیده میگیرن و از کنارش میگذرن

اگر در هر یک از فایلهای مامبو - چه قالب و چه ماژولهاو ... کد زیر در وجود نداشته باشه و رجیستر گلوبال آن باشه ممکنه مشکل ساز بشه برای سایت :


defined( &#039;_VALID_MOS&#039; ) or die( &#039;Direct Access to this location is not allowed.&#039; );



مورد بعدی ورژن مامبو شماست . اگر بروز باشه احتمال هک به مراتب کمتره ... میبینید که تا الان آخرین ورژن منتشر شده هیچ باگی درهسته نداره ( بر خلاف مدیریت محتوا های مشابه )

کامپوننت هایی که نصب میکنید ممکنه مشکلاتی داشته باشند . SQL Injection یکی از متداول ترین مورد هاست . در این مورد هم اگر روی سرور mod security رو نصب کنند و Rule درستی بنویسند میشه تا اندازه زیادی جلوش رو گرفت .

خود سرور و OS - Apache - PHP &amp; ... که روی سرور نصب هست هم یکی از راههایی است که میشه ازش استفاده کرد

یا علی