سایت من با مامبو 4.6.2 هک شد.

[nice]

سلام همان طور که میدانید هکر های وهابی و عرب به سایت های شیعه و فارسی حمله ور شدن البته جواب سختی هم از هکر های ایرانی گرفتند

امروز دیدم نمیتوانم لاگین کنم متوجه شدم از phpmyadmin یک عرب پسوررد و ایمیل مدیر را تغییر داده بود خوب احتمالا لاگین هم کرده البته محتوا و ... دستی نخورده و چون همه پوشه های من 755 هست نتوانسه shell و ... آپلود کنند البته سرور ما هم چند روزی حدود 1 ساعتی خاموشی داشت حالا من مشکوک شدم از طریق سرور و هک سرور و دسترسی به دیتابیس این کارا کرده یا خود مامبو نظرتون را اینجا مطرح کنید بخصوص بهرام و محسن عزیز...
مامبو من هم 4.6.2 هست البته مدیریت من با یک سیستم لاگین مستقل محافظت میشه و قابل دسترسی نیست.


یاعلی.

[nice]

سلام گویا این خاموشی سرور برای تغییرات نرم افزاری بوده و دیگر سایت ها سالم هستند پس احتمالا از طریق دیگر بوده و از قسمت کاربری چون سخت است پیدا کردن پوشه مدیریت...

یا علی

[amir.d]

سلام

میدونم شاید حرفم تکراری باشه ، اما باگی در این مورد اعلام نشده .

عوض کردن پسورد و ایمیل هم از بخش کاربری کاره نشدنی به نظر میرسه . احتمال حمله به سرور بیشتر هست .

البته در بیشتر هک های صورت گرفته این گروه هم فقط به سرور حمله شده . ...

سرافراز باشید
امیر

[firoozmandan]

سلام

با توجه به لاگهای سرور بهتر میشه فهمید مشکل از کجا بوده .

mambo 4.6.2 بدون باگ نیست اما باگی که در این نسخه هست در صورتی قابل استفاده است که Register Global On باشه که فکر نمیکنم روی سرور شما این مورد فعال باشه

2 روز قبل باگ جدیدی در PHPMyAdmin منتشر شد . تمام ورژن های پایین تر از 2.11.9.2 این مشکل رو دارند . خیلی موارد هست که باید چک و بررسی بشه که بهترین راه هم چک کردن لاگ هاست

یا علی

[nice]

سلام محسن عزیز لاگ این قدر زیاد من خیلی گیج میشم توش اگه روش و حالت خاصی داره برای بررسی لاگ بگو که راحت تر بتوانم بررسی کنم مثلا کلمه یا چیز خاصی را جستجو کنم.

در ضمن register globals off بوده و مدیریت سرور تمامی نرم افزار های را تغییر دادن به آخرین نسخه چند چیز هم نصب کردن که نمی دانم چیه مثل xsl و tokenizer و tidy و suhosin البته این آخری را واقعا دوست دارم بدونم چیه

Suhosin is an advanced protection system for PHP installations. It was designed to protect servers and users from known and unknown flaws in PHP applications and the PHP core.

هر چه است باسه امنیت هست ولی تاحالا ازش استفاده نکردم .

[the0ne]

سلام دوستان با اجازه همگی اين نامردا سايت ما رو هم هک کردن >
رفتم لاگ ها رو نگاه کردم مشکل از سرور نبود چون دقيقاً صفحه مامبو ديفيس (deface) شده بود :'(
برای من خيلی عجيب که مامبو 4.6.5 که آخرين نسخه اي بود که تو سايت بود به اين راحتی هک بشه يعنی هيچ پتچی وجود نداره که بتونيم جلوی حمله های آينده رو بگيريم :-\

[firoozmandan]

سلام

به نظر میاد اشتباه میکنید !


ممنون میشم اگر لینک سایتتون + اون لاگهایی که نشون میدن مشکل از مامبو بوده رو اینجا قرار بدید !



یا علی

[the0ne]

سلام ممنون که دقت نظر دارين و انقدر سريع جواب ميدين
برای چی ميگين اشتباه ميکنم اول اين سايت: [مهمان/کاربر گرامی برای دیدن لینک ها ابتدا باید عضو سایت شوید و لاگین کنید برای ثبت نام اینجا کلیک کنید] اگه دقت کنيد ميبينيد که صفحه اصلی سايت (مامبو) ديفيس شده.
فقط لطفاً سريع برين سايت رو نگاه کنيد چون صفحه اصلی رو برداشته بودم الان دوباره برا اين که مطمئن بشيد گزاشتم.
دوم لاگ ها رو وقتی نيگاه ميکنم در روز 22 سپتامبر يه نفر از عربستان سعودی مرتب تو فلدر administrator ولگردی کرده در صورتی که من اون روز اصلاً تو سايت نرفتم.
تازه هم سايت های ديگه اين سرور درست هستند هم من ميتونم وارد کنترل پنل بشم پس مشکل از اين نيست ولی وارد بخش مديريت نميتونستم بشم چون اين نامرد پسورد رو عوض کرده بود. >
بازم اگه چيزی خواستين جهت اطمينان در خدمتم.

[the0ne]

ببخشيد 2 پست شد ميخواستم بگم يه راهی بگين اطلاعاتم رو برگردونم يعنی مامبو رو برگردونم چون ميترسم يه کاری کرده باشه که برا حملات بعدی راحت تر باشه

[firoozmandan]

سلام

این موضوع دلیل بر مشکل در مامبو نمیشه !

وقتی کسی به سایت و سرور شما نفوذ میکنه اولین کاری که میکنه دیفیس سایت شماست ! حتی اگر صفحه اول html هم باشه دیفیس میشه !

-----------

سرور شما رو چک کردم متاسفانه باگهای زیادی داره !!


مامبو 4.6.5 همین الان روی بیشتر از 2000 وبسایت فارسی نصب هست ! قطعا اگر مشکلی بود اولین سایت که هک میشد مامبولرن بود

یا علی