ضمنا در مورد csf شما فرمودید انجام دادید : بعد از نصب هنوز enable نیست زیرا بصورت غیرفعال و تست security test result هست که در صورتیکه می خواهید فعال شه باید در تنظیماتش test_mod=0 کنید
خودش هم یک سری توصیه هایی کرده که قبل از انجام گروهی سفارش هایش توصیه می کنم تک تک انجام بدهید زیرا درصورت بروز خطا که سایت ها بالا نیایند بفهمید کدوم اعمال تغییر باعث شده تداخل ایجاد شه ولی در اعمال تغییر گروهی پیدا کردن علت کانفلیکل سخت تر می شود.
---------- Post added at 12:36 AM ---------- Previous post was at 12:34 AM ----------
اگر هکر در صفحه اصلی سایت شما که deface شده باشه یا هر تغییری ردپای فارسی هست احتمال 70% یکی از کاربران سرورتون بوده
هکر عرب کثیف بود
بعدشم اونقدر هم تازه وارد نیستم
csf رو کانفیگ کردم در حدی که امتیاز 122 از 136 داده...
---------- Post added at 12:39 AM ---------- Previous post was at 12:38 AM ----------
دوست عزیز گفتم که به نسخه 5.0.3 آپگرید کردم
اما زمانی که هک شدم رو نسخه قبلی بودم
که چون هنوز فارسی ساز نیومده بود به نسخه 5 آپگرید نکرده بودم
سلام
والا من همه ی پست هارو خوندم به صورت کوتاه ولی هیچکی در مورد این ننوشته بود به نظر
وکد:IMPORTANT: Do not ignore this email. This message is to inform you that the account root2 has user id 0 (root privs). This could mean that your system was compromised (OwN3D). To be safe you should verify that your system has not been compromised.
این دو به این معنا می باشند که اکانت های law و root2 توی سیستم وجود دارند که دسترسی ان ها با دسترسی روت اصلی سرور برابری می کند، این به چه معناست، یعنی این که فردی که این دو اکانت رو ایجاد کرده دسترسی کامل به سرور خواهد داشتکد:IMPORTANT: Do not ignore this email. This message is to inform you that the account law has user id 0 (root privs). This could mean that your system was compromised (OwN3D). To be safe you should verify that your system has not been compromised.
دوستان اگر اشتباه می گم خواهشن بگید که منم متوجه بشم اشتباه می کنم
Mr_Parham
Skype: Parham.iran
Email: Parham [at] 4upld.com
شرمنده منظور کلی بود نه شخصی شاید یک ویزیتور بیاد این مشکل رو داشته باشه.
خب اگر هکر عرب بوده از روش session id و یا athentication که مثالش در هک وی بولتین با اکانت ادمین جعلی بالا اومدن هست
و در جوملا نمی دونم چرا اکانت ادمین با یوزر آیدی 62 ست شده در تمام جوملا ها
خب هکر از قبل می دونه اونجا یک ادمین با یوزر 62 هست و تلاش می کنه یک سشن جعلی با نام جعلی یا آیدی جعلی کنه
اشتباه نمی گویید من هم در ابتدا گفتم که سرور کلا دست کاری زیادی شده و صرفا بحث سر رستور کردن دیتابیس نیست. حق با شماست
اما متاسفانه دستمون باز نیست تا تمام راه های نفوذ رو ببندیم.
دقیقا مشکل من همین بود
میخواستم بدونم آیا چنین یوزری ایجاد کرده یا خیر
اگه کرده چطور میتونم حذفش کنم؟!
توی خود لینوکس سرچ کردم این یوزر ها نبود اخه!
---------- Post added at 12:46 AM ---------- Previous post was at 12:45 AM ----------
سهلنگاری از خودم بود
راهکار اکانت های جعلی: ابتدا اون یوزرهارو ببندید ضمنا در تنظیمات putty که معمولا در tweak setting هم احتمالا وجود داشته باشد یا در فایل کانفیگ ssh در سرور، ssh رو طری کانفیگ کنید که فقط به روی یک ip محدود شه یا به روش primary key athuntication بالا بیاد
با این روش فقط از منزل و اداره شما با پوتی میشه کانکت شد حتی اگر رمز عبور هم بدی به کسی
ضمنا در اینجا اگر jail می کردیم اکانت هارو یکمی اوضاع بهتر بود مثلا jail چی میگه در یکی از آثارش میگه بطور اضطراری تمام دستورات لینوکس غیر فعالشوند حتی wget
---------- Post added at 12:52 AM ---------- Previous post was at 12:46 AM ----------
راستی cgi هم از اکانتهای هاست گرفته شوند علی الحساب curl رو غیر فعال کن و چند تا کانفیگ php.ini :
Enable_dl =off
allow_url_fopen=off
open base_dir=off
disabled functions: show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open,iniset
register globals=off
safemode=off
---------- Post added at 12:56 AM ---------- Previous post was at 12:52 AM ----------
در تنظیمات فایل کانفیگ ssh از پورت 22 به 220 یا دلخواه سریعا تغییر دهید
در دیتابیس ابتدا کل privilage access رو ببین کاربران مشکوک رو حذف کن و کاربر Root رو در دیتابیس حذف کن مطمئن باش همون طور که گفتم اجازه Remote گرفته شود و ضمنا در کانفیگ csf incoming , outgoing رو برای پورت mysql ببندید
public_html ها حتما 750 باشند.
---------- Post added at 01:03 AM ---------- Previous post was at 12:56 AM ----------
یک سری به تنظیمات دی ان اس بزن ببین تغییر نداده باشه و با intodns تست کن چرا که چند ساعت بعد نبینیم سایت ها رفتن روی یک سرور دیگر که خیلی بده برای یک فروشنده هاست.
عرب ها نادان هستند پس همین موضوع بهترین کمک هست. چرا عرب ها وقتی می رند تو گوگل می زنند : joomla exploit و vbulletin exploit همواره دنبال exploit های مختلف بگردبد و ببینید چه خبر !!!! هم راه نفوذ رو می بینید و مطلع می شوید و هم می فهمید که باید لابلای سورس حتما یک php وجود داره
معمولا کاربری php و apache با کاربر www بالا می آیند. دسترسی www فقط باید طوری ست بشه داخل فولدر /home باشه
و ضمنا اجرای دستورات مانند cp rm mkdir nano .... باید از این کاربر گرفته بشه این کار تخصصی تر هست و بگذار قدم آخر...
در حال حاضر 1 کاربر در حال مشاهده این موضوع است. (0 کاربران و 1 مهمان ها)