چند خط کد ، یا هک سایت

[1nafar]

سلام
میشه یه خورده زیر دیپلم (نه زیر پنجم ابتدایی ) توضیح بدید ، من فقط حذف کردن فایل اونم با ادرس کامل رو بلدم

[محمد حسینی]

با هاست تماس بگیر بگو سرعت سایت کم شد !

[1nafar]

سلام
بهشون گفتم و اونا هم چند تا امار فرستادن که سرعت خوبه ، تویcpanel سرعت خوب هست

---

اما بازم من مواردی که شما گفتید رو براشون ارسال میکنم . دستتون درد نکنه
این کد ها رو چه جوری حذف کنم ، ادرس سرراست بدید ؟

[IT.M@N]

سلام


خوب حالا اول به فکر پاک کردنش نباش داداش عزیزم ((البته پاک کردنش که کاری نداره !))


اول فک کن ببین طرف چطوری تونسته اینارو بزاره ! .


اول فک کردم Cross site scriptin باشه

ولی خوب منطق میگه نیست !!


خوب وقتی طرف تونسته یه کد جاوا اسکریپت ! یا هرکد دیگه تو هدر بزاره

پس حتما میتونه کد php هم بجاش بزاره !

خوب پس کار تمومه طرف میتونه یه شل کد اپلود کنه و.........

حالا اینجا سرور لینوکس هست مثلا تو ویندز واسه دسترسی پایدار به سرور رو سرور r00tkit نصب میکنن

ولی تو لینوکس چیزی به نام r00tkit نیست پس شل اپلود میکنن تا تو دفعات بعدی access لازم رو داشته باشن به سایت و سرورتون



پس احتمالا نباید طرف به سرور و فایل های سرور دسترسی مستقیم داشته باشه و دلیلش رو هم بالا گفتم..


درکل بهتره فایل های رو هاستت + تمامی صفحات php داخل سایت رو چک کنی

خوب خیلی راحت طرف میتونه یه RFI دستی تو یکی از صفحات فرومت بسازه تا خیلی راحت بتونه Shell code اپلود کنه


پوشه CGI-Bin رو هم چک کن ببین خالی باشه ! پرمیشن رو هم 755 بزار واسش


درضمن ببین فایل php.in جدید اپلود نشده ؟ یا htaccess ؟ تغییری نکرده ؟ مثلا اینا توش اضافه نشده ؟

safe mode = off
یا یه ل فانکشن رو Dis کرده باشه ؟


شاید طرف خواسته باشه از طریق سایتت به کل سرور دسترسی پیدا کنه !!!!!!!

---
البته البته امکانش هم هست که یه پلاگین نصب کرده باشین که مورد دار بوده !! رو local یه mybb نصب کن بعد تک تک پلاگین های جدیدت رو هم نصب کن ببین تغییری تو فایل ها ایجاد میشه یا نه !


وقت کنم خودم چک میکنم فرومت رو فعلا که درگیر یه مسعله دیگه هستم

[1nafar]

درکل بهتره فایل های رو هاستت + تمامی صفحات php داخل سایت رو چک کنی

چیش رو چک کنم ؟

پوشه CGI-Bin رو هم چک کن ببین خالی باشه ! پرمیشن رو هم 755 بزار واسش

پیداش نکردم

درضمن ببین فایل php.in جدید اپلود نشده ؟ یا htaccess ؟ تغییری نکرده ؟ مثلا اینا توش اضافه نشده ؟

هیچ فایل جدیدی اپلود نشده

البته البته امکانش هم هست که یه پلاگین نصب کرده باشین که مورد دار بوده !! رو local یه mybb نصب کن بعد تک تک پلاگین های جدیدت رو هم نصب کن ببین تغییری تو فایل ها ایجاد میشه یا نه !

این پلاگین ها همه از سایت پشتیبانی mybb دانلود شدن و قبل از بوجود اومدن مشکل روی سایت نصب بودن .

احتمالات زیر وجود داره :
1- مشکل از یه ویروس باشه
سوال
چه جوری حذفش کنم ؟
چه جوری موارد تخریب شده رو باسازی کنم ؟
2-سایت هک شده باشه
سوال
چه جوری جلو ی هک های بعدی رو بگیرم (سطح دسترسی کدوم فایل رو تغییر بدم )؟
چه جوری موارد تخریب شده رو باسازی کنم ؟
از کجا بفهمم کاری کی بوده ؟
3- مشکل از هاست یا mybb یا .... هست
سوال

چه جوریه دلیل قانع کننده (proof) به من بدید تا به ارائه دهنده هاست یا پشتیبانی mybb بدم ؟
چه جوری موارد تخریب شده رو باسازی کنم ؟

در کل کاری هست که شده ، چه جوری درستش کنم

در ضمن توی پشیبانی انگلیسی mybb ، لینک سایت من که در اولین پست گذاشت بودم پاک شده .و در اخرین پست که توسط مدیرش زده شده ، به من گفته شده که فعلا تاپیک جدید نزنم و منتظر بمونم .
پشتیبانی فارسی هم که چند روز عقب کشیده و اصلا جواب نمیده .

اگه چیزی شد بگید ، من طاقت شنیدنش رو دارم

[IT.M@N]

سلام

ویروس که نیست عزیز من که بتونی با انتی ویروس پاکش کنی :دی !


تازه این کار رو هم شما پرمیشن نداری یعنی اصلا تو سرور های لینوکس این امکان وجود نداره که بتونید فایل ها رو ویروس کشی کنید ! البته ویروس اینجا منظور اسکریپت های الوده هست مثه شلر ها

cgi-bin هم تو دایرکتری اصلی یعنی دایرکتری r00t یا همون public_html یا www هست ! خوب واضیح واضح گفتم !



درضمن مسعله سرعت پایین به سرور مربوط میشه و اونا باید جوابگو باشن

احتمالا یکی داره داس میکنه سرور رو و واسه همین مشکل پیش اومده و تاجایی که من میدونم این سرور از نظر امنیت = در حد زیر 0 هستش !

با یه دسترسی ساده میشه کل سرور رو تو دست بگیریم

مثلا خود شما الان یه دسترسی از سرور داری خوب به راحتی میتونی کل سرور رو تو دست بگیری :دی

چیزی این بهتر


خوب از مسعله خارج نشیم :


شما فعلا اون کارایی رو که گفتم انجام بدین
درضمن تو mybb برید و log های Login رو هم چک کنید ! ببینید کسی با ip دیگه وارد بخش مدیریت نشده ؟! ((خوب احتمال اینم هست که از طریقی پسور رو پیدا کرده و تونسته فایل ها رو از قسمت ویرایش قالب و Template ادیت کنه و کد ها رو اضافه کنه )))

[1nafar]

سلام

cgi-bin هم تو دایرکتری اصلی یعنی دایرکتری r00t یا همون public_html یا www هست ! خوب واضیح واضح گفتم !

با تشکر از شما پوشه یا فایلی به این نام وجود نداره . (این اسم مخفف نیست ؟)

درضمن تو mybb برید و log های Login رو هم چک کنید ! ببینید کسی با ip دیگه وارد بخش مدیریت نشده ؟

تنها ip موجود مال خودم هست .

[IT.M@N]

سلام


پوشه cgi-bin باید صد درصد باشه ! حالا اشکال نداره نباشه هم مهم نیست من واسه خاطر دیگه ای گفتم چک کنید...


و درمورد ip ,log خوب معلوم شد وارد administrator panel mybb نشده و خیالت از این نظر راحت میشه




ببینم ورژن mybb چنده ؟ شاید با یه xpl اماده تونسته به سایت تزریق بکنه !

[ha_60]

شاید فایل هایی که اپلود کردی مشکل داشته اول همون فایل ها رو رو لوکال نصب کن ببین این کد ها توش نیست
اگه نبود برو سراغ تمپلیت ها توی قسمت مدیریت ببین اونجا هم این کد ها هست
اگه نبود دوباره فایل ها رو آپلود کن ببین حل می شه
شاید سرور هک شده باشه و کاری به شما نداره سایت های دیگه ای که روی سرور رو ک کن ببین توی اون ها نیست

[1nafar]

سلام

ببینم ورژن mybb چنده ؟ شاید با یه xpl اماده تونسته به سایت تزریق بکنه !

اخرین ورژن mybb که فکر کنم 4.5 باشه

شاید فایل هایی که اپلود کردی مشکل داشته اول همون فایل ها رو رو لوکال نصب کن ببین این کد ها توش نیست

این کد ها توی مورد نصب شده در لوکال نیست

اگه نبود دوباره فایل ها رو آپلود کن ببین حل می شه

کدم فایل ها (با اپلود کردن مجدد اطلاعات انجمن ها از بین نمیره ؟)

شاید سرور هک شده باشه و کاری به شما نداره سایت های دیگه ای که روی سرور رو ک کن ببین توی اون ها نیست

اونا مثل ساعت کار میکنن و مشکلی ندارند (چند تایی که در داخل سایت فروشنده بود و اونای که من خبر داشتم )
یک برادر بسیجی در دوخط بفرمایید که من این کد رو چه جوری حذف کنم ؟
چه فایل رو حذف کنم ؟
چه فایلی رو ویرایش کنم ؟
برادر بسیجی لطفا زیر مهد کودک توضیح بده .

[amirjan]

ابتدا به صفحه مدیریت mybb وارد می شویم ، از لیست سمت چپ ، Templates را می کلیکیم ، در لیست ظاهر شده ، Template ی که داریم ازش استفاده می کنیم رو پیدا می کنیم ، روی options کلیک و سپس رو expand template کلیک می نُماییم . در لیستی که می آید به دنبال ungrouped templates می گردیم و موس را روی آن می بریم ، انگشت اشاره دست راست را خم می کنیم (یعنی کلیک می کنیم) ، بعد در لیستی که زیرش باز میشه روی headerinclude میکیلیکیم . در صفحه باز شده به دنبال کد مخرب می گردیم و آن را حذف می نُماییم و save می زُنیم .

(راستی سعید امضات رو درست کن ، لینک دادی fafawiki )