هک شدن یک سایت و حمله به یک سرور

codex · 10-30-2009, 09:55 PM

با عرض سلام خدمت شما
چند روز پیش متوجه شدم که سایت بنده به صورت موقت به حالت تعلیق در آمده است بعد از اینکه با مسئول هاست مکاتبه داشتم آنا به بنده جواب زیر را دادند . آنها فکر می کنند که از طریق سایت بنده قصد حمله و هک کردن سایت آنها را داشته اند به همین علت سایت بنده را به حالت تعلق در آورده اند خواهش می کنم یک نگاهی بیندازید و نظر خودتان را در این مورد بفرمایید امکان دارد که آنها اشتباه می کرده اند یا نه؟

این متن زیر متن مکاتبه من با آنها و همینطور دلایل آنها برای حمله سرور است

متشکرم

security team has noticed following hacking attempts from your website xxx.com,
we have immediately suspended the website as it is direct abuse of the network services and a violation of our TOS and AUP.

1) Suspicious file created in /tmp directory:

Time: Wed Oct 14 10:25:12 2009 +1100
File: /tmp/bds
Reason: Binary executable
Owner: xxx

xx
Action: No action taken

2) Remote php shell script uploaded to the website and executed.
crusader [/home/xxx/public_html]# head INSTALL.php
/*******************************************/
/* FaTaLisTiCz_Fx Fx29Sh v1 06.2008 */
/* Re-coded and modified By FaTaLisTiCz_Fx */
/* #CyBeRz@irc.allnetwork.org */
/*******************************************/
$sh_id = "RmFUYUxpc1RpQ3pfRnggRngyOVNoZUxMIHY=";
$sh_ver = "1.5 06.2008";
$sh_name = base64_decode($sh_id).$sh_ver;
$sh_mainurl = "http://legalref.ru/config/";

-------apache log-------
xx.xx.xx.xx - - [14/Oct/2009:09:13:14 +1100] "GET /INSTALL.php HTTP/1.0" 200 6535 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko /2008120122 Firefox/3.0.5"
xx.xx.xx.xx - - [14/Oct/2009:09:27:27 +1100] "GET /INSTALL.php HTTP/1.0" 200 6543 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko /2008120122 Firefox/3.0.5"
xx.xx.xx.xx - - [14/Oct/2009:09:28:17 +1100] "GET /INSTALL.php?act=ls&d=%2Fhome%2Firanpowe%2Fpublic_h tml%2Flogs&sort=0a HTTP/1.0" 404 - "http://www.xxx.com/INSTALL.php" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5"
xx.xx.xxx.xxx - - [14/Oct/2009:09:28:21 +1100] "GET /INSTALL.php HTTP/1.0" 200 6543 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko /2008120122 Firefox/3.0.5"
72.52.96.163 - - [14/Oct/2009:09:28:26 +1100] "GET /INSTALL.php HTTP/1.0" 200 6542 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko /2008120122 Firefox/3.0.5"
xx.xx.xx.xx - - [14/Oct/2009:09:28:30 +1100] "GET /INSTALL.php?act=ls&d=%2Fhome%2Firanpowe%2Fpublic_h tml%2Fadministrator&sort=0a HTTP/1.0" 404 - "http:/ /www.xxx.com/INSTALL.php" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5"
xx.xx.xx.xxx - - [14/Oct/2009:09:28:33 +1100] "GET /INSTALL.php HTTP/1.0" 200 6543 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko /2008120122 Firefox/3.0.5"
72.52.96.163 - - [14/Oct/2009:09:29:00 +1100] "POST /INSTALL.php HTTP/1.0" 200 6634 "http://www.xxx.com/INSTALL.php" "Mozilla/5.0 (Windows; U; W indows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5"
72.52.96.163 - - [14/Oct/2009:09:29:29 +1100] "GET /cpanel.php HTTP/1.0" 401 20 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/20 08120122 Firefox/3.0.5"
xx.xxx.xx.xx - - [14/Oct/2009:09:29:54 +1100] "GET /cpanel.php HTTP/1.0" 401 20 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/20 08120122 Firefox/3.0.5"
xx.xx.xx.xx - - [14/Oct/2009:09:30:00 +1100] "GET /cpanel.php HTTP/1.0" 200 5024 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/ 2008120122 Firefox/3.0.5"
xxx.xx.xx.xxx - - [14/Oct/2009:09:30:46 +1100] "POST /cpanel.php HTTP/1.0" 200 5224 "http://www.xxx.com/cpanel.php" "Mozilla/5.0 (Windows; U; Win dows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5"
xx.xx.xx.xxx- - [14/Oct/2009:09:30:51 +1100] "GET /cpanel.php HTTP/1.0" 200 5024 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/ 2008120122 Firefox/3.0.5"
xx.xx.xx.xxx - - [14/Oct/2009:09:32:45 +1100] "POST /cpanel.php HTTP/1.0" 200 12710 "http://www.xxx.com/cpanel.php" "Mozilla/5.0 (Windows; U; Wi ndows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5"
xx.xx.xxx.xxx - - [14/Oct/2009:09:33:38 +1100] "POST /cpanel.php HTTP/1.0" 200 12712 "http://www.xxx.com/cpanel.php" "Mozilla/5.0 (Windows; U; Wi ndows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5"
xx.xx.xx.xx - - [14/Oct/2009:09:34:11 +1100] "GET /cpanel.php HTTP/1.1" 401 20 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2. 0.50727; .NET CLR 3.0.04506.30)"
xx.xx.xxx.xxx - - [14/Oct/2009:09:34:21 +1100] "GET /cpanel.php HTTP/1.1" 200 5024 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30)"
xx.xx.xx.xx - - [14/Oct/2009:09:34:41 +1100] "POST /cpanel.php HTTP/1.1" 200 12712 "http://www.xxx.com/cpanel.php" "Mozilla/4.0 (compatible; M SIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30)"
xxx.xx.xx.xx - - [14/Oct/2009:09:34:49 +1100] "POST /cpanel.php HTTP/1.1" 200 12712 "http://www.xxx.com/cpanel.php" "Mozilla/4.0 (compatible; M SIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30)"
xxx.xxx.xx.xx - - [14/Oct/2009:09:36:33 +1100] "POST /cpanel.php HTTP/1.1" 200 12710 "http://www.xxx.com/cpanel.php" "Mozilla/4.0 (compatible; M SIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30)"
xx.xx.xx.xx - - [14/Oct/2009:09:38:17 +1100] "GET /INSTALL.php HTTP/1.0" 200 6593 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko /2008120122 Firefox/3.0.5"
xx.xxx.xxx.xxx - - [14/Oct/2009:09:40:17 +1100] "POST /INSTALL.php? HTTP/1.0" 200 6551 "http://www.xxx.com/INSTALL.php" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5"

**Sha2ow** · 10-30-2009, 10:08 PM

شاید سایت شما باگی داشته که از طریق اون تونستن Shell رو هاست ایجاد کنند و Admin Server فهمیده و سایت شما رو Suspended کرده شما بهشون بگو مشکل از Application سایت بوده برات بازش کنن و خودتون هک شدید ........

**Ruby** · 10-30-2009, 10:09 PM

نظر من اینه شاید کسی شل رو سیستمت بالا برده میخواسته این کاره کنه .

البته نظر من بود نظر مدیران هم بپرس

codex · 10-30-2009, 10:43 PM

با عرض سلام خدمت شما
یعنی برای جواب دادن به ادمین سایت همین که به آنها بگویم که مشکل ازApplication سایت بوده کافی است به نظر شما؟

متشکرم

**mahrud** · 10-30-2009, 11:11 PM

هر چی هست از اين فايل هست:

کد:

/INSTALL.php

اگه FaTaLisTiCz_Fx Fx29SheLL v رو تو گوگل سرچ کنی ،ميفهمی که يک شل هست .
...
در هر صورت INSTALL.php رو پاک کن ... موقت ...
موفق باشی ./
--------------------------------------------------------------------
فکر نميکنم هدف سايت شما بوده باشه ،
گويا ميخواسته به اين سايت:
iranpowe
حمله کنه ... ولی ارور گرفته ... شايد غلط املايی داشته ... (ببين host تو با host اين سايت: iranpower.com مشترکه؟ اگه آره يعنی غلط املايی داشته ...)
بزار log رو توضيح بدم ،خودت ميفهمی:
اوّل مطمئن شده که شلش (install.php) آماده هست ،بعد خواسته با دستور:

کد:

GET /INSTALL.php?act=ls&d=%2Fhome%2Firanpowe%2Fpublic_h tml%2Flogs&sort=0a HTTP/1.0

فولدر:

کد:

/home/iranpowe/public_html/logs

رو ليست کنه ،ولی ارور 404 گرفته ،يعنی اون فلدر وجود نداره (مطمئن نيستم) ،بعد خواسته اين فولدر رو:

کد:

/home/iranpowe/public_html/administrator

ليست کنه ،ولی بازم ارور داده ...
بعد رفته سراغ cpanel.php ... فکر کنم پسورد تست ميکرده ... چون 12 بار cpanel.php رو ديده ... اون خط هايی که کد 401 برگردونده ،يعنی پسورد اشتباه بوده ،اون خط هايی که 200 داده ،احتمالاً يعنی دوباره صفحه رو reload کرده ،ولی پسورد رو نتونسته پيدا کنه ...

codex · 11-01-2009, 03:23 AM

با عرض سلام خدمت شما
اول از همه از لطف شما متشکرم، اما می خواهم این را بدانم که اگر تمامی مواری را که شما در بالا ذکر کردید را بخواهم برای مدیر امنیتی هاست توضیح بدهم کافی است یا به نظر شما چیزهای دیگری هم برای آوردن دلیل باید بیاورم این طور که خودم بررسی کردم اصلن هکی در کار نبوده فقط یک مشکلی در هنگام نصب مدیریت محتوا پیش آمده است که که آنها گمان کرده اند می خواهند سرورشان را هک کنند. اما چون نمی شود به همین راحتی به آنها توضیح داد از شما می خواهم در این مورد بنده را راهنمایی بفرمایید

از لطف شما بسیار متشکرم

**0261** · 11-01-2009, 08:25 AM

نقل قول:

نوشته شده توسط codex

با عرض سلام خدمت شما
چند روز پیش متوجه شدم که سایت بنده به صورت موقت به حالت تعلیق در آمده است بعد از اینکه با مسئول هاست مکاتبه داشتم آنا به بنده جواب زیر را دادند . آنها فکر می کنند که از طریق سایت بنده قصد حمله و هک کردن سایت آنها را داشته اند به همین علت سایت بنده را به حالت تعلق در آورده اند خواهش می کنم یک نگاهی بیندازید و نظر خودتان را در این مورد بفرمایید امکان دارد که آنها اشتباه می کرده اند یا نه؟

این متن زیر متن مکاتبه من با آنها و همینطور دلایل آنها برای حمله سرور است

متشکرم

security team has noticed following hacking attempts from your website xxx.com,
we have immediately suspended the website as it is direct abuse of the network services and a violation of our TOS and AUP.

1) Suspicious file created in /tmp directory:

Time: Wed Oct 14 10:25:12 2009 +1100
File: /tmp/bds
Reason: Binary executable
Owner: xxx

xx
Action: No action taken

2) Remote php shell script uploaded to the website and executed.
crusader [/home/xxx/public_html]# head INSTALL.php
/*******************************************/
/* FaTaLisTiCz_Fx Fx29Sh v1 06.2008 */
/* Re-coded and modified By FaTaLisTiCz_Fx */
/* #CyBeRz@irc.allnetwork.org */
/*******************************************/
$sh_id = "RmFUYUxpc1RpQ3pfRnggRngyOVNoZUxMIHY=";
$sh_ver = "1.5 06.2008";
$sh_name = base64_decode($sh_id).$sh_ver;
$sh_mainurl = "http://legalref.ru/config/";

-------apache log-------
xx.xx.xx.xx - - [14/Oct/2009:09:13:14 +1100] "GET /INSTALL.php HTTP/1.0" 200 6535 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko /2008120122 Firefox/3.0.5"
xx.xx.xx.xx - - [14/Oct/2009:09:27:27 +1100] "GET /INSTALL.php HTTP/1.0" 200 6543 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko /2008120122 Firefox/3.0.5"
xx.xx.xx.xx - - [14/Oct/2009:09:28:17 +1100] "GET /INSTALL.php?act=ls&d=%2Fhome%2Firanpowe%2Fpublic_h tml%2Flogs&sort=0a HTTP/1.0" 404 - "http://www.xxx.com/INSTALL.php" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5"
xx.xx.xxx.xxx - - [14/Oct/2009:09:28:21 +1100] "GET /INSTALL.php HTTP/1.0" 200 6543 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko /2008120122 Firefox/3.0.5"
72.52.96.163 - - [14/Oct/2009:09:28:26 +1100] "GET /INSTALL.php HTTP/1.0" 200 6542 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko /2008120122 Firefox/3.0.5"
xx.xx.xx.xx - - [14/Oct/2009:09:28:30 +1100] "GET /INSTALL.php?act=ls&d=%2Fhome%2Firanpowe%2Fpublic_h tml%2Fadministrator&sort=0a HTTP/1.0" 404 - "http:/ /www.xxx.com/INSTALL.php" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5"
xx.xx.xx.xxx - - [14/Oct/2009:09:28:33 +1100] "GET /INSTALL.php HTTP/1.0" 200 6543 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko /2008120122 Firefox/3.0.5"
72.52.96.163 - - [14/Oct/2009:09:29:00 +1100] "POST /INSTALL.php HTTP/1.0" 200 6634 "http://www.xxx.com/INSTALL.php" "Mozilla/5.0 (Windows; U; W indows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5"
72.52.96.163 - - [14/Oct/2009:09:29:29 +1100] "GET /cpanel.php HTTP/1.0" 401 20 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/20 08120122 Firefox/3.0.5"
xx.xxx.xx.xx - - [14/Oct/2009:09:29:54 +1100] "GET /cpanel.php HTTP/1.0" 401 20 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/20 08120122 Firefox/3.0.5"
xx.xx.xx.xx - - [14/Oct/2009:09:30:00 +1100] "GET /cpanel.php HTTP/1.0" 200 5024 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/ 2008120122 Firefox/3.0.5"
xxx.xx.xx.xxx - - [14/Oct/2009:09:30:46 +1100] "POST /cpanel.php HTTP/1.0" 200 5224 "http://www.xxx.com/cpanel.php" "Mozilla/5.0 (Windows; U; Win dows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5"
xx.xx.xx.xxx- - [14/Oct/2009:09:30:51 +1100] "GET /cpanel.php HTTP/1.0" 200 5024 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/ 2008120122 Firefox/3.0.5"
xx.xx.xx.xxx - - [14/Oct/2009:09:32:45 +1100] "POST /cpanel.php HTTP/1.0" 200 12710 "http://www.xxx.com/cpanel.php" "Mozilla/5.0 (Windows; U; Wi ndows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5"
xx.xx.xxx.xxx - - [14/Oct/2009:09:33:38 +1100] "POST /cpanel.php HTTP/1.0" 200 12712 "http://www.xxx.com/cpanel.php" "Mozilla/5.0 (Windows; U; Wi ndows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5"
xx.xx.xx.xx - - [14/Oct/2009:09:34:11 +1100] "GET /cpanel.php HTTP/1.1" 401 20 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2. 0.50727; .NET CLR 3.0.04506.30)"
xx.xx.xxx.xxx - - [14/Oct/2009:09:34:21 +1100] "GET /cpanel.php HTTP/1.1" 200 5024 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30)"
xx.xx.xx.xx - - [14/Oct/2009:09:34:41 +1100] "POST /cpanel.php HTTP/1.1" 200 12712 "http://www.xxx.com/cpanel.php" "Mozilla/4.0 (compatible; M SIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30)"
xxx.xx.xx.xx - - [14/Oct/2009:09:34:49 +1100] "POST /cpanel.php HTTP/1.1" 200 12712 "http://www.xxx.com/cpanel.php" "Mozilla/4.0 (compatible; M SIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30)"
xxx.xxx.xx.xx - - [14/Oct/2009:09:36:33 +1100] "POST /cpanel.php HTTP/1.1" 200 12710 "http://www.xxx.com/cpanel.php" "Mozilla/4.0 (compatible; M SIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30)"
xx.xx.xx.xx - - [14/Oct/2009:09:38:17 +1100] "GET /INSTALL.php HTTP/1.0" 200 6593 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko /2008120122 Firefox/3.0.5"
xx.xxx.xxx.xxx - - [14/Oct/2009:09:40:17 +1100] "POST /INSTALL.php? HTTP/1.0" 200 6551 "http://www.xxx.com/INSTALL.php" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5"

جوملا نصب داشتی
باگ داشته یا روی کامپونت یا ورژن جوملات 1.5 بوده باگ توکن داشته
الان بهشون بگو احتمالاً اکسز ها اینجا هستن
/home/user/public_html/images/shell.php

در ضمن کاربر چنانچه روی سرور حتی یه شل هم بزاره توی اکثر هاستینگ ها دیگه حق استفاده از سرویس رو نداره

codex · 11-02-2009, 04:11 AM

با عرض سلام خدمت شما
اول از همه از خدمت شما یک سوال داشتم و آن هم در مورد این است که چگونه متوجه شدید که از جوملا استفاده می شده است؟
دوم بنده کل ماجرا را خدمت همه شما تعریف می کنم با توجه به تاریخی که در این نامه برای حمله به سرور نوشته است بنده متوجه شدم که در آن روز اتفاق دیگری افتاده است که شرح کامل را برایتان می نویسم
در آن روز بنده تصمیم گرفتم که کل سایت را دوباره بریزم البته به دلایلی از جمله پاک شدن بعضی از ماژول ها و کامپونت های اصلی در آن روز سرم خیلی شلوغ بود به همین خاطر در زمان نصب یادم رفت که چه پسوردی را برای ادمین وارد کرده ام اما یادم بود که چه ایمیلی را وارد کرده ام ، نمی دانم آیا با این سیستم مدیریت محتوا آشنا هستید یا نه اما به این صورت است که در مرحله یکی مانده به آخر شما اسم سایت ، آدرس ایمیل ، و همچنین پسورد را در آنجا مشخص می کنید که همگی آنها برای ادمین است در مرحله آخر و در پایان نصب یک پیغام می آید و از شما خواسته می شود که برای امنیت بیشتر فایل Install را از File Manger کنترل پنل خودتان پاک کنید ، من هم مطابق معمول همین کار را کردم و بعد از آن خواستم که وارد قسمت مدیریت سایت بشوم و تازه یادم افتاد که پسورد را فراموش کرده ام وقتی خواستم که دکمه بازگشت مرورگر خودم را بزتنم تا دوباره یک رمز جدید را بزنم متوجه شدم که دیگر امکان دسترسی به این قسمت را ندارم چون قلن فایل Install را پاک کرده بوده بودم برای همین تصمیم گرفتم که فایل Install را دوباره آپلود کنم تا بتوانم یک پسورد جدید درست کنم این کار را کردم اما هرچقدر تلاش کردم نشد که نشد ، برای همین مجبور شدم به قسمتی که یوزرنیم و پسور سایت را میزنند بروم و چند پسوردی را که فکر می کردم آنها باشند را امتحان کنم که متاسفانه جواب نداد کمی بعد به سراغ Forgot Password رفتم که در آنجا بعد از کلی تاییده و تلاش پسورد را بدست بیاورم اما متوجه شدم به علت اینکه دوباره فایل Install را ریخته ام کل سیستم سایت دچار اختلال شده است لذا دوباره کل اطلاعاتی را که ریخته بودم را پاک کردم و دوباره شروع به نصب سایت کردم. همه چز خوب بود تا یک فته بعد که سایت از طرف آدمین سرور معلق شد. حالا مشکل اصلی دقیقن همین جاست. اگر لطف کنید و در این باره کمک کنید از شما سپاسگذارم.

با تشکر

codex · 11-02-2009, 09:31 PM

نقل قول:

نوشته شده توسط codex

با عرض سلام خدمت شما
اول از همه از خدمت شما یک سوال داشتم و آن هم در مورد این است که چگونه متوجه شدید که از جوملا استفاده می شده است؟
دوم بنده کل ماجرا را خدمت همه شما تعریف می کنم با توجه به تاریخی که در این نامه برای حمله به سرور نوشته است بنده متوجه شدم که در آن روز اتفاق دیگری افتاده است که شرح کامل را برایتان می نویسم
در آن روز بنده تصمیم گرفتم که کل سایت را دوباره بریزم البته به دلایلی از جمله پاک شدن بعضی از ماژول ها و کامپونت های اصلی در آن روز سرم خیلی شلوغ بود به همین خاطر در زمان نصب یادم رفت که چه پسوردی را برای ادمین وارد کرده ام اما یادم بود که چه ایمیلی را وارد کرده ام ، نمی دانم آیا با این سیستم مدیریت محتوا آشنا هستید یا نه اما به این صورت است که در مرحله یکی مانده به آخر شما اسم سایت ، آدرس ایمیل ، و همچنین پسورد را در آنجا مشخص می کنید که همگی آنها برای ادمین است در مرحله آخر و در پایان نصب یک پیغام می آید و از شما خواسته می شود که برای امنیت بیشتر فایل install را از file manger کنترل پنل خودتان پاک کنید ، من هم مطابق معمول همین کار را کردم و بعد از آن خواستم که وارد قسمت مدیریت سایت بشوم و تازه یادم افتاد که پسورد را فراموش کرده ام وقتی خواستم که دکمه بازگشت مرورگر خودم را بزتنم تا دوباره یک رمز جدید را بزنم متوجه شدم که دیگر امکان دسترسی به این قسمت را ندارم چون قلن فایل install را پاک کرده بوده بودم برای همین تصمیم گرفتم که فایل install را دوباره آپلود کنم تا بتوانم یک پسورد جدید درست کنم این کار را کردم اما هرچقدر تلاش کردم نشد که نشد ، برای همین مجبور شدم به قسمتی که یوزرنیم و پسور سایت را میزنند بروم و چند پسوردی را که فکر می کردم آنها باشند را امتحان کنم که متاسفانه جواب نداد کمی بعد به سراغ forgot password رفتم که در آنجا بعد از کلی تاییده و تلاش پسورد را بدست بیاورم اما متوجه شدم به علت اینکه دوباره فایل install را ریخته ام کل سیستم سایت دچار اختلال شده است لذا دوباره کل اطلاعاتی را که ریخته بودم را پاک کردم و دوباره شروع به نصب سایت کردم. همه چز خوب بود تا یک فته بعد که سایت از طرف آدمین سرور معلق شد. حالا مشکل اصلی دقیقن همین جاست. اگر لطف کنید و در این باره کمک کنید از شما سپاسگذارم.

با تشکر

با سلام خواهشمند هستم که در مورد اینکه چطور جواب مدیر امنیتی سایت را بدهم بنده را راهنمایی بفرمایید چون سایت بنده فعلن معلق شده است

متشکرم

**Ruby** · 11-02-2009, 10:03 PM

نقل قول:

نوشته شده توسط codex

با سلام خواهشمند هستم که در مورد اینکه چطور جواب مدیر امنیتی سایت را بدهم بنده را راهنمایی بفرمایید چون سایت بنده فعلن معلق شده است

متشکرم

شما تماس بگیر با Data Center سایتت و بهشون بگو که سایت من مورد حمله قرار گرفته و میخواستن به وسیله سایت من از سرور و سایتهای دیگه سوءاستفاده کنند و به شما کمک میکنند

10-30-2009, 09:55 PM	#1
codex عضو تازه وارد تاريخ عضويت: Aug 2008 پست: 8 Thanks: 8 0 بار تشکر شده در 0 پست	هک شدن یک سایت و حمله به یک سرور با عرض سلام خدمت شما چند روز پیش متوجه شدم که سایت بنده به صورت موقت به حالت تعلیق در آمده است بعد از اینکه با مسئول هاست مکاتبه داشتم آنا به بنده جواب زیر را دادند . آنها فکر می کنند که از طریق سایت بنده قصد حمله و هک کردن سایت آنها را داشته اند به همین علت سایت بنده را به حالت تعلق در آورده اند خواهش می کنم یک نگاهی بیندازید و نظر خودتان را در این مورد بفرمایید امکان دارد که آنها اشتباه می کرده اند یا نه؟ این متن زیر متن مکاتبه من با آنها و همینطور دلایل آنها برای حمله سرور است متشکرم security team has noticed following hacking attempts from your website xxx.com, we have immediately suspended the website as it is direct abuse of the network services and a violation of our TOS and AUP. 1) Suspicious file created in /tmp directory: Time: Wed Oct 14 10:25:12 2009 +1100 File: /tmp/bds Reason: Binary executable Owner: xxxxx Action: No action taken 2) Remote php shell script uploaded to the website and executed. crusader [/home/xxx/public_html]# head INSTALL.php /******************************************/ / FaTaLisTiCz_Fx Fx29Sh v1 06.2008 / / Re-coded and modified By FaTaLisTiCz_Fx / / #CyBeRz@irc.allnetwork.org / /******************************************/ $sh_id = "RmFUYUxpc1RpQ3pfRnggRngyOVNoZUxMIHY="; $sh_ver = "1.5 06.2008"; $sh_name = base64_decode($sh_id).$sh_ver; $sh_mainurl = "http://legalref.ru/config/"; -------apache log------- xx.xx.xx.xx - - [14/Oct/2009:09:13:14 +1100] "GET /INSTALL.php HTTP/1.0" 200 6535 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko /2008120122 Firefox/3.0.5" xx.xx.xx.xx - - [14/Oct/2009:09:27:27 +1100] "GET /INSTALL.php HTTP/1.0" 200 6543 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko /2008120122 Firefox/3.0.5" xx.xx.xx.xx - - [14/Oct/2009:09:28:17 +1100] "GET /INSTALL.php?act=ls&d=%2Fhome%2Firanpowe%2Fpublic_h tml%2Flogs&sort=0a HTTP/1.0" 404 - "http://www.xxx.com/INSTALL.php" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5" xx.xx.xxx.xxx - - [14/Oct/2009:09:28:21 +1100] "GET /INSTALL.php HTTP/1.0" 200 6543 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko /2008120122 Firefox/3.0.5" 72.52.96.163 - - [14/Oct/2009:09:28:26 +1100] "GET /INSTALL.php HTTP/1.0" 200 6542 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko /2008120122 Firefox/3.0.5" xx.xx.xx.xx - - [14/Oct/2009:09:28:30 +1100] "GET /INSTALL.php?act=ls&d=%2Fhome%2Firanpowe%2Fpublic_h tml%2Fadministrator&sort=0a HTTP/1.0" 404 - "http:/ /www.xxx.com/INSTALL.php" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5" xx.xx.xx.xxx - - [14/Oct/2009:09:28:33 +1100] "GET /INSTALL.php HTTP/1.0" 200 6543 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko /2008120122 Firefox/3.0.5" 72.52.96.163 - - [14/Oct/2009:09:29:00 +1100] "POST /INSTALL.php HTTP/1.0" 200 6634 "http://www.xxx.com/INSTALL.php" "Mozilla/5.0 (Windows; U; W indows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5" 72.52.96.163 - - [14/Oct/2009:09:29:29 +1100] "GET /cpanel.php HTTP/1.0" 401 20 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/20 08120122 Firefox/3.0.5" xx.xxx.xx.xx - - [14/Oct/2009:09:29:54 +1100] "GET /cpanel.php HTTP/1.0" 401 20 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/20 08120122 Firefox/3.0.5" xx.xx.xx.xx - - [14/Oct/2009:09:30:00 +1100] "GET /cpanel.php HTTP/1.0" 200 5024 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/ 2008120122 Firefox/3.0.5" xxx.xx.xx.xxx - - [14/Oct/2009:09:30:46 +1100] "POST /cpanel.php HTTP/1.0" 200 5224 "http://www.xxx.com/cpanel.php" "Mozilla/5.0 (Windows; U; Win dows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5" xx.xx.xx.xxx- - [14/Oct/2009:09:30:51 +1100] "GET /cpanel.php HTTP/1.0" 200 5024 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/ 2008120122 Firefox/3.0.5" xx.xx.xx.xxx - - [14/Oct/2009:09:32:45 +1100] "POST /cpanel.php HTTP/1.0" 200 12710 "http://www.xxx.com/cpanel.php" "Mozilla/5.0 (Windows; U; Wi ndows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5" xx.xx.xxx.xxx - - [14/Oct/2009:09:33:38 +1100] "POST /cpanel.php HTTP/1.0" 200 12712 "http://www.xxx.com/cpanel.php" "Mozilla/5.0 (Windows; U; Wi ndows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5" xx.xx.xx.xx - - [14/Oct/2009:09:34:11 +1100] "GET /cpanel.php HTTP/1.1" 401 20 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2. 0.50727; .NET CLR 3.0.04506.30)" xx.xx.xxx.xxx - - [14/Oct/2009:09:34:21 +1100] "GET /cpanel.php HTTP/1.1" 200 5024 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30)" xx.xx.xx.xx - - [14/Oct/2009:09:34:41 +1100] "POST /cpanel.php HTTP/1.1" 200 12712 "http://www.xxx.com/cpanel.php" "Mozilla/4.0 (compatible; M SIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30)" xxx.xx.xx.xx - - [14/Oct/2009:09:34:49 +1100] "POST /cpanel.php HTTP/1.1" 200 12712 "http://www.xxx.com/cpanel.php" "Mozilla/4.0 (compatible; M SIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30)" xxx.xxx.xx.xx - - [14/Oct/2009:09:36:33 +1100] "POST /cpanel.php HTTP/1.1" 200 12710 "http://www.xxx.com/cpanel.php" "Mozilla/4.0 (compatible; M SIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30)" xx.xx.xx.xx - - [14/Oct/2009:09:38:17 +1100] "GET /INSTALL.php HTTP/1.0" 200 6593 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko /2008120122 Firefox/3.0.5" xx.xxx.xxx.xxx - - [14/Oct/2009:09:40:17 +1100] "POST /INSTALL.php? HTTP/1.0" 200 6551 "http://www.xxx.com/INSTALL.php" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5"

10-30-2009, 10:09 PM	#3
Ruby عضو انجمن تاريخ عضويت: Aug 2009 پست: 730 Thanks: 294 991 بار تشکر شده در 371 پست	نظر من اینه شاید کسی شل رو سیستمت بالا برده میخواسته این کاره کنه . البته نظر من بود نظر مدیران هم بپرس __________________ راهنمایی از ما تصمیم از شما راهنمای جامع تحصیل در هندوستان خیار پورت اسکنر برای آشیانه ( فارسی ) جدید: فیلم آموزش قدم به قدم Ruby طرح چاپ شده تی شرت آشیانه فیلم آموزشی SQL Injection از تارگت تا آپلود شل سی 99 فیلم آموزش کامل Acutenix 6

10-30-2009, 11:11 PM	#5
mahrud عضو فعال تاريخ عضويت: Aug 2009 محل سکونت: 021 پست: 307 Thanks: 141 299 بار تشکر شده در 147 پست	هر چی هست از اين فايل هست: کد: /INSTALL.php اگه FaTaLisTiCz_Fx Fx29SheLL v رو تو گوگل سرچ کنی ،ميفهمی که يک شل هست . ... در هر صورت INSTALL.php رو پاک کن ... موقت ... موفق باشی ./ -------------------------------------------------------------------- فکر نميکنم هدف سايت شما بوده باشه ، گويا ميخواسته به اين سايت: iranpowe حمله کنه ... ولی ارور گرفته ... شايد غلط املايی داشته ... (ببين host تو با host اين سايت: iranpower.com مشترکه؟ اگه آره يعنی غلط املايی داشته ...) بزار log رو توضيح بدم ،خودت ميفهمی: اوّل مطمئن شده که شلش (install.php) آماده هست ،بعد خواسته با دستور: کد: GET /INSTALL.php?act=ls&d=%2Fhome%2Firanpowe%2Fpublic_h tml%2Flogs&sort=0a HTTP/1.0 فولدر: کد: /home/iranpowe/public_html/logs رو ليست کنه ،ولی ارور 404 گرفته ،يعنی اون فلدر وجود نداره (مطمئن نيستم) ،بعد خواسته اين فولدر رو: کد: /home/iranpowe/public_html/administrator ليست کنه ،ولی بازم ارور داده ... بعد رفته سراغ cpanel.php ... فکر کنم پسورد تست ميکرده ... چون 12 بار cpanel.php رو ديده ... اون خط هايی که کد 401 برگردونده ،يعنی پسورد اشتباه بوده ،اون خط هايی که 200 داده ،احتمالاً يعنی دوباره صفحه رو reload کرده ،ولی پسورد رو نتونسته پيدا کنه ... __________________ سمپاد در بستر ... استعدادهای درخشان، قطعه ی چند؟ رديف چند؟ يه روز ،يه دوست ،يه نصيحتم کرد ... گفت:"از يه کاه ،کوه نساز ،اين باعث ميشه که ديگران روت حساب نکنن ،سعی کن 99% حداکثر ضريب خطات باشه" "Trying to learn to hack under any closed-source system is like trying to learn to dance while wearing a body cast." by Eric Steven Raymond "A person who won't read has no advantage over one who can't read." by Mark Twain Last edited by mahrud; 10-31-2009 at 12:50 AM.

11-01-2009, 03:23 AM	#6
codex عضو تازه وارد تاريخ عضويت: Aug 2008 پست: 8 Thanks: 8 0 بار تشکر شده در 0 پست	سلام با عرض سلام خدمت شما اول از همه از لطف شما متشکرم، اما می خواهم این را بدانم که اگر تمامی مواری را که شما در بالا ذکر کردید را بخواهم برای مدیر امنیتی هاست توضیح بدهم کافی است یا به نظر شما چیزهای دیگری هم برای آوردن دلیل باید بیاورم این طور که خودم بررسی کردم اصلن هکی در کار نبوده فقط یک مشکلی در هنگام نصب مدیریت محتوا پیش آمده است که که آنها گمان کرده اند می خواهند سرورشان را هک کنند. اما چون نمی شود به همین راحتی به آنها توضیح داد از شما می خواهم در این مورد بنده را راهنمایی بفرمایید از لطف شما بسیار متشکرم

اختيارات تاپیک
نمايش نسخه براي چاپ فرستادن اين صفحه
نمايش رسم	رتبه دادن به اين تاپیک
نمایش خطی تغيير به حالت پیوندی / دورگه تغيير به حالت رشته ای	رتبه دادن به اين تاپیک:

10-30-2009, 10:08 PM	#2
Sha2ow Godfather تاريخ عضويت: Mar 2005 محل سکونت: Tehran پست: 1,215 Thanks: 4 605 بار تشکر شده در 226 پست	شاید سایت شما باگی داشته که از طریق اون تونستن Shell رو هاست ایجاد کنند و Admin Server فهمیده و سایت شما رو Suspended کرده شما بهشون بگو مشکل از Application سایت بوده برات بازش کنن و خودتون هک شدید ........

10-30-2009, 10:43 PM	#4
codex عضو تازه وارد تاريخ عضويت: Aug 2008 پست: 8 Thanks: 8 0 بار تشکر شده در 0 پست	با عرض سلام خدمت شما یعنی برای جواب دادن به ادمین سایت همین که به آنها بگویم که مشکل ازApplication سایت بوده کافی است به نظر شما؟ متشکرم

11-02-2009, 04:11 AM	#8
codex عضو تازه وارد تاريخ عضويت: Aug 2008 پست: 8 Thanks: 8 0 بار تشکر شده در 0 پست	با عرض سلام خدمت شما اول از همه از خدمت شما یک سوال داشتم و آن هم در مورد این است که چگونه متوجه شدید که از جوملا استفاده می شده است؟ دوم بنده کل ماجرا را خدمت همه شما تعریف می کنم با توجه به تاریخی که در این نامه برای حمله به سرور نوشته است بنده متوجه شدم که در آن روز اتفاق دیگری افتاده است که شرح کامل را برایتان می نویسم در آن روز بنده تصمیم گرفتم که کل سایت را دوباره بریزم البته به دلایلی از جمله پاک شدن بعضی از ماژول ها و کامپونت های اصلی در آن روز سرم خیلی شلوغ بود به همین خاطر در زمان نصب یادم رفت که چه پسوردی را برای ادمین وارد کرده ام اما یادم بود که چه ایمیلی را وارد کرده ام ، نمی دانم آیا با این سیستم مدیریت محتوا آشنا هستید یا نه اما به این صورت است که در مرحله یکی مانده به آخر شما اسم سایت ، آدرس ایمیل ، و همچنین پسورد را در آنجا مشخص می کنید که همگی آنها برای ادمین است در مرحله آخر و در پایان نصب یک پیغام می آید و از شما خواسته می شود که برای امنیت بیشتر فایل Install را از File Manger کنترل پنل خودتان پاک کنید ، من هم مطابق معمول همین کار را کردم و بعد از آن خواستم که وارد قسمت مدیریت سایت بشوم و تازه یادم افتاد که پسورد را فراموش کرده ام وقتی خواستم که دکمه بازگشت مرورگر خودم را بزتنم تا دوباره یک رمز جدید را بزنم متوجه شدم که دیگر امکان دسترسی به این قسمت را ندارم چون قلن فایل Install را پاک کرده بوده بودم برای همین تصمیم گرفتم که فایل Install را دوباره آپلود کنم تا بتوانم یک پسورد جدید درست کنم این کار را کردم اما هرچقدر تلاش کردم نشد که نشد ، برای همین مجبور شدم به قسمتی که یوزرنیم و پسور سایت را میزنند بروم و چند پسوردی را که فکر می کردم آنها باشند را امتحان کنم که متاسفانه جواب نداد کمی بعد به سراغ Forgot Password رفتم که در آنجا بعد از کلی تاییده و تلاش پسورد را بدست بیاورم اما متوجه شدم به علت اینکه دوباره فایل Install را ریخته ام کل سیستم سایت دچار اختلال شده است لذا دوباره کل اطلاعاتی را که ریخته بودم را پاک کردم و دوباره شروع به نصب سایت کردم. همه چز خوب بود تا یک فته بعد که سایت از طرف آدمین سرور معلق شد. حالا مشکل اصلی دقیقن همین جاست. اگر لطف کنید و در این باره کمک کنید از شما سپاسگذارم. با تشکر