Train
           

بازگشت   انجمن گروه آشیانه - آموزش هک و امنیت > فعالترین انجمن ها > سوال و جواب های عمومی

به راحتی یکی از اعضای انجمن تخصصی هک و امنیت شوید!
به انجمن تخصصی هک و امنیت گروه آشیانه خوش آمدید - شما می توانید در کمتر از 1 دقیقه به صورت رایگان به عضویت انجمن در بیایید و از تمام امکانات آن استفاده کنید.

نام کاربری: پسورد: تکرار پسورد: ایمیل: تکرار ایمیل:
 
تصویر تائید کننده
  موافقم با قوانین انجمن 

آخرین پست های انجمن

پاسخ
 
ابزارهای موضوع رتبه تاپیک نحوه نمایش
قدیمی 10-30-2009, 08:55 PM   #1
codex
 
No Avatar
 
View codex's Profile   View codex's Photo Album   Add codex's to Your Contacts   View Social Groups

هک شدن یک سایت و حمله به یک سرور

با عرض سلام خدمت شما
چند روز پیش متوجه شدم که سایت بنده به صورت موقت به حالت تعلیق در آمده است بعد از اینکه با مسئول هاست مکاتبه داشتم آنا به بنده جواب زیر را دادند . آنها فکر می کنند که از طریق سایت بنده قصد حمله و هک کردن سایت آنها را داشته اند به همین علت سایت بنده را به حالت تعلق در آورده اند خواهش می کنم یک نگاهی بیندازید و نظر خودتان را در این مورد بفرمایید امکان دارد که آنها اشتباه می کرده اند یا نه؟

این متن زیر متن مکاتبه من با آنها و همینطور دلایل آنها برای حمله سرور است

متشکرم

security team has noticed following hacking attempts from your website xxx.com,
we have immediately suspended the website as it is direct abuse of the network services and a violation of our TOS and AUP.

1) Suspicious file created in /tmp directory:

Time: Wed Oct 14 1012 2009 +1100
File: /tmp/bds
Reason: Binary executable
Owner: xxxxx
Action: No action taken

2) Remote php shell script uploaded to the website and executed.
crusader [/home/xxx/public_html]# head INSTALL.php
/*******************************************/
/* FaTaLisTiCz_Fx Fx29Sh v1 06.2008 */
/* Re-coded and modified By FaTaLisTiCz_Fx */
/* #CyBeRz@irc.allnetwork.org */
/*******************************************/
$sh_id = "RmFUYUxpc1RpQ3pfRnggRngyOVNoZUxMIHY=";
$sh_ver = "1.5 06.2008";
$sh_name = base64_decode($sh_id).$sh_ver;
$sh_mainurl = "http://legalref.ru/config/";

-------apache log-------
xx.xx.xx.xx - - [14/Oct/2009:09:13:14 +1100] "GET /INSTALL.php HTTP/1.0" 200 6535 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko /2008120122 Firefox/3.0.5"
xx.xx.xx.xx - - [14/Oct/2009:0927 +1100] "GET /INSTALL.php HTTP/1.0" 200 6543 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko /2008120122 Firefox/3.0.5"
xx.xx.xx.xx - - [14/Oct/2009:0917 +1100] "GET /INSTALL.php?act=ls&d=%2Fhome%2Firanpowe%2Fpublic_h tml%2Flogs&sort=0a HTTP/1.0" 404 - "http://www.xxx.com/INSTALL.php" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5"
xx.xx.xxx.xxx - - [14/Oct/2009:0921 +1100] "GET /INSTALL.php HTTP/1.0" 200 6543 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko /2008120122 Firefox/3.0.5"
72.52.96.163 - - [14/Oct/2009:0926 +1100] "GET /INSTALL.php HTTP/1.0" 200 6542 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko /2008120122 Firefox/3.0.5"
xx.xx.xx.xx - - [14/Oct/2009:0930 +1100] "GET /INSTALL.php?act=ls&d=%2Fhome%2Firanpowe%2Fpublic_h tml%2Fadministrator&sort=0a HTTP/1.0" 404 - "http:/ /www.xxx.com/INSTALL.php" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5"
xx.xx.xx.xxx - - [14/Oct/2009:0933 +1100] "GET /INSTALL.php HTTP/1.0" 200 6543 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko /2008120122 Firefox/3.0.5"
72.52.96.163 - - [14/Oct/2009:0900 +1100] "POST /INSTALL.php HTTP/1.0" 200 6634 "http://www.xxx.com/INSTALL.php" "Mozilla/5.0 (Windows; U; W indows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5"
72.52.96.163 - - [14/Oct/2009:0929 +1100] "GET /cpanel.php HTTP/1.0" 401 20 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/20 08120122 Firefox/3.0.5"
xx.xxx.xx.xx - - [14/Oct/2009:0954 +1100] "GET /cpanel.php HTTP/1.0" 401 20 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/20 08120122 Firefox/3.0.5"
xx.xx.xx.xx - - [14/Oct/2009:0900 +1100] "GET /cpanel.php HTTP/1.0" 200 5024 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/ 2008120122 Firefox/3.0.5"
xxx.xx.xx.xxx - - [14/Oct/2009:0946 +1100] "POST /cpanel.php HTTP/1.0" 200 5224 "http://www.xxx.com/cpanel.php" "Mozilla/5.0 (Windows; U; Win dows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5"
xx.xx.xx.xxx- - [14/Oct/2009:0951 +1100] "GET /cpanel.php HTTP/1.0" 200 5024 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/ 2008120122 Firefox/3.0.5"
xx.xx.xx.xxx - - [14/Oct/2009:0945 +1100] "POST /cpanel.php HTTP/1.0" 200 12710 "http://www.xxx.com/cpanel.php" "Mozilla/5.0 (Windows; U; Wi ndows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5"
xx.xx.xxx.xxx - - [14/Oct/2009:0938 +1100] "POST /cpanel.php HTTP/1.0" 200 12712 "http://www.xxx.com/cpanel.php" "Mozilla/5.0 (Windows; U; Wi ndows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5"
xx.xx.xx.xx - - [14/Oct/2009:0911 +1100] "GET /cpanel.php HTTP/1.1" 401 20 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2. 0.50727; .NET CLR 3.0.04506.30)"
xx.xx.xxx.xxx - - [14/Oct/2009:0921 +1100] "GET /cpanel.php HTTP/1.1" 200 5024 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30)"
xx.xx.xx.xx - - [14/Oct/2009:0941 +1100] "POST /cpanel.php HTTP/1.1" 200 12712 "http://www.xxx.com/cpanel.php" "Mozilla/4.0 (compatible; M SIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30)"
xxx.xx.xx.xx - - [14/Oct/2009:0949 +1100] "POST /cpanel.php HTTP/1.1" 200 12712 "http://www.xxx.com/cpanel.php" "Mozilla/4.0 (compatible; M SIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30)"
xxx.xxx.xx.xx - - [14/Oct/2009:0933 +1100] "POST /cpanel.php HTTP/1.1" 200 12710 "http://www.xxx.com/cpanel.php" "Mozilla/4.0 (compatible; M SIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30)"
xx.xx.xx.xx - - [14/Oct/2009:0917 +1100] "GET /INSTALL.php HTTP/1.0" 200 6593 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko /2008120122 Firefox/3.0.5"
xx.xxx.xxx.xxx - - [14/Oct/2009:0917 +1100] "POST /INSTALL.php? HTTP/1.0" 200 6551 "http://www.xxx.com/INSTALL.php" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5"
codex آنلاین نیست.   پاسخ با نقل قول
تبلیغات
قدیمی 10-30-2009, 09:08 PM   #2
Sha2ow
 
Sha2ow آواتار ها
 
View Sha2ow's Profile   View Sha2ow's Photo Album   Add Sha2ow's to Your Contacts   View Social Groups

Sha2ow به Yahoo ارسال پیام
شاید سایت شما باگی داشته که از طریق اون تونستن Shell رو هاست ایجاد کنند و Admin Server فهمیده و سایت شما رو Suspended کرده شما بهشون بگو مشکل از Application سایت بوده برات بازش کنن و خودتون هک شدید ........
Sha2ow آنلاین نیست.   پاسخ با نقل قول
قدیمی 10-30-2009, 09:09 PM   #3
Ruby
 
No Avatar
 
View Ruby's Profile   View Ruby's Photo Album   Add Ruby's to Your Contacts   View Social Groups

Ruby به Yahoo ارسال پیام
نظر من اینه شاید کسی شل رو سیستمت بالا برده میخواسته این کاره کنه .

البته نظر من بود نظر مدیران هم بپرس
Ruby آنلاین نیست.   پاسخ با نقل قول
قدیمی 10-30-2009, 09:43 PM   #4
codex
 
No Avatar
 
View codex's Profile   View codex's Photo Album   Add codex's to Your Contacts   View Social Groups

با عرض سلام خدمت شما
یعنی برای جواب دادن به ادمین سایت همین که به آنها بگویم که مشکل ازApplication سایت بوده کافی است به نظر شما؟

متشکرم
codex آنلاین نیست.   پاسخ با نقل قول
قدیمی 10-30-2009, 10:11 PM   #5
mahrud
 
No Avatar
 
View mahrud's Profile   View mahrud's Photo Album   Add mahrud's to Your Contacts   View Social Groups

هر چی هست از اين فايل هست:
کد:
/INSTALL.php
اگه FaTaLisTiCz_Fx Fx29SheLL v رو تو گوگل سرچ کنی ،ميفهمی که يک شل هست .
...
در هر صورت INSTALL.php رو پاک کن ... موقت ...
موفق باشی ./
--------------------------------------------------------------------
فکر نميکنم هدف سايت شما بوده باشه ،
گويا ميخواسته به اين سايت:
iranpowe
حمله کنه ... ولی ارور گرفته ... شايد غلط املايی داشته ... (ببين host تو با host اين سايت: iranpower.com مشترکه؟ اگه آره يعنی غلط املايی داشته ...)
بزار log رو توضيح بدم ،خودت ميفهمی:
اوّل مطمئن شده که شلش (install.php) آماده هست ،بعد خواسته با دستور:
کد:
GET /INSTALL.php?act=ls&d=%2Fhome%2Firanpowe%2Fpublic_h tml%2Flogs&sort=0a HTTP/1.0
فولدر:
کد:
/home/iranpowe/public_html/logs
رو ليست کنه ،ولی ارور 404 گرفته ،يعنی اون فلدر وجود نداره (مطمئن نيستم) ،بعد خواسته اين فولدر رو:
کد:
/home/iranpowe/public_html/administrator
ليست کنه ،ولی بازم ارور داده ...
بعد رفته سراغ cpanel.php ... فکر کنم پسورد تست ميکرده ... چون 12 بار cpanel.php رو ديده ... اون خط هايی که کد 401 برگردونده ،يعنی پسورد اشتباه بوده ،اون خط هايی که 200 داده ،احتمالاً يعنی دوباره صفحه رو reload کرده ،ولی پسورد رو نتونسته پيدا کنه ...

ویرایش توسط mahrud : 10-30-2009 در ساعت 11:50 PM
mahrud آنلاین نیست.   پاسخ با نقل قول
از mahrud به خاطر این پست تشکر کرده اند :
codex (10-30-2009)
قدیمی 11-01-2009, 03:23 AM   #6
codex
 
No Avatar
 
View codex's Profile   View codex's Photo Album   Add codex's to Your Contacts   View Social Groups

سلام

با عرض سلام خدمت شما
اول از همه از لطف شما متشکرم، اما می خواهم این را بدانم که اگر تمامی مواری را که شما در بالا ذکر کردید را بخواهم برای مدیر امنیتی هاست توضیح بدهم کافی است یا به نظر شما چیزهای دیگری هم برای آوردن دلیل باید بیاورم این طور که خودم بررسی کردم اصلن هکی در کار نبوده فقط یک مشکلی در هنگام نصب مدیریت محتوا پیش آمده است که که آنها گمان کرده اند می خواهند سرورشان را هک کنند. اما چون نمی شود به همین راحتی به آنها توضیح داد از شما می خواهم در این مورد بنده را راهنمایی بفرمایید

از لطف شما بسیار متشکرم
codex آنلاین نیست.   پاسخ با نقل قول
تبلیغات
قدیمی 11-01-2009, 08:25 AM   #7
0261
 
No Avatar
 
View 0261's Profile   View 0261's Photo Album   Add 0261's to Your Contacts   View Social Groups

0261 به Yahoo ارسال پیام
نقل قول:
نوشته اصلی توسط codex نمایش پست ها
با عرض سلام خدمت شما
چند روز پیش متوجه شدم که سایت بنده به صورت موقت به حالت تعلیق در آمده است بعد از اینکه با مسئول هاست مکاتبه داشتم آنا به بنده جواب زیر را دادند . آنها فکر می کنند که از طریق سایت بنده قصد حمله و هک کردن سایت آنها را داشته اند به همین علت سایت بنده را به حالت تعلق در آورده اند خواهش می کنم یک نگاهی بیندازید و نظر خودتان را در این مورد بفرمایید امکان دارد که آنها اشتباه می کرده اند یا نه؟

این متن زیر متن مکاتبه من با آنها و همینطور دلایل آنها برای حمله سرور است

متشکرم

security team has noticed following hacking attempts from your website xxx.com,
we have immediately suspended the website as it is direct abuse of the network services and a violation of our TOS and AUP.

1) Suspicious file created in /tmp directory:

Time: Wed Oct 14 1012 2009 +1100
File: /tmp/bds
Reason: Binary executable
Owner: xxxxx
Action: No action taken

2) Remote php shell script uploaded to the website and executed.
crusader [/home/xxx/public_html]# head INSTALL.php
/*******************************************/
/* FaTaLisTiCz_Fx Fx29Sh v1 06.2008 */
/* Re-coded and modified By FaTaLisTiCz_Fx */
/* #CyBeRz@irc.allnetwork.org */
/*******************************************/
$sh_id = "RmFUYUxpc1RpQ3pfRnggRngyOVNoZUxMIHY=";
$sh_ver = "1.5 06.2008";
$sh_name = base64_decode($sh_id).$sh_ver;
$sh_mainurl = "http://legalref.ru/config/";

-------apache log-------
xx.xx.xx.xx - - [14/Oct/2009:09:13:14 +1100] "GET /INSTALL.php HTTP/1.0" 200 6535 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko /2008120122 Firefox/3.0.5"
xx.xx.xx.xx - - [14/Oct/2009:0927 +1100] "GET /INSTALL.php HTTP/1.0" 200 6543 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko /2008120122 Firefox/3.0.5"
xx.xx.xx.xx - - [14/Oct/2009:0917 +1100] "GET /INSTALL.php?act=ls&d=%2Fhome%2Firanpowe%2Fpublic_h tml%2Flogs&sort=0a HTTP/1.0" 404 - "http://www.xxx.com/INSTALL.php" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5"
xx.xx.xxx.xxx - - [14/Oct/2009:0921 +1100] "GET /INSTALL.php HTTP/1.0" 200 6543 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko /2008120122 Firefox/3.0.5"
72.52.96.163 - - [14/Oct/2009:0926 +1100] "GET /INSTALL.php HTTP/1.0" 200 6542 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko /2008120122 Firefox/3.0.5"
xx.xx.xx.xx - - [14/Oct/2009:0930 +1100] "GET /INSTALL.php?act=ls&d=%2Fhome%2Firanpowe%2Fpublic_h tml%2Fadministrator&sort=0a HTTP/1.0" 404 - "http:/ /www.xxx.com/INSTALL.php" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5"
xx.xx.xx.xxx - - [14/Oct/2009:0933 +1100] "GET /INSTALL.php HTTP/1.0" 200 6543 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko /2008120122 Firefox/3.0.5"
72.52.96.163 - - [14/Oct/2009:0900 +1100] "POST /INSTALL.php HTTP/1.0" 200 6634 "http://www.xxx.com/INSTALL.php" "Mozilla/5.0 (Windows; U; W indows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5"
72.52.96.163 - - [14/Oct/2009:0929 +1100] "GET /cpanel.php HTTP/1.0" 401 20 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/20 08120122 Firefox/3.0.5"
xx.xxx.xx.xx - - [14/Oct/2009:0954 +1100] "GET /cpanel.php HTTP/1.0" 401 20 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/20 08120122 Firefox/3.0.5"
xx.xx.xx.xx - - [14/Oct/2009:0900 +1100] "GET /cpanel.php HTTP/1.0" 200 5024 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/ 2008120122 Firefox/3.0.5"
xxx.xx.xx.xxx - - [14/Oct/2009:0946 +1100] "POST /cpanel.php HTTP/1.0" 200 5224 "http://www.xxx.com/cpanel.php" "Mozilla/5.0 (Windows; U; Win dows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5"
xx.xx.xx.xxx- - [14/Oct/2009:0951 +1100] "GET /cpanel.php HTTP/1.0" 200 5024 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/ 2008120122 Firefox/3.0.5"
xx.xx.xx.xxx - - [14/Oct/2009:0945 +1100] "POST /cpanel.php HTTP/1.0" 200 12710 "http://www.xxx.com/cpanel.php" "Mozilla/5.0 (Windows; U; Wi ndows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5"
xx.xx.xxx.xxx - - [14/Oct/2009:0938 +1100] "POST /cpanel.php HTTP/1.0" 200 12712 "http://www.xxx.com/cpanel.php" "Mozilla/5.0 (Windows; U; Wi ndows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5"
xx.xx.xx.xx - - [14/Oct/2009:0911 +1100] "GET /cpanel.php HTTP/1.1" 401 20 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2. 0.50727; .NET CLR 3.0.04506.30)"
xx.xx.xxx.xxx - - [14/Oct/2009:0921 +1100] "GET /cpanel.php HTTP/1.1" 200 5024 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30)"
xx.xx.xx.xx - - [14/Oct/2009:0941 +1100] "POST /cpanel.php HTTP/1.1" 200 12712 "http://www.xxx.com/cpanel.php" "Mozilla/4.0 (compatible; M SIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30)"
xxx.xx.xx.xx - - [14/Oct/2009:0949 +1100] "POST /cpanel.php HTTP/1.1" 200 12712 "http://www.xxx.com/cpanel.php" "Mozilla/4.0 (compatible; M SIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30)"
xxx.xxx.xx.xx - - [14/Oct/2009:0933 +1100] "POST /cpanel.php HTTP/1.1" 200 12710 "http://www.xxx.com/cpanel.php" "Mozilla/4.0 (compatible; M SIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30)"
xx.xx.xx.xx - - [14/Oct/2009:0917 +1100] "GET /INSTALL.php HTTP/1.0" 200 6593 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko /2008120122 Firefox/3.0.5"
xx.xxx.xxx.xxx - - [14/Oct/2009:0917 +1100] "POST /INSTALL.php? HTTP/1.0" 200 6551 "http://www.xxx.com/INSTALL.php" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5"
جوملا نصب داشتی
باگ داشته یا روی کامپونت یا ورژن جوملات 1.5 بوده باگ توکن داشته
الان بهشون بگو احتمالاً اکسز ها اینجا هستن
/home/user/public_html/images/shell.php

در ضمن کاربر چنانچه روی سرور حتی یه شل هم بزاره توی اکثر هاستینگ ها دیگه حق استفاده از سرویس رو نداره
0261 آنلاین نیست.   پاسخ با نقل قول
قدیمی 11-02-2009, 04:11 AM   #8
codex
 
No Avatar
 
View codex's Profile   View codex's Photo Album   Add codex's to Your Contacts   View Social Groups

با عرض سلام خدمت شما
اول از همه از خدمت شما یک سوال داشتم و آن هم در مورد این است که چگونه متوجه شدید که از جوملا استفاده می شده است؟
دوم بنده کل ماجرا را خدمت همه شما تعریف می کنم با توجه به تاریخی که در این نامه برای حمله به سرور نوشته است بنده متوجه شدم که در آن روز اتفاق دیگری افتاده است که شرح کامل را برایتان می نویسم
در آن روز بنده تصمیم گرفتم که کل سایت را دوباره بریزم البته به دلایلی از جمله پاک شدن بعضی از ماژول ها و کامپونت های اصلی در آن روز سرم خیلی شلوغ بود به همین خاطر در زمان نصب یادم رفت که چه پسوردی را برای ادمین وارد کرده ام اما یادم بود که چه ایمیلی را وارد کرده ام ، نمی دانم آیا با این سیستم مدیریت محتوا آشنا هستید یا نه اما به این صورت است که در مرحله یکی مانده به آخر شما اسم سایت ، آدرس ایمیل ، و همچنین پسورد را در آنجا مشخص می کنید که همگی آنها برای ادمین است در مرحله آخر و در پایان نصب یک پیغام می آید و از شما خواسته می شود که برای امنیت بیشتر فایل Install را از File Manger کنترل پنل خودتان پاک کنید ، من هم مطابق معمول همین کار را کردم و بعد از آن خواستم که وارد قسمت مدیریت سایت بشوم و تازه یادم افتاد که پسورد را فراموش کرده ام وقتی خواستم که دکمه بازگشت مرورگر خودم را بزتنم تا دوباره یک رمز جدید را بزنم متوجه شدم که دیگر امکان دسترسی به این قسمت را ندارم چون قلن فایل Install را پاک کرده بوده بودم برای همین تصمیم گرفتم که فایل Install را دوباره آپلود کنم تا بتوانم یک پسورد جدید درست کنم این کار را کردم اما هرچقدر تلاش کردم نشد که نشد ، برای همین مجبور شدم به قسمتی که یوزرنیم و پسور سایت را میزنند بروم و چند پسوردی را که فکر می کردم آنها باشند را امتحان کنم که متاسفانه جواب نداد کمی بعد به سراغ Forgot Password رفتم که در آنجا بعد از کلی تاییده و تلاش پسورد را بدست بیاورم اما متوجه شدم به علت اینکه دوباره فایل Install را ریخته ام کل سیستم سایت دچار اختلال شده است لذا دوباره کل اطلاعاتی را که ریخته بودم را پاک کردم و دوباره شروع به نصب سایت کردم. همه چز خوب بود تا یک فته بعد که سایت از طرف آدمین سرور معلق شد. حالا مشکل اصلی دقیقن همین جاست. اگر لطف کنید و در این باره کمک کنید از شما سپاسگذارم.


با تشکر
codex آنلاین نیست.   پاسخ با نقل قول
قدیمی 11-02-2009, 09:31 PM   #9
codex
 
No Avatar
 
View codex's Profile   View codex's Photo Album   Add codex's to Your Contacts   View Social Groups

نقل قول:
نوشته اصلی توسط codex نمایش پست ها
با عرض سلام خدمت شما
اول از همه از خدمت شما یک سوال داشتم و آن هم در مورد این است که چگونه متوجه شدید که از جوملا استفاده می شده است؟
دوم بنده کل ماجرا را خدمت همه شما تعریف می کنم با توجه به تاریخی که در این نامه برای حمله به سرور نوشته است بنده متوجه شدم که در آن روز اتفاق دیگری افتاده است که شرح کامل را برایتان می نویسم
در آن روز بنده تصمیم گرفتم که کل سایت را دوباره بریزم البته به دلایلی از جمله پاک شدن بعضی از ماژول ها و کامپونت های اصلی در آن روز سرم خیلی شلوغ بود به همین خاطر در زمان نصب یادم رفت که چه پسوردی را برای ادمین وارد کرده ام اما یادم بود که چه ایمیلی را وارد کرده ام ، نمی دانم آیا با این سیستم مدیریت محتوا آشنا هستید یا نه اما به این صورت است که در مرحله یکی مانده به آخر شما اسم سایت ، آدرس ایمیل ، و همچنین پسورد را در آنجا مشخص می کنید که همگی آنها برای ادمین است در مرحله آخر و در پایان نصب یک پیغام می آید و از شما خواسته می شود که برای امنیت بیشتر فایل install را از file manger کنترل پنل خودتان پاک کنید ، من هم مطابق معمول همین کار را کردم و بعد از آن خواستم که وارد قسمت مدیریت سایت بشوم و تازه یادم افتاد که پسورد را فراموش کرده ام وقتی خواستم که دکمه بازگشت مرورگر خودم را بزتنم تا دوباره یک رمز جدید را بزنم متوجه شدم که دیگر امکان دسترسی به این قسمت را ندارم چون قلن فایل install را پاک کرده بوده بودم برای همین تصمیم گرفتم که فایل install را دوباره آپلود کنم تا بتوانم یک پسورد جدید درست کنم این کار را کردم اما هرچقدر تلاش کردم نشد که نشد ، برای همین مجبور شدم به قسمتی که یوزرنیم و پسور سایت را میزنند بروم و چند پسوردی را که فکر می کردم آنها باشند را امتحان کنم که متاسفانه جواب نداد کمی بعد به سراغ forgot password رفتم که در آنجا بعد از کلی تاییده و تلاش پسورد را بدست بیاورم اما متوجه شدم به علت اینکه دوباره فایل install را ریخته ام کل سیستم سایت دچار اختلال شده است لذا دوباره کل اطلاعاتی را که ریخته بودم را پاک کردم و دوباره شروع به نصب سایت کردم. همه چز خوب بود تا یک فته بعد که سایت از طرف آدمین سرور معلق شد. حالا مشکل اصلی دقیقن همین جاست. اگر لطف کنید و در این باره کمک کنید از شما سپاسگذارم.


با تشکر
با سلام خواهشمند هستم که در مورد اینکه چطور جواب مدیر امنیتی سایت را بدهم بنده را راهنمایی بفرمایید چون سایت بنده فعلن معلق شده است

متشکرم
codex آنلاین نیست.   پاسخ با نقل قول
قدیمی 11-02-2009, 10:03 PM   #10
Ruby
 
No Avatar
 
View Ruby's Profile   View Ruby's Photo Album   Add Ruby's to Your Contacts   View Social Groups

Ruby به Yahoo ارسال پیام
نقل قول:
نوشته اصلی توسط codex نمایش پست ها
با سلام خواهشمند هستم که در مورد اینکه چطور جواب مدیر امنیتی سایت را بدهم بنده را راهنمایی بفرمایید چون سایت بنده فعلن معلق شده است

متشکرم
شما تماس بگیر با Data Center سایتت و بهشون بگو که سایت من مورد حمله قرار گرفته و میخواستن به وسیله سایت من از سرور و سایتهای دیگه سوءاستفاده کنند و به شما کمک میکنند
Ruby آنلاین نیست.   پاسخ با نقل قول
پاسخ

ابزارهای موضوع
نحوه نمایش امتیاز به این موضوع
امتیاز به این موضوع:

مجوز های ارسال و ویرایش
شما نمیتوانید موضوع جدیدی ارسال کنید
شما امکان ارسال پاسخ را ندارید
شما نمیتوانید فایل پیوست در پست خود ضمیمه کنید
شما نمیتوانید پست های خود را ویرایش کنید

BB code هست فعال
شکلک ها فعال است
کد [IMG] غیر فعال است
کد HTML غیر فعال است

مراجعه سریع

انتخاب قالب : اکنون ساعت 07:22 PM به وقت ایران GMT +3.5 +4.5 می باشد.

گروه امنیتی آشیانه گروهی شخصی و کاملا مستقل بوده و به تائید سایت معتبر Alexa اولین و بزرگترین سایت هک و امنیت در ایران است

Copyright 2002 - 2010 Ashiyane Security Members. All rights reserved