![]() |
|
|||||||
| ثبت نام | جستجو | سوال و جوابها | ليست کاربران | درباره آشیانه | جستجو | پست هاي امروز | تاپیک های خوانده شده را علامت بگذار |
به راحتی یکی از اعضای انجمن تخصصی هک و امنیت شوید!
|
![]() |
|
|
اختيارات تاپیک | رتبه تاپیک | نمايش رسم |
|
|
#1 |
|
عضو تازه وارد
تاريخ عضويت: Aug 2008
پست: 8
Thanks: 8
0 بار تشکر شده در 0 پست
|
هک شدن یک سایت و حمله به یک سرور
با عرض سلام خدمت شما
چند روز پیش متوجه شدم که سایت بنده به صورت موقت به حالت تعلیق در آمده است بعد از اینکه با مسئول هاست مکاتبه داشتم آنا به بنده جواب زیر را دادند . آنها فکر می کنند که از طریق سایت بنده قصد حمله و هک کردن سایت آنها را داشته اند به همین علت سایت بنده را به حالت تعلق در آورده اند خواهش می کنم یک نگاهی بیندازید و نظر خودتان را در این مورد بفرمایید امکان دارد که آنها اشتباه می کرده اند یا نه؟ این متن زیر متن مکاتبه من با آنها و همینطور دلایل آنها برای حمله سرور است متشکرم security team has noticed following hacking attempts from your website xxx.com,
we have immediately suspended the website as it is direct abuse of the network services and a violation of our TOS and AUP. 1) Suspicious file created in /tmp directory: Time: Wed Oct 14 10:25:12 2009 +1100 File: /tmp/bds Reason: Binary executable Owner: xxx xxAction: No action taken 2) Remote php shell script uploaded to the website and executed. crusader [/home/xxx/public_html]# head INSTALL.php /*******************************************/ /* FaTaLisTiCz_Fx Fx29Sh v1 06.2008 */ /* Re-coded and modified By FaTaLisTiCz_Fx */ /* #CyBeRz@irc.allnetwork.org */ /*******************************************/ $sh_id = "RmFUYUxpc1RpQ3pfRnggRngyOVNoZUxMIHY="; $sh_ver = "1.5 06.2008"; $sh_name = base64_decode($sh_id).$sh_ver; $sh_mainurl = "http://legalref.ru/config/"; -------apache log------- xx.xx.xx.xx - - [14/Oct/2009:09:13:14 +1100] "GET /INSTALL.php HTTP/1.0" 200 6535 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko /2008120122 Firefox/3.0.5" xx.xx.xx.xx - - [14/Oct/2009:09:27:27 +1100] "GET /INSTALL.php HTTP/1.0" 200 6543 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko /2008120122 Firefox/3.0.5" xx.xx.xx.xx - - [14/Oct/2009:09:28:17 +1100] "GET /INSTALL.php?act=ls&d=%2Fhome%2Firanpowe%2Fpublic_h tml%2Flogs&sort=0a HTTP/1.0" 404 - "http://www.xxx.com/INSTALL.php" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5" xx.xx.xxx.xxx - - [14/Oct/2009:09:28:21 +1100] "GET /INSTALL.php HTTP/1.0" 200 6543 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko /2008120122 Firefox/3.0.5" 72.52.96.163 - - [14/Oct/2009:09:28:26 +1100] "GET /INSTALL.php HTTP/1.0" 200 6542 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko /2008120122 Firefox/3.0.5" xx.xx.xx.xx - - [14/Oct/2009:09:28:30 +1100] "GET /INSTALL.php?act=ls&d=%2Fhome%2Firanpowe%2Fpublic_h tml%2Fadministrator&sort=0a HTTP/1.0" 404 - "http:/ /www.xxx.com/INSTALL.php" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5" xx.xx.xx.xxx - - [14/Oct/2009:09:28:33 +1100] "GET /INSTALL.php HTTP/1.0" 200 6543 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko /2008120122 Firefox/3.0.5" 72.52.96.163 - - [14/Oct/2009:09:29:00 +1100] "POST /INSTALL.php HTTP/1.0" 200 6634 "http://www.xxx.com/INSTALL.php" "Mozilla/5.0 (Windows; U; W indows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5" 72.52.96.163 - - [14/Oct/2009:09:29:29 +1100] "GET /cpanel.php HTTP/1.0" 401 20 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/20 08120122 Firefox/3.0.5" xx.xxx.xx.xx - - [14/Oct/2009:09:29:54 +1100] "GET /cpanel.php HTTP/1.0" 401 20 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/20 08120122 Firefox/3.0.5" xx.xx.xx.xx - - [14/Oct/2009:09:30:00 +1100] "GET /cpanel.php HTTP/1.0" 200 5024 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/ 2008120122 Firefox/3.0.5" xxx.xx.xx.xxx - - [14/Oct/2009:09:30:46 +1100] "POST /cpanel.php HTTP/1.0" 200 5224 "http://www.xxx.com/cpanel.php" "Mozilla/5.0 (Windows; U; Win dows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5" xx.xx.xx.xxx- - [14/Oct/2009:09:30:51 +1100] "GET /cpanel.php HTTP/1.0" 200 5024 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/ 2008120122 Firefox/3.0.5" xx.xx.xx.xxx - - [14/Oct/2009:09:32:45 +1100] "POST /cpanel.php HTTP/1.0" 200 12710 "http://www.xxx.com/cpanel.php" "Mozilla/5.0 (Windows; U; Wi ndows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5" xx.xx.xxx.xxx - - [14/Oct/2009:09:33:38 +1100] "POST /cpanel.php HTTP/1.0" 200 12712 "http://www.xxx.com/cpanel.php" "Mozilla/5.0 (Windows; U; Wi ndows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5" xx.xx.xx.xx - - [14/Oct/2009:09:34:11 +1100] "GET /cpanel.php HTTP/1.1" 401 20 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2. 0.50727; .NET CLR 3.0.04506.30)" xx.xx.xxx.xxx - - [14/Oct/2009:09:34:21 +1100] "GET /cpanel.php HTTP/1.1" 200 5024 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30)" xx.xx.xx.xx - - [14/Oct/2009:09:34:41 +1100] "POST /cpanel.php HTTP/1.1" 200 12712 "http://www.xxx.com/cpanel.php" "Mozilla/4.0 (compatible; M SIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30)" xxx.xx.xx.xx - - [14/Oct/2009:09:34:49 +1100] "POST /cpanel.php HTTP/1.1" 200 12712 "http://www.xxx.com/cpanel.php" "Mozilla/4.0 (compatible; M SIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30)" xxx.xxx.xx.xx - - [14/Oct/2009:09:36:33 +1100] "POST /cpanel.php HTTP/1.1" 200 12710 "http://www.xxx.com/cpanel.php" "Mozilla/4.0 (compatible; M SIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30)" xx.xx.xx.xx - - [14/Oct/2009:09:38:17 +1100] "GET /INSTALL.php HTTP/1.0" 200 6593 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko /2008120122 Firefox/3.0.5" xx.xxx.xxx.xxx - - [14/Oct/2009:09:40:17 +1100] "POST /INSTALL.php? HTTP/1.0" 200 6551 "http://www.xxx.com/INSTALL.php" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5" |
|
|
|
|
|
#2 |
|
Godfather
|
شاید سایت شما باگی داشته که از طریق اون تونستن Shell رو هاست ایجاد کنند و Admin Server فهمیده و سایت شما رو Suspended کرده شما بهشون بگو مشکل از Application سایت بوده برات بازش کنن و خودتون هک شدید ........
|
|
|
|
|
|
#3 |
|
عضو انجمن
|
نظر من اینه شاید کسی شل رو سیستمت بالا برده میخواسته این کاره کنه .
البته نظر من بود نظر مدیران هم بپرس
__________________
راهنمایی از ما تصمیم از شما راهنمای جامع تحصیل در هندوستان خیار پورت اسکنر برای آشیانه ( فارسی ) جدید: فیلم آموزش قدم به قدم Ruby طرح چاپ شده تی شرت آشیانه فیلم آموزشی SQL Injection از تارگت تا آپلود شل سی 99 فیلم آموزش کامل Acutenix 6 |
|
|
|
|
|
#4 |
|
عضو تازه وارد
تاريخ عضويت: Aug 2008
پست: 8
Thanks: 8
0 بار تشکر شده در 0 پست
|
با عرض سلام خدمت شما
یعنی برای جواب دادن به ادمین سایت همین که به آنها بگویم که مشکل ازApplication سایت بوده کافی است به نظر شما؟ متشکرم |
|
|
|
|
|
#5 |
|
عضو فعال
|
هر چی هست از اين فايل هست:
کد:
/INSTALL.php ... در هر صورت INSTALL.php رو پاک کن ... موقت ... موفق باشی ./ -------------------------------------------------------------------- فکر نميکنم هدف سايت شما بوده باشه ، گويا ميخواسته به اين سايت: iranpowe حمله کنه ... ولی ارور گرفته ... شايد غلط املايی داشته ... (ببين host تو با host اين سايت: iranpower.com مشترکه؟ اگه آره يعنی غلط املايی داشته ...) بزار log رو توضيح بدم ،خودت ميفهمی: اوّل مطمئن شده که شلش (install.php) آماده هست ،بعد خواسته با دستور: کد:
GET /INSTALL.php?act=ls&d=%2Fhome%2Firanpowe%2Fpublic_h tml%2Flogs&sort=0a HTTP/1.0 کد:
/home/iranpowe/public_html/logs کد:
/home/iranpowe/public_html/administrator بعد رفته سراغ cpanel.php ... فکر کنم پسورد تست ميکرده ... چون 12 بار cpanel.php رو ديده ... اون خط هايی که کد 401 برگردونده ،يعنی پسورد اشتباه بوده ،اون خط هايی که 200 داده ،احتمالاً يعنی دوباره صفحه رو reload کرده ،ولی پسورد رو نتونسته پيدا کنه ...
__________________
سمپاد در بستر ... استعدادهای درخشان، قطعه ی چند؟ رديف چند؟ ![]() يه روز ،يه دوست ،يه نصيحتم کرد ... گفت:"از يه کاه ،کوه نساز ،اين باعث ميشه که ديگران روت حساب نکنن ،سعی کن 99% حداکثر ضريب خطات باشه" "Trying to learn to hack under any closed-source system is like trying to learn to dance while wearing a body cast." by Eric Steven Raymond "A person who won't read has no advantage over one who can't read." by Mark Twain Last edited by mahrud; 10-31-2009 at 12:50 AM. |
|
|
|
| از mahrud به خاطر این پست تشکر کرده اند : | codex (10-31-2009) |
|
|
#6 |
|
عضو تازه وارد
تاريخ عضويت: Aug 2008
پست: 8
Thanks: 8
0 بار تشکر شده در 0 پست
|
سلام
با عرض سلام خدمت شما
اول از همه از لطف شما متشکرم، اما می خواهم این را بدانم که اگر تمامی مواری را که شما در بالا ذکر کردید را بخواهم برای مدیر امنیتی هاست توضیح بدهم کافی است یا به نظر شما چیزهای دیگری هم برای آوردن دلیل باید بیاورم این طور که خودم بررسی کردم اصلن هکی در کار نبوده فقط یک مشکلی در هنگام نصب مدیریت محتوا پیش آمده است که که آنها گمان کرده اند می خواهند سرورشان را هک کنند. اما چون نمی شود به همین راحتی به آنها توضیح داد از شما می خواهم در این مورد بنده را راهنمایی بفرمایید از لطف شما بسیار متشکرم |
|
|
|
|
|
#7 | |
|
طراح سایت و خدمات هاستینگ
|
نقل قول:
باگ داشته یا روی کامپونت یا ورژن جوملات 1.5 بوده باگ توکن داشته الان بهشون بگو احتمالاً اکسز ها اینجا هستن /home/user/public_html/images/shell.php در ضمن کاربر چنانچه روی سرور حتی یه شل هم بزاره توی اکثر هاستینگ ها دیگه حق استفاده از سرویس رو نداره
__________________
هميشه نگاهي راباور کن که وقتي که ازش دور شدي منتظرت بمونه |
|
|
|
|
|
|
#8 |
|
عضو تازه وارد
تاريخ عضويت: Aug 2008
پست: 8
Thanks: 8
0 بار تشکر شده در 0 پست
|
با عرض سلام خدمت شما
اول از همه از خدمت شما یک سوال داشتم و آن هم در مورد این است که چگونه متوجه شدید که از جوملا استفاده می شده است؟ دوم بنده کل ماجرا را خدمت همه شما تعریف می کنم با توجه به تاریخی که در این نامه برای حمله به سرور نوشته است بنده متوجه شدم که در آن روز اتفاق دیگری افتاده است که شرح کامل را برایتان می نویسم در آن روز بنده تصمیم گرفتم که کل سایت را دوباره بریزم البته به دلایلی از جمله پاک شدن بعضی از ماژول ها و کامپونت های اصلی در آن روز سرم خیلی شلوغ بود به همین خاطر در زمان نصب یادم رفت که چه پسوردی را برای ادمین وارد کرده ام اما یادم بود که چه ایمیلی را وارد کرده ام ، نمی دانم آیا با این سیستم مدیریت محتوا آشنا هستید یا نه اما به این صورت است که در مرحله یکی مانده به آخر شما اسم سایت ، آدرس ایمیل ، و همچنین پسورد را در آنجا مشخص می کنید که همگی آنها برای ادمین است در مرحله آخر و در پایان نصب یک پیغام می آید و از شما خواسته می شود که برای امنیت بیشتر فایل Install را از File Manger کنترل پنل خودتان پاک کنید ، من هم مطابق معمول همین کار را کردم و بعد از آن خواستم که وارد قسمت مدیریت سایت بشوم و تازه یادم افتاد که پسورد را فراموش کرده ام وقتی خواستم که دکمه بازگشت مرورگر خودم را بزتنم تا دوباره یک رمز جدید را بزنم متوجه شدم که دیگر امکان دسترسی به این قسمت را ندارم چون قلن فایل Install را پاک کرده بوده بودم برای همین تصمیم گرفتم که فایل Install را دوباره آپلود کنم تا بتوانم یک پسورد جدید درست کنم این کار را کردم اما هرچقدر تلاش کردم نشد که نشد ، برای همین مجبور شدم به قسمتی که یوزرنیم و پسور سایت را میزنند بروم و چند پسوردی را که فکر می کردم آنها باشند را امتحان کنم که متاسفانه جواب نداد کمی بعد به سراغ Forgot Password رفتم که در آنجا بعد از کلی تاییده و تلاش پسورد را بدست بیاورم اما متوجه شدم به علت اینکه دوباره فایل Install را ریخته ام کل سیستم سایت دچار اختلال شده است لذا دوباره کل اطلاعاتی را که ریخته بودم را پاک کردم و دوباره شروع به نصب سایت کردم. همه چز خوب بود تا یک فته بعد که سایت از طرف آدمین سرور معلق شد. حالا مشکل اصلی دقیقن همین جاست. اگر لطف کنید و در این باره کمک کنید از شما سپاسگذارم. با تشکر |
|
|
|
|
|
#9 | |
|
عضو تازه وارد
تاريخ عضويت: Aug 2008
پست: 8
Thanks: 8
0 بار تشکر شده در 0 پست
|
نقل قول:
متشکرم |
|
|
|
|
|
|
#10 |
|
عضو انجمن
|
شما تماس بگیر با Data Center سایتت و بهشون بگو که سایت من مورد حمله قرار گرفته و میخواستن به وسیله سایت من از سرور و سایتهای دیگه سوءاستفاده کنند و به شما کمک میکنند
__________________
راهنمایی از ما تصمیم از شما راهنمای جامع تحصیل در هندوستان خیار پورت اسکنر برای آشیانه ( فارسی ) جدید: فیلم آموزش قدم به قدم Ruby طرح چاپ شده تی شرت آشیانه فیلم آموزشی SQL Injection از تارگت تا آپلود شل سی 99 فیلم آموزش کامل Acutenix 6 |
|
|
|
![]() |
| اختيارات تاپیک | |
| نمايش رسم | رتبه دادن به اين تاپیک |
|
|