cheeta

حل مشکل رایج ترین شکل هک وردپرس

8 پست در این موضوع قرار دارد

امروز متوجه شدم که سایت های وردپرسی که روی یک سرور خاص داشتم هک شدند. این اتفاق فقط برای سایت های وردپرسی افتاده و با سرچی که تو نت زدم متوجه شدم اکثر کاربرانی که قربانی هم شدند به همین بوده.

در این هک تمام اطلاعات سرجاش هست.

میشه وارد مدیریت شد با همون اطلاعات قبلی

فایل ایندکس رو هم که میبینی اتفاقی براش نیفتاده

فقط تو صفحه اول سایت که میخوای وارد بشی پیغام هک رو میبینی.

این هک چطوری اتفاق میافته و کدوم قسمت رو باید ایمن کرد تا تکرار نشه.

در مورد ایمن کردن کل وردپرس صحبت زیاد بوده ولی این جور هک شدن رایج ترینش هست.

پس قبل از هر کار دیگه ای راهکاری برای جلوگیری از رایج ترین شکل هک پیدا کنیم.

post-37-0-12714000-1369290118_thumb.jpg

0

به اشتراک گذاری این پست


لینک به پست

روی پوشه مدیریت پسورد بگذارید

0

به اشتراک گذاری این پست


لینک به پست

به نظر میرسه در این روش هکر وارد مدیریت نمیشه، چون هیچ چیزی در مدیریت تغییر نمیکنه،

0

به اشتراک گذاری این پست


لینک به پست

به نظر میرسه در این روش هکر وارد مدیریت نمیشه، چون هیچ چیزی در مدیریت تغییر نمیکنه،

خب همین دیفیس کردن روش های مختلف داره. یکیش از مدیریت هست که هکر حتی ایمیل و رمز مدیر را تغییر میده.

4

به اشتراک گذاری این پست


لینک به پست

ببینید شما باید اول راهی که هکر با اون تونسته وارد هاستتون بشه رو پیدا کنید.

اگه دقت کنید از طریق خود وردپرس به هیچ عنوان امکان تغییر فایل ایندکس روت وجود نداره پس نتیجه میگیریم که هکر از طریق هاست (شل) وارد هاست شده و تغییراتی که میخواسته رو اعمال کرده.

6

به اشتراک گذاری این پست


لینک به پست

ببینید شما باید اول راهی که هکر با اون تونسته وارد هاستتون بشه رو پیدا کنید.

اگه دقت کنید از طریق خود وردپرس به هیچ عنوان امکان تغییر فایل ایندکس روت وجود نداره پس نتیجه میگیریم که هکر از طریق هاست (شل) وارد هاست شده و تغییراتی که میخواسته رو اعمال کرده.

خوب چطور میشه این رو فهمید؟

البته من فعلا مشکلی ندارم و با پیشنهاداتی که تو تاپیک های دیگه فرموده بودید امنیت سایت رو بهتر کردم.

ولی از کجا میشه فهمید که هکر از چه راهی استفاده کرده؟

یه جوری بگید که هر کاربری با هر اطلاعاتی اومد تو تاپیک بفهمه

0

به اشتراک گذاری این پست


لینک به پست

اینجور ورود ها معمولا اینطوری انجام می گیره

هکر یا بهتره بگیم هکرها با فشار زیاد وارد کردن به یک سرور اون رو دان می کنند معمولا در تعطیلات که ریست سرور زمانبر بشه (معمولا به هاستهای ایرانی در عید و به غیر ایرانی ها در کریسمس حمله می کنند) بعد با نرم افزار وارد سرور می شند و بخش هایی از هاست را به طور موقت به دست می گیرند این نفوذ کاملا مجازیه و با ریست سرور و فعال شدن فایروال دیسکانکت می شند و معمولا در حد پیام ارور دادنه مگر اینکه گروه حرفه ای باشه و از قبل صفحه لاگین و تیکت پشتیبانی رو ساخته باشه و با دان شدن سروره جایگزین کنه (اینکار خودش پروسه ایه) بعد نرم افزاری که پشت فرم ورود ساختگی دارند به تعدادی که تواناییش رو داشته باشه یوزر نیم و پسورد خریداران رو ذخیره می کنه معمولا این مشخصات برای سرقت ترافیک یا فضای مرده سایتها استفاده می شده که به ندرت مالک متوجه نفوذ می شه

3

به اشتراک گذاری این پست


لینک به پست

ولی از کجا میشه فهمید که هکر از چه راهی استفاده کرده؟

از کاری که روی سایت انجام می ده

معمولا در هاست دسترسی دست بالا به پایینه پوشه ی قبل از روت رو کاربر نمی بینه ولی سرور در اختیار داره و همینطور تا پوشه ای که شسما می تونی برای یک کاربر عادی تعریف کنی و بهش دسترسی بدی

هک هم چنین وضعیتی داره

نوشتن پیام یعنی ثبت کردن قدرت هکر در هک کردن وقتی این پیام ها سری باشه و در چند سایت یک هاست تکرار می شه یعنی هکر به پوشه ای بالاتر از دسترسی کاربر اصلی سایت ها رسیده و طبیعتا از طریق سرور نفوذ کرده نه وردپرس

البته کلا این جور هک ها آسیب رسونیه خاصی ندارند و اگر هم باشه می شه با حذف فایل های مزاحم ترمیمش کرد

هکرهای خطرناک دنبال اطلاعات مالی و درگاه های پرداخت بانکی برای تخلیه حساب ها هستند

2

به اشتراک گذاری این پست


لینک به پست

برای ارسال نظر یک حساب کاربری ایجاد کنید یا وارد حساب خود شوید

برای اینکه بتوانید نظر ارسال کنید نیاز دارید که کاربر سایت شوید

ایجاد یک حساب کاربری

برای حساب کاربری جدید در انجمن ما ثبت نام کنید. عضویت خیلی ساده است !


ثبت نام یک حساب کاربری جدید

ورود به حساب کاربری

دارای حساب کاربری هستید؟ از اینجا وارد شوید


ورود به حساب کاربری

  • مطالب مشابه

    • توسط armantta
      افزونه نوتیفیکیشن ONESIGNAL بعد شروع تحریما اومده آی پی ایران رو بن کرده. میخواستم بدونم راهی برای دور زدن این بن هست یا خیر؟ الان اگر با فیلترشکن وارد شه کسی آیکون نوتیفیکیشن رو میبینه و اگر بدون فیلترشکن وارد شه، آیکون نوتیفیکیشن رو نمیبینه
      یکی از راه هایی که به ذهنم میرسه تغییر آی پی کاربرانی هست که وارد سایت میشن. یا اینکه چک آی پی رو غیرفعال کنم. ولی نمیدونم این دوتارو چجوری انجام بدم
    • توسط amirmt
      سلام سایت من چند وقتیه مورده حمله قرار گرفته و وقتی میخوام وارد سایت بشم به سایت های خارجی لینک میشه. اینترنت و زیر رو کردم یه سایت گیرم اوردم به ادرس sucuri.net سایتم رو دادم چک کنه و یه لیست از فایل هایی که مشکل داره رو گفت گه یه اسکرین ازش پیوند کردم. اکثره فایل ها هم jquery هستش که به مشکل خورده کسی میتونه کمکم کنه تا این کد ها ترمیم بشه یا حداقل راهنماییم کنه؟؟
      ادرس وب سایته خودم: unick.ir

    • توسط hadiseraj.SEM
      سلام  خسته نباشید دوستان
      من یک سایتی دارم که تقریبا 1 هفته پیش از طرف گوگل وب مستر برام آلارم هک شدن اومد و پیگیری کردم و متوجه شدم که سایت هک شده ، یک لینک یا فولدر ( نمیدونم دقیقا ) اضافه شده به زبان چینی  که نمیدونم کجای هاست هست . ( این لینک : 
      http://drmaham.com/41-cqfrzj/6782940513--usnywpft/10965
       
      90 درصد لینک های سایت هم وقتی تو گوگل سرچ میکنم  همه به صورت زبان چینی میاد ( عکسشو پیوست کردم )
      میخوام بدونم الان بهترین کاری که میتونم بکنم چیه؟  میشه این اطلاعات مخرب رو پاک کرد و سایتو دوباره اوکی کرد ؟
      2 بار هم از ریستور بکاپ استفاده کردم  تا تاریخ 15 روز قبل هم برگردونم سایتو  اما هنوز این فایل بالا که لینکشو فرستادم هست .
      ممنون میشم راهنمایم کنید .
       

    • توسط mohandes1900
      سلام خسته نباشید به همه ی فعالان انجمن
      آیا کسی هست که بدونه چرا بازدید برخی از آی پی ها از سایت خیلی زیاده؟ و این که آیا ممکنه اسپم و یا ربات باشن و از کجا باید این رو بفهیمد؟
      آیا ممکنه ربات موتورهای جستجو باشه و از کجا باید این رو بفهمیم؟
    • توسط admintory
      سلام
      صورت مسئله:
      روی یک هاست چندین سایت دارم. امروز برای یکیشون متوجه اعمال خرابکاری شدم.
      آدرس سایت مورد نظر: http://golbahardaneh.com
      این سایت بعد لود فایل های js ریدایرکت میشه روی یک آی پی نامربوط. آدرس هدف: http://134.249.116.78/jquery.js
      هیچ بک آپی از قبل ندارم.
      کاری که من کردم:
      1- از فایل ها و دیتابیس فعلی بک آپ گرفتم.
      2- افزونه امنیتی WordFence رو نصب کردم و سایت رو اسکن کردم. نتیجه اسکن تایید آلوده بودن حدود 400 فایل js به کد مخرب بود.
      3- از طریق این لینک   https://www.polaris64.net/blog/cyber-security/2017/wordpress-hacks-jquery-js-script-injection  کد مخرب رو پیدا کردم و جاش یه کد جایگزین رو در همه فایلها گذاشتم.
      4- توی htaccess آدرس هدف رو بن کردم.
      5- توی یه سایت اسکنر امنیتی معروف سایت رو اسکن کردم (SUCURI SITE) که چند تا هشدار Maleware به من داد. ولی چیزی نفهمیدم ازش
      6- وردپرس و پلاگین ها رو آپدیت کردم.
       
      ولی هنوز مشکل حل نشده. لطفا کمک کنید.
      نکته: ریدایرکت فقط برای صفحه اصلی سایته و صفحات داخلی با وارد کردن مستقیم آدرس صفحه لود میشن. مثل http://golbahardaneh.com/business-model