روش های جلوگیری از هک شدن

[davood_71 14]

این روش هایی که من میگم تجربه خودم هست و تاحالا خوب جواب داده ، البته شاید ناقص باشه ، که خب درآینده بهتر میشه

هک به 4 صورت هست :

1- حمله به سرور

2- حمله به سایت شما

3- حمله به سایت های دیگه که هاستشون با هاست شما یکسان هست

4- حمله به صورت ddos

-------

مورد 3 : این مورد هیچ راهی نداره جز اینه سرور مجازی یا اختصاصی بگیرین یا از هاست هایی سرویس بگیرین که هاست رو جوری تنظیم کردند که با هک شدن سایت های دیگه سایت شما هک نشه (که بستگی به سیاست هاستینگ داره)

مورد 4 : این حمله هیچ سایتی رو هک نمیکنه و فقط سایت دیگه بالا نمیاد ، ولی میشه با این روش ، در کنارش یه حمله دیگه کرد و سایت یا سرور رو هک کنن (ترکیبی با مورد های 2 یا 1) ، معمولا هیچ راه مقابله با (به صورت رایگان) نداره ، نه اینکه نداشته باشه ، داره ولی به مراتب کمتر ، تنها راهش اینه سر راه فیاروال های سخت افزاری و آنتی دیداس های سخت افزاری و ثبت اون توی سایت هایی مثل کلود فلر یا باراکودا (که همه این روش ها خیلی گرون هستند)

----------

مورد 1 : با این روش باگ های سرور شناسایی میشن و حمله میشه به سرور . دقیقا مثل جوملا که یه افزونه ممکن هست باگ داشته باشه و از اون افزونه واسه هک استفاده میکنن ، نرم افزار های سرور هم میتونن باگ داشته باشن که مثل جوملا باید همیشه آن ها رو برور کنیم (پلاگین custom build 2.0 رو نصب کنید و بروز بودن نرم افزار های تحت وب مطمئن شید و در صورت لزوم آپدیتشون کنید)

موارد زیر رو هم رعایت کنید :

1- امنیت ورود به ssh رو به آخرین حد ممکن براسنید (ساخت یوزر معمولی ، غیر فعال کردن دسترسی روت ، غیر فعال کردن ورود با استفاده از رمز ، فعال کردن ورود با استفاده از کلید عمومی و خصوصی ، محدود کردن ssh به آی پی خاص)

2- مخفی کردن ورژن های وب سرور مثل (آپاچی ، انجینکس ، پی اچ پی و ...) ، این روش جلوی هک رو نمیگیره و کار هکر رو سخت تر میکنه

3- نصب آنتی شلر (csx یا maldet)

4- نصب آنتی ویروس (clamav یا avast) استفاده از clamav بهتر است چون سازگاری کامل با maldet یا csx داره

5- نصب فایروال csf

6- استفاده از cwaf یا OWASP (نصب cwaf بهتره ، چون سازگاری کامل با جوملا داره) جهت جلوگیری از حملات xss, sql و ...

7- استفاده از سرویس کلود فلر (رایگان) ، یا این روش آی پی سرور مخفی میشه ولی جولی حملات زیاد گرفته نمیشه فقط کار هکر ها رو خیلی سخت تر میکنه

8- استفاده از سرویس کلود فلر یا باراکودا (پولی) ، با این روش جولی خیلی از حملات sql , xss , ddos و ... رو میگره ، و امنیت سرور و سایت رو خیلی بالا میبره

9- کانفیگ امنیتی وب سرور ها (دادن دسترسی به پوشه و غیر فعال کردن خیلی از سرویس ها) من توی این مورد وارد نیستم

10- استفاده از رمز های حداقل 24 کاراکتری برای ورود سرور یا ایمیل یا هرچی دیگه

11- تغییر مسیر phpmyadmin . جوری که فقط با زدن آی پی بشه اون مسیر رو آورد و مسیر هم عوض شده باشه به مثلا (da4wd54rg8ty12bc1v4dawdt5)

12 - همیشه داخل سرورتون رو اکسن کلی کنید تا ویروسی ، شلی چیزی نباشه

13- php.ini دلخواه رو غیر فعال کنید . به این صورت که هر هاست از php.ini اصلی قدرت استفاده کنه و هر کاربری داخل هاست خودش php.ini نتونه بسازه ، این روش خیلی مهمه (چون اگر این روش فعال باشه هکر یه php.ini دۀخواه میسازه و توابع خودش رو مثل exec یا ... فعال میکنه و راحت میتونه سرور یا سایت رو بزنه)

14- غیر فعال کردن توابع (disable_function)

15- فعال کردن open_basedir (برای بعضی از افزونه ها باید غیر فعال باشه ، اگر واقعا نیزا بود و هیچ راهی نبود مشکلی نیست غیر فعالش کنید)

-------------------------------------------------------------

مورد 2 :

سایت شما شناسایی میشه (حالا اسکریپت اخصاصی باشه خب بهتره ، ولی اونجوری نیست که بگین خیلام راحته سرور سایت هک نمیشه) (اگر هم جوملا یا هرچی دیگه باشه بهتره ، با اینکه راحت شناسایی میشه ولی همیشه توسط تیم امنیتی مرتبا بروز میشه و هکر خیلی سخت میتونه هک کنه)

1- نصب تمامی فایروال های جوملا مثل (rsfirewall, j secure , ....)

2- تغییر نام کاربری ادمین به حروف های پیچیده مثل (XSGt5djdawdaw8Gtyyk)

3- تغییر پسورد ادمین مثل (DW^*JNFAER#%6DFSF%&*$%#!4)

نکته : طول کارکتر هارو خیلی زیاد در نظر بگیرید حداقل 24 کاراکتر ، این روش جلوی حملات بروت فورس رو 99% میگره ، به این صورت که اگر طرف بخواد رمز هارو کرک کنه باید چند سال به صورت مداوم در انتظار کرک باشه که اصلا شدنی نیست ، البته روش دیگه هم هست که 1% احتمالش هست ، و اون دزدیدن پسورد ها از طریق کوکلی ، یا کیگان هست ، که اگر طول کارکاتر رو هم 100 در نظر بگیرید در عرض چند ثنیه لو میره ، پس حتما وقتی میخواین وارد سایت شین ، اول بررسی کنید کسی اون شبکه رو sniff نمیکنه ، (مثل محیط دانشگاه یا خوابگاه ها) ، و همیشه یه آنتی ویروس خیلی قوی روی سیستم خودتون نصب کنید تا ویروس وارد سیستمتون نشه و پسورد رو لو بده.

4-تغییر مسیر ادمین جوملا با (j secure)

5- تغییر مسیر فایل کانفیگ جوملا به خارج از public_html و توی پوشه به اسم مثلا (dfa2wd1wd7f98g2h1fd548ui7ok)

6- مخفی کردن ورژن جوملا

7- استفاده از کلید عمومی و خصوصی برای ورود به ادمین

8- کانفیگ کردن cwaf برای جوملا

9-خود جوملا و افزونه هارو همیشه بروز کنید

10- استفاده از htaccses (کد هاش توی اینترنت هست یه فایل سفارشی بسازید تا امنیت سایت رو دو چندان کنه) ، ولی باری این کار نیاز هست که حتما وب سرور آپاچی باشه ، البته اگر nginx خوب کانفیگ شه امکانش هست

11- برای برقراری امنیت در داخل هسته خودتون کد رو درستکاری نکنید ، و بزارید تا خود جوملا آپدیت بده ، وقتی باگ امنیتی توی جوملا پیدا شه اونا حتما آپدیت میدن ، و تا اون باگ بخواد عملی شه و هکر از اون استفاده کنه شما اون رو آپدیت کردین

پس خیالتون از جهت ایمن بودن داخل کد راحت باشه

12 - همیشه داخل هاستتون رو اسکن کنید تا ویروسی یا هرچی دیگه وجود نداشته باشه

13- استفاده از رمز های حداقل 24 کاراکتری برای ورود به ایمیل یا هرچی دیگه

14- تغییر مسیر پوشه tmp (همیشه اون رو خالی کنید)

15- دادن دسترسی به فایل ها (644) پوشه ها (755)

16- قبل از نصب هر افزونه ای در داخل اینترت یه سرچ بزنید و مطمئن شید این افزونه مخرب نیست یا آخرین باری که باگ امنیتی داشته کی بوده و اینکه ایا بعد اون تاریخ آپدیت براش دادن یا ندادن

17 - جوملای خودتون رو با jomscan توسط کالی لینوکس یا بکترک ، اسکن کنید ببینید وضعیت سایت در چه صورتیه و اینکه ایا باگی داره یا نداره اگر داره به شرکت سازنده اون افزونه گزارش کنید تا اپدیت براش بدن

18 و در اخر چک کردن تمامی وارد در داخل لینک (Security Checklist/Hosting and Server Setup - Joomla! Documentation)

---------------------------

هکر ها خیلی شاخ نیستد و هیچ ترسی هم نباید ازشون داشته باشید و معمولا از کالی لینوکس یا بکترک استفاده میکنن روش استفاده هم اینه ، اول میان ورژن جوملا رو پیدا میکنن مثلا ورژن 3.4.5

میگن به به چه ورژن خوبی و خلاصه کلی ذوق میکنن و روحیه میگرن و راحت از لینک زیر جهت هک کردن سایت استفاده میکنن :

Sucuri WebSite Firewall - CloudProxy - Access Denied

ولی اگر ورژن 3.4.8 باشه ، خیلی ناراحت میشن چون هنوز باگی ازش گزارش نشده و هیچ اکسپلویتی هم ننوشته شده ازش

پس یبیخیال هک از طریق هسته جوملا میشن میرن سراغ افزونه های دیگه

مثلا وارد ادمین میشن میبنن که بستت باز ناراحت میشن (اگر هم بسته نباشه که خب کلی ذوق میکنن چند تا پسورد امتحان میکنن و به روش بروت فروس زور خودشون رو امتحان میکنن)

یا از توابع disable_functin ایتفاده میکنن و یه فایل آپلود میکنن و شلی چیزی توش مینوسن (که اگر Disable_function و قسمت آپلود کردن توسط افراد معمولی رو غیر فعال کنید از ناراحت میشن)

خلاصه اینکه همش تست روش هایی هست که احتمال میره ازش بشه واسه هک استفاده کرد

و وقتی همه راه ها بسته باشه دیگه ناراحت میشن و بیخیال میشن میرن سراغ یه سایت دیگه

البته بعضی ها خیلی وارد هستن و ماشالا خودشون اکسپلویت مینویسن ، که همچین هکر هایی به پست ما ایرانی ها نمیخوره (چون سرورمون داخل ایران هست و زبانش هم فارسی ) و هکر یکم سخت میشه کارش، مثلا یه هکر آمریکایی بیکار هست بیاد یه سایت ایرانی رو هک کنه (مگر اینکه اون سایت خیلی قوی باشه یا اینکه بهش سایت رو نشون بدن بگن هکش کن)

که اونم باز میاد ورژن جوملا رو چک میکنه

خلاصه اینکه با روش هایی که گفته شد سایتتون 99% امن میشه و خیالتون میتونه راحت باشه

[davood_71 14]

در توضیحات قبل به این موضوع اشاره شد که چه روش هایی رو به کار ببریم تا منیت بالا بره (البته خب 100% ناقص هست و ایشالا در آینده تکمیل تر میشه)

------

این قسمت ، سعی میکنیم روش هایی رو بگیم هکر ها ازش به عنوان هک جوملا استفاده میکنن (روش ها تئوری هست و فقط یه توضیح کوچولو ازش داده میشه) و فرض بر این استن که فقط حمله میکنه به سایت یا هاست ، حمله سرور انجام نمیده

1- اول از یه سیستم عامل بکترک یا کالی لینوکس رو نصب میکنن

2- سایت رو با jomscan سرچ میزنن ببین سایت ایا وقاعا جوملا هست ، اگر هست چه نسخه ای ، و اینکه چه فایروال هایی داره ، چه کامپوننت هایی نصب کرده و چه باگ هایی داره

3- تست مدیریت سایت با joomla/administrator

نگاه میکنه ببینه مدیریت چه خبره ، بهترین راه اینه ادرس عوض شه ، از recaptcha استفاده شه ، پوشه ادمین توسط هاست قفل شه ، و از از کلید های عمومی و خصوصی جهت وارد شدن بهش استفاده شه

4- بررسی دقیق تر ورژن جوملا

خب فرض کنیم ورژن 3.4.5 هست ، خب هکر وارد سایت (Exploit-db.com) میشه و با جستجو کلمه . joomla از آخرین اکسپولیت ها و باگ های جوملا خبر دار میشه

خب میبنه به به ورژن 3.4.5 باگ امنیتی داره ، و اکسپلویت اون رو دانلود میکنه و ازش استفاده میکنه وسایت روهم ممکن هست هک کنه (شاید نتونه چون ممکن هست طرف کلی فایروال نصب کرده باشه ، درسته باگ داره سایت ولی کلی فایروال هم داره، فیسبوک هم کلی باگ داره ، از اون چیزی که فکر کنید بیشتر، ولی خب فایروالش نمیزارن از هیچ کد مخربی استفاده شه، هیچ چیز بدون باگ نمیشه)، در کل واسه اینه همیشه باید جوملا رو بروز کرد

5- جستجوی افزونه ها و استفاده از اون ها

خب مثلا سایت روش از انجمن کیونا استفاده شده (این یه مثال هست) ، خب میره داخل سایت (Sucuri WebSite Firewall - CloudProxy - Access Denied) و عبارت kunena رو جستجو میکنه تا ببینه چه خبره

خب میمینه به به ورژن 3.0.4 عجب باگی داره ، و نسخه کامپوننتی که روی سایت هست رو هم مشاده میکنه میبینه به به خودشه ، اکسپلویت رو دانلود میکنه و کار خودش رو میکنه (تین باز ربط داره به اینکه چه فایروال هایی روی سایت و سرور شما نصب هست) ، هر فایروالی جلوی این نوع حملات رو نمیگره باید از نوع web application firewall باشه (این حداقلش هست)

6- بررسی میکنه ببینه آیا میتونه روی هاست چیزی آپلود کنه یا نه ، اگر بتونه ، که فاتحه خوندس ، چون راحت فایل کانفیگ جوملا رو تغییر میده ، یاد دانلود میکنه (درنتیجه پسورد ورود به ادمین لو میره) ، فایل htacess و htapasswd رو تغییر میده (دیگه قفل کردن پوشه ادمین معنی نداره و رمز رو به دلخواه تغییر میده)

راه های مقابله : با مدیریت هاست تماس بگیرید که این قسمت رو غیر فعال کنه و نتونه چیزی آپلود کنه یا دانلود کنه ، فایل کانفیگ جوملا رو به یه پوشه امن خارج از public_html ببرید و اسمش پوشه رو یه همچین چیزی بزارید تا کشف نشه (dwda5d8g454o8751vg2fd)

7-بررسی دقیق کد هسته جوملا و هسته افزونه ها که ببینه میشه آیا یه باگی چیزی ازش در بیاد یا خیر ، اگر در بیاد که فانحه خوندس و هیچ راهی نیست و شما اولین قربانی هست (مگر اینکه فایروال قوی داشته باشید از نوع Waf)

8-ورود به بخش دیتابیس مثل : site.com/phpmyadmin

راه مقالبه : با مدیریت تماس بگیرید و ادرس رو تغییر بدین و کاری کنید که فقط باید آی پی رو زد تا وارد دیتابیس شه مثلا :

1.1.1.1/dawd4aw64ad41k5u4lp12b

دیگه فعلا راهی به ذهنم نمیرسه اگر رسید حتما اینجا ادامش رو قرار میدم

--------

یه توضیحی بدم در رابطه با فایروال waf یا web application firewall که دقیقا چی هست

این فایروال جلوی حملات : Anti DDoS

Brute Force

(SQL Injection(SQLi

(Local File Inclusion(LFI

(Cross-Site Scripting(XSS

(Remote File Inclusion(RFI

رو میگره . به این صورت اگر شما باگی هم داشته باشید به کاربر اجازه نمیده از این باگ ها استفاده کنه (نصبش حیاتی هست)

سایت هایی هستند که این فایروال رو به صورت آنلاین ارائه میدن مثل : کلود فلر یا باراکودا

ولی شما حتما باید اینارو روی سرورتون نصب کنید اگر هم خواستید درآینده از اون سایت ها هم سرویس میگرین و جفتش با هم مساله ای پیش نمیاره

دو تا فایروال در این زمینه داریم comodo waf و owasp

جفتشون عالی هستند ولی من خودم شخصا از comodo استفاده میکنم چون محافظت میکنه از ورد پرس و جوملا و خیلی چیزای دیگه و استفاده ازشم خیلی راحته

تستش هم کردیم خوب جواب داده

استفاده از سایت کلود فلر یا باراکودا بسیار بسیار گرونه و ماهی حداقل 700 تومن باید بدین

موفق باشید.