Pooyan Afzali

درود دوست عزیز بستن آی پی نمیتونه جلو حمله همر رو بگیره چون براحتی تونل میزنه و از ای پی دیگه ستفاده میکنه

درود لزومی نداره من داخل فروم قیمت و پکیج بدم چون نیازی نیست،شماره گذاشتم داخل امضام هر کسی نیاز به خدمات امنیت اعم از تست نفوذ،ارتقای امنیت و رفع باگ سایت و سرور داره میتونه تماس بگیره و یا پیام بده سایت هم دارم http://security-service.ir که هنوز رسما بالا نیاوردم چون سرم شدیدا شلوغه همه چیز به خود آدم بستگی داره ،خواستن توانستن است....اما شک نکنید دوستتون صرفا با مطلب خوندن داخل یک فروم هکر نشد و زمان و وقت خ زیادی صرف کرده که به یک مرحله ای رسیده . قطعا از اونجا کلید خورده و مطالب و آموزش های متعد دیگه ای از سایر جاها گرفته چون هیچ فرومی کامل نیست منم خ دوست دارم تک تک ارسال ها رو چک کنم کما اینکه تا جایی ک بتونم چک میکنم و در صورت نیاز حذف میشن اما همونطور که جناب صدیقی عزیز گفتن بررسی امنیتی ارسال ها زمان گیر هست و از طرفیم حرف شما کاملا درسته...توصیه من اینه سعی کنید از هر پستی افزونه دانلود نکنید چون ممکنه کاربر شیطنت کرده باشه و شل داخل افزونه گذاشته باشه ضمنا وجود باگ داخل افزونه رو سازنده افزونه باید برطرف کنه نه انجمن ما بلکه ما فقط میایم افزونه های باگ دار رو معرفی میکنیم که اگه داخل انجمن امنیت برید مشخصه...خ از افزونه های جوملا مشکل امنیتی دارن اما وظیفه سازندشون هست که مرتبا به روز رسانی کنند و این ارتباطی به هیچ تیم پشتیبانی ای نداره اینجا تیم پشتیبانی جوملا هست منطقی نیست هاستینگ ها اینجا معرفی بشن چون رسالت این فروم یه چیز دیگست ..برای این کار میتونید به فروم www.webhostingtalk.ir انجمن تخصصی هاست و سرور و حوزه های مربوط مراجعه کنید که بسیار فروم خوبیه...اونجا اکثر شرکت ها و اشخاصی که در حوزه هاستینگ فعالیت میکنند حضور دارند و مستقیما میتونید آفر ها و مشخصات هاست ها رو ببینید و با خودشون مستقیما صحبت کنید و یا هاست مورد نظر خودتونو اعلام کنید بهتون پیشنهاد میدن در مورد امنیت هاست هم گفتم به خ چیزا بستگی داره واژه هاست اختصاصی وجود نداره...هاست اشتراکی هست یعنی داخل یک سرور سایت های متعددی وجود داره و برای هر کدوم یه هاست میسازن ..... احتمالا منظور شما سرور اختصاصی هست که شامل مجازی و اختصاصی میشه که انواع مختلف داره انجمن ما هم هاست نیست بلکه سرور اختصاصی داره یعنی روی سرور اشتراکی نیست .... اینکه چطور اختصاصی کردن کافیه شما توی همون فروم هاستینگ درخواست سرور مجازی بدید بهتون میدن کل تنظیمات و کانفیگ ها هم براتون انجام میشه حالا یا رایگان یا با هزینه

درود جدید ترین نسخه نال شده این افزونه ارزشمند چون قوانین اجازه نمیده هر کی میخواد پ.خ بده به من لینک دانلود رو میدم

درود منظور من اون ین مدت زمان حد اقل پیش نیاز برای یادگیری عمیق و اصولی هست وگرنه فقط وقت گذاشتن کافی نیست گلم خیلیا خودکشی میکنن و همین زمان رو میزارن اما هوش و استعداد و پیش زمینه های متعدد میخواد عزیز:yeah: وگرنه همه خودکشی میکنن پروفسور یا دکتر یا مخترع یا هکر و یا.... بشن و اگه اینطور که شما میفرمایی هر کی که صرفا 4 سال رو یه مبحث وقت گذاشت پروفسور بشه الان دانشگاه های ما پروفسور کده بود نه ..... اما نمیدونم چرا بعد 4 سال تلاش و مطالعه کار به جاهای دیگه میکشه:yeah: هر کسی میخواد توی هر زمینه ای متخصص و تاپ بشه باید زحمت بکشه حالا هک یا امنیت یا هر مبحث دیگه ای..... شما هم وقت بزارید توی یه مبحث (پزشکی یا هر چیزی مایلید) پروفسور بشید که انجمن ما به داشتش همچین پروفسوری افتخار کنه

درود همه دوستان نکات مفیذدی رو عرض کردن اما دوست عزیز در جواب صحبت های شما چند نکته لازمه که گفته بشه چرا که نه ممکنه سایت شما رو هم شخم بزنن حالا اونا یا هرشخص دیگه:didi::128fs318181: دقیقا همون شبی که بازی انجام شد تعدادی از سایت های آرژانتینی تارگت هکرهای ایرانی شدن و تعداد زیادی هک شدن:128fs318181: خب وقتی ما میزنیم اونا هم میان میزنن دیگه در واقع کل کل هکر های کشور های مقابل با هم هست و فقط این وسط سایت های دو طرف ضرر میکنن:didi: در واقع بزنی،میخوری:128fs318181: سایتشونم باگ sqli داشته .... ضمنا مجید جان برگردوندن بک آپ مشکلی رو حل نمیکنه چون باگ دوباره برمیگرده و باز قابل هک شدنه!! ضمنا این سایت قبلا هم یه بار دیگه توسط یه تیم دیگه هک شده سال 2013 در مورد هاستینگ و هاست ایمن قضیه اینه که امنیت هاست و سرور به خ چیزا بستگی داره و مهمتر از همه سواد علمی مدیر سرور هست و چون سوری که مخصوص هاستینگ هست باید همه اسکریپت ها رو بتونه پشتیبانی کنه برای جذب مشتری بیشتر و خ از دسترسی ها رو باز میذاره که امنیت رو تا حد زیادی پایین میاره ضمنا نوع کانفیگ ضعیفی که اکثر هاستینگ ها انجام میدن (چه خارجی چه ایرانی!!) بیشتر برای هکر ها شوخیه که بخوان وارد سرور بشن تا اینکه بخوان سعی در هک کردنش کنن!!!:128fs318181: من به جرات میخوام بگم خ از هاستینگ های موجود زیر 40% امنیت دارن!! و فقط کافیه یکی از سایت های روی سرور باگ داشه باشه که قطعا داره!!! دیسگه اونوقت شخم زدن شروع میشه!! بعضی مواقع هکر کاری با سایت های روی سرور نداره و علی رغم اینکه میتونه کل سرور رو پاک کنه فقط روی همون سایت زوم میکنه ! متاسفانه متاسفانه این مورد شدیدا وجود داره بین قالب ها و افزونه های جوملا... مخصوصلا جدیدا که سایت های خدمات دهی قالب و افزونهطرف فرق هک رو با حک نمیدونه بعد میره یه افزونه خ محبوب رو از سایت های روسی دانلود میکنه چند خط فارسی بهش اضافه میکنه (قصد جسارت به مترجمین عزیز رو ندارم همشون محترمن و دستشون بابت بومی سازی درد نکنه...صحبت من با بعضی دوستان هست که اهداف دیگه رو دنبال میکنند) و میساد یه شل کد داخل اسکریپت میزاره یا یه کد کی لاگر و هر کسی اون افزونه رو نصب کنه شناسایی و براحتی دیفیس میکنه بعد میاد میگه ما فلانی رو هک کردیم:25r30wi::25r30wi: و اسم خودشو هکر میزاره:25r30wi::25r30wi: و فک میکنن که هکر های سیاه و سفید خبر ندارن از موضوع ....هک به این چیزا نیست ..هک یعنی بدون هیچ دسترسی همه کاری بکنی!! توصیه شخصی من اینه دوستان برن از خود سایت سازنده دانلود کنن و اولا با یه کم انگلیسی بلد بلودن نیازی به فارسی سازی نیست!! بعدشم خودشون کم کم فارسی کنند و یا نهایاتا فقط فایل ترجمه و rtl css افزونه رو جایگذاری کنن ! در این مورد باید بگم یا شما انجمن ما رو اصلا نمیشناسیید و یا دقت کافی رو نداشتید اگه پست جناب صدیقی عزیز رو ببینید کلی تاپیک تخصصی در مورد امنیت ذکر شده !!:bala::bala: ضمنا این انجمن در راستای ارتقای امنیت سایت های جوملایی تلاش خ زیادی کرده و آگاه سازی خ وسیعی رو در محیط نت انجام داده که خ از مواردش برای اولین بار در نت بوده!!! و تا اون موقع کسی منتشر نکرده (اینکه میگید چرا کسی یاد نمیده!!) ضمنا تاپیک بررسی امنیت سایت های جوملایی رو مشاهده8 کنید میبینید چقدر سایت بصورت رایگان تست نف.ذ و مشاوره های لازم داده شده بدون دریافت وجه!! اما یه چیزی رویادتون باشه... بحث امنیت با بقیه مباحث کاملا فرق داره...قرار نیست همه چی گفته بشه...قرار نیست همه چی آموزش داده بشه!! حتی با مبالغ زیاد!!! چون بحث هک و امنیت کاملا فرق داره و اینکه اگه واقعا کسی میخواد امنیت سایت و یا سرورش واقعا خوب باشه باید هزینه کنه قرار نیست همه چی رایگان باشه!! که متاسفانه تصور و توقع خ از کاربرای این انجمن همچین چیزیه و انتظار دارن کاملا رایگان سایتشون ایمن بشه و اینکه بسیاری از دوستان فک میکنن با نصب rsfirewall سایتشون خ ایمن میشه!!!!! و یا با یه سری کد htaccess خ امن میشن (اینا امنیت رو بهتر میکنه نه مطلق!!!!) که جای تاسف داره! ضمنا یادگیری هک و امنیت اصلا کار راحتی نیست و خ ها که ادعای بلد بودنشو دارن واقعا.......!!!! اگه میخواید یاد بگیرید حداقل باید 3-4 سال روزی 7-8 ساعت واقعا مطالعه کنید اونم منابع لاتین نه فارسی چون اکثر سایت های فارسی کپی شده خارجی ها هست! ضمننا یه چیزیو دوستانه بهتون میگم هیچ وقت آموزش های کاملا جدید و عالی و به در دبخور توی نت پخش نمیشه و وقتیم که پخش شد حالا توی فروم های مختلف یا سایت ها و.... مطمئن باشید که تاریخ مصرفش گذشته !!! هکر ها و تیم های امنیت هیچ وقت آموزش هک کردن کاملا عملی رو توی نت پخش نمیکنن چون این یه قانون نا نوشته هست در دنیای هک و امنیت!! بنابرین خودتون باید تلاش کنید سوادتونو بالا ببرید! فروم ها و سایت ها فقط جهت آگاهی هستن و بودنشون بهتر از نبودنشونه

درود در پی انتشار خبری مبنی بر خطر از دست رفتن مالکیت دامنه های ir با خبرگزاری ایسنا مصاحبه کردم که میتونید از لینک زیر ببینید https://tinyurl.com/myds8xa

درود اگر امنیت پایه میخواید مقالات من رو توی فروم مطالعه کنید اگر امنیت حرفه ای میخواید تجاری هست اما به طور کلی وقتی از یک پوشه از هاست دسترسی گرفته بشه کل هاست دسترسی داره و ضمنا فایروال نصب شده تنها بخشی از حملات رو جلوگیری میکنه و این تصور که فایروال امنیت کامل میده یه فکر کاملا اشتباه هست ضمنا هکر اول سایت شما رو با وجود نصب بودن فایروال هک و بعد روی روت هاست شما فایل رو آپلود کرده! یعنی عملا سایتتون مورد نفوذ قرار گرفته

درود من با ایشون آشنایی قبلی داشتم و از دوستان من هستن و وقتی توی پست اسم ایشون رو زدی باهاش تماس گرفتم که اقدامی انجام ندن و صدمه ای نزنند اگه قرار بود ازش مشخصاتی داشته باشید خودشون توی پ.خ بهتون اعلام میکرن:128fs318181:

درود من با ایشون صحبت کردم مورد برطرف شد

درود این به این معنی هست که یک هکر از سایت شما دسترسی داره اما هنوز اقدامی نکرده بهتره فایل رو حذف کنید

درود امنیت سایت ارتباط چندانی با rsfirewall و چند افزونه به دردنخور دیگه نداره بلکه بودنشون از نبودنشون بهتره همین! هکر وقتی از سایت شما اکسس داره اصلا مهم نیست چی نصب کردید

درود داخل چت هم این کد رو بهت داد گفتم چون کدهای جاوا توی هک زیاد استفاده میشن بعضی انتی ویروس ها یه سری کد کاربردی که کاررد دو طرفه دارن رو خطرناک میشناسن و یا داخل برخی کدهای جاوا ادرس یکسری سایت هک زده شده بخاطر اونا بلاک می کنن وگرنه مشکل امنیتی نداره

درود میتونید مقالات امنیت ارائه شده در انجمن رو مطالعه کنید و در حد پایه یکسری مباحث مطرح شده برای تامین امنیت حرفه ای باید هزینه کنید

درود از هفته گذشته تیم های ترکیه ای دارن سایت های جوملای ایرانی رو میزنند و متاسفانه سایت ها از کمترین سطح امنیت برخوردار بودند...!!!! و روی روی همشونم از طریق تزریق شل به مدیریت سایت که یک متدی هست که هکر خودشو جای مدیر سایت جا میزنه استفاده شده (به دلیل ضعف برنامه نویسی برخی افزونه ها در احراز هویت آپلود کننده فایل ) و از داخل مرورگر اقدام به ارسال شل به داخل افزونه می کنه (البته تا اونجایی که من 4-5 تا رو بررسی کردم) .این متد روی افزونه هایی که داخل مدیریت سایت به کاربر قابلیت آپلود میدند مثل jce ,Ck editor ,phoca gallery و.... اجرا شده هنوز دقیقا نوع باگ و افزونه خاص مشخص نشده اما بیشتر افزونه های با قابلیت آپلود مورد هدف قرار گرفتند. لطفا اگه از این جور افزونه ها استفاده میکنید به جدیدترین نسخه ارتقا بدید همچنین امنیت سایتتونو بالاتر ببرید و اینکه با افزونه های بلاک کننده آی پی کشور ها مثل RS Firewall و... تا مدتی آی پی کشور ترکیه رو ببندید اگرم افزونه خاصی در دسترس ندارید براحتی میتونید بصورت دستی این کار رو توسط فایل htaccess. انجام بدید که به صورت زیر هست: فایل Turkey IP Blockرو دانلود کنید و داخل فایل htaccess. اضافه کنید ،من داخل این فایل کل آی پی های کشور ترکیه رو قرار دادم و با این کار با آی پی این کشور کسی نمیتونه وارد سایت شما بشه البته هکر براحتی میتونه از وی/پی/ان استفاده کنه و آی پی شو عوض کنه که در این صورت اگه میخواید آی پی کل کشور ها رو بلاک و فقط آی پی های ایران رو به سایت مجاز کنید بجای کد بالا کافیه فایل Iran IP Allowروداخل htaccess. بزارید (این لیست آی پی مربوط به اخرین تغییرات هست تا جایی که اطلاع دارم حالا اگه با آی پی خاصی از ایران وارد سایت شدید و بلاک شدید کافیه اون آی پی رو مثل بقیه به لیست اضافه کنید

درود قصد داشتن به کامپوننت کاربری در جوملا نفوذ پیدا کنن و احتمالا برا خودشون کاربری سطح ادمین بسازن و یا از طریق دیتا بیس رمز ادمین رو در بیارن که موفق نشدن جوملا اخیرا یه باگ خطرناک داده که باهاش میشه کاربری با سطح ادمین ساخت

درود قصد داشتن به کامپوننت کاربری در جوملا نفوذ پیدا کنن و احتمالا برا خودشون کاربری سطح ادمین بسازن و یا از طریق دیتا بیس رمز ادمین رو در بیارن که موفق نشدن جوملا اخیرا یه باگ خطرناک داده که باهاش میشه کاربری با سطح ادمین ساخت

درود با بلاک کردن آی پی فقط موقتا حمله رو متوقف میکنید برای امنیت باید اقدامات اساسی کنید

درود اینجا تاپیک امنیت هست نه درخواست اسکریپت منتقل شد

درود مقالات اموزشی امنیت داخل فروم رو مطالعه کنید توضیح کامل داده شده

درود بعید میدونم هک شده باشید به احتمال زیاد پلاگین User - Joomla! login plugi رو از مدیریت پلاگین ها داخل مدیریت غیر فعال کردید برید از مدیریت هاست داخل phpmyadmin و چک کنید که پلاگین User - Joomla! login plugi غیر فعال هست یا نه؟ همچنین چک کنید آیا پلاگین authentication_joomla غیر فعال هست یا نه؟

درود وی پی پرشین که سهله جاهای خ خ خ گنده تر مثل اب خوردن هک میشن کسی صداش در نمیاد:128fs318181:

درود تنها کاری که میتونید انجام بدید آی پی مورد نظر رو بلاک کنید همین بقیش با سرور هست

درود توسط فایروال های سخت افزاری و نرم افزاری روی سرور میشه این کار رو انجام داد

درود بهرحال وقتی شخصی یه محصولی رو رایگان عرضه میکنه میتونه کپی رایتشو داخلش بزاره و یا حتی واتر مارک کنه و یا واسه خودش تبلیغ کنه اما قبل از استفاده کاربر باید بهش گفته بشه که در ازای استفاده رایگان این محصول این حق برای تولید کننده هست و اگه کاربر قوبل کرد استفاده کنه کاری که خ از محصولات خارجی انجام میدن اما در کنارش نسخه تجاری رو عرضه میکنن بدون کپی رایت

درود این نکته رو به خاطر داشته باشید که جوملا یعنی هسته+افزونه و هر چون هر کسی میتونه افزونه تولید کنه پس احتمال بروز خطای امنیتی خیلی زیاده کما اینکه خیلی از افزونه های جوملا دارای باگ هستن و کاربرد خ زیادی توی سایت دارن اما:hooom: شرکت های بزرگباگ های خطرناکی ازشون منتشر میشه که حتی روحشونم خبر نداره و فقط به صورت زیر زمینی باگش پخش میشه و دست عموم نیست. در هر صورت بسیاری از باگ ها اصلا جایی منشر نمییشه مگه بعد جندین ماه!!! که نهایت استفاده ازش شده باشه و فقط تعداد خ کمی از باگ ها بلافاصله منتشر میشه ! اما در مورد تشخیص باگ شما باید متدهای هک رو بلد باشید و بتونید تست نفوذ بزنید و اون هم نه با ابزارهای رایجی که توی سایت ها وجود داره چون عملا کاربردی ندارن!