Pooyan Afzali

درود اون پوشه ها طبیعی هستند حتما توصیه میکنم از جوملا 2.5 استفاده کنید موارد امنیتی هنگام طراحی سایت مفصل هست و در یک تاپیک نمیگنجه هر چند من تا حد امکان سعی کردم داخل انجمن امنیت سایت مواردی رو توضیح بدم ولی اگر میتونید در نمایشگاه الکامپ که 19 اذر برگزار میشه شرکت کنید ونجا میخوام یک کارگاه امنیت برگزار کنم و اونجا حضوری توضیحات کاملتری رو میدم ضمنا امنیت مطلق نیست و طراحی سایت با بالاترین ضریب امنیتی = خطر هک شدن کمتر نه مصون ماندن از هک بدرود

درود مقالات رو بخونید و هر سوالی داشتید بپرسید

درود نفوذ به سایت ارتباط خاصی به اون ادرس نداره و میتونه هر فایل مخربی باشه و این صرفا یک فایل html هست و میتونه هر فایل دیگه ای هم آپلود شده باشه داخل هاست دنبال فایل های php یا pl بگردید که قبلا توی هاست نبوده و همچنین مسیری که این فایل html ایجاد شده رو بررسی کنید ببینید فایل دیگه ای همراش هست یا نه مخصوصا php باید دید در هاست شما چه فایل یا فایل های مشکوکی ایجاد شده و لیست لوگ آی پی های مدیریت رو گرفت و مهمتر اینکه اگه سرور شما مجهز به سیستم تشخیص نفوذ باشه کار خ راحت تره برای چلوگیری از سو استفاده کل پسورد ها رو عوض کنید لیست افزونه های نصب شدتونو با لیست تاپیک تطبیق بدید از هاست بک آپ کامل بگیرید و کل فیل های هاست رو پاک کنید و فقط نظارت کنید ببنیید تغیی در هاست ایجاد میشه یا نه بدرود

درود بنا به درخواست یکی از کاربران عزیز یک نمونه فایل htaccess قرار میدم که تنظیمات خوبی در اون اعمال شده هم بلحاظ امنیتی و هم کارایی سایت و جلوگیری از بوتر ها که داخل چند سایت هم دیدم اینو و معمولا ازش استفاده میشه البته اینم بگم فایل htaccess هر سایت میتونه خاص اون سایت باشه چرا که نظیمات هر سایتی شرایط خاص خودشو داره و این فایل ممکنه روی سایت شما بعضی قسمتهاش اجرا نشه چون تنظیمات سرور ها مختلفت هست و یا ممکنه با اعمال این فایل سایتتون دیگه بالا نیاد پس حتما حتما از فایل htacess پیشفرض سایتتون یک پشتیبان بگیرید و اگر در زمینه این کد ها اطلاعای ندارید چایگزین نکنید این فایل صرفا یک نمونه هست همین وبس و به این معنی نیست که کامل هست و بدون نقص Section 1: Main Settings and Options # # Options: ALL,ExecCGI,FollowSymLinks,Includes,IncludesNOEXEC,Indexes # MultiViews, SymLinksIfOwnerMatch. # # Main Defaults. # Options +ExecCGI -Indexes DirectoryIndex index.html index.htm index.php DefaultLanguage en-US AddDefaultCharset UTF-8 ServerSignature Off ### ENVIRONMENT VARIABLES ### #SetEnv PHPRC /webroot/includes #SetEnv TZ America/Indianapolis #SetEnv SERVER_ADMIN webmaster@domain.tld ### MIME TYPES ### AddType video/x-flv .flv AddType application/x-shockwave-flash .swf AddType image/x-icon .ico ### FORCE FILE TO DOWNLOAD INSTEAD OF APPEAR IN BROWSER ### #-> http://www.htaccesselite.com/htaccess/addtype-addhandler-action-vf6.html #AddType application/octet-stream .mov .mp3 .zip ### ERRORDOCUMENTS ### ErrorDocument 404 "404 error" ErrorDocument 400 "400 error" ErrorDocument 401 "401 error" ErrorDocument 403 "403 error" ErrorDocument 405 "405 error" ErrorDocument 406 "406 error" ErrorDocument 409 "409 error" ErrorDocument 413 "413 error" ErrorDocument 414 "414 error" ErrorDocument 500 "500 error" ErrorDocument 501 "501 error" #=============================================================================# # SCRIPTING, ACTION, ADDHANDLER #=============================================================================# # Handlers be builtin, included in a module, or added with Action directive # default-handler: default, handles static content (core) # send-as-is: Send file with HTTP headers (mod_asis) # cgi-script: treat file as CGI script (mod_cgi) # imap-file: Parse as an imagemap rule file (mod_imap) # server-info: Get server config info (mod_info) # server-status: Get server status report (mod_status) # type-map: type map file for content negotiation (mod_negotiation) # fastcgi-script: treat file as fastcgi script (mod_fastcgi) ########### ### PARSE AS CGI ### #AddHandler cgi-script .cgi .pl .spl ### RUN PHP AS APACHE MODULE ### #AddHandler application/x-httpd-php .php .htm ### RUN PHP AS CGI ### #AddHandler php-cgi .php .htm ### CGI PHP WRAPPER FOR CUSTOM PHP.INI ### #AddHandler phpini-cgi .php .htm #Action phpini-cgi /cgi-bin/php5-custom-ini.cgi ### FAST-CGI SETUP WITH PHP-CGI WRAPPER FOR CUSTOM PHP.INI ### #AddHandler fastcgi-script .fcgi #AddHandler php-cgi .php .htm #Action php-cgi /cgi-bin/php5-wrapper.fcgi ### CUSTOM PHP CGI BINARY SETUP ### #AddHandler php-cgi .php .htm #Action php-cgi /cgi-bin/php.cgi ### PROCESS SPECIFIC FILETYPES WITH CGI-SCRIPT ### #Action image/gif /cgi-bin/img-create.cgi ### CREATE CUSTOM HANDLER FOR SPECIFIC FILE EXTENSIONS ### #AddHandler custom-processor .ssp #Action custom-processor /cgi-bin/myprocessor.cgi #=============================================================================# # HEADERS, CACHING AND OPTIMIZATION #=============================================================================# #-> http://www.htaccesselite.com/htaccess/cache-control-http-headers-vt65.html # 300 5 M # 2700 45 M # 3600 1 H # 54000 15 H # 86400 1 D # 518400 6 D # 604800 1 W # 1814400 3 W # 2419200 1 M # 26611200 11 M # 29030400 1 Y (never expire) ########### #### HEADER CACHING #### #-> http://www.htaccesselite.com/htaccess/caching-using-header-vt2.html #<FilesMatch "\.(flv|gif|jpg|jpeg|png|ico)$"> # Header set Cache-Control "max-age=2592000" #</FilesMatch> #<FilesMatch "\.(js|css|pdf|swf)$"> # Header set Cache-Control "max-age=604800" #</FilesMatch> #<FilesMatch "\.(html|htm|txt)$"> # Header set Cache-Control "max-age=600" #</FilesMatch> #<FilesMatch "\.(pl|php|cgi|spl|scgi|fcgi)$"> # Header unset Cache-Control #</FilesMatch> ### ALTERNATE EXPIRES CACHING ### #-> htaccesselite.com/d/use-htaccess-to-speed-up-your-site-discussion-vt67.html #ExpiresActive On #ExpiresDefault A604800 #ExpiresByType image/x-icon A2592000 #ExpiresByType application/x-javascript A2592000 #ExpiresByType text/css A2592000 #ExpiresByType text/html A300 #<FilesMatch "\.(pl|php|cgi|spl|scgi|fcgi)$"> # ExpiresActive Off #</FilesMatch> ### META HTTP-EQUIV REPLACEMENTS ### #<FilesMatch "\.(html|htm|php)$"> # Header set imagetoolbar "no" #</FilesMatch> #=============================================================================# # REWRITES AND REDIRECTS #=============================================================================# # REQUEST METHODS: GET,POST,PUT,DELETE,CONNECT,OPTIONS,PATCH,PROPFIND, # PROPPATCH,MKCOL,COPY,MOVE,LOCK,UNLOCK ########### ### REWRITE DEFAULTS ### #RewriteEngine On #RewriteBase / ### REQUIRE SUBDOMAIN ### #RewriteCond %{HTTP_HOST} !^$ #RewriteCond %{HTTP_HOST} !^subdomain\.domain\.tld$ [NC] #RewriteRule ^/(.*)$ http://subdomain.domain.tld/$1 [L,R=301] ### SEO REWRITES ### #RewriteRule ^(.*)/ve/(.*)$ $1/voluntary-employee/$2 [L,R=301] #RewriteRule ^(.*)/hsa/(.*)$ $1/health-saving-account/$2 [L,R=301] ### WORDPRESS ### #RewriteCond %{REQUEST_FILENAME} !-f # Existing File #RewriteCond %{REQUEST_FILENAME} !-d # Existing Directory #RewriteRule . /index.php [L] ### ALTERNATIVE ANTI-HOTLINKING ### #RewriteCond %{HTTP_REFERER} !^$ #RewriteCond %{HTTP_REFERER} !^http://(subdomain\.)?domain.tld/.*$ [NC] #RewriteRule ^.*\.(bmp|tif|gif|jpg|jpeg|jpe|png)$ - [F] ### REDIRECT HOTLINKERS ### #RewriteCond %{HTTP_REFERER} !^$ #RewriteCond %{HTTP_REFERER} !^http://(subdomain\.)?domain.tld/.*$ [NC] #RewriteRule ^.*\.(bmp|tif|gif|jpg|jpeg|jpe|png)$ http://google.com [R] ### DENY REQUEST BASED ON REQUEST METHOD ### #RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK|OPTIONS|HEAD)$ [NC] #RewriteRule ^.*$ - [F] ### REDIRECT UPLOADS ### #RewriteCond %{REQUEST_METHOD} ^(PUT|POST)$ [NC] #RewriteRule ^(.*)$ /cgi-bin/form-upload-processor.cgi?p=$1 [L,QSA] ### REQUIRE SSL EVEN WHEN MOD_SSL IS NOT LOADED ### #RewriteCond %{HTTPS} !=on [NC] #RewriteRule ^.*$ https://%{SERVER_NAME}%{REQUEST_URI} [R,L] #### ALTERNATATIVE TO USING ERRORDOCUMENT ### #-> http://www.htaccesselite.com/d/htaccess-errordocument-examples-vt11.html #RewriteCond %{REQUEST_FILENAME} !-f #RewriteCond %{REQUEST_FILENAME} !-d #RewriteRule ^.*$ /error.php [L] ### SEO REDIRECTS ### #Redirect 301 /2006/oldfile.html http://subdomain.domain.tld/newfile.html #RedirectMatch 301 /o/(.*)$ http://subdomain.domain.tld/s/dl/$1 #=============================================================================# # AUTHENTICATION AND SECURITY #=============================================================================# # http://www.htaccesselite.com/htaccess/basic-authentication-example-vt17.html # # Require (user|group|valid-user) (username|groupname) ########### ### BASIC PASSWORD PROTECTION ### #AuthType basic #AuthName "prompt" #AuthUserFile /.htpasswd #AuthGroupFile /dev/null #Require valid-user ### ALLOW FROM IP OR VALID PASSWORD ### #Require valid-user #Allow from 192.168.1.23 #Satisfy Any ### PROTECT FILES ### #<FilesMatch "\.(htaccess|htpasswd|ini|phps|fla|psd|log|sh)$"> # Order Allow,Deny # Deny from all #</FilesMatch> ### PREVENT HOTLINKING ### #SetEnvIfNoCase Referer "^http://subdomain.domain.tld/" good #SetEnvIfNoCase Referer "^$" good #<FilesMatch "\.(png|jpg|jpeg|gif|bmp|swf|flv)$"> # Order Deny,Allow # Deny from all # Allow from env=good # ErrorDocument 403 http://www.google.com/intl/en_ALL/images/logo.gif # ErrorDocument 403 /images/you_bad_hotlinker.gif #</FilesMatch> ### LIMIT UPLOAD FILE SIZE TO PROTECT AGAINST DOS ATTACK ### #LimitRequestBody 10240000 #bytes, 0-2147483647(2GB) #=============================================================================# # SSL SECURITY #=============================================================================# #-> http://htaccesselite.com/d/redirecting-all-or-part-of-a-server-to-ssl-vt61 ########### ### MOST SECURE WAY TO REQUIRE SSL ### #-> http://www.askapache.com/2006/htaccess/apache-ssl-in-htaccess-examples.html #SSLOptions +StrictRequire #SSLRequireSSL #SSLRequire %{HTTP_HOST} eq "domain.tld" #ErrorDocument 403 https://domain.tld #=============================================================================# # SITE UNDER CONSTRUCTION #=============================================================================# # Heres some awesome htaccess to use when you are developing a site ########### ### COMBINED DEVELOPER HTACCESS CODE-USE THIS ### #<FilesMatch "\.(flv|gif|jpg|jpeg|png|ico|js|css|pdf|swf|html|htm|txt)$"> # Header set Cache-Control "max-age=5" #</FilesMatch> #AuthType basic #AuthName "Ooops! Temporarily Under Construction..." #AuthUserFile /.htpasswd #AuthGroupFile /dev/null #Require valid-user # password prompt for everyone else #Order Deny,Allow #Deny from all #Allow from 192.168.64.5 # Your, the developers IP address #Allow from w3.org # css/xhtml check jigsaw.w3.org/css-validator/ #Allow from googlebot.com # Allows google to crawl your pages #Satisfy Any # no password required if host/ip is Allowed ### DONT HAVE TO EMPTY CACHE OR RELOAD TO SEE CHANGES ### #ExpiresDefault A5 #If using mod_expires #<FilesMatch "\.(flv|gif|jpg|jpeg|png|ico|js|css|pdf|swf|html|htm|txt)$"> # Header set Cache-Control "max-age=5" #</FilesMatch> ### ALLOW ACCESS WITH PASSWORD OR NO PASSWORD FOR SPECIFIC IP/HOSTS ### #AuthType basic #AuthName "Ooops! Temporarily Under Construction..." #AuthUserFile /.htpasswd #AuthGroupFile /dev/null #Require valid-user # password prompt for everyone else #Order Deny,Allow #Deny from all #Allow from 192.168.64.5 # Your, the developers IP address #Allow from w3.org # css/xhtml check jigsaw.w3.org/css-validator/ #Allow from googlebot.com # Allows google to crawl your pages #Satisfy Any # no password required if host/ip is Allowed بدرود

درود در داخل جومسوشیال یک کد مخرب وجود داره که احتمالا شخص نال کننده اونو قرار داده و شما باید نسخه سالم این افزونه رو نصب کنید و یا اون کد رو حذف کنید

درود درواقع حرف دوستتون تقریبا درسته ببینید وقتی شما در کنار سایت اصلیتون توی روت میاید داخل فولدر یا ساب دامین اسکریپت مستقل نصب میکنید در واقع اومدید یک سایت جدید به هاست اضافه کردید و از اونجایی که یوزر کاربری هاستتون برای تمام سایت ها تون یکی هست پس کل اطلاعات هاستتون مثل فولدر یا سایب دامین و..... داخل یک فولدر در سرور ذخیره میشه بنابرین وقتی هر کدوم از فولدر های هاست بهشون نفوذ میشه و شل آپلود میشه در واقع هکر از کل سایت ها و زیر مجموعه های اون هاست دسترسی میگیره و براحتی میتونه کل سایت های وابسته به اون سایت رو هک کنه بدرود

درود با توجه به اینکه فضای دیسک شما پر شده باید از فایل های هاستتون حذف کنید ولی پیشنهاد بهتر این هست که چون بنظر میاد فضای هاستتون کم باشه میتونید هاستتونو ارتقا بدید و دیگه نیازی نیست از فایل ها کم کنید بدرود

درود طی چند روز آینده یک فایل عمومی قرار داده میشه بدرود

درود خوب ریستور کنید به احتمال زیاد باید برطرف بشه

درود به این نوع حمله mass deface میگن و اینطوریه که یکی از سایت های سرور بهش نفوذ میشه و بدلیل امنیت ضعیف سرور به کل سایت های سرور دسترسی داده میشه و همشون همزمان دیفیس میشند و ضمنا روش این متد مثل قبل نیست که صرفا فایل index یا سایر فایل ها تغییر کنه سایت درست بشه بلکه از طریق حمله به پایگاه داده و جایگزینی قالب پیشفرض با صفحه دیفیس ایجاد میشه و فایل ایندکسم قالب رو از روی دیتابیس میخونه پس شما باید دیتابیبستون رو ریستور کنید به حالت قبل از هک البته اگه بک اپ دارید بدرود

درود داخل هاست فایل index.html را حذف کنید احتمالا مشکل حل بشه اگه نه بگید راه های بعدی مطرح بشه

درود این میتونه چندین علت داشته باشه اول آخذرین نسخه java runtime رو نصب کنید دوم ببینید در مرورگرتون افزونه خاصی مثل adblock یا افزونه ای که مانع لود شدن فایل های جاوا بشه نصب کردید؟ (چون فایل جاوا اسکریپت در برخی مواقع میتونه ابزار هک محسوب بشه) و اینکه کش مرورگراتون و کوکی ها رو پاک کنید و نهایاتا فایل زیر رو دانلود کنید //api.viglink.com/api/click?format=go&key=7acd994d372141d1770978b4d84c4761&loc=http%3A%2F%2Fwww.actionscript.org%2Fforums%2Fshowthread.php3%3Ft%3D142348&v=1&libid=1351620000472&out=http%3A%2F%2Fwww.adobe.com%2Fdevnet%2Factivecontent%2Farticles%2Fdevletter.html%23multipleoccurrences&ref=http%3A%2F%2Fwww.google.com%2Furl%3Fsa%3Dt%26rct%3Dj%26q%3Dpage%2520requires%2520ac_runactivecontent%2520js%2520error%26source%3Dweb%26cd%3D2%26ved%3D0CCMQFjAB%26url%3Dhttp%253A%252F%252Fwww.actionscript.org%252Fforums%252Fshowthread.php3%253Ft%253D142348%26ei%3DiBWQUKnbDMWDywGrwoFw%26usg%3DAFQjCNG7A2EeW3hfQGSgZgDLim5Ziml2Cg&title=AC_RunActiveContent.js%20error%20-%20ActionScript.org%20Forums&txt=here&jsonp=vglnk_jsonp_13516164513216

درود با تشکر از pcmarkaz عزیز برای معرفی این سایت میشه گفت این سایت بیشتر میاد باگ های شناخته شده ویندوز رو برای آپلود شل روی ویندوز قربانی و چند متد خاص معروف رو بررسی میکنه که توسط ابزار های هک سیستم استفاده میشه و بررسی پورت هم در صورتی که فایروال قوی روی سیستم دارید خ خوب کنترل میشه درگاه های ویندوزتون در کل یک بررسی لی میکنه و از قسمتی یه ناخنک به امنیت سیستم میزنه و بیشتر تاکیدش روی امنیت وبگردی هست که در واقع روی سرورش یکسری ابزار تست نفوذ کلی وجود داره که نقش مهاجم رو ایفا میکنه روی سیستم شما و عملکرد فایروال و بسته ها و پچ های امنیتی سیستم رو بررسی میکنه کلی البته بحث امنیت سیستم های شخصی خ گسترده تر از اینهاست و این سایت یه نمونه از تست امنیت خلاصه شده هست بدرود

درود باگ خطرناکی مشاهده نشد

درود از افزونه SpambotCheck استفاده کنید بدرود

درود بررسی کلی شد و موردی مشاهده نشد

درود بررسی کلی شد و موردی مشاهده نشد

درود بررسی کلی شد و موردی مشاهده نشد

درود برای محدود کردن دسترسی به مطالب سایت همون تعیین سطح دسترسی کافی هست که ج 2.5 بخوبی این امکان رو داره و افزونه های متعددی هم برای همین هست

درود برای محدود کردن دسترسی به مطالب سایت همون تعیین سطح دسترسی کافی هست که ج 2.5 بخوبی این امکان رو داره و افزونه های متعددی هم برای همین هست

درود سایت بررسی کلی شد و مورد خطرناکی مشاهده نشد فقط روی پوشه مدیریت رمز بزارید که بالا نیاد یا تغییر مسیر بدید

درود سایتتون بالا نمیاد یه بررسی بکنید

درود ادرس سایت رو بزارید