davood_71

کمک فوری ، احساس می کنم هک شدم

5 پست در این موضوع

سلام

یه مشکل خیلی خیلی عجیب پیش اوومده که ساعت هاست مغزم رو به شدت درگیر کرده

دیروز من جوملا 3.4.8 رو به 3.5 آپدیت کردم ، روش اپدیت هم اینجوری بوده که فایل اپدیت رو دان کردم ، توی هاست اکتسرکت کردم بعدش توی قسمت افزونه جداول رو فیکس کردم و همه کار هایی که سایت اصلی گفته انجام دادم در اخر سر کش رو خالی کردم و اونیکی گذینه کش به اسم Clear expired items رو هم زدم

خب همه چی کامل نصب شد بدون مشکل کار میکرد

تا امروز صبح که وارد مدیریت شدم، دیدم RSfirewall اخطار داده که دیشب ساعت 11 شب فایل های اصلی جوملای شما ویرایش شده به عبارتی (modified) شده

فایل هارو نگاه کردم دیدم من اصلا اینارو تغییر ندادم

فایل هایی که ویرایش شده رو پایین میزنم

بعد من آدرس مدیریت رو با افزونه تغییر دادم ، گفته هم این فایل ها که ویرایش شده با ادرس (همون ادرس کامل مدیریت که تغییر دادم) تغییر داده

بعد از اونورم زده که در قسمت مدیریت هم ویرایش شده (مگه میشه قسمت مدیریت فایل های هسته اصلی رو ویرایش کرد؟)

واسه من الان تعجبه واقعا هک شدم؟ انقدر راحت ادرس پیدا شده ، طرف وارد سیستم شده؟ این همه قفل گذاشته بودم روش

از اونرم باز واسم تعجب شده چون وقتی وارد سیستم شی آر اس میگه که یکی وارد شده و رمز رو صحیح وارد کرده ، خب اگر طرف وارد مدیریت شده خب پس چرا ار اس نگفته رمز رو صحیح زدی

اگر هم وارد نشده پس چرا آر اس گفته از طریق مدیریت اینکار انجام شده و ادرس مدیریت که تغییر دادم رو هم گفته

مشکل عجیب تری که هست ، اینکه هیچ بلایی سر سایت نیومده، حتی اون فایل هم که میگه تغییر داده شده توی هاست که نگاه کردم دیدم اخرین تغییر رو همون تاریخی زده که جوملا آپدیت شده و تمامی فایل ها با خود جوملا یکی بود

و یه مشکل عجیب تر اینکه آی پی که زده باهاش اینکار و کرده، این آی پی 3 بار روز های قبل به درستی وارد سیستم شده (که انگاری خودم بودم)، چون نام کاربری و رمز رو صحیح وارد کرده

من بک آپ رو بگردوندم

ولی واقعا هک شدم خودم خبر ندارم؟ یه چیز خیلی عجیبی هست

پوشه ادمین رو رمز گذاشتم یه رمز 50 کارامتری راندومی از همه حرف ها

خود آر اس هم رمز گذاشتم

خود جوملا هم رمز گذاشتم ، یعنی به این راحتی نمیشه وارد شد

مسیر مدیریت جوملا هم تغییر داده شده (با افزونه jsecure)

واقعا هک شدم؟امکان داره خود جوملا بدون اینکه من بدونم آپدیت کرده باشه؟ یا اینکه آر اس اشتباه کرده توی ساعت؟ یعنی باید میزد صبح ویرایش شده که مربوط به آپدیت بود، ولی زده شب ویرایش شده

اخطار های آر اس :

Description: A core Joomla! file has been modified.

Debug information: /home/site/domains/site.com/public_html/administrator/index.php

Debug information: /home/site/domains/site.com/public_html/plugins/authentication/joomla/joomla.php

Debug information: /home/site/domains/site.com/public_html/plugins/user/joomla/joomla.php

Debug information: /home/site/domains/site.com/public_html/index.php

همه این ها دقیقا در ساعت 11:47 دقیقه شب بوده (من ساعت 12 صبح آپدیت کردم)

همشون هم زده از طریق لینک مدیریت که تغییر دادم و از طریق لینک صفحه اصلی مدیریت بوده

خلاصه کلام هک شدم واقعا یا یه چیزی این وسط قاطی کرده؟

ممکن هست اقدام به هک کرده ولی نتونسته باشه؟ چون هیچ آثاری هک نبود همه چی سر جا خودش بود، حتی ویروس و شل هم نبوده

Share this post


Link to post
Share on other sites
آموزش ووکامرس قالب جوملا قالب وردپرس قالب رایگان وردپرس قالب رایگان جوملا هاست نامحدود هاست جوملا هاست لاراول هاست وردپرس هاست ارزان هاست ربات تلگرام خرید دامنه آموزش ساخت ربات تلگرام با php آموزش لاراول آموزش cPanel آموزش php آموزش فرم ساز RSform آموزش ساخت ربات جذب ممبر آموزش ساخت ربات دوستیابی آموزش ساخت ربات فروشگاهی برای ووکامرس آموزش طراحی سایت داینامیک با php آموزش بخش پشتیبانی با rsticket

چقد توضیح...

چقد مطمئن ... فکر کردید آر اس فایروال و جی سکیور نصب کردید دیگه فانتوم هم نمیتونه سایت رو بزنه !!! :)

بجای این همه توضیح ..این فایل ها که گفته تغییر کرده رو با فایل اصلی مقایسه کنید ببینید چه فرقی دارند.

روت سایت رو چک کنید فایل ناشناسی هست یا نه.

Sent from my HTC One max using Tapatalk

Share this post


Link to post
Share on other sites

خب منم مشکلم همینه که خیلی عجیبه

فایل هارو دونه به دونه چک کردم هیچ تغییری نکرده بود

تازشم ، من صبح آپدیت کرده بودم

روی هاست رو که نگاه میکردم میگفت اخرین تغییر فایل ها همون صبح بوده (یعنی همون موقعی که من آپدیت کردم فایل ها جایگزین شده)

بل آنتی ویروس هم چک کردم هیچی نبود

آی پی هم که این کارو کرده ، چند وقت پیش به مدت 3 بار با نام کاربری و رمز صحیح وارد سایت شده (3 بار با فاصله های متفاوت)

درسته میگید با افزونه نمیشه مطمئن بود ولی ، واسه ورد به سایت 3 مرحله باید رد کنه طرف ، که پسورد ها هم شامل تمامی کارکاتر 50 رقمی هست (بروتفورس اصلا نمیشه)

خوده پوشه ادمین رمز روش هست

از اونور فایروال waf روی سرور هست ، که نشون داده کلی حملات داشتم ولی جلوش رو گفته

به همین سادگیا نمیشه کل اون 3 مرحله رمز رو پیدا کرد مگر فقط با حملات فیشینگ یا کی لاگر روی سیستم من (احتمال این رو میدم)

----------

خب این فایلی تغییر نکرده یا هیچ بد افزاری داخل سرور و سایت نیست یعنی هک نشده؟

خب این ویرایش چه جوری انجام شده؟ آر اس قاطی کرده؟

Share this post


Link to post
Share on other sites

اینکه زمان آپدیت جوملا، گزارش تغییر فایل داده شده عجیبه? :||||||||

خب فایل ها تغییر میکنه. دارید آپدیت میکنید . اینکه پیگیری نداره . حملات فایروال به این مشکل ربطی نداره.

از طریق مدیریت جوملا نمیشه فایل ادیت کرد..فکر نکنید طرف برای هک حتما باید بیاد روی مدیریت لوگین کنه. چه سه مرحله چه صد مرحله . پسورد هزارکاراکتر هم باشه از دیتابیس میخوره.

بحث امنیت نکنیم. نه در تخصص من هست نه شما.

مخلص کلام. لاگ آر اس مهم نیست.

Sent from my HTC One max using Tapatalk

Share this post


Link to post
Share on other sites

شرمنده

اره درسته باید گزارش تغییر فایل بده ، اما من صبح آپدیت کردم و گزارش رو شب ساعت 11:47 دقیقه داده (صبح فایل ها تغییر کرده)

الان یعنی هک نشده؟

اون فایل ها تغییر نکرده، هیچ بلایی هم سر سایت نبومده

البته من همون موقع بک آپ رو ریستور کردم، ولی همون هم نگاه کردم هیچی نشده بود

Share this post


Link to post
Share on other sites

برای ارسال نظر یک حساب کاربری ایجاد کنید یا وارد حساب خود شوید

برای اینکه بتوانید نظر ارسال کنید نیاز دارید که کاربر سایت شوید

ایجاد یک حساب کاربری

برای حساب کاربری جدید در انجمن ما ثبت نام کنید. عضویت خیلی ساده است !


ثبت نام یک حساب کاربری جدید

ورود به حساب کاربری

دارای حساب کاربری هستید؟ از اینجا وارد شوید


ورود به حساب کاربری