به نام خالق دانش
با عرض سلام خدمت کاربران محترم مای بی بی ایران .
این تاپیک در جهت آموزش راههای افزایش امنیت و جلوگیری از نفوذ به انجمن های عزیزان زده شده است . و سعی میکنم آموزش های تصویری قرار بدهم .
لطفا اسپم ندید و در صورت سوال از پیام خصوصی استفاده کنید .
در ابتدا از دوستان میخام ابزار Acunetix Web Vulnerability Scanner رو از لینک زیر دریافت کنند و انجمن های خودشون رو یک اسکن بزنند تا چک بشه ببینیم چه پورت هایی باز دارند و چه مشکلات امنیتی البته این ابزار پابلیک هست و اگر آسیب پذیری ها 0day باشد نتیجه ای حاصل نمیشود ، ولی باز هم کمک میکند .
دانلود اسکنر
ادامه دارد ...
با توجه به آموزشی که دوست عزیزمون PArs برای افزایش امنیت MyBB گذاشته اند باید عرض کنم این آموزش 2 مشکل دارد .
تغییر نام AdminCp و Config.php
http://community.mybbiran.com/thread-61.html
http://community.mybbiran.com/thread-62.html
اولین مشکل اشاره به ایجاد مشکل و اختلال در بعضی از پلاگین ها میباشد که با آدرس و نام پیشفرض تعریف شده ، و اینو عرض کنم اگر قرار به خواندن فایل کانفیگ باشد میتوان از دایرکتوری هدف مورد نظر یک کپی گرفت که در نهایت فایل کانفیگ هم شناسایی میشود . (از طریق سرور)
دومین مشکل شناسایی صفحه ادمین تغییر داده شده از طریق اسکنر ها میباشد ، ابزارهایی مثل اسکنر های آسیب پذیری ، اسکنر های صفحات لاگین که از folderCrawling استفاده میکنند میتوانند فولدر های داخل روت سایت هدف را شناسایی و نشان بدهند که حتی اگر اسم ادمین را تغییر داده باشیم باز هم صفحه پیدا میشود .
اما راه جلوگیری چیست ؟
برای کانفیگ نیازی به تغییر نام نیست ، چون امنیتیش کمتر و خسارتش بیشتر میباشد . به جای این کار با چندین کد و سطح دسترسی میتوان امنیت را بهبود بخشید .
برای شناسایی نشدن و نمایش داده نشدن صفحه لاگین هم میتونید از ترفند زیر استفاده کنید .
فرض میکنیم آدرس صفحه لاگین سایت شما این میباشد :
حال ما میخواهیم کاری کنیم که این صفحه تنها برای یکنفر (خودمان که ادمین هستیم) نمایش پیدا کند و نه برای هیچکس دیگری .
از طریق کنترل پنل هاست (دایرکت ادمین ، سی پنل ، کولکسو و ...) به مسیر مورد نظر میرویم :
داخل پوشه ادمین یک فایل با نام .htaccess ایجاد مینماییم . و کد زیر را درون آن کپی مینماییم :
بجای Ip 198.168.1.1 ای پی خودتان را قرار دهید ، برای پیدا کردن IP خودتان میتوانید از لینک های زیر استفاده کنید .
iranserver.com/ip
iranhack.org/ip
و ....
در نهایت ذخیره نمایید ، حال تنها شما به صفحه لاگین وبسایت خود دسترسی دارید و کس دیگری نمیتواند به آن وارد شود .
در صورتی که در دفعات بعدی IP شما تغییر کرد به مراجعه به پوشه Admin و ویرایش فایل htaccess ایپی جدید خود را جایگزین نمایید .
برای فایل کانفیگ هم بهتر است سطح دسترسی را به 644 تغییر دهید . اگر حتی هکر با سیمیلینک بتواند سرور شما را مورد نفوذ قرار دهد و فایل کانفیگ شما را به دست بیاورد در لحظه ای که میخواهد لاگین کند صفحه ای مشاهده نمیکند .
که اگر کرنل های سرور بروز باشد و یک سری مسائل امنیتی که در ادامه پست ها آموزش خواهیم داد رعایت شود سرور هم از لحاظ امنیت 99 % خواهد بود .
این نکته را متذکر میشوم که شما باید بروز باشید تا اگر 0day از سیستم مای بی بی بیاید سریعا پچ نمایید زیرا 0day اگر آسیب پذیری Remote باشد خطر ساز میباشد .
ادامه دارد ....
تشکر نشانه رضایت شماست ...
همیشه نفوذ از ترفند های خیلی حرفه ای و سخت انجام نمیشود و گاهی اوقات خیلی راحت تر این حرف هاست ....
قرار دادن فایل zip بر روی سرور های خودتان یک بی احتیاطی بزرگ میباشد چرا که اگر فایل کانفیگ در بسته مورد نظر باشد میتواند به دیتابیس بصورت ریموت متصل شد و ...
بارها توی بیشتر تست های نفوذ پذیری که داشتم با چنین اشتباهاتی مواجه شدم .
یکی دیگر از اشتباهات عزیزان قرار دادن پسورد های خیلی ساده میباشد .
کنترل پنل شما به همراه صفحه لاگین نرم افزار تحت وب مکانهایی هستند که هدف خوبی برای هکر ها میباشند حال اگز سیستم و سرور از لحاظ امنیت در مرتبه بالایی بود یک تست Brute Force توسط نفوذ گر چیزی را از او کم نمیکند
و شاید با پسورد هایی از قبیل اعداد حروف متوالی و .... برخورد کند که در نهایت پسورد سیستم را شناسایی میکند.
بعضی از افراد پسورد سایت های خود را 123456 و یا شماره تلفن و یا asdfg و.... قرار میدهند که این خود یک اشتباه بزرگ میباشد .
بد ندونستم این نکات رو هم اشاره کنم . به پسورد لیستی که براتون اتچ کردن یه نگاهی بندازید بد نیست !
سعی کنید در هنگام ایجاد پسورد از کلماتی مثل حروف کوچک و بزرگ و # @ % & * ( ? و... استفاده نمایید .
همچنین توی بحث امنیت به هیچکس اعتماد نکنید جز شرکت های امنیتی برای کانفیگ ، یکی از روش های نفوذ که خیلی هم جواب میده Social Engineering یا همون مهندسی اجتماعی میباشد .
خود من که در زمینه امنیت و نفوذ فعالیت دارم یکبار و فقط یکبار توسط یکی از دوستانم فریب خوردم و وبسایتم دیفیس شد و تنها همان ضربه کافی بود تا دیگر به کسی اعتماد نکنم ، با وجود اینکه امنیت سرور و سایت بالا بود و فرد به نظر (دوست ما) نتوانسته بود نفوذ کند از طریق خنده دوستی و بحث اعتماد به رفاقت جلو آمد و از انجایی که بنده خیلی رفیق باز بودم ، یوزر و پسورد را در اختیار دوستم گذاشتم و ایشون هم صفحه اصلی رو تغییر داد الان هم شدن هکر
اسمشم نمیگم چون هنوز یه جو مرام دارم
بگذریم این اعمال کار های بچه گانه ای است که متاسفانه این روزها گریبان گیر فضای سایبری ایران شده و رنج سنی 11 تا 21 سال معمولا علاقه شدیدی به دیفیس کردند دارند پس اگر شخصی برای افزایش امنیت به شما پیشنهاد داد قبول نکنید . در پایان این بحث به مقاله زیر توجه کنید :
----
Social Engineering
خیلی ها وقتی اسم عبارت «مهندسی اجتماعی» را می شنوند فکر می کنند که با یک جور رشته تخصصی کامپیوتری روبرو هستند. اما برعکس، مهندسی اجتماعی یک روش برای دسترسی به اطلاعات است که در آن از مهارت های فنی و مهندسی استفاده نمی شود. بلکه از مهارت های اجتماعی بهره برداری می شود.
بگذارید ماجرا را با یک مثال شرح دهیم. شما در دفتر کارتان در اداره نشسته اید و مشغول کار هستید. تلفن زنگ می زند. گوشی را برمی دارید. من پشت تلفن هستم و خودم را محمدی مسوول شبکه سازمان معرفی می کنم. به شما می گویم که ما در حال انجام تغییراتی روی سیستم مدیریت نامه های اداری هستیم و از شما می خواهم که هم اکنون رمز عبور حساب کاربری تان را به e54eFg5 تغییر دهید.
شما هم این کار را انجام می دهید. تمام شد. حالا شما رمز عبورتان را دو دستی تقدیم من کرده اید! من مسوول شبکه شما نبوده ام و فقط وانمود به این کار می کردم. شما خیلی راحت به من اعتماد کردید و من با استفاده با این روش که نام آن را «مهندسی اجتماعی» گذاشته اند رمز عبورتان را به سرقت بردم.
مهم است که با انواع روش های مهندسی اجتماعی آشنا شوید. روش های دیگری که ممکن است به کار برده شود از این قبیل است:
- ایمیل هایی که به شما ارسال می شود و از شما درخواست ارسال رمز عبور یا تغییر رمز عبور را به دلایل مختلف می کند.
- تلفن هایی که گفته میشود ما از مراکز بازبینی یا تحقیقاتی هستیم و برای تحقیقاتمان به رمز عبور شما یا نام کاربری تان نیاز داریم.
- افرادی که وانمود می کنند پزشک هستند و سعی می کنند به پرونده های پزشکی افراد دسترسی پیدا کنند و رمزهای عبور پرونده های دیجیتالی را درخواست می کنند.
- افراد تعمیرکار سخت افزار کامپیوتر که ادعا می کنند هارد دیسک کامپیوتر آسیب دیده است و اطلاعات آن قابل بازیابی نیست و برای بازیابی آطلاعات رمز عبور را در خواست می کنند و یا می خواهند هارد دیسک کامپیوتر را باز کرده و برای تعمیر ببرند. این افراد بعدا اطلاعات را به شرکت های رقیب و یا کشورهای خارجی می فروشند.
حملات مهندسی اجتماعی خطرناک ترین نوع حملات هستند و جلوگیری از آنها یکی از سخت ترین کارها است چرا که این حملات فنی نیستند. فرد حمله کننده معمولا در سازمان ها و شرکت ها به دنبال کسانی می گردد که کمترین اطلاعات امنیتی را در این زمینه دارد و به راحتی می توان از وی اطلاعات گرفت. بهترین روش مقابله با آنها آموزش به کاربران و آگاهی دادن نسبت به وجود این گونه حملات و انواع آنها است.
پس همیشه مراقب مهندسی اجتماعی باشید.
ادامه دارد ...
با عرض سلام خدمت کاربران محترم مای بی بی ایران .
این تاپیک در جهت آموزش راههای افزایش امنیت و جلوگیری از نفوذ به انجمن های عزیزان زده شده است . و سعی میکنم آموزش های تصویری قرار بدهم .
لطفا اسپم ندید و در صورت سوال از پیام خصوصی استفاده کنید .
در ابتدا از دوستان میخام ابزار Acunetix Web Vulnerability Scanner رو از لینک زیر دریافت کنند و انجمن های خودشون رو یک اسکن بزنند تا چک بشه ببینیم چه پورت هایی باز دارند و چه مشکلات امنیتی البته این ابزار پابلیک هست و اگر آسیب پذیری ها 0day باشد نتیجه ای حاصل نمیشود ، ولی باز هم کمک میکند .
دانلود اسکنر
ادامه دارد ...
با توجه به آموزشی که دوست عزیزمون PArs برای افزایش امنیت MyBB گذاشته اند باید عرض کنم این آموزش 2 مشکل دارد .
تغییر نام AdminCp و Config.php
http://community.mybbiran.com/thread-61.html
http://community.mybbiran.com/thread-62.html
اولین مشکل اشاره به ایجاد مشکل و اختلال در بعضی از پلاگین ها میباشد که با آدرس و نام پیشفرض تعریف شده ، و اینو عرض کنم اگر قرار به خواندن فایل کانفیگ باشد میتوان از دایرکتوری هدف مورد نظر یک کپی گرفت که در نهایت فایل کانفیگ هم شناسایی میشود . (از طریق سرور)
دومین مشکل شناسایی صفحه ادمین تغییر داده شده از طریق اسکنر ها میباشد ، ابزارهایی مثل اسکنر های آسیب پذیری ، اسکنر های صفحات لاگین که از folderCrawling استفاده میکنند میتوانند فولدر های داخل روت سایت هدف را شناسایی و نشان بدهند که حتی اگر اسم ادمین را تغییر داده باشیم باز هم صفحه پیدا میشود .
اما راه جلوگیری چیست ؟
برای کانفیگ نیازی به تغییر نام نیست ، چون امنیتیش کمتر و خسارتش بیشتر میباشد . به جای این کار با چندین کد و سطح دسترسی میتوان امنیت را بهبود بخشید .
برای شناسایی نشدن و نمایش داده نشدن صفحه لاگین هم میتونید از ترفند زیر استفاده کنید .
فرض میکنیم آدرس صفحه لاگین سایت شما این میباشد :
کد:
Site.com/adminحال ما میخواهیم کاری کنیم که این صفحه تنها برای یکنفر (خودمان که ادمین هستیم) نمایش پیدا کند و نه برای هیچکس دیگری .
از طریق کنترل پنل هاست (دایرکت ادمین ، سی پنل ، کولکسو و ...) به مسیر مورد نظر میرویم :
کد:
site.com/adminداخل پوشه ادمین یک فایل با نام .htaccess ایجاد مینماییم . و کد زیر را درون آن کپی مینماییم :
کد:
<files index.php>
order allow,deny
allow from 198.168.1.1
</files>بجای Ip 198.168.1.1 ای پی خودتان را قرار دهید ، برای پیدا کردن IP خودتان میتوانید از لینک های زیر استفاده کنید .
iranserver.com/ip
iranhack.org/ip
و ....
در نهایت ذخیره نمایید ، حال تنها شما به صفحه لاگین وبسایت خود دسترسی دارید و کس دیگری نمیتواند به آن وارد شود .
در صورتی که در دفعات بعدی IP شما تغییر کرد به مراجعه به پوشه Admin و ویرایش فایل htaccess ایپی جدید خود را جایگزین نمایید .
برای فایل کانفیگ هم بهتر است سطح دسترسی را به 644 تغییر دهید . اگر حتی هکر با سیمیلینک بتواند سرور شما را مورد نفوذ قرار دهد و فایل کانفیگ شما را به دست بیاورد در لحظه ای که میخواهد لاگین کند صفحه ای مشاهده نمیکند .
که اگر کرنل های سرور بروز باشد و یک سری مسائل امنیتی که در ادامه پست ها آموزش خواهیم داد رعایت شود سرور هم از لحاظ امنیت 99 % خواهد بود .
این نکته را متذکر میشوم که شما باید بروز باشید تا اگر 0day از سیستم مای بی بی بیاید سریعا پچ نمایید زیرا 0day اگر آسیب پذیری Remote باشد خطر ساز میباشد .
ادامه دارد ....
تشکر نشانه رضایت شماست ...
همیشه نفوذ از ترفند های خیلی حرفه ای و سخت انجام نمیشود و گاهی اوقات خیلی راحت تر این حرف هاست ....
قرار دادن فایل zip بر روی سرور های خودتان یک بی احتیاطی بزرگ میباشد چرا که اگر فایل کانفیگ در بسته مورد نظر باشد میتواند به دیتابیس بصورت ریموت متصل شد و ...
بارها توی بیشتر تست های نفوذ پذیری که داشتم با چنین اشتباهاتی مواجه شدم .
یکی دیگر از اشتباهات عزیزان قرار دادن پسورد های خیلی ساده میباشد .
کنترل پنل شما به همراه صفحه لاگین نرم افزار تحت وب مکانهایی هستند که هدف خوبی برای هکر ها میباشند حال اگز سیستم و سرور از لحاظ امنیت در مرتبه بالایی بود یک تست Brute Force توسط نفوذ گر چیزی را از او کم نمیکند
و شاید با پسورد هایی از قبیل اعداد حروف متوالی و .... برخورد کند که در نهایت پسورد سیستم را شناسایی میکند.
بعضی از افراد پسورد سایت های خود را 123456 و یا شماره تلفن و یا asdfg و.... قرار میدهند که این خود یک اشتباه بزرگ میباشد .
بد ندونستم این نکات رو هم اشاره کنم . به پسورد لیستی که براتون اتچ کردن یه نگاهی بندازید بد نیست !
سعی کنید در هنگام ایجاد پسورد از کلماتی مثل حروف کوچک و بزرگ و # @ % & * ( ? و... استفاده نمایید .
همچنین توی بحث امنیت به هیچکس اعتماد نکنید جز شرکت های امنیتی برای کانفیگ ، یکی از روش های نفوذ که خیلی هم جواب میده Social Engineering یا همون مهندسی اجتماعی میباشد .
خود من که در زمینه امنیت و نفوذ فعالیت دارم یکبار و فقط یکبار توسط یکی از دوستانم فریب خوردم و وبسایتم دیفیس شد و تنها همان ضربه کافی بود تا دیگر به کسی اعتماد نکنم ، با وجود اینکه امنیت سرور و سایت بالا بود و فرد به نظر (دوست ما) نتوانسته بود نفوذ کند از طریق خنده دوستی و بحث اعتماد به رفاقت جلو آمد و از انجایی که بنده خیلی رفیق باز بودم ، یوزر و پسورد را در اختیار دوستم گذاشتم و ایشون هم صفحه اصلی رو تغییر داد الان هم شدن هکر
اسمشم نمیگم چون هنوز یه جو مرام دارم بگذریم این اعمال کار های بچه گانه ای است که متاسفانه این روزها گریبان گیر فضای سایبری ایران شده و رنج سنی 11 تا 21 سال معمولا علاقه شدیدی به دیفیس کردند دارند پس اگر شخصی برای افزایش امنیت به شما پیشنهاد داد قبول نکنید . در پایان این بحث به مقاله زیر توجه کنید :
----
Social Engineering
خیلی ها وقتی اسم عبارت «مهندسی اجتماعی» را می شنوند فکر می کنند که با یک جور رشته تخصصی کامپیوتری روبرو هستند. اما برعکس، مهندسی اجتماعی یک روش برای دسترسی به اطلاعات است که در آن از مهارت های فنی و مهندسی استفاده نمی شود. بلکه از مهارت های اجتماعی بهره برداری می شود.
بگذارید ماجرا را با یک مثال شرح دهیم. شما در دفتر کارتان در اداره نشسته اید و مشغول کار هستید. تلفن زنگ می زند. گوشی را برمی دارید. من پشت تلفن هستم و خودم را محمدی مسوول شبکه سازمان معرفی می کنم. به شما می گویم که ما در حال انجام تغییراتی روی سیستم مدیریت نامه های اداری هستیم و از شما می خواهم که هم اکنون رمز عبور حساب کاربری تان را به e54eFg5 تغییر دهید.
شما هم این کار را انجام می دهید. تمام شد. حالا شما رمز عبورتان را دو دستی تقدیم من کرده اید! من مسوول شبکه شما نبوده ام و فقط وانمود به این کار می کردم. شما خیلی راحت به من اعتماد کردید و من با استفاده با این روش که نام آن را «مهندسی اجتماعی» گذاشته اند رمز عبورتان را به سرقت بردم.
مهم است که با انواع روش های مهندسی اجتماعی آشنا شوید. روش های دیگری که ممکن است به کار برده شود از این قبیل است:
- ایمیل هایی که به شما ارسال می شود و از شما درخواست ارسال رمز عبور یا تغییر رمز عبور را به دلایل مختلف می کند.
- تلفن هایی که گفته میشود ما از مراکز بازبینی یا تحقیقاتی هستیم و برای تحقیقاتمان به رمز عبور شما یا نام کاربری تان نیاز داریم.
- افرادی که وانمود می کنند پزشک هستند و سعی می کنند به پرونده های پزشکی افراد دسترسی پیدا کنند و رمزهای عبور پرونده های دیجیتالی را درخواست می کنند.
- افراد تعمیرکار سخت افزار کامپیوتر که ادعا می کنند هارد دیسک کامپیوتر آسیب دیده است و اطلاعات آن قابل بازیابی نیست و برای بازیابی آطلاعات رمز عبور را در خواست می کنند و یا می خواهند هارد دیسک کامپیوتر را باز کرده و برای تعمیر ببرند. این افراد بعدا اطلاعات را به شرکت های رقیب و یا کشورهای خارجی می فروشند.
حملات مهندسی اجتماعی خطرناک ترین نوع حملات هستند و جلوگیری از آنها یکی از سخت ترین کارها است چرا که این حملات فنی نیستند. فرد حمله کننده معمولا در سازمان ها و شرکت ها به دنبال کسانی می گردد که کمترین اطلاعات امنیتی را در این زمینه دارد و به راحتی می توان از وی اطلاعات گرفت. بهترین روش مقابله با آنها آموزش به کاربران و آگاهی دادن نسبت به وجود این گونه حملات و انواع آنها است.
پس همیشه مراقب مهندسی اجتماعی باشید.
ادامه دارد ...
زندگی با امنیت زیباست .
مشاوره امنیتی رایگان برای انجمن mybb کاربران عزیز
contact : hosseinxpr@gmail.com
مشاوره امنیتی رایگان برای انجمن mybb کاربران عزیز
contact : hosseinxpr@gmail.com
