هاست لینوکس

آخرین بسته‌ی MyBB: نسخه‌ی 1.8.27 MyBB منتشر شد


امتیاز موضوع:
  • 1 رأی - میانگین امتیازات: 5
  • 1
  • 2
  • 3
  • 4
  • 5
.:::: تاپیک آموزش امنیت و راههای مقابله با هک :::.
#1
Rainbow 
به نام خالق دانش

با عرض سلام خدمت کاربران محترم مای بی بی ایران .

این تاپیک در جهت آموزش راههای افزایش امنیت و جلوگیری از نفوذ به انجمن های عزیزان زده شده است . و سعی میکنم آموزش های تصویری قرار بدهم .

لطفا اسپم ندید و در صورت سوال از پیام خصوصی استفاده کنید .

در ابتدا از دوستان میخام ابزار Acunetix Web Vulnerability Scanner رو از لینک زیر دریافت کنند و انجمن های خودشون رو یک اسکن بزنند تا چک بشه ببینیم چه پورت هایی باز دارند و چه مشکلات امنیتی البته این ابزار پابلیک هست و اگر آسیب پذیری ها 0day باشد نتیجه ای حاصل نمیشود ، ولی باز هم کمک میکند .

دانلود اسکنر

ادامه دارد ...

با توجه به آموزشی که دوست عزیزمون PArs برای افزایش امنیت MyBB گذاشته اند باید عرض کنم این آموزش 2 مشکل دارد .

تغییر نام AdminCp و Config.php

http://community.mybbiran.com/thread-61.html
http://community.mybbiran.com/thread-62.html

اولین مشکل اشاره به ایجاد مشکل و اختلال در بعضی از پلاگین ها میباشد که با آدرس و نام پیشفرض تعریف شده ، و اینو عرض کنم اگر قرار به خواندن فایل کانفیگ باشد میتوان از دایرکتوری هدف مورد نظر یک کپی گرفت که در نهایت فایل کانفیگ هم شناسایی میشود . (از طریق سرور)

دومین مشکل شناسایی صفحه ادمین تغییر داده شده از طریق اسکنر ها میباشد ، ابزارهایی مثل اسکنر های آسیب پذیری ، اسکنر های صفحات لاگین که از folderCrawling استفاده میکنند میتوانند فولدر های داخل روت سایت هدف را شناسایی و نشان بدهند که حتی اگر اسم ادمین را تغییر داده باشیم باز هم صفحه پیدا میشود .

اما راه جلوگیری چیست ؟

برای کانفیگ نیازی به تغییر نام نیست ، چون امنیتیش کمتر و خسارتش بیشتر میباشد . به جای این کار با چندین کد و سطح دسترسی میتوان امنیت را بهبود بخشید .

برای شناسایی نشدن و نمایش داده نشدن صفحه لاگین هم میتونید از ترفند زیر استفاده کنید .

فرض میکنیم آدرس صفحه لاگین سایت شما این میباشد :

کد:
Site.com/admin

حال ما میخواهیم کاری کنیم که این صفحه تنها برای یکنفر (خودمان که ادمین هستیم) نمایش پیدا کند و نه برای هیچکس دیگری .

از طریق کنترل پنل هاست (دایرکت ادمین ، سی پنل ، کولکسو و ...) به مسیر مورد نظر میرویم :

کد:
site.com/admin

داخل پوشه ادمین یک فایل با نام .htaccess ایجاد مینماییم . و کد زیر را درون آن کپی مینماییم :


کد:
<files index.php>
order allow,deny
allow from 198.168.1.1
</files>

بجای Ip 198.168.1.1 ای پی خودتان را قرار دهید ، برای پیدا کردن IP خودتان میتوانید از لینک های زیر استفاده کنید .

iranserver.com/ip
iranhack.org/ip
و ....

در نهایت ذخیره نمایید ، حال تنها شما به صفحه لاگین وبسایت خود دسترسی دارید و کس دیگری نمیتواند به آن وارد شود .

در صورتی که در دفعات بعدی IP شما تغییر کرد به مراجعه به پوشه Admin و ویرایش فایل htaccess ایپی جدید خود را جایگزین نمایید .

برای فایل کانفیگ هم بهتر است سطح دسترسی را به 644 تغییر دهید . اگر حتی هکر با سیمیلینک بتواند سرور شما را مورد نفوذ قرار دهد و فایل کانفیگ شما را به دست بیاورد در لحظه ای که میخواهد لاگین کند صفحه ای مشاهده نمیکند .

که اگر کرنل های سرور بروز باشد و یک سری مسائل امنیتی که در ادامه پست ها آموزش خواهیم داد رعایت شود سرور هم از لحاظ امنیت 99 % خواهد بود .

این نکته را متذکر میشوم که شما باید بروز باشید تا اگر 0day از سیستم مای بی بی بیاید سریعا پچ نمایید زیرا 0day اگر آسیب پذیری Remote باشد خطر ساز میباشد .

ادامه دارد ....

تشکر نشانه رضایت شماست ...

همیشه نفوذ از ترفند های خیلی حرفه ای و سخت انجام نمیشود و گاهی اوقات خیلی راحت تر این حرف هاست ....

قرار دادن فایل zip بر روی سرور های خودتان یک بی احتیاطی بزرگ میباشد چرا که اگر فایل کانفیگ در بسته مورد نظر باشد میتواند به دیتابیس بصورت ریموت متصل شد و ...

بارها توی بیشتر تست های نفوذ پذیری که داشتم با چنین اشتباهاتی مواجه شدم .

یکی دیگر از اشتباهات عزیزان قرار دادن پسورد های خیلی ساده میباشد .

کنترل پنل شما به همراه صفحه لاگین نرم افزار تحت وب مکانهایی هستند که هدف خوبی برای هکر ها میباشند حال اگز سیستم و سرور از لحاظ امنیت در مرتبه بالایی بود یک تست Brute Force توسط نفوذ گر چیزی را از او کم نمیکند Big Grin

و شاید با پسورد هایی از قبیل اعداد حروف متوالی و .... برخورد کند که در نهایت پسورد سیستم را شناسایی میکند.

بعضی از افراد پسورد سایت های خود را 123456 و یا شماره تلفن و یا asdfg و.... قرار میدهند که این خود یک اشتباه بزرگ میباشد .

بد ندونستم این نکات رو هم اشاره کنم . به پسورد لیستی که براتون اتچ کردن یه نگاهی بندازید بد نیست !

سعی کنید در هنگام ایجاد پسورد از کلماتی مثل حروف کوچک و بزرگ و # @ % & * ( ? و... استفاده نمایید .

همچنین توی بحث امنیت به هیچکس اعتماد نکنید جز شرکت های امنیتی برای کانفیگ ، یکی از روش های نفوذ که خیلی هم جواب میده Social Engineering یا همون مهندسی اجتماعی میباشد .
خود من که در زمینه امنیت و نفوذ فعالیت دارم یکبار و فقط یکبار توسط یکی از دوستانم فریب خوردم و وبسایتم دیفیس شد و تنها همان ضربه کافی بود تا دیگر به کسی اعتماد نکنم ، با وجود اینکه امنیت سرور و سایت بالا بود و فرد به نظر (دوست ما) نتوانسته بود نفوذ کند از طریق خنده دوستی و بحث اعتماد به رفاقت جلو آمد و از انجایی که بنده خیلی رفیق باز بودم ، یوزر و پسورد را در اختیار دوستم گذاشتم و ایشون هم صفحه اصلی رو تغییر داد الان هم شدن هکر Tongue اسمشم نمیگم چون هنوز یه جو مرام دارم Big Grin

بگذریم این اعمال کار های بچه گانه ای است که متاسفانه این روزها گریبان گیر فضای سایبری ایران شده و رنج سنی 11 تا 21 سال معمولا علاقه شدیدی به دیفیس کردند دارند پس اگر شخصی برای افزایش امنیت به شما پیشنهاد داد قبول نکنید . در پایان این بحث به مقاله زیر توجه کنید :

----


Social Engineering

خیلی ها وقتی اسم عبارت «مهندسی اجتماعی» را می شنوند فکر می کنند که با یک جور رشته تخصصی کامپیوتری روبرو هستند. اما برعکس، مهندسی اجتماعی یک روش برای دسترسی به اطلاعات است که در آن از مهارت های فنی و مهندسی استفاده نمی شود. بلکه از مهارت های اجتماعی بهره برداری می شود.



بگذارید ماجرا را با یک مثال شرح دهیم. شما در دفتر کارتان در اداره نشسته اید و مشغول کار هستید. تلفن زنگ می زند. گوشی را برمی دارید. من پشت تلفن هستم و خودم را محمدی مسوول شبکه سازمان معرفی می کنم. به شما می گویم که ما در حال انجام تغییراتی روی سیستم مدیریت نامه های اداری هستیم و از شما می خواهم که هم اکنون رمز عبور حساب کاربری تان را به e54eFg5 تغییر دهید.



شما هم این کار را انجام می دهید. تمام شد. حالا شما رمز عبورتان را دو دستی تقدیم من کرده اید! من مسوول شبکه شما نبوده ام و فقط وانمود به این کار می کردم. شما خیلی راحت به من اعتماد کردید و من با استفاده با این روش که نام آن را «مهندسی اجتماعی» گذاشته اند رمز عبورتان را به سرقت بردم.



مهم است که با انواع روش های مهندسی اجتماعی آشنا شوید. روش های دیگری که ممکن است به کار برده شود از این قبیل است:



- ایمیل هایی که به شما ارسال می شود و از شما درخواست ارسال رمز عبور یا تغییر رمز عبور را به دلایل مختلف می کند.



- تلفن هایی که گفته میشود ما از مراکز بازبینی یا تحقیقاتی هستیم و برای تحقیقاتمان به رمز عبور شما یا نام کاربری تان نیاز داریم.



- افرادی که وانمود می کنند پزشک هستند و سعی می کنند به پرونده های پزشکی افراد دسترسی پیدا کنند و رمزهای عبور پرونده های دیجیتالی را درخواست می کنند.



- افراد تعمیرکار سخت افزار کامپیوتر که ادعا می کنند هارد دیسک کامپیوتر آسیب دیده است و اطلاعات آن قابل بازیابی نیست و برای بازیابی آطلاعات رمز عبور را در خواست می کنند و یا می خواهند هارد دیسک کامپیوتر را باز کرده و برای تعمیر ببرند. این افراد بعدا اطلاعات را به شرکت های رقیب و یا کشورهای خارجی می فروشند.



حملات مهندسی اجتماعی خطرناک ترین نوع حملات هستند و جلوگیری از آنها یکی از سخت ترین کارها است چرا که این حملات فنی نیستند. فرد حمله کننده معمولا در سازمان ها و شرکت ها به دنبال کسانی می گردد که کمترین اطلاعات امنیتی را در این زمینه دارد و به راحتی می توان از وی اطلاعات گرفت. بهترین روش مقابله با آنها آموزش به کاربران و آگاهی دادن نسبت به وجود این گونه حملات و انواع آنها است.



پس همیشه مراقب مهندسی اجتماعی باشید.


ادامه دارد ...
زندگی با امنیت زیباست .

مشاوره امنیتی رایگان برای انجمن mybb کاربران عزیز



contact : hosseinxpr@gmail.com
پاسخ
 سپاس شده توسطemir.yanliz (۱۳۹۲/۳/۱۷، ۲۱:۴۵:۱۸ عصر) ، salondaran (۱۳۹۲/۳/۱۷، ۲۲:۰۷:۴۴ عصر) ، geo (۱۳۹۲/۳/۱۸، ۱۸:۱۳:۴۹ عصر) ، mhy (۱۳۹۲/۳/۱۹، ۰۷:۴۹:۲۸ صبح) ، grd (۱۳۹۲/۴/۱، ۰۰:۱۶:۱۸ صبح) ، jvd (۱۳۹۲/۵/۲۷، ۱۴:۵۳:۲۲ عصر) ، firstline (۱۳۹۲/۷/۲۹، ۱۵:۵۵:۳۷ عصر) ، minoor (۱۳۹۲/۸/۱۴، ۲۱:۰۵:۳۵ عصر) ، firstboy000 (۱۳۹۲/۸/۲۳، ۲۲:۱۱:۱۷ عصر) ، Gh-Moradi (۱۳۹۲/۸/۲۴، ۰۱:۳۶:۲۸ صبح) ، Pars (۱۳۹۲/۱۱/۲۲، ۰۴:۳۳:۵۸ صبح) ، Persia1 (۱۳۹۲/۱۱/۲۷، ۲۱:۰۱:۲۳ عصر) ، king star (۱۳۹۲/۱۲/۹، ۱۲:۱۷:۵۳ عصر) ، puyol (۱۳۹۲/۱۲/۱۴، ۱۸:۲۴:۳۳ عصر) ، number-one (۱۳۹۲/۱۲/۱۶، ۰۳:۱۳:۰۷ صبح) ، alireza_k (۱۳۹۳/۲/۴، ۱۰:۲۹:۴۲ صبح) ، msreza (۱۳۹۳/۹/۱، ۰۹:۳۴:۳۵ صبح) ، motorola30 (۱۳۹۳/۹/۲۱، ۰۰:۱۵:۴۳ صبح) ، MISTER (۱۳۹۴/۱۲/۲۹، ۱۰:۳۰:۴۸ صبح)
#2
فیل .htaccess که فرمودید ایجاد کردم اما با هر آیپی امکان لوگین کردن هنوز هست ! اول هم در نوت پد کپی کردم ...
كار هر بز نيست خرمن كوفتن گاو نر مي خواهد و مرد كهن
پاسخ
 سپاس شده توسطMR.XpR (۱۳۹۲/۳/۱۷، ۲۳:۱۱:۱۸ عصر)
#3
سلام دوست عزیز کد یک مشکل کوچیک داشت برطرف کردم حالا تست بفرمایید .

من یک فایل جهت سهولت در کار آپلود کردم میتونی دریافت کنی .
زندگی با امنیت زیباست .

مشاوره امنیتی رایگان برای انجمن mybb کاربران عزیز



contact : hosseinxpr@gmail.com
پاسخ
 سپاس شده توسطminoor (۱۳۹۲/۸/۱۴، ۲۱:۱۰:۴۹ عصر) ، firstboy000 (۱۳۹۲/۱۱/۲۸، ۱۸:۳۱:۳۶ عصر) ، Gh-Moradi (۱۳۹۳/۱/۱۲، ۲۳:۴۸:۲۳ عصر) ، azad212010 (۱۳۹۳/۴/۲۸، ۰۳:۵۰:۱۵ صبح)
#4
Rainbow 
درود مجدد

استقبال زیاد نیست ولی ما ادامه میدهیم ! مثل اینکه امنیت همه خیلی بالاست Tongue

در بحث انتخاب هاستینگ و یا سرور باید توجه داشته باشید سرور امنیتش چطوره ، واسه اینکار میتونید از طریق یکی از دامنه های روی سرور ip اونو ping کنید و در سایت زون اچ کــــه یک سایت بین المللی برای ثبت دیفیس ها میباشد چک کنید ، به عنوان مثال :

کد:
http://www.zone-h.org/archive/ip=78.157.60.118

همینطور که میبینید از سرور چندین بار هک شده و آخرین ثبت نفوذ اون هم ماله برج 4 2013 هست ، حالا به نظر شما این سرور امنیتش بالا بوده ؟

دوره باگ های SQL سر اومده ولی این سایت تازگی با همون Sql هک شده !! یعنی امنیت در حد 0

حالا شما میتونید ip سرور مورد نظرتونو به زون بدید و چک کنید !

بیشتر پیامهایی که در سایت MYBB در وصف هک شدن به وجود میاد ، همش یا به دلیل ضعف سرور و یا ضعیف بودن کانفیگ اسکریت هست (مثل پسورد ، وجود بسته حاوی کانفیگ بر روی سرور ، پورت ها ، FTP و ... ) و افراد خیال میکنند از انجمن ساز MYBB خورده اند !

یه سری تیم های بوق به دست هستند که دارن فله ای اکسپلویت واسه MYBB میدن بیرون که اسمشونم نمیگم ، توجه داشته باشید که بیشتر این اکسپلویت ها کاذب هست پس نگران نباشید ، چون اکسپلویتی که تازه بیادمو پابلیکم بشه و ثبت کننده اون هم (بوق) باشه هیچ خطری نداره ! شما فقط باید از 0day بترسید که خدائی نکرده واسه MYBB پابلیک بشه ! دقیقا مثل زمانی که برنامه هویج توی ایران بصورت پابلیک قرار گرفت ! (ملت جنبه ندارند) و روز اول نیمی از سایتهای دولتی توسط افراد متفاوت هک شد ! اگر هم روزی چنین آسیب پذیری واسه MYBB بیاد اگر شما تنظیمات امنیتی که آموزش داده میشود را به خوبی انجام دهید هکر در یکی از فازهای اجرای نفوذ خود ناکام خواهد ماند ! تا اون موقع هم که بخواد بای پس کنه پچ سر رسیده !

تنها سختی که واسه هکر داشت فشار دادن چنیدن دکمه بود !

پس رعایت تنظیمات امنیتی لازمه !

چند وقت گذشته یک اکسپلویت برای انجمن ساز VB اومد که بصورت ریموت میتونستید فایل مخرب خودتونو که بصورت .php6 بود آپلود کنید که البته وقت آپلود شدن هدر ارسالی به سرور پسوند رو تغییر میداد بگذریم نهایتا داخل یک پوشه شل آپلود میشد و ....

حال به فرض اینکه یکروز همچین آسیب پذیری هم برای MYBB بیاد شما اگر ران شدن Sh3ll رو هم از طریق سرور و هم از طریق فولدر پچ های خودتون سازماندهی کنید هکر ناکام میمونه و تا روش بای پس اونو شناسایی کنه شما یه مدت زمان دارین برای بررسی ، شایدم کلا نتونه ! بستگی داره طرف بوق باشه یا Big Grin

توی این بخش من به شما کافیگ کردن سرور از لحاظ مقوله های امنیتی رو تا حدودی آموزش میدم : (مخصوص مدیران سرور ها)

مرحله اول بستن فانشن های امنیتی :

یه سری فانشن معمولا در اسکریپت ها وشل کد ها و... خطرناک وجود داره که بعد گذشت زمان ما یه لیست جمع آوری کردیم که با بستن انها مانع ران شدن شل هایی که از اون توابع استفاده میکنند میشیم متذکر میشم اگر شل کدی که بر روی سرور شما آپلود بشه جدید یا نسخه خصوصی باشه و توابع اونو نداشته باشیم شل ران میشه ولی باز هم کاربرد این متود یکی از ضروری ترین روش های کانفیگ میباشد . همانند SU


خوب ابتدا وارد محیط SSH بشوید .

سپس دستور زیر را برای ورود به قسمت تنظیمات PhP بزنید :

کد:
nano /usr/local/lib/php.ini


خط Disable_functions را پیدا کرده و در بین " " ها فانشن های زیر را قرار دهید تا غیر فعال شود :

کد:
disable_functions ="base64_decode, base64_encode, parse_ini_file, curl_multi_exec, curl_exec, isset, virtual, readfile, dir, mysql_pconnect, crack_check, crack_closedict, crack_getlastmessage, crack_opendict,  symlink, symlinked, dl, ini_set, phpinfo, show_source, apache_child_terminate, apache_setenv, define_syslog_variables, escapeshellarg, escapeshellcmd, eval, exec, fp, fput, ftp_connect, ftp_exec, ftp_get, ftp_login, ftp_nb_fput, ftp_put, ftp_raw, ftp_rawlist, highlight_file, ini_alter, ini_get_all, ini_restore, inject_code, openlog, passthru, php_uname, phpAds_remoteInfo, phpAds_XmlRpc, phpAds_xmlrpcDecode, phpAds_xmlrpcEncode, popen, posix_getpwuid, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, posix_setuid, posix_uname, proc_close, proc_get_status, proc_nice, proc_open, proc_terminate, shell_exec, syslog, system, xmlrpc_entity_decode
apache_child_terminate, apache_get_modules, apache_get_version, apaache_getenv, apache_note, apache_setenv, define_syslog_variables, escapeshellarg, escapeshellcmd, eval, exec, fp, fput, ftp_connect, ftp_exec, ftp_get, ftp_login, ftp_nb_fput, ftp_put, ftp_raw, ftp_rawlist, highlight_file, ini_alter, ini_get_all, ini_restore, inject_code, mysql_pconnect, openlog, passthru, php_uname, phpAds_remoteInfo, phpAds_XmlRpc, phpAds_xmlrpcDecode, phpAds_xmlrpcEncode, popen, posix_getpwuid, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, posix_setuid, posix_uname, proc_close, proc_get_status, proc_nice, proc_open, proc_terminate, shell_exec, syslog, system, xmlrpc_entity_decode, dba_replace, ftok, posix_access, symlink, disk_free_space, show_source, disk_free_space, diskfreespace, python_eval ,shell,symlink,ini_restore,imap_body,imap_list,imap_open,my sql_list_dbs,popen,stream_select,fsockopen,socket_select,socket_create,s ocket_create_listen,socket_create_pair,socket_listen,socket_accept,socke t_bind,socket_strerror,socket_clear_error,socket_close,socket_connect,so cket_get_option,socket_getpeername,socket_getsockname,socket_last_error, socket_read,socket_recv,socket_recvfrom,socket_send,socket_sendto,socket _set_block,socket_set_nonblock,socket_set_option,socket_shutdown,socket_ write,readlink,symlink,link,pfsockopen,ini_alter,dl,openlog,syslog,pcntl _exec,pcntl_fork,pcntl_signal,pcntl_waitpid,pcntl_wexitstatus,pcntl_wife xited,pcntl_wifsignaled,pcntl_wifstopped,pcntl_wstopsig,pcntl_wtermsig,f passthru,system,passthru,exec,proc_close,proc_get_status,proc_nice,proc_ terminate,shell_exec,posix_access,posix_ctermid,posix_errno,posix_get_la st_error,posix_getcwd,posix_getegid,posix_geteuid,posix_getgid,posix_get grgid,posix_getgrnam,posix_getgroups,posix_getlogin,posix_getpgid,posix_ getpgrp,posix_getpid,posix_getppid,posix_getpwnam,posix_getpwuid,posix_g etrlimit,posix_getsid,posix_getuid,posix_initgroups,posix_isatty,posix_k ill,posix_mkfifo,posix_mknod,posix_setegid,posix_seteuid,posix_setgid,po six_setpgid,posix_setsid,posix_setuid,posix_strerror,posix_times,posix_t tyname,posix_uname,ini_get_all,phpinfo"

در نهایت دکمه CTRL + X را بزنید و سرور را یکبار با دستور Reboot ریست کنید !

توجه داشته باشید اگر اسکریپتی داشتید که پس از انجام این تغییرات دارای مشکل شد میتوانید فانشن مربوطه رو با خواندن خطای اسکریپت پیدا کنید و در صورت نیاز از لیست بالا حذف کنید تا اسکریپت شما بدون مشکل به کار خود ادامه دهد .

منبع

این آموزش ها ادامه دارد ...
زندگی با امنیت زیباست .

مشاوره امنیتی رایگان برای انجمن mybb کاربران عزیز



contact : hosseinxpr@gmail.com
پاسخ
 سپاس شده توسطgeo (۱۳۹۲/۳/۱۸، ۱۸:۱۳:۴۵ عصر) ، grd (۱۳۹۲/۴/۱، ۰۰:۱۷:۱۰ صبح) ، emiites (۱۳۹۲/۴/۵، ۰۳:۲۵:۴۵ صبح) ، firstline (۱۳۹۲/۷/۲۹، ۱۶:۰۱:۵۶ عصر) ، minoor (۱۳۹۲/۸/۱۴، ۲۱:۱۲:۵۶ عصر) ، firstboy000 (۱۳۹۲/۸/۲۳، ۲۲:۱۱:۲۸ عصر) ، Gh-Moradi (۱۳۹۳/۱/۱۲، ۲۳:۴۸:۱۶ عصر)
#5
یک باگ امنیتی در پلاگین بازی ها است
حتما بررسی کنید
پاسخ
#6
امروز چندتا اسکریپت نه چندان جدید ولی کار آمد برای حملات تکذیب سرویس MYBB رو بررسی کردم بد نیست توضیحی در موردش بدم :

مدتی قبل گروه هک سیتی یک اسکریپت واسه تکذیب سرویس برای سیستم انجمن ساز MYBB نوشت که بر اساس پروکسی اتک میداد و سایت Down میشد .

هدف حملات برای ارسال درخواست :

calendar.php

بود ، حالا یه سری تیم ها که اسمشونم نمیبرم با الهام گرفتن از همون شیوه حملات خودشونو تغییراتی دادند که بد نیست این قسمت ها رو برای مهمانان غیر فعال کنید و یا کلا غیر فعال کنید .

calendar.php
misc.php
و ....

البته جلوی این جملاتو به این راحتی ها نمیشه گرفت ولی با کانفیگ صحیح وب سرور و نصب یک فایروال با کانفیگ خود میشه تا حدودی جلوی این حملاتو گرفت که در جلسات بعدی در موردش توضیح میدم .

-----

یکی از دوستان پیام داده بود که سرورشو چک کردن و 3 4 تا از سایتهای روی سرورش مورد نفوذ قرار گرفته بود .

امنیت سرور شما در حد مطلوبی نیست ، اگر وبسایت شما مشترکان تخصصی داره بهتره سرورتون رو ارتقا بدید تا یه وقتی شیطون نشن . Big Grin
زندگی با امنیت زیباست .

مشاوره امنیتی رایگان برای انجمن mybb کاربران عزیز



contact : hosseinxpr@gmail.com
پاسخ
 سپاس شده توسطgrd (۱۳۹۲/۴/۸، ۲۳:۵۲:۵۹ عصر) ، firstboy000 (۱۳۹۲/۸/۲۳، ۲۲:۱۱:۴۵ عصر) ، Gh-Moradi (۱۳۹۳/۱/۱۲، ۲۳:۴۸:۱۲ عصر)
#7
همچنین یادداشت های پروفایل و برخی از قسمت های داخلی انجمن قابلیت نفوذ پزیری مستقیم دارند
حتما چک کنید
پاسخ
#8
کدوم بخش ها بیشتر توضیح بدید تا تشریح کنیم ، همینطوری بدون هیچ نمیشه دلیل بر نقص گذاشت .
زندگی با امنیت زیباست .

مشاوره امنیتی رایگان برای انجمن mybb کاربران عزیز



contact : hosseinxpr@gmail.com
پاسخ
 سپاس شده توسطfirstboy000 (۱۳۹۲/۱۱/۲۸، ۱۸:۳۱:۴۸ عصر)
#9
بخش بازی ها باگ xss دارد و برای یادداشت هایی پروفایل میشه اسپمر نوشت
همچنین پسورد کاربرانی که از کلمه عبور های ساده استفاده میکنند به راحتی قابل رمز گشایی است
دوستان حتما موارد امنیتی را رعایت کنند
موفق باشید
پاسخ
#10
با سلام و تشکر بابت این آموزش بسیار مفید
یک سوال چطور در دستورات زیز می تونیم
<files index.php>
order allow,deny
allow from 198.168.1.1
</files>
دو رقم اخر ای پی را متغییر قرار بدیم چون ای پی من با هر بار وصل شدن تغییر میکنه
192.168.?.?

تشکر
پاسخ
 سپاس شده توسطMR.XpR (۱۳۹۲/۹/۱۱، ۱۳:۲۰:۰۴ عصر)


پرش به انجمن:


کاربرانِ درحال بازدید از این موضوع: 1 مهمان