هاست لینوکس

آخرین بسته‌ی MyBB: نسخه‌ی 1.8.27 MyBB منتشر شد


امتیاز موضوع:
  • 0 رأی - میانگین امتیازات: 0
  • 1
  • 2
  • 3
  • 4
  • 5
باگ بزرگ سی پنل کشف شد
#1
امروز متوجه باگ بزرگی توی سیستم مدیریت سرور WHM و اصلش که همه میشناسن Cpanel شدیم. این باگ توسط تیم تخصصی بی کی هاست (تیم خودم) کشف شده.

باگ = در اینجا یعنی خطای ناشی از فقدان یک مسئله یا مورد توی کدنویسی، که عدم کامل بودن در زمینه خودش رو همراه داره.

دقت کنید که هاست شما به نوعی حاوی اطلاعاتی هست که نباید به راحتی توسط هرکسی قابل تغییر باشه. فقط مدیر، صاحب هاست و یا کارکنان وب که قسمتی از کارشون با هاست هست به واسطه یا بدون واسطه ی برنامه هایی که داره، اجازه تغییرات توی اطلاعات و فایل های سرور رو خواهد داشت.
به این مسئله دقت کنید که در قسمت دیتابیس های هاست های ارائه شده مبتنی بر سی پنل روی یک سرور، بدون اینکه نیاز به هیچ تغییر و یا تنظیماتی میتونن بهم متصل بشن.

بیشتر دقت کنید: بدون احتیاج به هیچ تنظیمی به هم مرتبط هستن و میتونن از هم استفاده کنن. و این یعنی نقض حریم خصوصی هاست شما، اینطور دیگه اطلاعاتی که توی دیتابیس شما ذخیره میشه امنیتی نداره.




راهکار های مقابله و کاهش خطر:
1- نام دیتابیس و یوزر دیتابیس تا حد امکان متفاوت از هم باشن
2- پسورد های انتخابی برای یوزر دیتابیس شامل حروف کوچک، حروف بزرگ، اعداد و علائم و کاراکتر های مجاز باشه.
3- اگر سایت بزرگ و مهمی دارید که امنیت اون براتون خیلی مهم و حیاتیه از سرور های اختصاصی استفاده کنید.
4- سطوح دسترسی فایل های درون هاست رو حتما استاندارد انتخاب کنید
5- از اسکریپت های بروز، امن و مطمئن استفاده کنید(از هر جایی دانلود نکنید سعی کنید از مرجع رسمی سازندش باشه)
6- دسترسی های وب و هاستتون رو به افراد مورد اعتماد بدید فقط در غیر اینصورت مشخص نیست که با هاست شما چکار خواهند کرد. خرابکاری هاشون ممکنه یا به صورت مستقیم و لحظه ای یا به صورت غیر مستقیم و به این شکل باشه.
7- از پاک بودن کامپیوتر در مقابل بدافزار ها اطمینان پیدا کنید.



منبع: بی کی هاست
نصب و آپدیت انجمن مای بی بی | پلاگین و پوسته | تغییرات داخلی انجمن
نصب و بروزرسانی وردپرس طراحی پوسته های وردپرسی سبک با سئوی بالا
شخصی سازی پوسته های مای بی بی و وردپرس
طراحی سیستم مدیریت محتوای اختصاصی و خاص با برترین زبان های برنامه نویسی دنیا
جهت سفارش در تلگرام: firstboy000@
پاسخ
 سپاس شده توسطe.b35927 (۱۳۹۴/۴/۲۳، ۲۰:۰۰:۱۶ عصر) ، محمد محمدی (۱۳۹۴/۴/۲۳، ۲۰:۰۴:۵۸ عصر) ، motorola30 (۱۳۹۴/۴/۲۳، ۲۰:۴۷:۰۱ عصر) ، saeed_same (۱۳۹۴/۴/۲۴، ۰۰:۱۹:۵۹ صبح) ، shila30 (۱۳۹۴/۴/۲۴، ۰۲:۳۴:۳۹ صبح)
#2
سلام
اکثر هاست هایی که ارائه میشه خود سرور زده این هاست اشتراکی هست. پس اینجوری هم نمیشه گفت نوعی باگ محسوب میشه. معمولا هم در هاست های اشتراکی دسترسی دیتا بیس به خریدار هاست داده نمیشه و خود مدیران ارائه دهنده هاست تغییرات را اعمال می کنند. از این رو فکر نمی کنم مشکلی پیش بیاد و تا الان هم هیچ مورد و مشکل امنیتی از این دسته در cpanel مشاهده و گزارش نشده!
وقتی میشه گفت باگ وجود داره که فرد a بتونه از هاست خودش به هاست فرد b نفوذ کنه!! الان این اتفاق میفته؟
محفل شاعران
انجمن ادبی شعر ایران

__________________________________________
__________________________________________

[تصویر:  hyircxtl9nxqahty76d2.gif]
پاسخ
#3
سلام.
میشه الان که اسکریپت نصب شده هم یوزر دیتابیس رو عوض کرد؟
پاسخ
#4
بله میشه هر زمان یوزر و پسوورد رو عوض کرد. ولی باز هم با اطمینان 100 درصد میگم هیچ باگی وجود نداره و هیچ اطلاعاتی از هیچ سایتی در اختیار کس دیگه از طریق هاست قرار نمیگیره!! اصلا محاله یه نمونه اگر برای من مثال بزنه کسی مممنون میشم Smile

و با عرض پوزش راهکارهایی که گفتین برای مقابله اصلا ربطی نداره به این باگ جالبی که کشف کردین!
1- نام دیتابیس و یوزر دیتابیس تا حد امکان متفاوت از هم باشن ( این ربطی نداره اگر میتونه متصل بشه یوزر پس هرچی باشه متصل میشه)
2- پسورد های انتخابی برای یوزر دیتابیس شامل حروف کوچک، حروف بزرگ، اعداد و علائم و کاراکتر های مجاز باشه(پاسخ این هم همون مورد 1)
4- سطوح دسترسی فایل های درون هاست رو حتما استاندارد انتخاب کنید ( Smile  )
6- دسترسی های وب و هاستتون رو به افراد مورد اعتماد بدید فقط در غیر اینصورت مشخص نیست که با هاست شما چکار خواهند کرد. خرابکاری هاشون ممکنه یا به صورت مستقیم و لحظه ای یا به صورت غیر مستقیم و به این شکل باشه.(این موضوع هم ربطی به اتصال دیتابیس ها به هم نداشت)

ببخش firstboy000 جان من تا برام مشخص نشه و سند مشخص و مستدلل نیاری نمیتونم بپذیرم. منطق
محفل شاعران
انجمن ادبی شعر ایران

__________________________________________
__________________________________________

[تصویر:  hyircxtl9nxqahty76d2.gif]
پاسخ
#5
تنها راه نفوذ به یک هاست از طریق اسکریپتی هست که روی اون نصب میشه! البته فکر کنم!
پاسخ
#6
(۱۳۹۴/۴/۲۳، ۲۲:۴۵:۲۴ عصر)مهربان نوشته است: سلام
اکثر هاست هایی که ارائه میشه خود سرور زده این هاست اشتراکی هست. پس اینجوری هم نمیشه گفت نوعی باگ محسوب میشه. معمولا هم در هاست های اشتراکی دسترسی دیتا بیس به خریدار هاست داده نمیشه و خود مدیران ارائه دهنده هاست تغییرات را اعمال می کنند. از این رو فکر نمی کنم مشکلی پیش بیاد و تا الان هم هیچ مورد و مشکل امنیتی از این دسته در cpanel مشاهده و گزارش نشده!
وقتی میشه گفت باگ وجود داره که فرد a بتونه از هاست خودش به هاست فرد b نفوذ کنه!! الان این اتفاق میفته؟

درود، هاست اشتراگی لفظی هست که برای یک مفهوم پایه بکار برده میشه. شما یک کامپیوتر دارید، رم و سی پی یو و تمام سخت افزارش فقط مختص شماست اما در حالت بالا یک سرور همون کامپیوتر با مثلا رم 2 گیگ هست که 10 نفر هم زمان دارن استفاده میکنن. به همین جهت میگن اشتراکی که سخت افزارش share شده.
در هاست های اشتراکی هم دسترسی ساخت و مدیریت دیتابیس به شما که خریدار باشی داده میشه، در سی پنل شما میتونی از طریق MySQL Database Wizard دیتابیس و یوزر جدیدی تعریف کنید(امکان ساخت توی سی پنل فقط و فقط منحصر به این قسمت هست) و از طریق phpMyAdmin مدیریت خودتون رو انجام بدید. (مدیران و صاحبان اصلی سرور به هاست شما باید دسترسی داشته باشن چون طبق قوانینی و درصورت لزوم با داشتن حکم قضایی هاست شما توسط پلیس فتا باید چک بشه و موارد دیگه ای چون مدیریت پیگیری اسکریپت های نال شده و...)

اگر دسترسی کاربر ها چه مستقیم ویا چه غیر مستقیم به دیتابیس و فایل ها آزاد باشه خب هاست دهی مفهومی نداره، به چند نفر که خریدارن میگن بفرمایید اینم مشخصات ورود خدمت شما فقط خواهشا به دیتابیس و فایلای بقیه کاری نداشته باشید، ممنون میشم ازتون Wink

الان هم میشه گفت همون فرد a از هاستش به دیتابیس های فرد b که روی همون سرور هست میتونه نفوذ کنه.

نقل‌قول: ولی باز هم با اطمینان 100 درصد میگم هیچ باگی وجود نداره و هیچ اطلاعاتی از هیچ سایتی در اختیار کس دیگه از طریق هاست قرار نمیگیره!! اصلا محاله یه نمونه اگر برای من مثال بزنه کسی مممنون میشم 
من خودم هاستینگ دارم و این اتفاق رو شب نخوابیدم صبح پاشم ببینمBig Grin
در تاپیک اصلی که توی انجمن تیم گذاشتیم که توضیحات کامل تری روش ارائه شده

نقل‌قول: و با عرض پوزش راهکارهایی که گفتین برای مقابله اصلا ربطی نداره به این باگ جالبی که کشف کردین!
1- نام دیتابیس و یوزر دیتابیس تا حد امکان متفاوت از هم باشن ( این ربطی نداره اگر میتونه متصل بشه یوزر پس هرچی باشه متصل میشه)
2- پسورد های انتخابی برای یوزر دیتابیس شامل حروف کوچک، حروف بزرگ، اعداد و علائم و کاراکتر های مجاز باشه(پاسخ این هم همون مورد 1)
4- سطوح دسترسی فایل های درون هاست رو حتما استاندارد انتخاب کنید ( [تصویر:  smile.gif]  )
6- دسترسی های وب و هاستتون رو به افراد مورد اعتماد بدید فقط در غیر اینصورت مشخص نیست که با هاست شما چکار خواهند کرد. خرابکاری هاشون ممکنه یا به صورت مستقیم و لحظه ای یا به صورت غیر مستقیم و به این شکل باشه.(این موضوع هم ربطی به اتصال دیتابیس ها به هم نداشت)

دقت کنید گفتم: راهکار های مقابله و کاهش خطر
شما قفل خونتو عوض میکنی، بجای در چوبی در ضد سرقت میذاری اما آیا دیگه راه ورود به منزل شما نیست؟ هست شما تنها کاهش خطر کردید.
این هم راه رفعش نیست بلکه تا حدودی احتمال خطر رو کاهش میدی و با اینکار تا حدود زیادی با این مسئله مقابله کردی. اما چطور؟ با توجه به شماره ها عرض میکنم

1- یکسان بودن یوزر و نام دیتابیس در اکثر سایت ها دیده شده، پس یک هکر برای شروع کارش از یک یوزر و نام استفاده میکنه چون اکثریت رو پوشش میده، اگر متفاوت باشه راه پیدا کردنش به صورت کرکینگ سخت تر میشه.

2- و دقیقا پاسخ این هم همون 1 بود، چون راه کرک پسورد رو سخت تر میکنه براش.(از بین نمیبره ام اگر پسورد قوی و با طول مناسب باشه اینکه پسورد رو پیدا کنه به صفر میرسه)

4- برای برخی اسکریپت ها هست با دسترسی نا مناسب و عدم استاندارد سازی اسکریپت به راحتی فایل کانفیگ که حاوی اطلاعات اصلی هست دانلود میشه و هکر به راحتی میتونه از اون ها برای نفوذ و خرابکاری هاش استفاده کنه. و یا سایر موارد مورد بحث در این رابطه.

6- موارد 4 و 6 به صورت کلیت گفته شده، گاهی اوقات شما به افرادی دسترسی میدید که مورد اطمینان نیستن، کاری که خواستید انجام میشه، کاری که شما باید بکنید اینه که تمام یوزر و پسورد ها رو تغییر بدید؛ شما هم یوزر پسورد های اصلی هاست و کاربری مدیریت رو تغییر میدید. «خرابکاری غیر مستقیم به این شکل: اما بعد از مدتی میبینید که دیتابیس شما قسمت های متون مطالب همگی به متنی تبدیل شده که اظهار میکنه شما هک شدید.(راحت بگیم بعضیا یک کرم خالص درونشون هست وگرنه بیکار نیستن که هک کنن بخاطر اون کرمه گفتم) حالا که شما نمیدونید کی اینکارو کرده، اون فرد هم هروقت برید سراغش میگه مگه من دسترسی داشتم؟مگه شما رمز هاتو عوض نکرده بودی؟(اینجا باید بدونی که عوض نکردن رمز دیتابیست باعث این مسئله شده)»   
این حالت شما 6 صرفا بخاطر اذیت کردن سایت های بزرگ پیش میاد که هکر بصورت غیر اتفاقی و عمدی هزینه میکنه، هاستی رو تهیه میکنه که شما هم روی اون سرور هستید و ادامه ماجرا




نقل‌قول: ببخش firstboy000 جان من تا برام مشخص نشه و سند مشخص و مستدلل نیاری نمیتونم بپذیرم. منطق

بله حق با شماست و عقل مسلم میگه که تا چیزی براتون به اثبات نرسیده وجود نداره. متن کامل واضح بوده و میتونید تست کنید، اما من این امکان رو به شما و چند تن از دوستان میدم که با Team Viewer این مسئله رو با من چک کنید. دوستانی که میخوان میتونن اعلام کنن بصورت پیغام خصوصی تا طی یک ساعت مشخص کار رو در مقابل شما انجام بدم. ویدئو هم گرفته میشه و روی سایت گذاشته میشه.
نصب و آپدیت انجمن مای بی بی | پلاگین و پوسته | تغییرات داخلی انجمن
نصب و بروزرسانی وردپرس طراحی پوسته های وردپرسی سبک با سئوی بالا
شخصی سازی پوسته های مای بی بی و وردپرس
طراحی سیستم مدیریت محتوای اختصاصی و خاص با برترین زبان های برنامه نویسی دنیا
جهت سفارش در تلگرام: firstboy000@
پاسخ
 سپاس شده توسطe.b35927 (۱۳۹۴/۴/۲۴، ۱۰:۵۴:۳۰ صبح) ، motorola30 (۱۳۹۴/۴/۲۴، ۱۲:۵۳:۲۰ عصر)
#7
(۱۳۹۴/۴/۲۴، ۰۲:۳۵:۳۴ صبح)shila30 نوشته است: سلام.
میشه الان که اسکریپت نصب شده هم یوزر دیتابیس رو عوض کرد؟

درود، همونطور که دوستمون گفتن بله میشه، آموزشش باید باشه توی انجمن اما بصورت خلاصه عرض میکنم.
بعد از تغییر پسورد و یا یوزر و یا حتی نام دیتابیس وارد inc > سپس فایل config.php رو ویرایش کنید. توی سطر های اول نام دیتابیس، یوزر دیتابیس و پسوردش دیده میشه که میتونید با اطلاعات جدید تغییرش بدید.


(۱۳۹۴/۴/۲۴، ۰۸:۵۹:۲۶ صبح)e.b35927 نوشته است: تنها راه نفوذ به یک هاست از طریق اسکریپتی هست که روی اون نصب میشه! البته فکر کنم!

خیر، راه های متعددی وجود داره و تنها راه نیست.

یک مورد دیگه هم برای کاهش خطر یادآوری شد تو ذهنم که به پست اول اضافه میکنم.
نصب و آپدیت انجمن مای بی بی | پلاگین و پوسته | تغییرات داخلی انجمن
نصب و بروزرسانی وردپرس طراحی پوسته های وردپرسی سبک با سئوی بالا
شخصی سازی پوسته های مای بی بی و وردپرس
طراحی سیستم مدیریت محتوای اختصاصی و خاص با برترین زبان های برنامه نویسی دنیا
جهت سفارش در تلگرام: firstboy000@
پاسخ
 سپاس شده توسطe.b35927 (۱۳۹۴/۴/۲۴، ۱۰:۵۵:۴۴ صبح)
#8
بی صبرانه منتظرم دلیل و فیلمی که گفتی رو ببینم Big Grin
محفل شاعران
انجمن ادبی شعر ایران

__________________________________________
__________________________________________

[تصویر:  hyircxtl9nxqahty76d2.gif]
پاسخ
 سپاس شده توسطشماره مجازی (۱۴۰۱/۸/۲۶، ۰۱:۴۸:۰۲ صبح) ، گراف مسنجر (۱۴۰۱/۱۰/۳، ۰۴:۱۰:۲۷ صبح) ، چارتر ۴۲۴ (۱۴۰۲/۹/۱۲، ۱۵:۰۹:۴۲ عصر)


پرش به انجمن:


کاربرانِ درحال بازدید از این موضوع: 1 مهمان