::AmiR:: 258 ارسال شده در خرداد 93 گزارش بازنشر ارسال شده در خرداد 93 (ویرایش شده) سلام و خداقوتدوستان ضاهرا دیشب سایت بنده مورد حمله ی Symlink قرار گرفته و تا ظهر ساعت 12 توی سرور ایجاد مشکل کرده و به گفته ی مدیر سرور 400 سایت را داون کرده بود.الان هم عصبانی و به بنده گفتن به هیچ وجه میزبانی نمی کنیم و باید از سرور دیگری استفاده کنم.به عنوان یک آماتور یه سوال دارم1- آیا خود سرور به صورت خودکار در این مواقع نمیتونه همون موقع جلو Symlink رو بگیره و سایت رو ساسپند کنه تا برای دیگر کاربرا مشکل ایجاد نکنه؟2- آیا با تحت حمله قرار گرفتن واقعا باید از سرور اخراج بشم؟3- جطور میتونم در آینده از بروز این مشکل جلوگیری کنم ؟ممنون میشم راهنمایی بفرمائید.تنها لاگی که بهم دادنSymlink Attack detected in /home/...../public_html/wp-content/themes/twentyten/images/configwebTime: Sat May 31 06:21:53 2014 +0430Account: lengehDirectory: /home/...../public_html/wp-content/themes/twentyten/images/configweb----------- SCAN REPORT -----------TimeStamp: Fri May 30 12:18:59 2014(/usr/sbin/cxs --allusers --clamdsock /var/clamd --doptions Mv --exploitscan --filemax 0 --ignore /etc/cxs/cxs.ignore --mail root --options mMOLfSGchexdnwZDRu --qoptions Mv --quiet --sizemax 500000 --smtp --summary --timemax 30 --virusscan --Wloglevel 0 --Wmaxchild 3 --Wrateignore 300 --Wrefresh 7 --Wsleep 3 --Wstart --Wsymlink /etc/cxs/symlinkdisable.example.pl --Wsymlinkmax 5 --Wsymlinksec 300 --www)cxswatch Scanning /home/..../public_html/wp-content/themes/twentyten/images/configweb/config.root:# Known exploit = [Fingerprint Match] [php Symlink Exploit [P0267]]:'/home/...../public_html/wp-content/themes/twentyten/images/configweb/config.root'TimeStamp: Fri May 30 12:18:59 2014(/usr/sbin/cxs --allusers --clamdsock /var/clamd --doptions Mv --exploitscan --filemax 0 --ignore /etc/cxs/cxs.ignore --mail root --options mMOLfSGchexdnwZDRu --qoptions Mv --quiet --sizemax 500000 --smtp --summary --timemax 30 --virusscan --Wloglevel 0 --Wmaxchild 3 --Wrateignore 300 --Wrefresh 7 --Wsleep 3 --Wstart --Wsymlink /etc/cxs/symlinkdisable.example.pl --Wsymlinkmax 5 --Wsymlinksec 300 --www)cxswatch Scanning /home/...../public_html/wp-content/themes/twentyten/images/root.php:# ClamAV detected virus = [php.C99Shell]:'/home/...../public_html/wp-content/themes/twentyten/images/root.php'لازم به ذکر است من قالبی با پوشه ی twentyten نداشتم ویرایش شده خرداد 93 توسط ::AmiR:: 1 نقل قول لینک به ارسال
SM-Mahdavi 5427 ارسال شده در خرداد 93 گزارش بازنشر ارسال شده در خرداد 93 سلامفکر می کنم داخل سرورهای اشتراکی امنیت بقیه سایت ها رو خود هاستینگ باید تامین کنه و ربطی به مشترکین نداره. 2 نقل قول لینک به ارسال
::AmiR:: 258 ارسال شده در خرداد 93 مالک گزارش بازنشر ارسال شده در خرداد 93 والله چیزی که به من گفته دقیقا این بودهباسلامحمله فوق یکی از بدترین موارد هست و این مورد باعث دان شدن سرور ما شده، اکانت شما تهت هیچ شرایطی باز نخواهد شد، به هیچ عنوان پیگیری نکنید و اصرار هم ننمایید چون در غیر اینصورت مجبوریم همه اکانت های شما را مسدود نماییم.-ما به شما هیچ کمکی نمیتونیم بکنیم، چون اینگونه حملات غیر قابل کنترل هستن و ما 400 سایت را به بخاطر یک سایت که روی آن حمله هست نمی توانیم فدا کنیم، سایت شما را در جای دیگری میزبانی کنید، در پست قبلی عنوان کردم اگر بخواهید اصرار بی مورد کنید مجبور به مسدود کردن همه اکانت های شما می شوم.-اون symlink که در لینک های توضیح داده شما عنوان شده باعث میشه هکر دسترسی روت بگیره ولی در اینجا هکر هیچ کاری نتونسته بکنه غیر از اینکه برای خودش هزینه بتراشد و Symlink Attack اتک کند و باعث دان شدن سرور ما شود.بنده به گناه شما و یا دیگران کاری ندارم، گناه ما چیست که اعتبارمون بخاطر یک سایت شما زیر سوال برود و از صبح تا الان بالای 100 تا تلفن جواب داده شود؟سایت شما باز نمی شود پس با کلمات بازی نکنید چون بنده اصلا تایم پاسخ داده به تیکت ها تکراری را ندارم!- 1 نقل قول لینک به ارسال
Pois0nous 105 ارسال شده در خرداد 93 گزارش بازنشر ارسال شده در خرداد 93 كدوم هاستينگه كه اينجوري جواب ميده؟ :| 2 نقل قول لینک به ارسال
kasra 4929 ارسال شده در خرداد 93 گزارش بازنشر ارسال شده در خرداد 93 سلامحملات symlink ؟ !symlink یک دسترسی بعد از هک هست که هکر میتونه با اون برای خودش دسترسی بگیره یا ...معمولا مانیتورینگ هاستینگ های اشتراکی خاموش هست و در مواقعی که لازم دارند فعال میکنند اما یه همچین حمله های ساده ای رو خود سرورها باید جلوگیری کنن2 - خیر مسئول اصلی تامین امنیت هاست های اشتراکی خود مدیران سرور هستند ( اگر vps یا ... بودید باید خودتون امنیت رو تامین میکردید )3 - هاستینگتون رو عوض کنید و توی انجمن به قسمت آموزش امنیت وردپرس برید و کارهای لازم رو انجام بدید 3 نقل قول لینک به ارسال
::AmiR:: 258 ارسال شده در خرداد 93 مالک گزارش بازنشر ارسال شده در خرداد 93 كدوم هاستينگه كه اينجوري جواب ميده؟ :|چی بگم والله.اسم نبرم بهتره. 1 نقل قول لینک به ارسال
Pois0nous 105 ارسال شده در خرداد 93 گزارش بازنشر ارسال شده در خرداد 93 (ویرایش شده) عزيز چيزي لازم نيست بگي! شما بايد طلبكار باشيد نه اون!اول بهش بگو چه طرز حرف زدنه! وقت نداري تيكت جواب بدي براي چي هاست زدي؟ بعد بهش بگو مگه سرور هاتون رو از مايكروسافت خريدين ٤٠٠ تا سايت رو ريختين توش؟ما تا جايي كه ديديم بيشتر از ١٠٠-١٢٠ نفر رو يك سرور نمي ريزن!مشكل هم از اونايه! امنيت فقط تو سرور اختصاصي با شماست! هر مشكلي از طريق سرور براي سايتتون پيش ميومد تقصير اونا بوده نه شما!( در ضمن يك بكاپ بگيريد و منتقل كنيد يه جاي ديگه قبل از زدن اين حرفا )هاست پيشنهادي:Http://parspack.comدر ضمن سايت رو توي cloud flare هم ثبت كنيد! ویرایش شده خرداد 93 توسط Pois0nous 4 نقل قول لینک به ارسال
::AmiR:: 258 ارسال شده در خرداد 93 مالک گزارش بازنشر ارسال شده در خرداد 93 مشكل هم از اونايه! امنيت فقط تو سرور اختصاصي با شماست! هر مشكلي از طريق سرور براي سايتتون پيش ميومد تقصير اونا بوده نه شما!در ضمن سايت رو توي cloud flare هم ثبت كنيد!مشکل این هست که پشتیبانی میگه چون از سایت شما حمله شده بنابر این مسئولیتش با شماست قدرت دست خودشونه دیگه مگه کاری دیگه ای هم میشه انجام داد!!! 2 نقل قول لینک به ارسال
پست های پیشنهاد شده
به گفتگو بپیوندید
هم اکنون می توانید مطلب خود را ارسال نمایید و بعداً ثبت نام کنید. اگر حساب کاربری دارید، برای ارسال با حساب کاربری خود اکنون وارد شوید .