صفحات (5): « اولين < قبلی 1 [2] 3 4 5 بعدی > آخرين »
بررسی فنی مشکلات امنیتی ویرچو
نويسنده پيغام
ramindiba
Member
***


ارسالها: 234
گروهها: Registered
ورودى‌ها: ارد 1385
وضعيت: آفلاين
اعتبار: 3
پست: #11
RE: فاتحه این اسکریپت رو بخونید !!!

دوستان معذرت میخوام کمی گرفتارم اما خیلی زود همه چیز رو براتون مینویسم.
این ایرانی هیچ کاری نتونسته بکنه از اشکال ایتور در ادمین سواستفاده کرده فقط فایل کپی کرده.




توانمندی این پورتال را در فروشگاههای ما ببینید :
نسخه جدید :

فروشگاه تخصصی نرم افزار کیش و مات

کلوب اینترنت

نسخه قدیمی :

فروشگاه تخصصی تجهیزات بارکدی دیبا

فروشگاه تی تی مارکت

08-08-1389 08:21 قبل‌ازظهر
مشاهده وب سایت کاربر پیدا کردن تمامی ارسالهای کاربر
dani
Junior Member
**


ارسالها: 23
گروهها: Registered
ورودى‌ها: شهر 1388
وضعيت: آفلاين
اعتبار: 0
پست: #12
RE: فاتحه این اسکریپت رو بخونید !!!

ramindiba نوشته شده:
دوستان معذرت میخوام کمی گرفتارم اما خیلی زود همه چیز رو براتون مینویسم.
این ایرانی هیچ کاری نتونسته بکنه از اشکال ایتور در ادمین سواستفاده کرده فقط فایل کپی کرده.


آقا رامین منتظریم شدیدا



08-08-1389 07:57 بعدازظهر
پیدا کردن تمامی ارسالهای کاربر
Gorgeaseman
یک فیلم ، یک تجربه
***
tester

ارسالها: 366
گروهها: tester
ورودى‌ها: تیر 1388
وضعيت: آفلاين
اعتبار: 2
پست: #13
Wink  RE: فاتحه این اسکریپت رو بخونید !!!

کماکان منتظریم! Shy




 
فرمان دادم تا بدنم را بدون این که مومیایی کنند و یا در تابوت بگذارند در گور قرار دهند تا ذرات تنم خاک ایران شود.

>> کورش کبیر <<

 
08-11-1389 02:20 قبل‌ازظهر
مشاهده وب سایت کاربر پیدا کردن تمامی ارسالهای کاربر
ramindiba
Member
***


ارسالها: 234
گروهها: Registered
ورودى‌ها: ارد 1385
وضعيت: آفلاين
اعتبار: 3
پست: #14
دلایل من !!!

سلام
دوستان آمدم که بعضی مطالب رو راجع به هک شدن این نوع فروشگاهها براتون بگم تا یادم نرفته.

1) اصلی ترین مسئله که تو کنترل سایت بهش برمیخوریم فولدر Images هست. برای ایجاد امنیت تو این فولدر بهترین روش اینکه نزاریم فایلی و اسکریپتی از اونجا اجرا بشه. پس :
یا این
.zip File  htaccess.zip (اندازه: 314 بایت / دريافت‌ها: 33) فایل
رو اونجا کپی کنید . این کار باعث میشه که اگه به هر نحوی کسی به اون فولدر دسترسی پیدا کرد و فایلی کپی کرد نتونه اجراش کنه .(هر فایلی با ورژنی از PHP و tml|cgi|txt|pl|exe ) .
این کار رو برای هر دو تا فولدر images هم ریشه و هم ادمین انجام بدهید.

2) کار بعدی ما اینکه بعضی فولدر ها رو هم امن کنیم مثلا : فولدر admin برای اینکار بهترین روش اینکه اسم اونو رو با هر چیزی که میخواهیم عوض کنیم. البته برای این کار باید تو فایل config.php تغییراتی هم بدهید. یعنی عبارت admin را با عبارت دلخواهتون عوض کنید. اگه دوست ندارید این کار رو بکنید روش بعدی رو بخونید.

3) از کنترل پانل سایتتون به قسمت Password Protect Directories برید و اگه FrontPage Extensions رو هاستتون نصب نشده باشه میتونید با انتخاب نام فولدر admin قسمت Password protect this directory رو با عبارت admin تیک در آن و نیز اضافه کردن یک نام کلمه عبور و کلمه رمز در پایین آن بهترین امنیت رو برای قسمت مدیریت ایجاد کنید.
من چندین مشکل رو برای این قسمت با روشهای مختلف حل کردم اما باز مسئله پابرجا بود و این بهترین روش هست. چرا ؟ چون موقع ورود به ادمین یه رمز و کلمه عبور میگیره .

حالا چی شد که به فکر ایجاد امنیت تو این قسمت افتادم؟ طی دو ماه گذشته و جالب اینکه مصادف با تغییر سرور خودمون دیدم حملات به سایتها زیاد شده ، کنترل کردم و دیدم که فایلهایی بدون اطلاع من در فولدر images کپی میشن !!!

مورد اول :
اسم برخی رو براتون مییارم :
AmIr-MaGiC.txt در فولدر banner و file و flash . البته این فولدرها به خاطر استفاده از ویرایشگر متنی fckeditor ایجاد شدن.
هر روز من پاک میکردم و کمی کنترل بر روی پرمیژن فولدرها ، اما باز بودن . خوب از قسمت Raw Access Log کنترل پانل پیدا کردم کسی بدون اطلاع من داره از فایلهای موجود test.html و uploadtest.html در admin\fckeditor\editor\filemanager\connectors برای کپی کردن فایلهای موردنظرش استفاده میکنه. حالا چرا این فایلها اونجا بودن؟ چون من به هنگام آپگرید این ویرایشگر یادم رفته بود اونها رو حذف کنم. چون برای نمایش عمکرد آزمایشی این ادیتور به صورت پیش فرض اونجا قرار دارند.

مورد دوم :
یکی از دوستان اعلام کرده بود بدون اطلاع وی به تعداد سازندگان اضافه میشه !!! و بقیه روشهایی رو برای این کار پیشنهاد داده بودن که درست نبود. کنترل کردم و متوجه شدم در یکی از سایتهای من این اتفاق به گونه ای متفاوت رخ داده . یعنی سازنده ای بدون نام ایجاد شده و تصویری وجود نداره. تو ویرایش نام این سازنده متوجه شدم فایلی با نام google xxxxxxxxxx.php وجود داره. البته xxxxx ها یعنی اعداد مختلف. کنترل در ریشه سایت نشون داد که این فایلها در ریشه (root) سایت قرار دارند مثلا با نامهای : goog1e1a677faec98e.php و goog1e70479863b2357.php و نامهای دیگه !!!
البته این فایلهای حاوی دستوراتی برای انتقال فایل بودن که زیاد آنالیزشون نکردم . چیکار کردم؟ اول روی فایل manufacturers.php تو ادمین تغییراتی دادم .(چند تا کد رو اصلاح کردم).

تا اینجا من مورد خطرناکی رو که باعث بشه خطری برای سایت پیش بیاد مشاهده نکرده بودم تا اینکه :

مورد سوم :
اتفاقی به یکی از سایتهام که اتفاقا عملیات امنیتی انجام داده بودم سر زدم و دیدم به جای نام شاخه محصولات عبارت : By Alen نوشته شده !!! و اگه روش کلیک کنی پنجره ای باز میشه و اینو رو مینویسه : Hacked By Shichemt Alen !!! هر چی تو وب گشتم دیدم این یارو کارش چیز دیگه ای بوده و این کار رو صرفا برای خشنودی روح امواتش انجام داده . چون کارش هک های خشن هست و به ما رحم کرده.
تا الان هم کمی جستجو کردم اما نتونستم مطلبی پیدا کنم که از چه باگی این طرف استفاده کرده تا نفوذ کنه.

مورد چهارم :
فایلهای define_language.php و file_manager.php از پوشه admin رو پاک کنید. چون خطای برنامه نویسی دارن و اجازه آپلود و تغییر در فایلها رو هکر میدهند.

موند یه مورد خوش شانسی ما :
تو اکثر فایلهای آپلود شده از دستور eval استفاده شده که توسط سرور ما بلوک میشد و اجرا نمیشد. والا معلوم نبود چی بر سر سایتهامون میامد.

اما چیزی که برای عجیبه با اینکه من تمام مواردامنیتی ( البته بیشتر از اونکی که گفتم رو ) انجام داده بودم باز تو ریشه یکی از سایتها این فایل shopping_carts.php رو دیدم که آنتی ویروس سیستم هم پیداش میکنه ! (یه s بیشتر داره).

این موارد هم برام نامشخصه :
موارد قبلی یه فایلی رو ارسال کردن اما چطوری هکر این فایل farsi_header.php و cookie_usage.php رو دستکاری کرده؟
باینکه فولدر تصاویر رو هم بستم باز فایل تو ریشه کپی میشه؟
من دو تا فایل مورد چهار رو خیلی قبل حذف کرده بودم اما باز فایلها کپی میشدند؟!!!

فعلا که با انجام روش سوم که گفتم کمی از خطرات کم شده اما به محض اینکه فهمیدم بهتون اطلاع میدم .

موفق باشید.


دستمزد من فقط یک کلیک بر روی تشکر هست !!!




توانمندی این پورتال را در فروشگاههای ما ببینید :
نسخه جدید :

فروشگاه تخصصی نرم افزار کیش و مات

کلوب اینترنت

نسخه قدیمی :

فروشگاه تخصصی تجهیزات بارکدی دیبا

فروشگاه تی تی مارکت

اين ارسال آخرين بار در تاريخ: 04-25-1390 03:07 قبل‌ازظهر ويرايش شده است. شخص ويرايشگر: ramindiba.

08-11-1389 06:59 قبل‌ازظهر
مشاهده وب سایت کاربر پیدا کردن تمامی ارسالهای کاربر
dani
Junior Member
**


ارسالها: 23
گروهها: Registered
ورودى‌ها: شهر 1388
وضعيت: آفلاين
اعتبار: 0
پست: #15
RE: فاتحه این اسکریپت رو بخونید !!!

اولین فایلی که روی سرور من عوض شده بود cookie_usage بود که به نطرم از فایل define_language این کارو انجام داده یکم سرچ کردم دیدم این فایل رو باید چند ماه پیش باید از سرور پاک میکردم(البته مطمین نیستم از این طریق این کارو کرده یا نه) شما هم سریع این فایل رو پاک کنید



08-11-1389 07:25 قبل‌ازظهر
پیدا کردن تمامی ارسالهای کاربر
ramindiba
Member
***


ارسالها: 234
گروهها: Registered
ورودى‌ها: ارد 1385
وضعيت: آفلاين
اعتبار: 3
پست: #16
RE: فاتحه این اسکریپت رو بخونید !!!

جالبه تو این مدت که این تاپیک رو زدیم بازدید کننده ای به آن صورت نداشته. یعنی امنیت همه برقراره یا اینکه کسی اصلا امنیت لازم ندارن !!!




توانمندی این پورتال را در فروشگاههای ما ببینید :
نسخه جدید :

فروشگاه تخصصی نرم افزار کیش و مات

کلوب اینترنت

نسخه قدیمی :

فروشگاه تخصصی تجهیزات بارکدی دیبا

فروشگاه تی تی مارکت

08-18-1389 08:05 قبل‌ازظهر
مشاهده وب سایت کاربر پیدا کردن تمامی ارسالهای کاربر
Gorgeaseman
یک فیلم ، یک تجربه
***
tester

ارسالها: 366
گروهها: tester
ورودى‌ها: تیر 1388
وضعيت: آفلاين
اعتبار: 2
پست: #17
RE: فاتحه این اسکریپت رو بخونید !!!

مسئله این نیست! فروم کم کم داره خالی از سکنه میشه!!!




 
فرمان دادم تا بدنم را بدون این که مومیایی کنند و یا در تابوت بگذارند در گور قرار دهند تا ذرات تنم خاک ایران شود.

>> کورش کبیر <<

 
08-18-1389 08:36 قبل‌ازظهر
مشاهده وب سایت کاربر پیدا کردن تمامی ارسالهای کاربر
Samad Kushan
توسعه دهنده
*****
developer

ارسالها: 185
گروهها: developer
ورودى‌ها: تیر 1388
وضعيت: آفلاين
اعتبار: 7
پست: #18
بررسی فنی مشکلات امنیتی ویرچو

با سلام
لازم می دانم توضیحات زیر را در مورد بحث انجام گرفته به اطلاع دوستان برسانم، امیدوارم اینگونه بحثها فارغ از هرگونه غرض های شخصی و یا منافع رقابتی صورت گیرد تا باعث پیشرفت هرچه بیشتر این پروژه آزاد گردد.
1- در هنگام بررسی مشکلات امنیتی ویرچو باید موارد زیر را لحاظ قرار دهیم:
الف- هسته ویرچو osc می باشد که توسط هزاران هزار فروشگاه فعال در سراسر جهان استفاده می شود که از آنها می توان به هسته فروشگاه های غولهای نرم افزاری همچون گوگل و موزیلا و اوبونتو و یا linux.com اشاره کرد:
http://www.google-store.com/index.php?cPath=21
http://intlstore.mozilla.org/index.php?cPath=4
http://shop.canonical.com/index.php?cPath=14
http://store.linux.com/index.php?cPath=1
این گستردگی استفاده باعث شده است که این هسته توسط تعداد زیادی از هکر های بسیار حرفه ای به شیوه های مختلف تست امنیتی شود و نمی توان ادعا کرد که مثلا یک فروشگاه ساز x ایرانی که کل فروشگاههایی که تابحال با اون راه اندازی شده به هیچ عنوان بیشتر از 500 تا نیستن و تابه حال توسط حتی یک هکر حرفه ای تست نشده، امن هست چون تابحال گزارش مشکل امنیتی نداشته است.
ب- با توجه به اینکه از انتشار نسخه 1.1.1 مدت زمان زیادی سپری شده است، مشکلات امنیتی معدودی هم که گزارش شده است، باقی مانده است.

2- مشکلات امنیتی گزارش شده شامل 3 مورد به صورت کلی می باشد که از جد پروژه یعنی oscommerce به ارث رسیده است و در اینترنت نیز موجود می باشد که در فایلهای زیر می باشد:
الف- file_manager.php
ب- define_language.php
ج- application_top.php
شایان ذکر می باشد که تمامی این موارد در قسمت مدیریت می باشد و قسمت کاتالوگ فروشگاه برخلاف مطلبی که عنوان شده، مشکل امنیتی ندارد و یا حداقل تا حالا توسط تیم توسعه دهندگان یافت نشده است و یا گزارشی از نفوذ از این قسمت نه برروی فروشگاههای ویرچو و یا osc مشاهده نشده است.
3- یک مشکل امنیتی دیگر نیز وجود دارد، که توسط توسعه دهندگان ویرچو کشف شده و هیچگونه گزارشی از نفوذ از این طریق گزارش نشده است، این مورد نیز مربوط به بخش مدیریت می باشد و برای جلوگیری از سوء استفاده های احتمالی فعلا از ذکر جزئیات آن خودداری می کنیم.
4- مشکلات امنیتی مربوط به سطح دسترسی 777 شاخه images مربوط به تنظیمات نادرست سرور هاست می باشد و نه نرم افزار.
5- موردی که در مورد کپی فایلهای غیر مجاز برروی شاخه اصلی فروشگاه (کاتالوگ) مثلا با نام shopping_carts.php صورت گرفته است نیز احتمالا مربوط به مشکلات امنیتی سرور می باشد و نه نرم افزار.
6- مشکلات مربوط به fckeditor ربطی به ویرچو ندارد چون اصولا در نسخه ای که توسط تیم توسعه دهندگان بصورت رسمی منتشر شده است، از آن استفاده نشده است و حتی در نسخه 1.2 آزمایشی 2 نیز از یک ادیتور دیگر استفاده شده بود و نه fckeditor به نظر می رسد، بحث صورت گرفته برروی یک نسخه خصوصی سازی شده می باشد.
7- مشکلی در فایل cookie_usage یافت ندشه است و بنابراین دلیلی برای حذف این فایل وجود ندارد.
8- با توجه به طولانی شدن بیش از حد پروسه آماده سازی نسخه 1.5 که در آن تمامی مشکلات امنیتی یافت شده رفع شده اند، تیم ویرچو تصمیم گرفته است، یک نسخه میانی در چند روز آینده منتشر کند تا مشکلات امنیتی یافت شده نیز مرتفع شوند، شایان ذکر می باشد که این نسخه تنها مشکلات امنیتی یافت شده را تحت الشعاع قرار می دهد. بنابراین خواهشمند است در صورتیکه مشکل امنیتی ای غیر از مواردی که عنوان شده، وجود دارد، برای هرچه امنتر شدن نسخه میانی گزارش نمایید.
9 – توضیحات تکمیلی در مورد این نسخه میانی در چند روز آتی بعد از جلسه تیم توسعه دهندگان به اطلاع خواهد رسید.
10– در آخر جا دارد از جناب رامین تجلایی که وقت گذاشته اند و این مبحث را ایجاد و مطالب مفیدی را عنوان کرده اند تشکر کنم.
با توجه به اینکه بحث کاملا یک بحث فنی می باشد عنوان مبحث به یک متن با معنی تغییر یافت تا نشان دهنده محتویات آن باشد.
با تشکر
کوشان




Preserve my soul, for I am holy: save thy servant, O my God, that trusteth in thee.
Douay-Rheims Bible - Psalm 86:2

اين ارسال آخرين بار در تاريخ: 08-18-1389 11:11 بعدازظهر ويرايش شده است. شخص ويرايشگر: Samad Kushan.

08-18-1389 10:55 بعدازظهر
مشاهده وب سایت کاربر پیدا کردن تمامی ارسالهای کاربر
anf-b
Member
***


ارسالها: 94
گروهها: Registered
ورودى‌ها: تیر 1384
وضعيت: آفلاين
اعتبار: 0
پست: #19
RE: بررسی فنی مشکلات امنیتی ویرچو

با سلام به همه ی دوستان عزیز
در یکی از سایت هام که از ویرچو استفاده شده بود
با توجه به حمله شدید یک سری هکر و ویروسی کردن کل هاست ، سایت Reported Attack Page! شناخته شد
و جالبتر از همه اینه که در فولد images پوشه ای با نام phpMyAdmin-3.3.5.1-english یافت شد که اصلا قابل پاک شدن نیست!
حتی به هاستینگ هم اطلاع دادم ولی اونها هم فقط بخشی از اطلاعات این فولدر رو تونستند پاک کنند



08-21-1389 06:36 بعدازظهر
پیدا کردن تمامی ارسالهای کاربر
Samad Kushan
توسعه دهنده
*****
developer

ارسالها: 185
گروهها: developer
ورودى‌ها: تیر 1388
وضعيت: آفلاين
اعتبار: 7
پست: #20
RE: بررسی فنی مشکلات امنیتی ویرچو

با سلام
با توجه به تنظیمات برخی از سرورها owner فایلها و یا پوشه هایی که با php ایجاد می شوند با owner فایلها و پوشه هایی که با استفاده از پنل هاست ساخته می شوند متفاوت می باشند، و چون حذف اینگونه فایلها و یا پوشه ها باید توسط owner صورت گیرد، اجازه حذف به پنل هاست داده نمی شود.
بسیار عجیب است، که چه طور مسئولین فنی/امنیتی سرور از این سلسه مراتب سطوح دسترسی بدیهی برروی سرور خود مطلع نیستند!
بهرحال برای حذف این گونه فایلها باید اسکریپتی نوشته شود، و با اجرای این اسکریپت اقدام به حذف فایلها و پوشه ها کرد.
البته با توجه به تنظیمات سرور ، ممکن است شما قادر به تغییر نام اینگونه پوشه ها از طریق پنل هاست باشید.




Preserve my soul, for I am holy: save thy servant, O my God, that trusteth in thee.
Douay-Rheims Bible - Psalm 86:2
08-22-1389 09:30 بعدازظهر
مشاهده وب سایت کاربر پیدا کردن تمامی ارسالهای کاربر

نمايش نسخه قابل چاپ
فرستادن اين مبحث به يك دوست
مشترك شده در اين مبحث | افزودن اين مبحث به موارد موردعلاقه

پرش در انجمن: