آموزش های عمومیامنیتبخش وردپرسعمومیوردپرس

حمله Symlink Attack و دستور اخراج ما از سرور

حمله Symlink Attack و دستور اخراج ما از سرور
حمله Symlink Attack و دستور اخراج ما از سرور
حمله Symlink Attack و دستور اخراج ما از سرور
حمله Symlink Attack و دستور اخراج ما از سرور
حمله Symlink Attack و دستور اخراج ما از سرور

نوشته : AmiR

سلام و خداقوت

دوستان ضاهرا دیشب سایت بنده مورد حمله ی Symlink قرار گرفته و تا ظهر ساعت 12 توی سرور ایجاد مشکل کرده و به گفته ی مدیر سرور 400 سایت را داون کرده بود.الان هم عصبانی و به بنده گفتن به هیچ وجه میزبانی نمی کنیم و باید از سرور دیگری استفاده کنم.

به عنوان یک آماتور یه سوال دارم

1- آیا خود سرور به صورت خودکار در این مواقع نمیتونه همون موقع جلو Symlink رو بگیره و سایت رو ساسپند کنه تا برای دیگر کاربرا مشکل ایجاد نکنه؟

2- آیا با تحت حمله قرار گرفتن واقعا باید از سرور اخراج بشم؟

3- جطور میتونم در آینده از بروز این مشکل جلوگیری کنم ؟

ممنون میشم راهنمایی بفرمائید.

تنها لاگی که بهم دادن

Symlink Attack detected in /home/…../public_html/wp-content/themes/twentyten/images/configweb

Time: Sat May 31 06:21:53 2014 0430

Account: lengeh

Directory: /home/…../public_html/wp-content/themes/twentyten/images/configweb

———– SCAN REPORT ———–

TimeStamp: Fri May 30 12:18:59 2014

(/usr/sbin/cxs –allusers –clamdsock /var/clamd –doptions Mv –exploitscan –filemax 0 –ignore /etc/cxs/cxs.ignore –mail root –options mMOLfSGchexdnwZDRu –qoptions Mv –quiet –sizemax 500000 –smtp –summary –timemax 30 –virusscan –Wloglevel 0 –Wmaxchild 3 –Wrateignore 300 –Wrefresh 7 –Wsleep 3 –Wstart –WSymlink /etc/cxs/Symlinkdisable.example.pl –WSymlinkmax 5 –WSymlinksec 300 –www)

cxswatch Scanning /home/…./public_html/wp-content/themes/twentyten/images/configweb/config.root:

# Known exploit = [Fingerprint Match] [php Symlink Exploit [P0267]]:

‘/home/…../public_html/wp-content/themes/twentyten/images/configweb/config.root’

TimeStamp: Fri May 30 12:18:59 2014

(/usr/sbin/cxs –allusers –clamdsock /var/clamd –doptions Mv –exploitscan –filemax 0 –ignore /etc/cxs/cxs.ignore –mail root –options mMOLfSGchexdnwZDRu –qoptions Mv –quiet –sizemax 500000 –smtp –summary –timemax 30 –virusscan –Wloglevel 0 –Wmaxchild 3 –Wrateignore 300 –Wrefresh 7 –Wsleep 3 –Wstart –WSymlink /etc/cxs/Symlinkdisable.example.pl –WSymlinkmax 5 –WSymlinksec 300 –www)

cxswatch Scanning /home/…../public_html/wp-content/themes/twentyten/images/root.php:

# ClamAV detected virus = [php.C99Shell]:

‘/home/…../public_html/wp-content/themes/twentyten/images/root.php’

لازم به ذکر است من قالبی با پوشه ی twentyten نداشتم

نوشته : SM Mahdavi

سلام

فکر می کنم داخل سرورهای اشتراکی امنیت بقیه سایت ها رو خود هاستینگ باید تامین کنه و ربطی به مشترکین نداره.

نوشته : AmiR

والله چیزی که به من گفته دقیقا این بوده

باسلام

حمله فوق یکی از بدترین موارد هست و این مورد باعث دان شدن سرور ما شده، اکانت شما تهت هیچ شرایطی باز نخواهد شد، به هیچ عنوان پیگیری نکنید و اصرار هم ننمایید چون در غیر اینصورت مجبوریم همه اکانت های شما را مسدود نماییم.

ما به شما هیچ کمکی نمیتونیم بکنیم، چون اینگونه حملات غیر قابل کنترل هستن و ما 400 سایت را به بخاطر یک سایت که روی آن حمله هست نمی توانیم فدا کنیم، سایت شما را در جای دیگری میزبانی کنید، در پست قبلی عنوان کردم اگر بخواهید اصرار بی مورد کنید مجبور به مسدود کردن همه اکانت های شما می شوم.

اون symlink که در لینک های توضیح داده شما عنوان شده باعث میشه هکر دسترسی روت بگیره ولی در اینجا هکر هیچ کاری نتونسته بکنه غیر از اینکه برای خودش هزینه بتراشد و Symlink Attack اتک کند و باعث دان شدن سرور ما شود.

بنده به گناه شما و یا دیگران کاری ندارم، گناه ما چیست که اعتبارمون بخاطر یک سایت شما زیر سوال برود و از صبح تا الان بالای 100 تا تلفن جواب داده شود؟

سایت شما باز نمی شود پس با کلمات بازی نکنید چون بنده اصلا تایم پاسخ داده به تیکت ها تکراری را ندارم!

نوشته : Pois0nous

کدوم هاستینگه که اینجوری جواب میده؟ :|

نوشته : kasra

سلام

حملات Symlink ؟ !

Symlink یک دسترسی بعد از هک هست که هکر میتونه با اون برای خودش دسترسی بگیره یا …

معمولا مانیتورینگ هاستینگ های اشتراکی خاموش هست و در مواقعی که لازم دارند فعال میکنند اما یه همچین حمله های ساده ای رو خود سرورها باید جلوگیری کنن

2 – خیر مسئول اصلی تامین امنیت هاست های اشتراکی خود مدیران سرور هستند ( اگر vps یا … بودید باید خودتون امنیت رو تامین میکردید )

3 – هاستینگتون رو عوض کنید و توی انجمن به قسمت آموزش امنیت وردپرس برید و کارهای لازم رو انجام بدید

نوشته : AmiR

کدوم هاستینگه که اینجوری جواب میده؟ :|

چی بگم والله.اسم نبرم بهتره.

نوشته : Pois0nous

عزیز چیزی لازم نیست بگی! شما باید طلبکار باشید نه اون!

اول بهش بگو چه طرز حرف زدنه! وقت نداری تیکت جواب بدی برای چی هاست زدی؟

بعد بهش بگو مگه سرور هاتون رو از مایکروسافت خریدین 4٠٠ تا سایت رو ریختین توش؟

ما تا جایی که دیدیم بیشتر از ١٠٠-١٢٠ نفر رو یک سرور نمی ریزن!

مشکل هم از اونایه! امنیت فقط تو سرور اختصاصی با شماست! هر مشکلی از طریق سرور برای سایتتون پیش میومد تقصیر اونا بوده نه شما!

( در ضمن یک بکاپ بگیرید و منتقل کنید یه جای دیگه قبل از زدن این حرفا :D )

هاست پیشنهادی:

Http://parspack.com

در ضمن سایت رو توی cloud flare هم ثبت کنید!

نوشته : AmiR

مشکل هم از اونایه! امنیت فقط تو سرور اختصاصی با شماست! هر مشکلی از طریق سرور برای سایتتون پیش میومد تقصیر اونا بوده نه شما!
در ضمن سایت رو توی cloud flare هم ثبت کنید!

مشکل این هست که پشتیبانی میگه چون از سایت شما حمله شده بنابر این مسئولیتش با شماست :angry: قدرت دست خودشونه دیگه مگه کاری دیگه ای هم میشه انجام داد!!!


(1) همه چیز درباره حملات symlink
همه چیز درباره حملات symlink


(2) حملات symlink
سیملینک چیست همه چیز درباره حملات symlink


(3) حمله Path Traversal Attack چیست و چگونه
حمله Path Traversal Attack چیست و چگونه از وقوع آن جلوگیری کنیم - کنشتک


(4) DDoS Attack چیست حملات DDoS چیست
DDoS Attack چیست حملات DDoS چیست زود وب


(5) معرفی انواع حملات هکری 14 نوع حمله
معرفی انواع حملات هکری 14 نوع حمله هکری را به زبان ساده بشناسید


(6) همراه ساپورت سرور مجازی هاستینگ
همراه ساپورت سرور مجازی هاستینگ


(7) حمله Deauthentication به شبکه وای فای
حمله Deauthentication به شبکه وای فای - سایبریت

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

چهار × 4 =

دکمه بازگشت به بالا